GDPR и ChatGPT: JIT анонимизација на корисничката поддршка
Ажурирано за 2026
Конфликтот при пренос на податоци
Тимовите за поддршка го користат ChatGPT за составување одговори. Тоа создава GDPR проблем. Имињата на клиентите, ID-броевите на нарачките и адресите се лични информации. Нивното испраќање до ChatGPT значи нивно испраќање до серверите на OpenAI во Соединетите Американски Држави.
Членот 46 од GDPR ги покрива преносите до земји надвор од ЕУ. Бара заштитни мерки. Заштитните мерки вклучуваат Стандардни договорни клаузули (SCC), одлуки за соодветност и обврзувачки корпоративни правила.
OpenAI нуди SCC за претпријатски клиенти. Многу тимови за поддршка користат стандардни потрошувачки сметки. Тие сметки немаат исти заштити. Ревизијата на ЕУ во 2024 година откри дека 63% од кориснички записи на ChatGPT потекнуваат од сметки без поставки за заштита на ниво на претпријатие.
Италијанскиот Garante покажува каде води спроведувањето. Во декември 2024 година, органот го глоби OpenAI со 15 милиони евра. Три неуспеси ја предизвикале казната: нема валидна правна основа, слаба транспарентност за обуката и нема проверка на возраст за малолетници. Во тоа време, 63% од италијанските компании немале GDPR-усогласени AI политики.
JIT анонимизацијата го решава проблемот
Анонимизацијата навреме (JIT) спречува личните податоци да стигнат до ChatGPT. Работи во моментот на поднесување. Дејствува пред повикот до OpenAI.
Еве како функционира. Агент за поддршка лепи жалба на клиент во ChatGPT. Прелистувачкиот додаток го пресретнува лепењето. Ги детектира името, бројот на нарачката и адресата. Агентот гледа преглед. Агентот кликнува продолжи. ChatGPT добива чиста верзија со токени наместо идентификатори.
ChatGPT составува одговор користејќи ги тие токени. Додатокот ги враќа токените во вистинските вредности. Агентот го гледа вистинското име во одговорот. ChatGPT никогаш не го обработил тоа ime.
Под овој дизајн, членот 46 од GDPR не се применува. Она што стигнува до OpenAI не е лично ли под GDPR. Името и адресата на клиентот остануваат во прелистувачот на агентот, во рамките на ЕУ. Усогласеноста е структурна. Не се потпира само на договори. Видете го нашиот водич за усогласеност за барањата за документација.
Зошто договорните заштитни мерки не се доволни
SCC и DPA се валидни заштитни мерки. Но носат тековен ризик. Тие зависат од тоа персоналот да го користи правилниот ниво на сметка. Бараат обновување. Бараат редовна ревизија. Една грешка на персоналот може да го скине ланецот.
Техничките контроли се потрајни. Ако личните податоци никогаш не го напуштат прелистувачот како влез, никаков пробив не може да ги изложи. Казната на Garante од 15 милиони евра го потврдува ова гледиште. Основниот неуспех беше отсуството на технички контроли — не само недостаток на документи. Нашиот преглед на безбедноста го покрива целосниот слоевит пристап.
Поставување на JIT анонимизација
Три чекори ја завршуваат поставката.
Инсталирајте го прелистувачкиот додаток. Chrome додатокот седи помеѓу агентот и AI алатката. Не е потребна промена во самата AI алатка. Агентите го задржуваат тековниот работен тек.
Конфигурирајте го детектирањето на ентитети. Овозможете ги видовите на ентитети за вашата база на клиенти. За тимовите за поддршка во ЕУ, тоа значи имиња, адреси, адреси на е-пошта, телефонски броеви, ID-броеви на нарачки и локални национални ID формати.
Овозможете дневник за ревизија. Регулаторите бараат доказ дека контролите функционирале. Запис по настан — временски жиг, видови на ентитети, бројот — им дава на инспекторите доказ. Не се чува лична содржина. Видете го нашиот ЧПП за прашања за конфигурација.