GDPR Článok 32: Monitorovanie expozície PII v nástrojoch AI ako povinnosť bezpečnosti
GDPR Články 32 (bezpečnosť) a 5 (princípy) si vyžadujú, aby spoločnosti monitorovali, ako sa spracúvajú osobné údaje.
Pro AI nástroje:
- Monitorovanie: Ktoré nástroje (ChatGPT, Claude, Gemini, deepseek) používajú vaši zamestnanci?
- Detekcia: Aké údaje sa odosielajú?
- Blokácia: Ak sa deteguje PII, zastavte požiadavku.
Interpretácia GDPR
Článok 32 (Bezpečnosť):
"...vrátane pseudonymizácie a šifrovania osobných údajov; schopnosti zabezpečiť nepretržitú povahou bezpečnosti a dostupnosti osobných údajov a rýchlu obnovu dostupnosti..."
Záväzok: Ak ľudia môžu poslať PII do ChatGPT, musíte mať schopnosť to "zabezpečiť", t.j., "monitorovať, zistiť, zastavovať".
Článok 5 (Princípy):
"...v takom rozsahu a na také obdobie, ako je potrebné..."
Záväzok: Minimálny prenos údajov. Ak sa nezadaná požiadavka ChatGPT nemusí prenášať PII, neposielajte to.
Právna interpretácia: 3 pozície
Pozícia 1 (Prísna): Monitorovanie AI je povinnosť bez výnimky.
- Francúzsko (CNIL): "Podnikatelia sa musia zapojiť do... monitorovania AI návrhov súkromých údajov" (CNIL publikácia 2024)
Pozícia 2 (Mierna): Monitorovanie sa vyžaduje, ale iba na vnútorných údajoch.
- UK ICO: "Bez nástroj, ktorý vidí všetko, budete mať spoľahlivú dokumentáciu, že ste urobili odsúdenosť" (ICO vedenie 2024)
Pozícia 3 (Slabá): Monitorovanie je doporučená, ale nie je povinné.
- Niektoré podnia si myslia, že "používateľ má zodpovednosť, nie spoločnosť"