GDPR ve Destek Yapay Zekâsı: Özel Tanımlayıcılar Sayılır
Destek ekibiniz yanıt taslağı hazırlamak ve biletleri incelemek için yapay zekâ kullanıyor. Verimlilik arttı. Ardından VKS kurulumu kontrol etti.
Tipik bir müşteri mesajı isim, e-posta adresi ve sipariş kimliği içerir. İsim ve e-posta kişisel veridir. Sipariş kimliği de öyle. Sipariş veritabanınızda Sarah Johnson'a bağlıdır. Yapay zekâ satıcısı bunu çapraz referanslayabilir. Eğitim verileri sızarsa kimlik, onu yeniden tanımlamak için kullanılabilir.
Bunların herhangi birini yasal bir dayanak olmadan harici bir yapay zekâ satıcısına göndermek GDPR ihlalidir.
Sipariş Kimlikleri Neden Kişisel Veridir
GDPR Madde 4, kişisel veriyi geniş kapsamlı tanımlar. Terim, tanımlanmış veya tanımlanabilir bir kişiyle ilgili tüm bilgileri kapsar. Tanımlanabilirlik, bir tanımlayıcıya atıfla dolaylı tanımlamayı da içerir.
ORD-4521893 gibi bir sipariş kimliği dolaylı bir tanımlayıcıdır. Tek başına Sarah Johnson'ı isimlendirmez. Sipariş veritabanınızla birleştirildiğinde isimlendiriyor.
GDPR Madde 4(5), sözde anonimleştirmeyi kapsar. Sipariş kimlikleri sözde adlardır. Arkasındaki kişiyi ortaya çıkarmak için ikinci bir kaynağa ihtiyaç duyarlar. Birini harici bir yapay zekâ satıcısına gönderdiğinizde kişisel veri paylaşıyorsunuz. Yasal dayanak ve Veri İşleme Sözleşmesi gereklidir.
Satıcı veritabanınızı tutmuyor olabilir. Bu yükümlülüğünüzü sona erdirmez. Kişisel veri paylaştınız. GDPR hâlâ geçerlidir.
Standart Anonimleştirme Açığı
Destek ekipleri GDPR uyumu için sıklıkla KKV tespiti uygular. Standart araçlar yaygın varlık türlerini kaldırır.
Standart tespit müşteri isimlerini, e-posta adreslerini, telefon numaralarını ve kredi kartı numaralarını yakalar. Bunların hepsi geçer.
Standart tespit ORD-XXXXXXX biçimindeki sipariş kimliklerini yakalamaz. Hesap numaralarını, bilet referanslarını, dahili kullanıcı kimliklerini ve abonelik kimliklerini kaçırır. Bunlar başarısız olur.
Sonuç şöyle görünür: "Merhaba, ben [PERSON_1] ve ORD-4521893 numaralı siparişim henüz ulaşmadı. Lütfen bana [EMAIL_1] adresinden e-posta gönderin."
Sipariş kimliği hâlâ orada. CRM erişimi olan herkes Sarah Johnson'ı anında bulabilir. Anonimleştirme tamamlanmamıştır. Bu uyum açığıdır.
Chrome Uzantısı: Tarayıcıda Tespit
Claude, ChatGPT veya Gemini kullanan destek temsilcileri tarayıcılarında çalışır. Chrome Uzantısı, özel tanımlayıcıların çıkmasını durdurur.
İşte nasıl çalışıyor. Temsilci, yapay zekâ aracına bir müşteri mesajı yapıştırır. Uzantı, hedefin bir yapay zekâ platformu olduğunu görür. Standart KKV'yi kaldırır. Ardından özel kalıpları uygular. Bunlar sipariş kimliği biçiminizle, hesap numarası biçiminizle ve ekibinizin kullandığı diğer özel tanımlayıcılarla eşleşir. Temsilci yalnızca temiz mesajı görür. Ham veri yapay zekâya hiç ulaşmaz.
Uyum ekibi özel kalıpları bir kez ayarlar. Tüm temsilcilerle bir ön ayar paylaşır. Temsilcilerin bunu yönetmesi gerekmez. Mesajı yapıştırırlar. Uzantı geri kalanını halleder.
