ИИ на службе privacy-юриста и DPO: Кейс наполнения RoPA
Реестр обработок персональных данных, известный как RoPA, является обязательным по статье 30 GDPR. Этот реестр представляет собой документированное доказательство всех процессов, в которых используются персональные данные. Это обычно первая задача, которую предстоит выполнить большинству Инспекторов по защите персональных данных (DPO). В данной статьей рассматриваются методы создания этого документа при помощи технологий ИИ.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Основная проблема при наполнении RoPA
DPO сталкиваются со множеством проблем при разработке реестра персональных данных. Они возникают, когда DPO пытаются заполнить RoPA или организовать процесс его обновления.
Самая сложная задача в первые полгода внедрения защиты данных — это собрать первоначальную информацию о всех бизнес-процессах, которые используют персональные данные.
В частности, необходимо перечислить цели обработки, категории персональных данных, указать всех процессоров и информационные системы, категории субъектов данных и т.д. Однако, часто сотрудники, к которым мы обращаемся с вопросом о процессах обработки данных, которые они ведут, отвечают нам неполно или обобщенно. Это происходит по ряду причин:
● во-первых, они не в состоянии сформулировать цели обработки, так как это требует больших интеллектуальных усилий и филигранного владения словом;
● во-вторых, у них не хватает знаний, чтобы понять наш вопрос, например, они не знают, что такое персональные данные;
● в-третьих, у них может просто не быть времени на вашу задачу из-за большой нагрузки, поджимающих дедлайнов и низкого приоритета комплаенса в их глазах их непосредственного руководства.
В Data Privacy Office мы попытались решить эту проблему, предлагая своим клиентам каталог из более чем 400 целей. Данный каталог мы интегрировали в собственный шаблон RoPA в Notion и начали предоставлять его клиентам и слушателям наших курсов GDPR DPM и AI4DPO. Это позволило клиенту выбрать те цели, которые присутствуют в его бизнес-процессах. Это частично решило проблему сбора информации о целях, но создало новую: формулировки целей остаются слишком краткими, и люди могут истолковать их по-разному. Кроме того, заполнение остальных полей (категории данных, получатели данных, категории субъектов, сроки обработки, категории субъектов) остается сложной задачей. Эту информацию мог бы предоставить специалист или департамент, ответственный за бизнес-процесс, но их трудно найти. В итоге, поля с категориями данных остаются незаполненными.
Мы также должны перечислить всех получателей данных (процессоров, со-контролёров, третьих лиц) или их категории. Процессорами данных зачастую выступают облачные платформы, на которых мы храним или иным образом обрабатываем персональную информацию. Здесь инспекторы по защите персданных (DPO) сталкиваются с другой трудностью: не будучи узким специалистом в бизнес-процессе, мы зачастую даже не догадываемся о типичных облачных платформах, которые используют наши маркетологи, инженеры или hr-ры, не можем подобрать нужных слов, чтобы сформулировать наводящие вопросы. Поэтому нам было бы полезно с самого начала понять, как называется этот тип систем. Зная тип, мы сможем задать наводящий вопрос во время интервью с сотрудниками: «Используем ли мы облачную [тип инфосистемы]».
Например, мы можем спросить веб-разработчика: «Используем ли мы облачную CMS или конструктор сайтов, например, Tilda?» и, вероятнее всего, получим конкретный ответ, потому что веб-мастер знает что-такое CMS (Content Management System), и тем более понимает, с которой из них он работает большую часть своего времени.
Еще одна задача — это выбрать подходящие для данной юрисдикции правовые основания. Для выбора правового основания в ЕС нужно иметь представление о рисках, которые влечет обработка для субъектов данных, а для этого нужно понимать этапы обработки, знать о наиболее часто встречающихся в этом бизнес-процессе нарушениях приватности. Ведь выбор между легитимным интересом и согласием — вопрос балансирования бизнес-интересов с одной стороны, и прав, интересов субъекта данных — с другой. А интересы субъектов тем выше, чем выше уровень рисков, исходящих от конкретной обработки.
