Datatransferkonflikten
Kundestøtteteam som bruker ChatGPT til å utarbeide svar står overfor en strukturell GDPR-overholdelseskonflikt. Behandling av kundens personopplysninger — navn, bestillings-ID-er, adresser, klagedetaljer — gjennom ChatGPT innebærer overføring av disse dataene til OpenAIs servere, som ligger i USA. I henhold til GDPR artikkel 46 krever overføring av personopplysninger til et tredjeland tilstrekkelige sikkerhetstiltak: enten en tilstrekkelighetsbeslutning, standard kontraktsbestemmelser eller bindende selskapsregler.
OpenAI har publisert standard kontraktsbestemmelser for bedriftskunder gjennom ChatGPT Enterprise og API-tilbudene. Imidlertid bruker mange kundestøtteteam det standard ChatGPT-grensesnittet gjennom forbrukerkontoer — kontoer som ikke har de GDPR-kontraktbeskyttelsene som følger med bedriftsavtaler. En EU-revisjon i 2024 fant at 63% av ChatGPT-brukerdata kom fra kontoer som ikke hadde valgt inn i databeskyttelsesinnstillingene tilgjengelig for bedriftsbrukere.
Italias Garante-reguleringshandling illustrerer håndhevelsesforløpet. I desember 2024 bøtela Garante OpenAI €15 millioner for ulovlig behandling av italienske brukeres personopplysninger — spesifikt for behandling av data uten riktig juridisk grunnlag og uten å oppfylle forpliktelsene til databeskyttelsesrettigheter. Boten ble forutgått av et midlertidig forbud mot ChatGPT i Italia i 2023 og omfattende forhandlinger om databehandlingspraksis. 63% av italienske selskaper ble funnet å mangle GDPR-kompatible AI-brukspolicyer på tidspunktet for boten.
JIT-anonymiseringsløsningen
Just-in-time (JIT) anonymisering løser datatransferkonflikten ved å sikre at personopplysninger aldri når ChatGPTs servere i utgangspunktet. Anonymiseringen skjer i det øyeblikket prompten sendes inn — mellom brukerens innlimingshendelse og nettverksoverføringen til OpenAI.
Chrome-utvidelsens avskjæringsarkitektur: når en kundestøtteagent limer inn en kundeklage som inneholder "Maria Dupont, bestilling FR-2024-8847, sendt til 12 rue de la Paix, Paris" i ChatGPT-inndatafeltet, avskjærer utvidelsen innlimingshendelsen. Før innholdet vises i inndatafeltet, oppdager utvidelsen navnet, bestillingsnummeret og adressen. Agenten ser en forhåndsvisning. Agenten klikker på fortsett. ChatGPT mottar en anonymisert versjon uten personopplysninger — en komplett klagedeskripsjon med tokens som erstatter identifikatorer.
ChatGPT genererer et svarutkast ved hjelp av de anonymiserte tokenene. Utvidelsens auto-dekrypteringsfunksjon setter de virkelige verdiene tilbake i AI-ens svar, slik at agenten ser et svar som refererer til det virkelige kundenavnet — men ChatGPT har aldri behandlet det navnet.
Under denne arkitekturen oppstår ikke spørsmålet om datatransfer i henhold til GDPR artikkel 46: dataene som overføres til ChatGPTs servere er anonymiserte data som ikke oppfyller GDPR-definisjonen av personopplysninger. Kundens navn, adresse og identifiserende informasjon forblir innenfor EU på agentens lokale nettleser. GDPR-overholdelse er strukturell snarere enn kontraktsmessig.
Kilder: