anonym.legal

By · Last updated 2026-06-05

Назад на блоготБезбедност на вештачка интелигенција

GDPR Член 32: Следење на изложеноста на лични податоци при употреба на ВИ алатки

Тимовите за усогласеност во претпријатија бараат квантитативни докази за контролите на ВИ алатките за лични податоци. Мрежниот DLP ги пропушта ВИ-интеракциите преку прелистувачот.

June 5, 20267 мин читање
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

Докажување на усогласеност со GDPR Член 32 за ВИ алатки

Ажурирано за 2026 година.

GDPR Член 32 бара "соодветни технички и организациони мерки" за заштита на личните податоци. Кога персоналот ги користи надворешните ВИ алатки - ChatGPT, Claude, Gemini - ризикот е реален и мерлив. Контролите мора да бидат мерливи исто така.

Политика која вели "не споделувајте лични податоци со ВИ алатки" е организациона мерка. Тоа не е техничка мерка. Не е доволно кога ревизор на DPA прашува: "Како знаете дека персоналот се придржува?"

Прашањата на ревизорите на DPA за ВИ алатките

По прекршувањето на Samsung ChatGPT во март 2023 година, регулаторите внимателно ги испитаа програмите за ВИ во претпријатија. Ревизорите на DPA сега поставуваат директни прашања.

За техничките контроли тие прашуваат:

  • Што спречува личните податоци да стигнат до ВИ системите?
  • Како го наметнувате маскирањето во реално време?
  • Кои докази покажуваат дека контролите функционираат?

За следењето тие прашуваат:

  • Kako го следите користењето на ВИ од страна на персоналот заради изложеност на лични податоци?
  • Кои метрики ги собирате? Колку често?
  • Kako знаете дека контролите не се заобиколуваат?

За откривање инциденти тие прашуваат:

  • Kako би забележале протекување на лични податоци до ВИ алатка?
  • Каков е вашиот план за реагирање?

Документите за политики не одговараат на ниту едно од овие прашања. Тие кажуваат што треба да прави персоналот. Не покажуваат што персоналот всушност прави.

Мониторинг-јазот за ВИ алатки преку прелистувачот

ИТ тимовите во претпријатија се соочуваат со основен проблем: ВИ алатките преку прелистувачот се тешки за следење.

HTTPS-шифрирање

ChatGPT, Claude и Gemini сите користат HTTPS со HSTS. Мрежната инспекција не може да го чита текстот на промптот без TLS-дешифрирање.

TLS-инспекција

SSL-инспекцијата бара претпријатиски сертификати на секој уред. Може да го прекине фиксирањето на сертификати во некои апликации. Создава нови безбедносни јазови. Може да ги прекрши условите за услуга на платформите на ВИ. Покренува прашања за приватноста на персоналот во многу земји.

Endpoint DLP

Агентите на крајни точки ги следат клипборд-внесувањата и тастатурните притисоци. Но имаат висока стапка на лажни позитиви. Не можат да разликуваат "внесување на клиентски податоци во договор" од "внесување во ChatGPT". Задоцнувањето може да пропушти испраќања во живо.

Резултатот: повеќето фирми кои ги користат ВИ алатките имаат малку увид во тоа кои податоци стигнуваат до тие системи.

Контролна табла за усогласеност во пракса

Главниот информатички безбедносен директор (CISO) на финансиска услужна фирма мора да им покаже на ревизорите дека изложеноста на лични податоци преку ВИ алатки е следена и контролирана. Барањето за ревизија: цврсти податоци за активен мониторинг.

Фирмата имплементира Chrome Extension кај 500 вработени. Резултат за еден тедн:

МетрикаНеделна вредност
Вкупно ВИ-сесии8.400
Откривени ентитети на лични податоци12.000
Стапка на маскирање94%
Пронајдени имиња на клиенти4.800
Пронајдени броеви на сметки3.200
Пронајдени идентификатори на трансакции2.100
Немаскирани испраќања (6%)720 ентитети

Забелешка: илустративен сценарио. Резултатите варираат во зависност од големината на фирмата и употребата на ВИ.

Четири нешта кои ова им покажува на ревизорите:

  • Обем на употреба на ВИ алатки (8.400 сесии неделно)
  • Волумен на загрозени лични податоци (12.000 пронајдени ентитети)
  • Перформанси на контролата (94% стапка на маскирање)
  • Остаточен ризик (720 ентитети бараат следење)

Три нешта кои ревизорите можат да ги потврдат:

  • Техничка контрола е активна (дневници за имплементација на додатокот)
  • Мониторингот е активен (неделни извештаи)
  • Остаточниот ризик е управуван (следствена обука за 6%)

Тоа е разликата меѓу "имаме политика" и "еве го нашиот измерен резултат на контролата".

