GDPR a AI pre support: Vlastné identifikatory sa pocitaju
Váš supportový tim pouzíva AI na tvorbu odpovedí a revíziu listkov. Produktivita stúpla. Potom vás DPO skontroluje nastavenie.
Typická správa zákazníka obsahuje meno, emailovú adresu a ID objednávky. Meno a email sú osobné údaje. Rovnako ID objednávky. Odkazuje na Máriu Kováčovú vo vašej databáze objednávok. Dodávateľ AI si to môže krížovo overiť. Ak sa trénovacie dáta uniku, ID môže ju znovu identifikovať.
Poslanie ktoréhokoľvek z týchto údajov externému dodávateľovi AI bez právneho základu je porušením GDPR.
Preco sú ID objednávok osobné údaje
GDPR clanok 4 definuje osobné údaje sirokο. Pojem pokrýva všetky informácie týkajúce sa identifikovanej alebo identifikovatelnej osoby. Identifikovatelnosť zahŕna nepriamu identifikáciu odkazom na identifikátor.
ID objednávky ako ORD-4521893 je nepriamy identifikátor. Samo o sebe nemenuje Máriu Kováčovú. V spojení s vašou databázou objednávok áno.
GDPR clanok 4(5) pokrýva pseudonymizáciu. ID objednávok sú pseudonymá. Potrebujú druhý zdroj na odhalenie osoby za nimi. Keď ho pošlete externému dodávateľovi AI, zdieľate osobné údaje. Právny základ a Zmluva o spracovaní údajov sú potrebné.
Dodávateľ nemusí mať vašu databázu. To neukončuje vašu povinnosť. Zdieľali ste osobné údaje. GDPR sa stále uplatní.
Medzera v štandardnej anonymizácii
Supportové timy casto nasadzia detekciu PII pre sulade s GDPR. Štandardné nástroje odstraňujú bežné typy entit.
Standardná detekcia zachytí mená zákazníkov, emailové adresy, telefonne čísla a čísla kreditných kariet. Tieto prejdú.
Standardná detekcia nezachytí ID objednávok vo formáte ORD-XXXXXXX. Prehliadne čísla účtov, ticketové referencie, interné ID používateľov a ID predplatného. Tieto zlyhajú.
Výsledok vyzerá takto: "Ahoj, som [PERSON_1] a moja objednávka ORD-4521893 ešte neprišla. Prosím, napíšte mi na [EMAIL_1]."
ID objednávky je stále tam. Ktokoľvek s prístupom do CRM môže nájsť Máriu Kováčovú okamžite. Anonymizácia je neúplná. Toto je medzera v sulade.
Rozsírenie Chrome: Detekcia v prehliadaci
Supportoví agenti, ktorí používajú Claude, ChatGPT alebo Gemini, pracujú vo svojom prehliadači. Rozsírenie Chrome zastavuje vlastné identifikátory pred opustením systému.
Takto to funguje. Agent vloží správu zákazníka do nástroja AI. Rozsírenie vidí, že cieľom je platforma AI. Odstraní štandardné PII. Potom aplikuje vlastné vzory. Tieto zodpovedajú formátu vašich ID objednávok, formátu čísla účtu a akýmkoľvek iným vlastným identifikátorom, ktoré váš tím používa. Agent vidí len čistú správu. Surové dáta nikdy nedosiahnu AI.
Compliančný tím nastaví vlastné vzory raz. Zdieľa preset so všetkými agentmi. Agenti to nemusia spravovať. Vložia správu. Rozsírenie sa postará o zvyšok.
Server MCP: Detekcia na vrstve API
Niektoré platformy volajú AI cez API. Intercom používa AI na tvorbu odpovedí. Zendesk používa AI na návrhy odpovedí. Server MCP pridáva anonymizáciu na vrstve API pre tieto nastavenia.
Tu je tok. Správa zákazníka príde na supportovú platformu. Pred dosiahnutím AI prechádza cez endpoint MCP. Endpoint odstraní štandardné a vlastné entity. Čistá správa ide k AI. AI vráti odpoveď. Žiadne osobné údaje neboli zdieľané. Agent potom číta a upravuje odpoveď na supportovej platforme.
Agenti nevidia žiadnu zmenu v tom, ako pracujú. Proces vyzerá rovnako. Vlastné entity sú nastavené raz v konfigurácii MCP. Všetky volania API od tej chvíle používajú plnú detekciu entít.
Kontrolný zoznam implementácie DPO
1. Mapujte všetky toky dát k AI.
Vymenujte, kde agenti používajú AI. Zahrňte prehliadačové nástroje, nástroje zalozené na API a nahrávanie súborov.
2. Vypíšte všetky typy identifikátorov v správach zákazníkov.
Štandardné PII - mená, emaily, telefóny - je pokryté predvolene. Vlastné identifikátory - ID objednávok, ticketové referencie, čísla účtov - potrebujú vlastné vzory.
3. Pridajte vzory vlastných entít.
Definujte každý formát. Otestujte ho na vzorkových správach. Uložte ho do presettu tímu.
4. Nasadte na správnej vrstve.
AI zalozená na prehliadači: použite Rozsírenie Chrome so zdieľaným presetom. AI integrovaná cez API: použite Server MCP alebo predspracovanie na vrstve API.
5. Aktualizujte vaše ROPA.
Zaznamenajte, že AI pre support používa automatizovanú anonymizáciu. Uveďte typy vlastných identifikátorov, ktore su pokryté. Toto je vaša dokumentácia technického ochranného opatrenia.
6. Otestujte nastavenie.
Spustite vzorkové správy so všetkými typmi identifikátorov. Skontrolujte, že nič nedosiahne AI. Pozrite si sprievodcu právnym suladom pre šablóny dokumentov.
SaaS supportový tím: Praktický príklad
SaaS supportový tím používa Claude cez internú platformu AI. Správy zákazníkov zahŕnaju mena, emaily, ID objednávok a ID predplatného. Niektoré názvy príznakov funkcií nesú interné identifikátory.
Pred kontrolou GDPR: Všetok obsah išiel k AI. ID objednávok a predplatného boli zahrnuté.
Po konfigurácii vlastnej detekcie entít:
ORD-XXXXXXX a SUB-XXXXXXXX boli pridané ako vlastné entity. Rozsírenie Chrome bolo nasadené so zdieľaným presetom. DPO spustil testy a potvrdil, že všetky identifikátory boli odstránené pred spracovaním AI.
Zmena pracovného toku agenta: Žiadna. Agenti pracujú rovnakým spôsobom. Anonymizácia bezi na pozadí. DPO má zdokumentované ochranné opatrenie v spise.
Záver
AI pre support v sulade s GDPR robí viac ako len odstraňuje mená a emaily. ID objednávok, čísla účtov a ticketové referencie sú osobné údaje. Štandardné nástroje ich prehliadnu. Konfigurácia vlastných entít zatvorí medzeru.
Kroky sú jednoduché. Definujte formáty vašich identifikátorov. Otestujte ich na vzorkových správach. Nasadte ich tímu. DPO to môže dokončiť za jedno odpoludnie. Potom sú všetky zákaznícke dáta odstránené pred dostiahnutím externých systémov AI. Benefit sulade s predpismi platí od tej chvíle.