Konstruiranje skladnega z GDPR AI za podporo strankam: odstranitev PII IN prilagojenih identifikatorjev pred pošiljanjem ponudnikom AI
Vaša ekipa za podporo strankam uporablja pomočnika AI za pisanje osnutkov odgovorov, povzemanje zgodovine vstopnic in predlaganje rešitev. AI je dober. Produktivnost je narasla. Nato vaš DPO pregleda implementacijo.
Sporočila strank, prilepljena v vmesnik AI, vsebujejo:
- Ime stranke: »Zdravo, jaz sem Sarah Johnson in moje naročilo..."
- E-poštni naslov: »Prosim, e-pošti mi na sarah.j@gmail.com"
- ID naročila: »ORD-4521893 še ni prispelo"
Ime in e-pošta sta osebni podatki. ID naročila je tudi osebni podatek – povezan je s Sarah Johnson v vašem sistemu upravljanja naročil, ki ga ponudnik AI lahko navzkrižno preverka, če obdeluje podatke za več odjemalcev, ali kar ustvari tveganje ponovne identifikacije, če so podatki o usposabljanju AI kdaj izpostavljeni.
Pošiljate osebne podatke zunanjemu ponudniku AI brez veljavne pravne podlage ali ustreznih varnostnih ukrepov. To je kršitev GDPR.
Zakaj so naročilni ID-ji osebni podatki
Definicija osebnih podatkov GDPR je namerno široka: »kateri koli podatek v zvezi s posameznikkom, ki je identificiran ali določljiv«. Posameznik je določljiv, če se ga lahko identificira »neposredno ali posredno, zlasti s sklicevanjem na identifikator«.
ID naročila (ORD-4521893) je posredni identifikator. Samo po sebi ne identificira Sarah Johnson. Vendar skupaj z vašo bazo podatkov upravljanja naročil – do katere ponudnik AI morda ali morda nima dostopa – jo identificira z gotovostjo.
GDPR člen..."