PII & Data Privacy Glossary
Jasné definície kľúčových pojmov týkajúcich sa súkromia, dodržiavania predpisov a ochrany údajov používaných v odvetví.
Pojmy týkajúce sa súkromia a dodržiavania predpisov
Osobne identifikovateľné informácie (PII)
Akékoľvek údaje, ktoré môžu identifikovať konkrétnu osobu, ako sú mená, e-mailové adresy, čísla sociálneho zabezpečenia alebo telefónne čísla.
Anonymizácia
Nezvratný proces úpravy údajov tak, aby jednotlivci nemohli byť identifikovaní, priamo ani nepriamo.
Pseudonymizácia
Nahradenie identifikovateľných údajov umelými identifikátormi (pseudonymami), takže opätovná identifikácia vyžaduje samostatne uchovávaný kľúč.
De-identifikácia
Odstránenie alebo zakrytie osobných identifikátorov z údajov tak, aby už nemohli byť prepojené s konkrétnou osobou bez ďalších informácií.
Subjekt údajov
Identifikovaná alebo identifikovateľná fyzická osoba, ktorej osobné údaje spracováva prevádzkovateľ alebo spracovateľ.
Prevádzkovateľ údajov
Entita, ktorá určuje účely a prostriedky spracovania osobných údajov.
Spracovateľ údajov
Entita, ktorá spracováva osobné údaje v mene prevádzkovateľa údajov, v súlade s pokynmi prevádzkovateľa.
Súhlas
Slobodne dané, konkrétne, informované a jednoznačné vyjadrenie súhlasu subjektu údajov so spracovaním jeho osobných údajov.
Zákonný základ
Právny dôvod, na základe ktorého je spracovanie osobných údajov povolené, ako sú súhlas, nevyhnutnosť zmluvy, právna povinnosť alebo oprávnený záujem.
Minimalizácia údajov
Princíp, podľa ktorého by mali byť zhromaždené osobné údaje primerané, relevantné a obmedzené na to, čo je nevyhnutné na zamýšľaný účel.
Právo na vymazanie
Právo subjektu údajov na vymazanie jeho osobných údajov, keď už nie sú potrebné, známe aj ako 'právo na zabudnutie' podľa GDPR.
Prenosnosť údajov
Právo subjektov údajov prijímať svoje osobné údaje v štruktúrovanom, bežne používanom formáte a prenášať ich k inému prevádzkovateľovi.
Úradník pre ochranu údajov (DPO)
Určená osoba zodpovedná za dohľad nad stratégiou ochrany údajov organizácie a zabezpečenie dodržiavania predpisov o ochrane súkromia.
Posúdenie vplyvu na ochranu údajov (DPIA)
Proces identifikácie a minimalizácie rizík ochrany údajov projektu, ktorý je požadovaný podľa GDPR pre činnosti spracovania s vysokým rizikom.
Únik údajov
Bezpečnostný incident, pri ktorom sú osobné údaje prístupné, zverejnené, zmenené alebo zničené bez povolenia.
Tieňová AI
Neoprávnené používanie nástrojov AI (ChatGPT, Copilot, Gemini) zamestnancami bez súhlasu IT. Shadow AI je hlavnou príčinou úniku údajov PII, pretože používatelia vkladajú citlivé obchodné údaje – záznamy o zákazníkoch, informácie o pacientoch, finančné údaje – priamo do výziev AI.
Minimalizácia dát
A GDPR zásada [Art. 5(1)(c)) vyžadujúca, aby organizácie zhromažďovali a spracúvali len minimum osobných údajov potrebné na konkrétny účel. V systémoch AI minimalizácia údajov znamená anonymizáciu alebo odstránenie PII predtým, ako údaje vstúpia do kanálov AI, čím sa zníži riziko súladu a povrch narušenia.
Regulačné rámce
GDPR (Všeobecné nariadenie o ochrane údajov)
Nariadenie EÚ, ktoré upravuje spracovanie osobných údajov jednotlivcov v rámci Európskeho hospodárskeho priestoru, účinné od mája 2018.
