Изградба на GDPR-усаглашена Customer Support AI: Отстранување на PII И прилагодени идентификатори пред пратање до AI добавувачи
Вашиот тим за поддршка на клиентите користи AI асистент за подготовка на одговори, сумирање на историјата на барања и предложување на решенија. AI е добра. Продуктивност е зголемена. Потоа вашиот DPO ја прегледува имплементацијата.
Пораките од клиентите вметнати во AI интерфејсот содржат:
- Име на клиент: "Hi, I'm Sarah Johnson and my order..."
- Адреса за е-пошта: "Please email me at sarah.j@gmail.com"
- ID на нарачка: "ORD-4521893 hasn't arrived yet"
Името и е-пошта се лични податоци. ID на нарачката е исто така личен податок — тој е поврзан со Sarah Johnson во вашиот систем за управување со нарачки, кој AI добавувачот може вкрстно да референцира ако обработува податоци за повеќе клиенти, или кој создава ризик од повторна идентификација ако AI тренирачките податоци кога и да е се изложат.
Пратате лични податоци на надворешен AI добавувач без валидна правна основа или соодветни мерки за заштита. Ово е нарушување на GDPR.
Зошто ID на нарачки се лични податоци
GDPR-от дефиниција на лични податоци е намерно широка: "било која информација што се однесува на идентификувано или идентификувано природно лице." Лицето е идентификувано ако може да се идентификува "директно или индиректно, особено со референција на идентификатор."
ID на нарачка (ORD-4521893) е индиректен идентификатор. Самостоично, тој не идентификува Sarah Johnson. Но комбинирано со вашата база од податоци за управување со нарачки — која AI добавувачот може или не може да има пристап до — тој ја идентификува со целост.