MCP Sunucusu: API Katmanında Tespit
Bazı platformlar yapay zekâyı API'ler aracılığıyla çağırır. Intercom, yanıt taslağı hazırlamak için yapay zekâ kullanır. Zendesk, yanıt önerileri için yapay zekâ kullanır. MCP Sunucusu, bu kurulumlar için API katmanına anonimleştirme ekler.
Akış şöyle: Bir müşteri mesajı destek platformuna ulaşır. Yapay zekâya ulaşmadan önce MCP uç noktasından geçer. Uç nokta standart ve özel varlıkları kaldırır. Temiz mesaj yapay zekâya gider. Yapay zekâ bir yanıt döndürür. Hiçbir kişisel veri paylaşılmadı. Temsilci ardından destek platformunda yanıtı okur ve düzenler.
Temsilciler çalışma biçimlerinde herhangi bir değişiklik görmez. Süreç aynı görünür. Özel varlıklar MCP yapılandırmasında bir kez ayarlanır. Tüm API çağrıları o noktadan itibaren tam varlık tespitini kullanır.
VKS Uygulama Kontrol Listesi
1. Yapay zekâya giden tüm veri akışlarını haritalayın.
Temsilcilerin yapay zekâ kullandığı yerleri listeleyin. Tarayıcı araçları, API tabanlı araçlar ve dosya yüklemeleri dahil.
2. Müşteri mesajlarındaki tüm tanımlayıcı türlerini listeleyin.
Standart KKV — isimler, e-postalar, telefonlar — varsayılan olarak kapsamda. Özel tanımlayıcılar — sipariş kimlikleri, bilet referansları, hesap numaraları — özel kalıplar gerektirir.
3. Özel varlık kalıpları ekleyin.
Her biçimi tanımlayın. Örnek mesajlar üzerinde test edin. Ekip ön ayarına kaydedin.
4. Doğru katmanda dağıtın.
Tarayıcı tabanlı yapay zekâ: paylaşılan ön ayarla Chrome Uzantısı kullanın. API entegrasyonlu yapay zekâ: MCP Sunucusu veya API düzeyinde ön işleme kullanın.
5. ROPA'nızı güncelleyin.
Destek yapay zekâsının otomatik anonimleştirme kullandığını kaydedin. Kapsanan özel tanımlayıcı türlerini listeleyin. Bu teknik tedbir belgelerinizdir.
6. Kurulumu test edin.
Tüm tanımlayıcı türleriyle örnek mesajlar çalıştırın. Yapay zekâya hiçbir şeyin ulaşmadığını doğrulayın. Belge şablonları için hukuki uyum kılavuzuna bakın.
SaaS Destek Ekibi: Pratik Bir Örnek
Bir SaaS destek ekibi, dahili bir yapay zekâ platformu aracılığıyla Claude kullanıyor. Müşteri mesajları isimler, e-postalar, sipariş kimlikleri ve abonelik kimlikleri içeriyor. Bazı özellik bayrağı adları dahili tanımlayıcılar taşıyor.
GDPR incelemesinden önce: Tüm içerik yapay zekâya gidiyordu. Sipariş ve abonelik kimlikleri dahildi.
Özel varlık tespitinin ardından:
ORD-XXXXXXX ve SUB-XXXXXXXX özel varlıklar olarak eklendi. Chrome Uzantısı, paylaşılan bir ön ayarla dağıtıldı. VKS testler yaptı ve yapay zekâ işlenmeden önce tüm tanımlayıcıların kaldırıldığını doğruladı.
Temsilci iş akışı değişikliği: Sıfır. Temsilciler aynı şekilde çalışıyor. Anonimleştirme arka planda çalışıyor. VKS'nin dosyasında kayıtlı bir tedbir var.
Sonuç
GDPR uyumlu destek yapay zekâsı, yalnızca isim ve e-postaları temizlemekten fazlasını yapar. Sipariş kimlikleri, hesap numaraları ve bilet referansları kişisel veridir. Standart araçlar bunları kaçırır. Özel varlık yapılandırması açığı kapatır.
Adımlar basittir. Tanımlayıcı biçimlerinizi tanımlayın. Örnek mesajlar üzerinde test edin. Ekibe dağıtın. Bir VKS bunu bir öğleden sonrada tamamlayabilir. Bundan sonra tüm müşteri verileri harici yapay zekâ sistemlerine ulaşmadan önce kaldırılır. Uyum faydası o noktadan itibaren geçerli olur.