ИИ-решение
В общем как вы наверное уже догадались из названия, LLMs (большие языковые модели) помогут нам со всем этим. Мы разработали следующий промпт:
Act as an experienced expert in the following business process: [Process]
You’ve just got the request from Data Protection officer who needs to gain a general understanding about this process. DPO is going to extract information from the text that you will provide. DPO will include this information in the Register of Processing Activities (RoPA) in accordance with Article 30 of the GDPR. Please, write a description of the process with the following chapters about the points listed below.
Points
— General description of the business process: Explain what this process is about and why companies need it.
— The stages (steps) of this process: Describe the typical stages of this process.
— Personal data used in the process and its purpose: List all possible types/categories of personal data that are usually used in such a process. What each of them is used for (purpose)? Your output should be in table with columns for category of personal data and purpose.
— How long does it usually take for the process to complete?
— List types of data processors (inl. cloud services) with a few examples for each of the types/categories.
— Company departments involved in the process: List the departments or functions that are usually involved in this process with explanation in what way they are usually involved in the process.
— Privacy risks and known violations of the GDPR related to the processing: List and describe possible privacy risks for rights and freedoms of data subjects (not the company). To illustrate the risks, add information about real court cases, data protection supervisory authority decisions or complaints regarding this process.
— Fines and other regulatory actions: List all cases when data protection regulators investigated a company in connection with this process. Provide information on fines and sanctions and links to these decisions.
Output should be in Markdown since it will be pasted into Notion.so page
Output all lists in your output as a table. Make sure that you add columns for any additional paramotors related to the items.
All points must be separate paragraphs with h2 headings.
Он состоит из следующих компонентов: Персоны (отмечен зеленым), Контекста (Оранжевый), Инструкции (фиолетовый) и Формата (синий).
Подробнее про элементы промпта и научиться ими пользоваться можно на специальном обучении AI-инструментам для DPO (курсе AI4DPO), но если кратко, то «Инструкция» говорит что делать, «Контекст» в данном запросе отсекает нерелеватную информацию и позволяет сузить ответ до того что нужно, «Персона» влияет на тон и выбираемую терминологию, «Формат» облегчает нам дальнейшую обработку ответа.
В качестве примера приведен ответ, который выдал ChatGPT, используя даже не самую продвинутую модель (GPT-3.5). Ниже скриншоты:
Таким образом, Data Protection Officer в пару кликов получит:
1. Описание бизнес-процесса, которое поможет вам и вашим коллегам лучше ориентироваться в Реестре обработок RoPA. В нашем примере: *The marketing email process involves the creation, distribution, and tracking of promotional or informational emails sent by companies to current or prospective customers.*
2. Варианты для формулировки целей. В примере: … *to communicate offers, updates, and news to their target audience, aiming to build brand awareness, drive sales, and foster customer relationships.*
3. Этапы процесса, которые могут содержать подсказки о наличии дополнительных обработкок, категорий данных и процессоров. В примере: *Recipient Segmentation: Categorizing recipients based on demographics or behaviors. Email Distribution: Sending emails through designated platforms. Monitoring and Analysis: Tracking open rates, click-through rates, and other engagement metrics.*
4. Категории данных с маппингом к целям обработки.
Например:
Category of Personal Data | Purpose | Email addresses
| Delivery of marketing materials and communication
|
|---|---|
Names | Personalization of emails |
Demographic information (age, gender, location) | Targeted segmentation and content customization |
Purchase history | Tailored offers based on past behavior |
Interaction history (clicks, opens) | Campaign performance analysis and optimization |
5. Подсказку для возможных сроков обработки. К сожалению, из-за ограниченной базы, на которой была обучена LLM, промпт редко дает качественный результат (в нашем примере так и произошло), но отказываться от шанса получить подсказку не стоит. Если модифицировать данную часть промпта, добавив вопрос *How long does the categories of personal data mentioned in your output are kept for the purposes of this process?*, то ответ может быть получше:
*The time to complete a marketing email campaign can range from a few days to several weeks, depending on campaign complexity. Personal data, such as email addresses and interaction history, is typically retained for the duration of the campaign and may be kept for a longer period for analysis or future marketing efforts.*
6. Виды процессоров данных и их примеры.
