GDPR:n 35 artikla edellyttää vaikutustenarviointia (DPIA) silloin, kun henkilötietojen käsittely, etenkin uutta teknologiaa käytettäessä, aiheuttaa korkean riskin luonnollisten henkilöiden, kuten asiakkaiden tai työntekijöiden, oikeuksien ja vapauksien kannalta.
Copilotin käyttöönotossa tietosuojaa koskeva vaikutustenarviointi on usein tarpeen uuden teknologian, laajamittaisen henkilötietojen käsittelyn, henkilötietoja sisältävien tietokokonaisuuksien yhdistämisen sekä mahdollisen automaattisen päätöksenteon vuoksi.
PrivacyDesignerin toteuttamalla arvioinnilla varmistat, että Copilotin riskit ja tietosuojavaatimukset on huomioitu ja dokumentoitu asianmukaisesti.
Tekoälyjärjestelmien kuten Copilotin kohdalla tietosuojan vaikutustenarvioinnilta edellytetty järjestelmällinen kuvaus suunnitelluista käsittelytoimista vie aikaa. Pelkkä muutaman lauseen mittainen kuvaus exceliin ei riitä, vaan organisaation on tunnettava, miten Copilot toimii käytännössä, ja miten henkilötiedot liikkuvat sitä käytettäessä.
PrivacyDesignerin avulla varmistut siitä, että Copilotiin liittyvät henkilötietojen tietovirrat tulevat varmasti kuvatuiksi asianmukaisesti, huomioit kaikki käytössä olevat toimenpiteet vaatimusten noudattamista varten sekä tunnistat Copilotin käyttöön liittyvät tietosuojariskit.
Teemme tekoälyjärjestelmiin liittyvästä henkilötiedon käsittelystä ymmärrettävää kuvaamalla visuaalisesti Copilotin toiminnot organisaation M365 -ympäristössä.
Visuaalinen tietovirtakaavio helpottaa monimutkaisen teknisen kokonaisuuden hahmottamista ja mahdollistaa valvontaviranomaisen edellyttämän tarkkuustason henkilötietojen käsittelyn systemaattisesta kuvauksesta. Tietovirtakartta auttaa hahmottamaan organisaatiosi, Microsoftin ja sen alihankkijoiden välisen roolituksen eri käsittelytoimien osalta sekä ymmärtämään riskit, jotka Copilotin käyttöön liittyvät.
Kustannustehokas ja hyväksi havaittu toteutustapa
Olemme kehittäneet tehokkaan prosessin ja työkalun (PrivacyDesigner) vaikutustenarviointien kustannustehokkaaseen toteutukseen. Arvioinnit toteutetaan osallistavina työpajoina, joissa kerätään tarvittavat tiedot haastatteluilla ja visualisoidaan kohde tietovirtakartalla, mikä tukee kokonaisvaltaista ymmärrystä.
Dokumentaatioon tutustuminen
Ensimmäinen työpaja
Toinen työpaja
Loppuraportin toimittaminen
Kattava raportti toimenpidesuosituksineen
Copilotin vaikutustenarviointiraportti tarjoaa selkeän kokonaiskuvan tekoälyn käyttöönoton vaikutuksista organisaatiosi tietosuojaan. Raportti sisältää tietovirtakuvauksen, henkilötietojen käyttötarkoitukset, tiedonsiirrot kolmansiin maihin sekä mukana olevat kolmannet osapuolet.
Loppuraportissa kuvataan Microsoftin toteuttamat tietosuojatoimet ja ne lisätoimenpiteet, joita organisaatiosi suositellaan tekemään ennen Copilotin käyttöönottoa. Raportti antaa myös käytännön ohjeet työntekijöiden ja muiden rekisteröityjen informointiin, jotta tietosuoja-asetuksen vaatimukset täyttyvät.
Perusteellinen riskiarviointi tunnistaa Copilotiin liittyvät tietosuojariskit ja esittää kaksitasoisen toimintamallin niiden hallintaan: Microsoftin sisäänrakennetut suojamekanismit sekä organisaatiokohtaiset toimenpidesuositukset. Näin Copilot voidaan ottaa käyttöön turvallisesti, hallitusti ja lainmukaisesti.
PrivacyDesigner on valinta organisaatioille, jotka haluavat tehostaa tietosuojatyötään ja vahvistaa sidosryhmien luottamusta.
Tiimillämme on ainutlaatuinen yhdistelmä teknologista ja juridista osaamista. Olemme toteuttaneet satoja tietosuojan vaikutustenarviointeja sekä koulutamme säännöllisesti aiheesta tietosuojavastaavia.
Olemme kehittäneet tietosuojaa eri kokoisissa organisaatioissa ja toteuttaneet vaikutustenarviointeja laajasti eri toimialoilla pilvialustoista (Azure, AWS) tekoälyjärjestelmiin (Copilot, generatiivinen AI).