CCPA (Zákon o ochrane súkromia spotrebiteľov v Kalifornii)
Zákon štátu Kalifornia, ktorý poskytuje spotrebiteľom práva týkajúce sa ich osobných informácií zhromaždených podnikmi, účinný od januára 2020.
HIPAA (Zákon o prenositeľnosti a zodpovednosti zdravotného poistenia)
Federálny zákon USA, ktorý ustanovuje normy na ochranu citlivých informácií o zdraví pacientov pred zverejnením bez súhlasu.
ISO 27001
Medzinárodná norma pre systémy riadenia bezpečnosti informácií (ISMS), ktorá špecifikuje požiadavky na vytvorenie, implementáciu a neustále zlepšovanie bezpečnostných kontrol.
SOC 2 (Systémové a organizačné kontroly 2)
Audítorský rámec pre servisné organizácie, ktorý hodnotí kontroly týkajúce sa bezpečnosti, dostupnosti, integrity spracovania, dôvernosti a súkromia.
EU AI Act
Nariadenie Európskej únie o umelej inteligencii (v platnosti od augusta 2026). Systémy umelej inteligencie s vysokým rizikom musia implementovať opatrenia na správu údajov vrátane minimalizácie osobných údajov, dokumentácie a DPIA. Organizácie používajúce AI na rozhodovanie o jednotlivcoch musia zabezpečiť anonymizáciu alebo pseudonymizáciu tréningových údajov.
ISO 42001
Medzinárodný štandard pre systémy riadenia AI (AIMS), zverejnený v roku 2023. Poskytuje rámec pre zodpovedný vývoj a nasadzovanie AI vrátane kvality údajov, kontroly skreslenia a ochrany súkromia. Často v páre s ISO 27001 pre organizácie prevádzkujúce systémy AI s osobnými údajmi.
India DPDP Act
Indický zákon o ochrane digitálnych osobných údajov (2023), ktorý sa uplatňuje od roku 2025. Vyžaduje sa výslovný súhlas so spracovaním osobných údajov obyvateľov Indie, lokalizáciou citlivých údajov a upozornením na porušenie do 72 hodín. Platí pre organizácie na celom svete, ktoré spracúvajú údaje indických občanov.
Technické pojmy
Rozpoznávanie pomenovaných entít (NER)
Technika NLP, ktorá identifikuje a klasifikuje pomenované entity v texte do preddefinovaných kategórií, ako sú mená osôb, lokality a organizácie.
Spracovanie prirodzeného jazyka (NLP)
Oblasť umelej inteligencie, ktorá umožňuje počítačom rozumieť, interpretovať a generovať ľudský jazyk.
Rozpoznávač vzorov
Detektor založený na pravidlách, ktorý používa regulárne výrazy a kontextové indície na identifikáciu špecifických dátových vzorov, ako sú čísla kreditných kariet alebo čísla sociálneho zabezpečenia.
Hodnota dôvery
Číselná hodnota medzi 0 a 1, ktorá naznačuje, ako si detekčný engine je istý, že kus textu zodpovedá konkrétnemu typu entity.
Regulárny výraz (Regex)
Sekvencia znakov definujúca vyhľadávací vzor, bežne používaná na validáciu a detekciu štruktúrovaných formátov údajov, ako sú telefónne čísla alebo e-mailové adresy.
AES-256-GCM
Algoritmus autentifikovanej šifrovania používajúci 256-bitový kľúč s Galois/Counter módom, poskytujúci dôvernosť a overenie integrity šifrovaných údajov.
Šifrovanie s nulovým poznaním
Architektúra šifrovania, kde len používateľ drží dešifrovací kľúč, čo znamená, že ani poskytovateľ služby nemôže pristupovať k plaintextovým údajom.
Tokenizácia
Nahradenie citlivých údajov necitlivými zástupnými tokenmi, ktoré môžu byť spätne mapované na pôvodné údaje prostredníctvom bezpečného vyhľadávania.
Maskovanie údajov
Zakrytie špecifických údajov v súbore údajov tak, aby citlivé informácie boli skryté, zatiaľ čo údaje zostávajú použiteľné na testovanie alebo analýzu.
Redakcia
Trvalé odstránenie citlivých informácií z dokumentu alebo súboru údajov, nahradením ich značkou, ako je [REDACTED].
