Preukázanie súladu s GDPR clanok 32 pre nástroje AI
Aktualizované pre rok 2026.
GDPR clanok 32 vyžaduje "primerané technické a organizacné opatrenia" na ochranu osobných dát. Ked zamestnanci používajú externé nástroje AI - ChatGPT, Claude, Gemini - riziko je skutocné a meratelné. Aj kontroly musia by meratelné.
Politika, ktorá hovorí "nezdieladajte osobné dáta s nástrojmi AI", je organizacné opatrenie. Nie je to technické opatrenie. Nestací, ked audítor DPA sa opýta: "Ako viete, že zamestnanci dodržiavajú pravidlá?"
Co audítori DPA pytajú na nástroje AI
Po úniku chatGPT zo Samsungu v marci 2023 regulátori podrobne preskúmali podnikové programy AI. Audítori DPA teraz kladú priame otázky.
O technických kontrolách sa pytajú:
- Co bráni osobným dátam dos do systémov AI?
- Ako presadzujete maskovanie v reálnom case?
- Aký dôkaz ukazuje, že kontroly fungujú?
O monitorovaní sa pytajú:
- Ako sledujete použitie AI zamestnancami kvôli expozícii PII?
- Aké metriky zbieradte? Ako casto?
- Ako viete, že kontroly nie sú obídené?
O detekcii incidentov sa pytajú:
- Ako by ste zistili únik PII do nástroja AI?
- Aký je váš plán reakcie?
Dokumenty politík neodpovedajú na žiadnu z týchto otázok. Hovoria, co by mali zamestnanci robi. Neukazujú, co zamestnanci skutocne robia.
Medzera v monitorovaní pre AI nástroje v prehliadaci
Podnikové IT tímy celia základnému problému: nástroje AI v prehliadaci sa azko monitorujú.
Šifrovanie HTTPS
ChatGPT, Claude a Gemini používajú HTTPS s HSTS. Sieová inšpekcia nemôže cíta text promptu bez dešifrovania TLS.
Inšpekcia TLS
Inšpekcia SSL vyžaduje podnikové certifikáty na každom zariadení. Môže naruši pinnning certifikátov v niektorých aplikáciách. Vytvára nové bezpecnostné medzery. Môže narušova podmienky poskytovatela AI. Vyvoláva obavy o súkromie zamestnancov v mnohých krajinách.
Endpoint DLP
Agenti na koncových bodoch sledujú vstup zo schránky a klávesnice. Ale majú vysokú mieru falošne pozitívnych výsledkov. Nedokážu rozlišova medzi "zadávaním klientskych dát do zmluvy" a "zadávaním ich do ChatGPT". Oneskorenie môže zameškat priame odosielanie.
Výsledok: väcšina firiem používajúcich nástroje AI má malý prehlad o tom, aké dáta tieto systémy dosahujú.
Compliance Dashboard v praxi
CISO ve financných službách musí audítorom ukáza, že expozícia PII v nástrojoch AI je sledovaná a kontrolovaná. Požiadavka auditu: tvrdé dáta o aktívnom monitorovaní.
Firma nasadí rozšírenie Chrome 500 zamestnancom. Výstup za jeden týžden:
| Metrika | Týždenná hodnota |
|---|---|
| Celkový pocet relácií AI | 8 400 |
| Detekované entity PII | 12 000 |
| Miera maskovania | 94 % |
| Nájdené mená zákazníkov | 4 800 |
| Nájdené císla úctov | 3 200 |
| Nájdené ID transakcií | 2 100 |
| Odmaskované odoslania (6 %) | 720 entít |
Poznámka: ilustratívny scenár. Výsledky sa líšia podla velikosti firmy a využívania AI.
Styre veci, ktoré toto ukazuje audítorom:
- Rozsah používania nástrojov AI (8 400 relácií týždenne)
- Objem PII ohrozených (12 000 nájdených entít)
- Výkon kontroly (94 % miera maskovania)
- Reziduálne riziko (720 entít vyžaduje dosledovanie)
Tri veci, ktoré môžu audítori overi:
- Technická kontrola je aktívna (logy nasadenia rozšírenia)
- Monitorovanie je aktívne (týždenné správy)
- Reziduálne riziko je riadené (dosledovacie školenie pre 6 %)
Toto je rozdiel medzi "máme politiku" a "tu je náš nameraný výstup kontroly".
