Pitääkö Copilot for Microsoft 365 -tekoälytyökaluun tehdä tietosuojan vaikutustenarviointi?
GDPR:n 35 artikla edellyttää tietosuojaa koskevan vaikutustenarvioinnin (DPIA) toteuttamista silloin, kun henkilötietojen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa rekisteröityjen kannalta korkean riskin.
Copilotin kohdalla erityisesti uuden teknologian innovatiivinen käyttö, henkilötietojen käsittely laajamittaisesti, henkilötietoja sisältävien tietokokonaisuuksien yhteen sovittaminen tai yhdistäminen sekä tapauksesta riippuen automaattinen päätöksenteko tarkoittavat sitä, että tietosuojaa koskeva vaikutustenarviointi tulee tehdä ennen Copilot for Microsoft 365:en käyttöönottoa.
Tekemällä vaikutustenarvioinnin huolehdit siitä, että Copilotiin liittyvät riskit ja tietosuojalainsäädännön asettamat vaatimukset on otettu huomioon asianmukaisesti.
Me autamme huomioimaan tekoälyjärjestelmien erityispiirteet
Tekoälyjärjestelmien kuten Copilot for Microsoft 365:n kohdalla tietosuojan vaikutustenarvioinnilta edellytetty järjestelmällinen kuvaus suunnitelluista käsittelytoimista vie aikaa. Pelkkä muutaman lauseen mittainen kuvaus exceliin ei ole riittävää, vaan organisaation on tunnettava, miten Copilot toimii käytännössä, ja miten henkilötiedot liikkuvat sitä käytettäessä.
PrivacyDesignerin kautta varmistut siitä, että Copilotiin liittyvät henkilötietojen tietovirrat tulevat varmasti kuvatuiksi, huomioit kaikki käytössä olevat toimenpiteet vaatimusten noudattamista varten sekä tunnistat Copilotin käyttöön liittyvät tietosuojariskit.
Tietovirtakuvaus auttaa tunnistamaan riskit ja ymmärtämään käsittelyn
Teemme tekoälyjärjestelmiin liittyvästä henkilötiedon käsittelystä ymmärrettävää kuvaamalla visuaalisesti Copilotin toiminnot organisaation M365 -ympäristössä.
Visuaalinen tietovirtakaavio helpottaa monimutkaisen teknisen kokonaisuuden hahmottamista ja mahdollistaa valvontaviranomaisen edellyttämän tarkkuustason henkilötietojen käsittelyn systemaattisesta kuvauksesta, roolituksen eri käsittelytoimien osalta ja riskiarvioinnin rekisteröityihin kohdistuvista riskeistä.
Valmis ja hyväksi todettu malli vaikutustenarvioinnin toteuttamiseksi
Olemme kehittäneet kustannustehokkaan prosessin ja tätä tukevan ohjelmiston (PrivacyDesigner) tietosuojan vaikutustenarviointien toteuttamiseen. Vaikutustenarvioinnit toteutetaan pääosin työpajoina, jotka järjestetään joko paikan päällä tai etänä.
Osallistavissa työpajoissa keräämme tarvittavat tiedot kattavan vaikutustenarvioinnin toteuttamiseksi haastattelemalla henkilöstöäsi. Työpajoissa arvioinnin kohdetta visualisoidaan tietovirtakartan avulla, joka helpottaa omalta osaltaan ymmärtämään kaikki Copilotin kohteen kannalta merkitykselliset näkökulmat.
Copilotin tietosuoja kattavasti arvioituna
Kuvaamme Copilotin ymmärrettävästi ja kerromme miten se vaikuttaa organisaatiosi tietosuojaan. Copilotin tietosuojaa koskeva raportti sisältää tietovirtakuvauksen Copilotiin liittyvästä henkilötietojen käsittelystä sekä siihen liittyvistä henkilötietojen käyttötarkoituksista, henkilötietojen siirroista kolmansiin maihin sekä käsittelyyn osallistuvista kolmansista osapuolista. Näiden tunnistaminen on välttämätöntä oikeaoppisen vaikutustenarvioinnin toteuttamiseksi.
Lisäksi lopullinen raportti sisältää kuvauksen siitä, miten soveltuvia tietosuojavelvoitteita noudatetaan, millaisia riskejä rekisteröidyille käsittelystä aiheutuu, miten riskeihin aiotaan puuttua sekä erilaisia toimenpidesuosituksia tietosuojan tason parantamiseksi.
Miksi tilata PrivacyDesignerilta
PrivacyDesignerin valitsevat ne organisaatiot, joilla on halu oppia tekemään tietosuojan vaikutustenarviointeja tekoälyjärjestelmiin myös itse.
Asiantuntemus
PrivacyDesignerin tiimi koostuu ammattilaisista, joilla on ainutlaatuinen teknologinen asiantuntemus yhdistettynä laaja-alaiseen juridiseen osaamiseen. Olemme kouluttaneet jo vuosia tietosuojan vaikutustenarvioinneista ja koulutuksiimme on osallistunut satoja tietosuoja-ammattilaisia, juristeja ja IT-osaajia.
Kokemus
Kokemuksemme vaikutustenarvioinneista kattaa lukuisia eri toimialoja erilaisista teknologia- ja kuluttajapalveluista aina suuriin julkisen sektorin organisaatioihin. Meille monet henkilöstön ja asiakkaiden tietojen käsittelyyn käytetyistä järjestelmistä ovat jo tuttuja. Olemme tehneet lukuisia vaikutustenarviointeja erilaisiin kohteisiin, kuten pilvialustoihin (esim. Azure, AWS ja muut vastaavat), pilvipalveluihin sekä tekoälyjärjestelmiin (Copilot ja muut generatiiviset tekoälyjärjestelmät).
