GDPR i ChatGPT: JIT anonimizacija korisnicke podrske
Azurirano za 2026.
Konflikt prenosa podataka
Timovi podrske koriste ChatGPT za pisanje odgovora. To stvara GDPR problem. Imena kupaca, ID-ovi narudzbi i adrese su licni podaci. Slanje tih podataka u ChatGPT znaci slanje ka OpenAI serverima u Sjedinjenim Drzavama.
GDPR clan 46 pokriva prenose u drzave van EU. Zahteva zastitne mere. Zastitne mere ukljucuju standardne ugovorne klauzule (SCC), odluke o adekvatnosti i obavezujuca korporativna pravila.
OpenAI nudi SCC-ove za poslovne korisnike. Mnogi timovi podrske koriste standardne korisnicke naloge. Ti nalozi nemaju iste zastite. EU revizija iz 2024. pokazala je da je 63% ChatGPT korisnickih zapisa poteklo sa naloga bez podesavanja zastite na nivou preduzeca.
Italijanski Garante pokazuje kuda vodi sprovodjenje. U decembru 2024. organ je kaznio OpenAI sa 15 miliona evra. Tri propusta su pokrenula kaznu: nema validne pravne osnove, lose transparentnosti u vezi s obucavanjem i nema provere starosti za maloletnike. U tom trenutku, 63% italijanskih kompanija nije imalo GDPR-uskladjenu AI politiku.
JIT anonimizacija resava problem
Just-in-time (JIT) anonimizacija sprecava licne podatke da stignu do ChatGPT-a. Radi u trenutku slanja. Deluje pre poziva ka OpenAI-u.
Evo kako to funkcionise. Agent podrske lepi prituzbu kupca u ChatGPT. Ekstenzija pregledaca presrece lepljenje. Detektuje ime, broj narudzbe i adresu. Agent vidi pregled. Agent klikne na nastavi. ChatGPT prima cisту verziju sa tokenima umesto identifikatora.
ChatGPT pravi odgovor koristeci te tokene. Ekstenzija zamenjuje tokene nazad sa stvarnim vrednostima. Agent vidi stvarno ime u odgovoru. ChatGPT nikada nije obradio to ime.
Po ovom dizajnu, GDPR clan 46 se ne primenjuje. Ono sto stize do OpenAI-a nije licni podatak po GDPR-u. Ime i adresa kupca ostaju u pregledacu agenta, unutar EU. Uskladjenost je strukturalna. Ne oslanja se samo na ugovore. Pogledajte nas vodic za uskladjenost za zahteve dokumentacije.
Zasto ugovorne zastitne mere nisu dovoljne
SCC-ovi i DPA-ovi su validne zastitne mere. Ali nose stalni rizik. Oslanjaju se na osoblje koje koristi ispravnu racunsku klasu. Zahtevaju obnavljanje. Zahtevaju redovne revizije. Jedna greska osoblja moze prekinuti lanac.
Tehnicke kontrole su trajnije. Ako licni podaci nikada ne napuste pregledac kao unos, ni jedan proboj ne moze ih izloziti. Kazna Garante-a od 15 miliona evra potvradjuje ovaj stav. Kljucni propust bio je odsustvo tehnickih kontrola - a ne samo nedostajuca dokumentacija. Nas pregled bezbednosti pokriva ceo slojeviti pristup.
Podesavanje JIT anonimizacije
Tri koraka dovrsavaju podesavanje.
Instalirajte ekstenziju pregledaca. Chrome ekstenzija stoji izmedju agenta i AI alata. Nije potrebna nikakva promena na samom AI alatu. Agenti zadrzavaju trenutni tok rada.
Podesite detekciju entiteta. Omogucite tipove entiteta za vasu korisnicku bazu. Za EU timove podrske, to znaci imena, adrese, adrese e-poste, brojeve telefona, ID-ove narudzbi i lokalne formate nacionalnih ID-ova.
Omogucite log revizije. Regulatori traze dokaz da su kontrole radile. Unos loga po dogadjaju - vremenski pecat, tipovi entiteta, broj - daje inspektorima dokaz. Nikakav licni sadrzaj se ne cuva. Pogledajte nase FAQ za pitanja o konfiguraciji.