27.3.2. GDPR megfelelőségi dokumentumok

Míg egy NDA (Titoktartási Megállapodás) elsősorban az üzleti titkokat védi, a GDPR dokumentáció egy teljesen más dimenziót képvisel: az egyének alapvető jogait és szabadságait. Egy AI Red Teaming projekt során szinte elkerülhetetlen, hogy személyes adatokkal kerülj kapcsolatba, még ha csak tesztkörnyezetben is. Ezek a dokumentumok nem csupán adminisztratív terhek, hanem a törvényes és etikus működésed keretrendszerét adják.

A dokumentáció alapelve: Az elszámoltathatóság

A GDPR egyik központi pillére az elszámoltathatóság elve. Ez azt jelenti, hogy az adatkezelőnek nemcsak be kell tartania a rendelet szabályait, de képesnek kell lennie arra is, hogy ezt bármikor igazolja. A dokumentáció ennek az igazolásnak a legfontosabb eszköze. Számodra, mint red teamer számára, ez két dolgot jelent:

A megbízó dokumentációjának megértése: Ismerned kell, hogy a megbízód milyen keretek között kezeli az adatokat, mert a te munkád is ezen a kereten belül kell, hogy mozogjon.
Saját tevékenységed dokumentálása: A megbízás részeként végzett adatkezelési műveleteidnek nyomon követhetőnek és igazolhatónak kell lenniük, összhangban a megbízó előírásaival és a jogszabályokkal.

Kulcsfontosságú GDPR dokumentumok a gyakorlatban

Bár a GDPR számos dokumentumot említ, egy AI Red Teaming projekt során leggyakrabban az alábbiakkal fogsz találkozni. Ezek nem csupán formanyomtatványok, hanem a közös munka jogi és operatív alapjait fektetik le.

Adatfeldolgozási Szerződés (Data Processing Agreement – DPA)

Ez talán a legfontosabb dokumentum a te szempontodból. Ha külső szakértőként dolgozol egy cégnek, és a munkád során a megbízó nevében és utasításai alapján személyes adatokat kezelsz (például egy felhasználói adatbázist tartalmazó rendszer tesztelésekor), akkor te adatfeldolgozónak minősülsz, a megbízód pedig adatkezelőnek.

A DPA egy jogilag kötelező érvényű szerződés kettőtök között, amely pontosan meghatározza a te kötelezettségeidet és jogkörödet. Tartalmaznia kell legalább:

Az adatkezelés tárgyát, időtartamát, jellegét és célját.
Az érintett személyes adatok típusait és az érintettek kategóriáit.
Az adatkezelő (megbízó) utasításait, amelyek mentén eljárhatsz.
A titoktartási kötelezettségedet.
Az általad alkalmazandó technikai és szervezési biztonsági intézkedéseket.
A további adatfeldolgozók igénybevételének feltételeit.
Az adatkezelő segítésére vonatkozó kötelezettségeidet (pl. érintetti jogok gyakorlása, adatvédelmi incidensek kezelése esetén).

Soha ne kezdj olyan munkába, amely személyes adatokhoz való hozzáféréssel jár, amíg nincs aláírt DPA!

Adatkezelési Tevékenységek Nyilvántartása (Record of Processing Activities – ROPA)

Ez az adatkezelő (és bizonyos esetekben az adatfeldolgozó) belső „naplója” az adatkezelési folyamatokról. Bár ezt elsősorban a megbízód vezeti, a te tevékenységednek is tükröződnie kell benne. Ha egy red teaming projekt egy új, jelentős adatkezelési folyamatot érint, valószínű, hogy az bekerül ebbe a nyilvántartásba. A megértése segít kontextusba helyezni a munkádat.

Példa egy egyszerűsített ROPA bejegyzésre (AI modell tesztelése)
Mező	Tartalom
Adatkezelési tevékenység	„X” AI modell prompt injection elleni sebezhetőségvizsgálata
Adatkezelés célja	A modell biztonságának és robustusságának ellenőrzése, személyes adatok kiszivárgásának megakadályozása.
Érintettek kategóriái	Nincs (kizárólag szintetikus, anonimizált adatok használata a tesztelés során). VAGY: Ügyfelek (anonimizált, tokenizált adathalmazon).
Adatok kategóriái	Szintetikus felhasználói promptok, anonimizált ügyfél interakciók naplói.
Adatfeldolgozók	[A Te neved/Céged neve] – AI Red Teaming szolgáltató
Adattovábbítás 3. országba	Nincs.
Törlési határidők	A tesztelési projekt lezárását követő 30 nap.

Adatvédelmi Hatásvizsgálat (Data Protection Impact Assessment – DPIA)

Ha egy AI rendszer bevezetése vagy tesztelése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (pl. nagy mennyiségű érzékeny adat kezelése, szisztematikus megfigyelés), az adatkezelőnek kötelező adatvédelmi hatásvizsgálatot végeznie. Egy red teaming projekt lehet egy ilyen DPIA eredménye (a kockázatok feltárására) vagy része (a már azonosított kockázatok validálására). Ha a megbízód DPIA-t készített, kérj hozzáférést a releváns részeihez, mert abból pontosan megértheted, hogy milyen kockázatokat kell keresned vagy validálnod.

Adatvédelmi Incidens Kezelési Jegyzőkönyv és Szabályzat

Minden adatkezelőnek rendelkeznie kell egy eljárásrenddel arra az esetre, ha adatvédelmi incidens történik. A te munkád során egy sikeres „támadás” szimulálhat egy ilyen incidenst. Létfontosságú, hogy előre tisztázzátok a megbízóval:

Mi minősül incidensnek a tesztelés kontextusában?
Kit és milyen csatornán kell azonnal értesítened, ha egy valósnak tűnő vagy tényleges incidenst okozó sebezhetőséget találsz?
Hogyan kell dokumentálni a teszt során feltárt, incidenst okozó eseményeket?

Az incidenskezelési szabályzatuk ismerete megvéd attól, hogy egy sikeres teszt után félreértésből riadalmat vagy jogi következményeket okozz.

Red Teamer GDPR ellenőrzőlista egy projekt előtt

Mielőtt belevágnál egy új megbízásba, tedd fel magadnak és a megbízódnak ezeket a kérdéseket:

Van aláírt, érvényes Adatfeldolgozási Szerződés (DPA) kettőnk között, amely egyértelműen definiálja a feladataimat?
Pontosan tisztában vagyok azzal, hogy a tesztelés során milyen típusú személyes adatokhoz (ha egyáltalán) férek hozzá?
Láttam a releváns részeit az Adatkezelési Tevékenységek Nyilvántartásának, hogy megértsem a nagyobb képet?
Ha a projekt magas kockázatú, készült-e Adatvédelmi Hatásvizsgálat (DPIA), és ismerek-e a rám vonatkozó megállapításait?
Ismerem a megbízó incidenskezelési eljárásrendjét és a kapcsolattartási pontokat?
Biztosított, hogy a munkám során csak a DPA-ban rögzített célokra és módokon használom fel az adatokat?