Premena výstupu na zlepšenie
6 % odoslaných bez maskovania nie je zlyhanie. Je to úspech monitorovania. Firma teraz vie:
- Ktorí zamestnanci odmietajú alebo vynechávajú výzvy na maskovanie.
- Ktoré typy entít sa najcastejšie odosielajú bez maskovania.
- Ktoré tímy majú vyššiu mieru obchádzania.
- Ci sa miera znižuje, ked sa zamestnanci prispôsobujú.
Toto riadi cielené kroky. Zamestnanci s vysokou mierou obchádzania dostávajú dodatocné školenie. Typy entít s vysokou mierou obchádzania môžu vyžadova silnejšie výzvy. Tímy s opakovaným obchádzaním môžu potrebova zmenu pracovného postupu.
Bez tohto výstupu sa školenie uplatuje rovnomerne. S ním ide školenie tam, kde je riziko najvyššie.
Ako vyzerá kompletný balík clanku 32
Komplexná sada dokumentov GDPR clanok 32 pre program nástrojov AI:
Technické opatrenia:
- Rozšírenie Chrome na N zariadeniach (dôkaz: logy MDM)
- Detekcia PII v reálnom case v vstupných poliach nástrojov AI
- Pracovný postup maskovania s auditovým záznamon (logy rozšírenia)
- Compliance dashboard (metriky detekcie)
Organizacné opatrenia:
- Politika používania nástrojov AI
- Záznamy o školení zamestnancov
- Plán reakcie na incidenty pri úniku dát AI
- Stvrtrocný prehlad výstupu monitorovania
Dôkaz monitorovania:
- Týždenné metriky dashboardu (priebežne 12 mesiacov)
- Trend miery maskovania
- Rozlenie typov entít
- Záznamy o dosledovaní obchádzaní
Detekcia incidentov:
- Výstup monitorovania signalizuje neobvyklé správanie (náhly pokles miery, nové typy entít)
- Plán reakcie na incidenty testovaný [datum]
Táto sada splna clanok 32. Ukazuje technické a organizacné opatrenia so skutocnými dôkazmi.
Kvantifikovanie zníženia rizika
Pre test proporcionality musíte ukáza, aké riziko kontrola odstrauje.
Bez kontroly:
- 11 % promptov AI obsahuje PII (Cyberhaven 2025)
- 8 400 týždenných relácií × 11 % = 924 relácií s PII týždenne
- Každá relácia: potenciálna expozícia podla GDPR clanok 83, ak sú zapojené dáta EÚ
S kontrolou (94 % miera maskovania):
- 924 relácií s detekovanou PII
- 94 % maskovaných: 869 relácií chránených
- Zvyšok: 55 relácií týždenne s nemaskovaným obsahom
Výsledok: 94 % pokles expozície PII pri používaní nástrojov AI.
Pre regulátorov uplatujúcich test proporcionality je 94 % zníženie z nasadenej technickej kontroly silným dôkazom. Pozrite si tiež prevenciu PII v reálnom case pre nástroje AI a prehliadacové DLP pre ChatGPT, Claude a Gemini.
Záver
Súlad GDPR clanok 32 pre nástroje AI nemôže stava len na politike. Monitorovanie relácií AI v prehliadaci na expozíciu PII potrebuje technickú kontrolu, ktorá produkuje dôkazy.
Live maskovanie s vbudovaným monitorovaním vám poskytuje oboje: prevenciu (menšia expozícia) a dôkaz (merané riziko a výstup kontroly). Táto kombinácia splna clanok 32.
Pre CISO pred auditom DPA: audítori chcú tvrdé dáta. Ukážte miery detekcie, miery maskovania a trendy reziduálneho rizika. Politika je zaciatok. Výstup monitorovania je dôkaz.
Pre porovnanie blokovania a maskovania ako kontroly pozrite Browser DLP: Blokovanie vs. Anonymizácia.