A generatív mesterséges intelligencia hasznos segítség lehet ügyfélszolgálati válaszok, belső elemzések vagy weboldalszövegek előkészítésénél. A beállítás elvégzése előtt azonban érdemes tisztázni, milyen ügyféladat kerülhet a rendszerbe, ki férhet hozzá, és milyen célból dolgozzuk fel.
Az AI GDPR szempontból nem külön világ: ugyanazokat az adatvédelmi alapelveket kell alkalmazni, mint bármely más digitális folyamatnál. Nézzük meg, hogyan alakítható ki olyan céges gyakorlat, amely a munkatársaknak is érthető, a technikai kollégáknak pedig ellenőrizhető.
1. Ügyféladat csak világos célhoz kapcsolódjon
Mielőtt bármilyen adatot mesterséges intelligenciával elemeznénk, határozzuk meg az adatkezelési célt. Más kockázatot jelent egy nyilvános termékleírás nyelvi javítása, és mást egy ügyfélpanasz, számla, szerződés vagy hibajegy teljes szövegének feltöltése.
Fontos, hogy a prompt ne váljon második adatbázissá. Ha az AI-eszközbe bekerül név, e-mail-cím, telefonszám, IP-cím, rendelési azonosító vagy egészségügyi, pénzügyi jellegű információ, akkor az már személyes adatkezelési kérdésként kezelendő.
2. Zárjuk ki a tanításból a céges adatokat
A technikai oldalon elsőként az adatvédelmi konfigurációkat ellenőrizzük. A nagy nyelvi modellek egy részénél külön beállítással, például beszélgetési előzmények kikapcsolásával, üzleti csomaggal vagy API-alapú feldolgozással csökkenthető annak kockázata, hogy a bevitt tartalom későbbi modellfejlesztéshez kapcsolódjon.
Érdemes figyelembe venni, hogy az API és a böngészős felület adatkezelése eltérhet. Az OpenAI vállalati dokumentációja szerint az API-n keresztül küldött üzleti adatok alapértelmezés szerint nem kerülnek modelltréningbe, ugyanakkor a pontos megőrzési és naplózási szabályokat mindig az adott szolgáltató szerződéses feltételeiben ellenőrizzük.
3. Anonimizáljunk, mielőtt elemzést kérünk
A biztonságosabb gyakorlat az, ha nem a teljes ügyféltörténetet adjuk át, hanem csak a probléma logikai vázát. Töröljük a neveket, azonosítókat, kapcsolattartási adatokat, cseréljük a konkrét cégeket fiktív jelölésekre, és csak azt hagyjuk meg, ami a feladat megoldásához tényleg szükséges.
Ezt követően külön kezeljük azokat az eseteket, ahol az anonimizálás nem biztosítható megbízhatóan. Ilyenkor célszerű belső, zárt rendszerben dolgozni, vagy egyáltalán nem bevonni külső AI-szolgáltatót az adott folyamatba.
4. Készüljön egyszerű AI-használati szabályzat
A szabályzat akkor működik jól, ha nem jogi szövegként, hanem napi munkát segítő ellenőrzőlistaként használható. Rögzítsük benne, milyen adatok nem írhatók promptba, ki hagyhat jóvá új AI-eszközt, hol kell tárolni a kimeneteket, és mikor szükséges emberi ellenőrzés.
A tiltott műveletek közé kerüljön a teljes ügyféladatbázis, szerződésállomány, jelszó, API-kulcs, belső pénzügyi dokumentum és bizalmas hibajegy feltöltése. Engedélyezett lehet például egy anonimizált hibaüzenet értelmezése, egy nyilvános cikkvázlat javítása vagy egy belső oktatási anyag nyelvi finomítása.
5. Az EU AI Act miatt az átláthatóságra is készüljünk
Az EU AI Act 2024. augusztus 1-jén hatályba lépett, a szabályok pedig fokozatosan válnak alkalmazandóvá 2025-ben és 2026-ban. A gyakorlatban ez azt jelenti, hogy egyre fontosabb lesz jelezni, ha tartalmat, döntéstámogatást vagy ügyfélkommunikációt mesterséges intelligencia segít.
Weboldaltulajdonosként különösen figyeljünk a bizalomépítő technikai alapokra is. SSL-tanúsítvány, biztonságos tárhely, rendezett jogosultságkezelés és átlátható adatkezelési tájékoztató nélkül az AI-használat csak újabb kockázati réteget ad a meglévő folyamatokra.
Záró gondolat
Az AI GDPR megfelelés nem egyetlen beállításon múlik, hanem következetes adatkezelési fegyelmen. Ha vállalkozása biztonságos weboldal- és tárhelyalapot szeretne kialakítani az AI-eszközök használata mellé, válassza a Rackhost szolgáltatásait, vagy keresse kollégáinkat a megfelelő megoldás kiválasztásához.