Jos käytät tekoälyagentteja Euroopassa (tai käsittelet eurooppalaisten asiakkaiden dataa), GDPR-vaatimustenmukaisuus ei ole valinnaista. Tässä on käytännön opas.
Datan sijainti on tärkeä
Ensimmäinen kysymys: missä datasi käsitellään? Jos tekoälyagenttisi lähettää asiakastietoja Yhdysvaltojen palvelimille, tarvitset lisäsuojatoimia. Siksi käsittelemme kaiken eurooppalaisilla palvelimilla (Hetzner Cloud, Suomi ja Saksa).
Mitä tekoälyagentit voivat ja eivät voi tehdä henkilötiedoilla
Voivat:
- •Käsitellä palvelun tarjoamiseen tarvittavaa dataa
- •Analysoida kaavoja aggregoidussa, anonymisoidussa datassa
- •Tallentaa dataa asianmukaisella suostumuksella ja selkeällä tarkoituksella
- •Kerätä dataa "varmuuden vuoksi" ilman selkeää tarkoitusta
- •Jakaa henkilötietoja kolmansille osapuolille ilman suostumusta
- •Tehdä automaattisia päätöksiä jotka vaikuttavat merkittävästi yksilöihin ilman ihmisen arviointia
Käytännön askeleet vaatimustenmukaisuuteen
- 1.Datakartoitus — Dokumentoi mitä henkilötietoja agenttisi pääsevät käsiksi, miksi ja missä ne säilytetään
- 2.Käyttötarkoituksen rajoitus — Kerää vain mitä tarvitset. Jos sähköpostiagenttisi ei tarvitse asiakkaiden osoitteita, älä anna sille pääsyä
- 3.Suostumus — Ole selkeä siitä mitä tekoälyagenttisi tekevät. "Käytämme tekoälyä sähköpostien lajitteluun ja vastaamiseen" on hyvä. Sen hautaaminen 50-sivuiseen tietosuojaselosteeseen ei ole
- 4.Oikeus selitykseen — Jos agenttisi tekee päätöksen asiakkaasta, sinun pitää pystyä selittämään miksi
- 5.Datan säilytys — Aseta automaattiset poistoaikataulut. Älä säilytä dataa ikuisesti
Agent Leap -lähestymistapa
Rakensimme vaatimustenmukaisuuden arkkitehtuuriin:
- •Kaikki data pysyy EU:ssa (Suomi/Saksa)
- •ISO 27001 -standardi
- •Evästeettömät analytiikka — ei seurantaevästeitä lainkaan
- •Jokainen tekoälykutsu kirjataan ja on auditoitavissa
- •Selkeä tietojenkäsittelydokumentaatio