GDPR a ChatGPT: anonymizácia zákazníckej podpory v reálnom čase
Aktualizované pre rok 2026
Konflikt prenosu dát
Tímy zákazníckej podpory používajú ChatGPT na tvorbu odpovedí. To vytvára problém v rámci GDPR. Mená zákazníkov, čísla objednávok a adresy sú osobné údaje. Ich odosielanie do ChatGPT znamená odosielanie na servery OpenAI v Spojených štátoch.
Článok 46 GDPR pokrýva prenosy do krajín mimo EÚ. Vyžaduje záruky. Záruky zahŕňajú štandardné zmluvné doložky (SCC), rozhodnutia o primeranosti a záväzné podnikové pravidlá.
OpenAI ponúka SCC pre podnikových zákazníkov. Mnohé tímy zákazníckej podpory používajú štandardné spotrebiteľské účty. Tieto účty nemajú rovnakú ochranu. Audit EÚ z roku 2024 zistil, že 63 % záznamov používateľov ChatGPT pochádzalo z účtov bez podnikových nastavení ochrany.
Taliansky Garante ukazuje, kam vedie vymáhanie. V decembri 2024 uložil orgán OpenAI pokutu 15 miliónov eur. K pokute viedli tri zlyhania: žiadny platný právny základ, nízka transparentnosť pri trénovaní a chýbajúca kontrola veku maloletých. V tom čase 63 % talianskych spoločností nemalo politiku AI zosúladenú s GDPR.
JIT anonymizácia rieši problém
Anonymizácia just-in-time (JIT) zabraňuje tomu, aby osobné údaje vôbec dosiahli ChatGPT. Prebieha v momente odoslania. Pôsobí pred volaním na OpenAI.
Tu je postup. Agent zákazníckej podpory prilepí sťažnosť zákazníka do ChatGPT. Rozšírenie pre prehliadač zachytí vloženie. Deteguje meno, číslo objednávky a adresu. Agent vidí náhľad. Agent klikne na pokračovanie. ChatGPT dostane čistú verziu s tokenmi namiesto identifikátorov.
ChatGPT zostaví odpoveď s týmito tokenmi. Rozšírenie vymení tokeny späť za skutočné hodnoty. Agent vidí skutočné meno v odpovedi. ChatGPT toto meno nikdy nespracoval.
Pri takomto návrhu sa článok 46 GDPR neuplatňuje. To, čo sa dostane k OpenAI, nie je osobný údaj podľa GDPR. Meno a adresa zákazníka zostávajú v prehliadači agenta, vo vnútri EÚ. Súlad je štrukturálny. Nespolieha sa iba na zmluvy. Požiadavky na dokumentáciu nájdete v sprievodcovi súladom.
Prečo zmluvné záruky nestačia
SCC a DPA sú platné záruky. Nesú však priebežné riziko. Spoliehajú sa na to, že zamestnanci používajú správnu úroveň účtu. Vyžadujú obnovu. Vyžadujú pravidelný audit. Jedna chyba zamestnanca môže prerušiť reťazec.
Technické kontroly sú trvanlivejšie. Ak osobné údaje nikdy neopustia prehliadač ako vstup, žiadny únik ich nemôže odhaliť. Pokuta Garante vo výške 15 miliónov eur toto potvrdzuje. Hlavné zlyhanie spočívalo v absencii technických kontrol -- nielen chýbajúcej dokumentácii. Náš bezpečnostný prehľad pokrýva celkový vrstvený prístup.
Nastavenie JIT anonymizácie
Nastavenie sa dokončí v troch krokoch.
Nainštalujte rozšírenie pre prehliadač. Rozšírenie pre Chrome funguje medzi agentom a AI nástrojom. Nevyžaduje žiadnu zmenu samotného AI nástroja. Agenti si zachovávajú súčasný pracovný postup.
Nakonfigurujte detekciu entít. Aktivujte typy entít pre svoju zákaznícku základňu. Pre podporné tímy v EÚ to znamená mená, adresy, e-mailové adresy, telefónne čísla, čísla objednávok a miestne formáty národných identifikátorov.
Aktivujte protokol auditu. Regulátori požadujú dôkaz, že kontroly fungovali. Záznam na udalosť -- časová pečiatka, typy entít, počet -- poskytuje inšpektorom dôkaz. Žiadny osobný obsah sa neukladá. Otázky ku konfigurácii nájdete v FAQ.