Ответ AI для примера выше:
Type of Data Processor | Examples | Email Service Providers | Mailchimp, SendGrid |
|---|---|
Customer Relationship Management (CRM) Systems | Salesforce, HubSpot |
Analytics Platforms | Google Analytics, Adobe Analytics |
Cloud Storage Services | Google Drive, Dropbox |
7. Понимание, к какому приблизительно департаменту или отделу нужно обращаться за информацией про данную обработку персональных данных для RoPA, и кого вероятнее всего надо будет ставить владельцем этой обработки (бизнес-процесса), ответственного за минимизацию данных, ограничение целью, своевременное удаление и реализацию других принципов обработки данных.
Для приведенного выше примера:
● Marketing: Leads campaign planning and content creation.
● IT/Operations: Manages email distribution platforms and data integration.
● Legal/Compliance: Ensures email communications adhere to data protection regulations.
● Sales/Customer Service: Collaborates on campaign strategy and leverages customer data.
8. Подборку (пусть и неполную) рисков для приватности — хорошая стартовая площадка для проведения Оценки легитимного интереса (LIA) или Оценки воздействия на защиту персональных данных (DPIA).
Пример:
● Unsolicited Emails: Sending emails without proper consent can breach GDPR (e.g., Planet49 case in Germany).
● Data Breaches: Mishandling of personal data leading to unauthorized access (e.g., British Airways’ GDPR fine for a data breach).
● Lack of Consent Management: Inadequate opt-in/opt-out processes (e.g., Vodafone Spain’s GDPR fine for spam email practices).
9. Примеры штрафов. AI выдает неполный список и часто ошибается, но может выдавать очень релевантные кейсы, которые DPO может использовать, чтобы убедить бизнес перейти к более этичным и безопасным практикам.
Примерный ответ на наш промпт:
Several companies have faced regulatory scrutiny related to marketing email processes:
● British Airways: Fined £20 million for failing to protect personal and financial data in a cyber-attack.
● Vodafone Spain: Fined €75,000 for sending unsolicited marketing communications.
*For detailed information on fines and decisions, refer to British Airways Fine and Vodafone Spain*
Данный промпт мы применили ко всем 400+ предлагаемым целям обработок в шаблоне RoPA, который предлагает Data Privacy Office. Также он может быть применен к любой цели/бизнес-процессу. Для этого всего лишь нужно подставить название процесса вместо [Process] или если используете Notion AI в шаблоне Data Privacy Office, кликнуть Update в карточке обработки:
Ограничения данного метода
Этот метод, несмотря на свою эффективность, не может быть использован как единственный шаг в процессе наполнения RoPA информацией об обработке данных. На практике, список категорий данных, целей обработки и связанных с ними рисков значительно шире, чем то, что может выдать искусственный интеллект. Владельцы бизнес-процессов должны не только верифицировать, но и дополнять карточки обработок, чтобы обеспечить полноту и точность информации. Важно также учесть такой аспект, как галлюцинации, которые могут возникнуть при использовании искусственного интеллекта.
Вывод
Таким образом, RoPA (Реестр обработок персональных данных) является обязательным документом, требующимся по статье 30 GDPR. Основные проблемы при его заполнении связаны с определением целей обработки данных, категорий данных, процессоров и информационных систем, категорий субъектов данных и т.д. Использование больших языковых моделей (LLMs) может помочь в решении этих проблем, предоставляя подробное описание бизнес-процесса, включая этапы процесса, используемые персональные данные и их цели, сроки выполнения процесса, типы процессоров данных и примеры, отделы компании, участвующие в процессе, риски приватности и нарушения GDPR, связанные с обработкой, а также штрафы и другие регуляторные действия.