Претворање на резултатот во подобрување

6% испратено без маскирање не е неуспех. Тоа е успех на мониторингот. Фирмата сега знае:

  1. Кои вработени ги отфрлаат или пропуштаат промптите за маскирање.
  2. Кои типови на ентитети најчесто се испраќаат немаскирани.
  3. Кои тимови имаат повисоки стапки на заобиколување.
  4. Дали стапката опаѓа кога персоналот се адаптира.

Ова поттикнува насочено дејство. Персоналот со висока стапка на заобиколување добива дополнителна обука. Типови на ентитети со висока стапка на заобиколување можеби бараат посилни промпти. Тимовите со повторливи заобиколувања можеби бараат промена во работниот тек.

Без овој резултат, обуката се применува рамномерно. Со него, обуката оди таму каде ризикот е највисок.

Како изгледа целосниот пакет за Член 32

Комплетен сет на документи за GDPR Член 32 за програма со ВИ алатки:

Технички мерки:

  1. Chrome Extension на N уреди (доказ: MDM-дневници)
  2. Живо откривање на лични податоци во полиња за внос на ВИ алатки
  3. Работен тек на маскирање со ревизорска трага (дневници на додатокот)
  4. Контролна табла за усогласеност (метрики за откривање)

Организациони мерки:

  1. Политика за употреба на ВИ алатки
  2. Записи за обука на персоналот
  3. План за реагирање на инциденти за протекување на ВИ-податоци
  4. Квартален преглед на резултатот од мониторингот

Докази за мониторинг:

  1. Неделни метрики на контролната табла (тековни 12 месеци)
  2. Тренд на стапката на маскирање
  3. Распределба по тип на ентитет
  4. Записи за следење на заобиколувањата

Откривање инциденти:

  1. Резултатот од мониторингот ги означува необичните однесувања (ненадеен пад на стапката, нови типови ентитети)
  2. Планот за реагирање на инциденти тестиран на [датум]

Овој сет го задоволува Член 32. Покажува технички и организациони мерки со вистински докази.

Квантифицирање на намалувањето на ризикот

За тестот на пропорционалност, мора да покажете кој ризик го отстранува контролата.

Без контролата:

  • 11% од ВИ-промптите содржат лични податоци (Cyberhaven 2025)
  • 8.400 неделни сесии × 11% = 924 сесии со лични податоци неделно
  • Секоја сесија: потенцијална изложеност според GDPR Член 83 ако се вклучени ЕУ-податоци

Со контролата (94% стапка на маскирање):

  • 924 сесии со откривени лични податоци
  • 94% маскирани: 869 заштитени сесии
  • Остаток: 55 сесии неделно со немаскирана содржина

Резултатот: 94% намалување на изложеноста на лични податоци при употреба на ВИ алатки.

За регулаторите кои го применуваат тестот на пропорционалност, намалување од 94% од имплементирана техничка контрола е силен доказ. Погледнете исто така превенција на лични податоци во реално време за ВИ алатки и DLP преку прелистувач за ChatGPT, Claude и Gemini.

Заклучок

Усогласеноста со GDPR Член 32 за ВИ алатки не може да се потпира само на политика. Следењето на ВИ-сесиите преку прелистувачот за изложеност на лични податоци бара техничка контрола која произведува докази.

Живото маскирање со вграден мониторинг ви дава и двете: превенција (помала изложеност) и докази (измерен ризик и резултат на контролата). Таа комбинација го задоволува Член 32.

За CISOs кои се соочуваат со ревизија на DPA: ревизорите сакаат цврсти податоци. Покажете стапки на откривање, стапки на маскирање и трендови на остаточен ризик. Политиката е почеток. Резултатот од мониторингот е доказот.

За тоа како блокирањето се споредува со маскирањето како контрола, погледнете DLP преку прелистувач: Блокирање наспроти Анонимизација.

Извори

Поврзани статии

Безбедност на вештачка интелигенција

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Безбедност на вештачка интелигенција

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Безбедност на вештачка интелигенција

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Подготвени да ги заштитите вашите податоци?

Започнете со анонимизација на PII со 285+ типови на ентитети на 48 јазици.

Започнете бесплатен пробен периодПогледнете ги карактеристиките

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.