Dokazovanje skladnosti s GDPR členom 32 za instrumente AI: Spremljajte izpostavljenost PII zaposlenih s podatki, ne z dokumenti o politiki
GDPR člen 32 zahteva "ustrezne tehnične in organizacijske ukrepe" za zagotovitev varnosti primerne tveganju. Ko zaposleni uporabljajo eksterne instrumente AI (ChatGPT, Claude, Gemini), je tveganje realno in merljivo. Ukrepi za obravnavo tega tveganja morajo biti tudi dokazljivi.
Dokument o politiki, ki pravi "zaposleni ne smejo deliti osebnih podatkov z instrumenti AI", je organizacijski ukrep. To ni tehnični ukrep. In to ni dovolj, ko revizor DPA vpraša "kako veš, da zaposleni dejansko spoštujejo navodila?"
Kaj revizorji DPA iščejo pri skladnosti instrumentov AI
Naslednja Samsung incident ChatGPT (marec 2023) in kasnejši nadzor regulatorjev nad sprejetjem podjetnih instrumentov AI so revizorji DPA razvili specifična vprašanja o skladnosti programov instrumentov AI:
Tehnični nadzor:
- "Kateri tehnični ukrepi preprečijo osebne podatke, da ne dosežejo zunanjih sistemov AI?"
- "Kako vsilite zahteve za anonimizacijo v interakcijah AI v realnem času?"
- "Kaj dokazuje, da ti tehnični nadzori delujejo?"
Spremljanje:
- "Kako spremljate uporabo zaposlenih instrumentov AI za izpostavljenost osebnih podatkov?"
- "Katere meritve spremljate? S kakšno pogostnostjo?"
- "Kako veš, da so tvoji nadzori učinkoviti v primerjavi z obidenim?"
Zaznavanje incidentov:
- "Kako bi odkrili, če bi bili osebni podatki deljeni z instrumentom AI?"
- "Kakšen je tvoj postopek odgovora na incident...