Veri Transferi Çatışması
ChatGPT'yi yanıt taslakları oluşturmak için kullanan müşteri destek ekipleri, yapısal bir GDPR uyum çatışması ile karşı karşıya. Müşteri kişisel verilerini — isimler, sipariş kimlikleri, adresler, şikayet detayları — ChatGPT aracılığıyla işlemek, bu verilerin ABD'deki OpenAI sunucularına iletilmesi anlamına geliyor. GDPR Madde 46'ya göre, kişisel verilerin üçüncü bir ülkeye aktarılması yeterli korumalar gerektirir: ya bir yeterlilik kararı, Standart Sözleşme Hükümleri ya da bağlayıcı kurumsal kurallar.
OpenAI, ChatGPT Enterprise ve API teklifleri aracılığıyla kurumsal müşteriler için Standart Sözleşme Hükümleri yayımladı. Ancak, birçok müşteri destek ekibi, kurumsal anlaşmaların GDPR sözleşme korumalarını taşımayan tüketici hesapları aracılığıyla standart ChatGPT arayüzünü kullanıyor. 2024 AB denetimi, ChatGPT kullanıcı verilerinin %63'ünün kurumsal kullanıcılar için mevcut veri koruma ayarlarını seçmeyen hesaplar aracılığıyla geldiğini buldu.
İtalya'nın Garante düzenleyici eylemi, uygulama sürecini göstermektedir. Aralık 2024'te Garante, İtalyan kullanıcıların kişisel verilerini yasadışı bir şekilde işlediği için OpenAI'ye 15 milyon € ceza kesti — özellikle verileri uygun yasal dayanak olmadan ve veri sahibi hakları yükümlülüklerini yerine getirmeden işlediği için. Ceza, 2023'te İtalya'da ChatGPT'ye getirilen geçici bir yasak ve veri işleme uygulamaları hakkında kapsamlı müzakerelerden önce geldi. Ceza zamanında, İtalyan şirketlerinin %63'ünün GDPR uyumlu AI kullanım politikalarına sahip olmadığı tespit edildi.
JIT Anonimleştirme Çözümü
Just-in-time (JIT) anonimleştirme, kişisel verilerin asla ChatGPT sunucularına ulaşmamasını sağlayarak veri transferi çatışmasını çözüyor. Anonimleştirme, istemin gönderildiği anda gerçekleşiyor — kullanıcının yapıştırma olayı ile OpenAI'ye ağ iletimi arasında.
Chrome Uzantısı'nın müdahale mimarisi: bir müşteri destek temsilcisi, "Maria Dupont, sipariş FR-2024-8847, 12 rue de la Paix, Paris'e gönderildi" içeren bir müşteri şikayetini ChatGPT giriş alanına yapıştırdığında, uzantı yapıştırma olayını kesiyor. İçerik giriş alanında görünmeden önce, uzantı ismi, sipariş numarasını ve adresi tespit ediyor. Temsilci bir önizleme görüyor. Temsilci devam et butonuna tıklıyor. ChatGPT, kimlik belirleyicileri değiştiren token'lar ile birlikte kişisel veri içermeyen anonimleştirilmiş bir versiyon alıyor.
ChatGPT, anonimleştirilmiş token'ları kullanarak bir yanıt taslağı oluşturuyor. Uzantının otomatik şifre çözme özelliği, gerçek değerleri AI'nın yanıtına geri yerleştiriyor, böylece temsilci gerçek müşteri ismini referans alan bir yanıt görüyor — ancak ChatGPT o ismi asla işlemedi.
Bu mimari altında, GDPR Madde 46 veri transferi sorunu ortaya çıkmıyor: ChatGPT sunucularına aktarılan veriler, GDPR tanımına uymayan anonimleştirilmiş verilerdir. Müşterinin ismi, adresi ve tanımlayıcı bilgileri temsilcinin yerel tarayıcısında AB içinde kalıyor. GDPR uyumu yapısal olup, sözleşmesel değildir.
Kaynaklar: