Prečo je ChatGPT v zákazníckom servise GDPR problém
Tímy zákazníckej podpory používajúci ChatGPT na pomoc pri písaní odpovedí môžu náhodne vynechať osobné údaje v dotazoch, pretože ChatGPT nie je určitá bez explicitného instrukcie, aby to urobila.
Typický scenár:
- Zákazník v žiadosti: „Ahoj, môj e-mail je john@example.com a moje číslo objednávky je #12345"
- Agent podpory kopíruje dotaz priamo do ChatGPT
- ChatGPT je pravidelný e-mail a číslo objednávky a vracia návrh odpovede
- Agent upravuje návrh ChatGPT a posiela sa zákazníkovi
To je porušenie GDPR, pretože osobné údaje (e-mail, číslo objednávky) boli poslané serverom OpenAI bez právneho základu — a bez súhlasu zákazníka.
GDPR členkov 5 a 6 vyžadujú, aby všetky osobné údaje:
- Spracované zákonným spôsobom (články 6 — právny základ)
- Slúžiť konkrétnemu účelu (článok 5 — účelové zásady)
- Spracovať iba tak dlho, ako je potrebné (článok 5 — omedzenie skladovania)
Odoslanie osobných údajov do ChatGPT bez odsúhlasenia porušuje všetky tri.
Anonymizácia za chodu (JIT)
Anonymizácia za chodu je jednoduchý proces:
- Agent podpory prijme dotaz zákazníka
- Pred prepojením do ChatGPT sa vytvára systém, aby odstranil PII
- ChatGPT vracia návrh odpovede bez žiadnych osobných údajov
- Agent upraví návrh a pošle ho zákazníkovi
Rozdiely od klasickej anonymizácie:
- Klasická anonymizácia: Údaje sú anonymizované pred uložením do databázy. Nikdy sa nemôžu znovu identifikovať.
- JIT anonymizácia: Údaje zostávajú identifikovateľné pre agenta, ale sú anonymizované v priebehu AI dopytov. Agent stále vidí pôvodné číslo objednávky pre svoje záznamy.
Ako to implementujú
Najpriamejší prístup:
1. Agent zadá: "Zákazník píše: {customer_query}"
2. Prvé použitie (odstránenie PII): {customer_query_anonymized}
3. Pošli ChatGPT: {system_prompt + customer_query_anonymized}
4. ChatGPT vráti návrh odpovede
5. Agent upravuje návrh a posiela
Pokročilejšia verzia by mohla použiť presné rozpoznávanie entít:
- Detekcia PII pri zákazníkovom dotaze
- Nahradenie PII placekami („john@example.com" → „[EMAIL]", „#12345" → „[ORDER_ID]")
- Poslanie ChatGPT anonymizovaného dotazu
- Vrátenie výsledku bez PII v ňom
Áno je to automatizované — agentský agent má tlačidlo: „Anonymizovať a poslať ChatGPT", systém robí zvyšok.
Ako tento implemnet ChatGPT bez porušenia GDPR
Pri použití ChatGPT v zákazníckom servise bez porušenia GDPR:
- Anonymizovať pred ChatGPT: Všetky osobné údaje musia byť oddelené pred odoslaním do API OpenAI.
- Uložiť pôvodné dotazy oddelene: Záznam Agent o pôvodnom dotaze zákazníka (s PII) je uložený v internom serveri — ChatGPT to nikdy neuvidí.
- Udržiavať audit trail: Kto anonymizoval čo, kedy?
- Regulárne vymazávať: Pôvodné dotazy sa musia vymazať v lehote stanovenej politikou — GDPR nemá podľa toho, koľko dlho sú potrební.
Budúcnosť: Lokálne modely
Dlhodobejšie riešenie: agentúry používajúci lokálne modely namiesto cloudových ChatGPT. Modely ako Llama 2 alebo Mistral bežia na serveroch agentúry, čím sa eliminuje potreba kopírovania PII na tretie strany.
Lokálne modely sú zvyčajne menej presné ako ChatGPT, ale pre zákaznícku podporu — ktorá sa zaoberá veľmi špecifickými vzormi — presnosť sa dosť blíži.
Klávesnica správu: Jestliže používate ChatGPT v zákazníckom servise, anonymizácia za chodu je jedinou GDPR-bezpečnou cestou.