Как да спазвам GDPR с AI?

Как да спазвам GDPR с AI?

За да спазваш GDPR, когато използваш AI през 2026 г., трябва да третираш AI като обработване на лични данни: опиши целите и данните, избери правно основание, минимизирай и защити данните, направи DPIA при висок риск, уреди отношенията с доставчици (processors) с DPA, осигури прозрачност и права на субектите, и добави контролни точки за логове, модели и автоматизирани решения.

GDPR съответствието при AI не е документ, а набор от процеси: данни, договори, контрол и доказуемост.

Въведение

AI системите често обработват лични данни по повече канали, отколкото очакваш:

• входни данни (формуляри, тикети, чатове, документи),
• логове (prompts, отговори, telemetry),
• обучаващи данни (исторически записи),
• изходи (решения, профилиране, препоръки).

Това означава, че GDPR не е "странична тема"; то е архитектурно изискване.

Паралелно с GDPR, през 2026 г. вече тече и графикът на EU AI Act (различни дати на приложимост за различни задължения), което е важно при high-risk и регламентирани случаи.

Ако не знаеш къде се съхраняват prompt-овете, логовете и обучаващите ти данни, реално не контролираш личните данни.

Стъпка 1: Направи data mapping (карта на данните)

Цел: да можеш да отговориш "Какво имаме, къде е и как се трие?"

Направи таблица:

• категория данни (PII, чувствителни, идентификатори),
• източник (CRM, сайт, имейл, документи),
• цел (support, персонализация, риск),
• получатели (вътрешни екипи, доставчици),
• местоположение (регион),
• retention (дни/месеци),
• механизъм за изтриване.

Не забравяй:

• backup-и,
• observability системи,
• error tracking,
• експорти за анализ.

Стъпка 2: Определи ролите (controller/processor) и DPA

При AI доставчици почти винаги имаш:

• ти: controller (определяш целите),
• доставчикът: processor или понякога joint controller.

Провери договорно:

• има ли DPA,
• има ли sub-processors,
• има ли трансфери извън ЕИП,
• какво е обещано за използване на данните (например за обучение/подобряване),
• как се трият данните при прекратяване.

Стъпка 3: Правно основание и purpose limitation

Избери правно основание (контекст-зависимо):

• договор,
• легитимен интерес,
• съгласие,
• законово задължение.

Уточни "purpose limitation":

• ако събираш данни за поддръжка, не означава автоматично, че можеш да ги използваш за обучение на модели.

Практика: отдели "оперативно обработване" от "обучение/подобряване" като различни цели с различни оценки.

Стъпка 4: Минимизация и контрол на входовете (prompt hygiene)

AI обича да поглъща всичко, но GDPR не.

Мерки:

• redaction преди изпращане към модел (премахване на имена/ЕГН/телефони),
• allowlist на полета (пращаш само нужните),
• отделяне на идентификатор от съдържание (pseudonymization),
• забрана на потребителя да въвежда определени чувствителни данни (UI подсказки).

Пример: ако класифицираш тикет, често не ти трябват имена и телефони.

Стъпка 5: Прозрачност (privacy notice) и информираност

Осигури ясна информация:

• че използваш AI,
• за какви цели,
• какви категории данни,
• на кого се изпращат,
• retention,
• права и как да се упражнят.

Особено важно:

• ако записваш разговори за подобрение,
• ако има профилиране,
• ако AI влияе на значими решения.

Стъпка 6: Права на субектите (DSAR процес)

Провери дали реално можеш да изпълниш:

• достъп,
• изтриване,
• корекция,
• възражение,
• преносимост.

AI специфично:

• къде точно се намира данните (логове, datasets, storage),
• дали можеш да изтриеш или да "de-identify" записи,
• какво означава "изтриване" при агрегирани статистики.

Стъпка 7: DPIA (Data Protection Impact Assessment)

DPIA е нужна при висок риск. AI често попада там, когато:

• обработва чувствителни данни,
• прави профилиране,
• влияе на достъп до услуги/работа/кредит,
• използва мащабно наблюдение.

DPIA минимум:

• описание на обработването,
• необходимост/пропорционалност,
• риск и вероятност,
• мерки и остатъчен риск,
• план за мониторинг.

Стъпка 8: Сигурност (security) и достъп

Минимум за продукция:

• криптиране в transit/at rest,
• IAM с least privilege,
• разделяне dev/stage/prod,
• мониторинг и alert-и,
• план за инциденти.

AI специфично:

• защита от prompt injection (ако има RAG/tools),
• филтриране на изхода за data exfiltration,
• rate limiting.

Стъпка 9: Retention и логове (най-честият провал)

Типични проблеми:

• prompts/outputs се логват без срок,
• данни се пазят "за всеки случай",
• няма процес за изтриване от backup-и.

Решение:

• дефинирай retention по тип данни (например 30/90/180 дни),
• отдели "оперативни логове" от "обучаващи данни",
• автоматизирай изтриване.

Стъпка 10: Автоматизирани решения и човешка намеса

Ако AI влияе на решения със значим ефект върху човек:

• осигури прозрачност и обяснение,
• осигури човешка намеса,
• осигури процес за оспорване,
• тествай за fairness и грешки.

Какво да следиш през 2026 (GDPR + AI Act)

• EDPB публикува резултати от ChatGPT Task Force (2024) като сигнал как DPA-тата гледат на прозрачност, правно основание и точност.
• EU AI Act има график с различни дати на приложимост; според официалната времева линия изискванията за high-risk системи се прилагат от 2 август 2026 г., което е важна дата за плановете ти.

Мини чеклист за екип

• Имаме ли карта на данните (включително логове и backup-и)?
• Имаме ли DPA и ясни условия за използване на данните?
• Имаме ли ретенция и автоматично изтриване?
• Имаме ли DPIA, ако рискът е висок?
• Имаме ли DSAR процес, който работи на практика?

Чести грешки, които да избягваш

• Липса на retention политика за AI логове.
• "Обучение върху всичко" без правно основание.
• Непрозрачни политики към потребителя.
• Няма процес за DSAR.

Често задавани въпроси (FAQ)

1) Ако ползвам AI API, пак ли съм controller?

В повечето бизнес случаи да, защото ти определяш целта и начина на използване. Провери договорите, но доставчикът често е processor.

2) Мога ли да използвам потребителски чатове за обучение?

Само при правно основание, прозрачност и минимизация, плюс механизми за отказ/изтриване. Често е по-безопасно да ползваш анонимизирани или синтетични данни.

3) DPIA задължителна ли е за всеки AI проект?

Не за всеки, но за много AI случаи рискът е висок (профилиране, чувствителни данни, решения с ефект). При съмнение направи DPIA.

4) Какво да правя с prompt логовете?

Третирай ги като лични данни: минимизирай съдържанието, дефинирай retention, контролирай достъпа и осигури изтриване.

5) GDPR и EU AI Act заменят ли се?

Не. GDPR остава законът за личните данни. EU AI Act добавя AI-специфични задължения, без да отменя GDPR.

Източници (проверени 2024-2026)

• EDPB: ChatGPT Task Force report (2024): https://www.edpb.europa.eu/our-work-tools/our-documents/reports/chatgpt-task-force-report_en
• EU AI Act Service Desk: timeline: https://artificialintelligenceact.eu/ai-act-timeline/
• EDPS: Generative AI and data protection (2025): https://www.edps.europa.eu/data-protection/our-work/publications/technologies/generative-ai-and-data-protection_en