Syntetické údaje
Údaje generované AI, ktoré štatisticky napodobňujú skutočné údaje bez toho, aby obsahovali skutočné záznamy. V porovnaní s anonymizáciou: anonymizované údaje zachovávajú vyššiu analytickú presnosť pre downstream ML; syntetické údaje eliminujú riziko opätovnej identifikácie, ale zavádzajú štatistický posun. Reverzibilná anonymizácia sa uprednostňuje, keď môžu byť potrebné pôvodné záznamy na audity súladu.
Rýchla injekcia LLM
Technika útoku, pri ktorej škodlivý vstup manipuluje s veľkým jazykovým modelom tak, aby ignoroval pokyny alebo unikol citlivé informácie. V kontexte ochrany PII môže rýchle vloženie spôsobiť, že model AI odhalí anonymizované dátové vzory alebo informácie o používateľovi. Predanonymizácia vstupov predtým, ako sa dostanú do LLM, znižuje plochu útoku.
Ochrana osobných údajov podľa návrhu
A GDPR Art. 25 zásada vyžaduje, aby bola ochrana údajov zabudovaná do systémov od základov a nie dodatočne. Pre systémy AI znamená súkromie už od návrhu anonymizáciu údajov predtým, ako vstúpia do kanálov AI, implementáciu šifrovania s nulovými znalosťami a minimalizáciu uchovávania údajov.
Metódy anonymizácie
Nahradiť
Nahrádza detekované PII generickým zástupným symbolom rovnakého typu entity, ako napríklad nahradenie 'John Smith' s '<PERSON>'.
Maskovať
Čiastočne zakrýva PII nahradením znakov maskovacími symbolmi, napríklad premenenie '123-45-6789' na '***-**-6789'.
Redigovať
Úplne odstráni detekované PII z textu, pričom nezanecháva žiadnu stopu pôvodnej hodnoty.
Hash
Premení PII na hash s pevnou dĺžkou, čo umožňuje konzistentné nahradenie, pričom zvrátenie je výpočtovo neuskutočniteľné.
Šifrovať
Transformuje PII pomocou šifrovania AES-256-GCM s kľúčom, ktorý drží používateľ, čo umožňuje autorizované zvrátenie (de-anonymizáciu) v prípade potreby.
Často kladené otázky
Aký je rozdiel medzi anonymizáciou a pseudonymizáciou?
Anonymizácia nezvratne odstraňuje všetky identifikačné informácie, takže opätovná identifikácia je nemožná. Pseudonymizácia nahrádza identifikátory umelými, pričom si uchováva samostatný kľúč, ktorý umožňuje opätovnú identifikáciu, keď je to povolené. Podľa GDPR sa pseudonymizované údaje stále považujú za osobné údaje.
Prečo detekcia PII používa NLP aj rozpoznávače vzorov?
Modely NLP detekujú kontextovo závislé entity, ako sú mená osôb a lokality, ktoré nemajú pevný formát. Rozpoznávače vzorov používajú regulárne výrazy na zachytenie štruktúrovaných identifikátorov, ako sú čísla sociálneho zabezpečenia, čísla kreditných kariet a telefónne čísla. Kombinovanie oboch prístupov maximalizuje presnosť detekcie naprieč všetkými typmi entít.
Čo je šifrovanie s nulovým poznaním a prečo je to dôležité?
Šifrovanie s nulovým poznaním znamená, že len vy držíte dešifrovací kľúč — poskytovateľ služby nemôže čítať vaše údaje. To je dôležité, pretože aj v prípade porušenia servera zostávajú vaše šifrované údaje nečitateľné bez vášho kľúča, čo poskytuje najvyššiu možnú ochranu údajov.
Ako sa líši reverzibilné šifrovanie od hashovania?
Hashovanie je jednosmerná transformácia — akonáhle sú údaje zahashované, pôvodné nie je možné obnoviť. Reverzibilné šifrovanie (používajúce AES-256-GCM) umožňuje autorizovaným používateľom s správnym kľúčom dešifrovať a obnoviť pôvodné údaje, čo umožňuje pracovné postupy, kde je potrebná de-anonymizácia.