是的。就GDPR而言,即使泄漏来自未经DSI验证的AI工具,始终负责数据处理。员工对NoteTaker或自由文本生成器的“野生”使用并不能免除其义务的组织。因此,CNIL或外国当局揭示的数据违反行为可以导致财务制裁,这是有义务通知有关人员并损害了声誉。
要做: 建立了授权工具的白色列表,从技术上讲,通过CEB或防火墙阻止非验证应用程序,并训练团队,以便他们了解Shadow AI直接展示了该公司。
法律参考: RGPD第24条(控制器的责任),第32条(处理安全性),第33条(违反数据的通知)。
实际解决方案: 强加供应商审查流程(供应商风险评估),将合同条款与IA分包商整合,并记录治疗登记册中的任何安全措施。
