Политика за поверителност при изкуствен интелект и автоматизирано вземане на решения

Политиката за поверителност при изкуствен интелект и автоматизирано вземане на решения определя задължителни изисквания за поверителност за изкуствен интелект, профилиране, точкова оценка, препоръки, подпомагане при вземането на решения и дейности по автоматизирано вземане на решения, включващи лични данни. Нейният обхват включва системи, приложения, модели, услуги, работни потоци, двигатели за вземане на решения, аналитични модели и процеси за автоматизирано вземане на решения с изкуствен интелект, които използват, извеждат, генерират, разкриват или по друг начин обработват лични данни в обхвата на СУНЛИ. Тя обхваща също лични данни, използвани за обучение, тестване, валидация, настройване, мониторинг, извеждане в продукционна среда, преглед на изходни резултати, измерване на изпълнението, разследване на инциденти и извеждане на модели от употреба. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, включително доставчици, обработващи лични данни, подизпълнители по обработване, получатели при споделяне на данни и маршрути за международно предаване, свързани с изкуствен интелект. Целта на политиката е да гарантира, че дейностите с изкуствен интелект, профилиране и автоматизирано вземане на решения, включващи лични данни, са идентифицирани, документирани, оценени по отношение на риска, прозрачни, подлежащи на оспорване, наблюдавани и контролирани чрез СУНЛИ, без да се създават дублиращи управленски артефакти, специфични за изкуствения интелект. Тя изрично посочва, че не създава пълна рамка за управление на изкуствения интелект, система за управление на изкуствения интелект, инвентар на изкуствения интелект, инвентар на модели, регистър на риска на моделите, регистър за справедливост, регистър на алгоритмите, регистър на инциденти с изкуствен интелект, комитет по изкуствен интелект, роля на собственик на модел, роля на собственик на система с изкуствен интелект, работен поток за правни съвети или отделен формуляр за одобрение на изкуствен интелект. Вместо това тя изисква задълженията за поверителност, свързани с изкуствен интелект, да бъдат доказвани чрез съществуващите канонични доказателствени обекти: REG02, REG04, REG06, REG07, REG08, REG09, REG10 и REG12. В оперативен план политиката изисква собствениците на процеси / собствениците на бизнеса да определят дали нови или съществено променени системи, работни потоци или бизнес процеси използват изкуствен интелект, профилиране, точкова оценка, препоръки, подпомагане при вземането на решения или автоматизирано вземане на решения, включващи лични данни, и да запишат определянето в REG02. Преди да започне обработване на лични данни, свързано с изкуствен интелект, политиката изисква документиране на целта на обработването, категории лични данни, категории субекти на данни, източници на данни, категории изведени данни или производни данни, категории изходни резултати, категории получатели, правно основание и връзка със сроковете за съхранение. За профилиране, точкова оценка, препоръки, подпомагане при вземането на решения или автоматизирано вземане на решения, използвани в продукционна среда, контекстът на решението, очакваното въздействие върху субектите на данни, участието на човек и маршрутът за права трябва да бъдат документирани в REG02 и REG04. Управлението на риска е централна част от политиката. Преди стартиране или съществена промяна на обработване на лични данни, свързано с изкуствен интелект, Ръководителят по поверителност / мениджърът на СУНЛИ трябва да извърши проверка на риска за поверителността и да запише решението за DPIA в REG04. Когато обработването включва профилиране, автоматизирани решения, широкомащабно оценяване, данни от специални категории, данни за присъди и нарушения, уязвими субекти на данни, оценяване на служители, деца, поведенчески мониторинг, данни за местоположение, биометрични данни, точкова оценка с високо въздействие или значими последици, длъжностното лице по защита на данните / съветникът по поверителност трябва да прегледа риска за поверителността и да запише съвета в REG04. Ако след планираното третиране остане висок остатъчен риск за поверителността, висшето ръководство трябва да одобри, отхвърли или изиска допълнително третиране преди използване в продукционна среда, като решението се записва в REG04 и REG12. Политиката установява също контроли за прозрачност, разбираема информация, минимизиране, обработване на права, мониторинг, доставчици и спазване. Съдържанието на уведомлението за поверителност трябва да описва целта, свързана с изкуствен интелект, категориите данни, категориите изходни резултати, категориите получатели, маршрута за права и маршрута за контакт, като версиите на уведомленията се записват в REG07. За решения, свързани с изкуствен интелект, които имат правни, допустимостни, достъпови, трудови, финансови, образователни, обслужващи, свързани с безопасността или сходно значими последици, се изискват маршрути за преглед от човек, възражение и оспорване. Доставчиците и обработващите лични данни трябва да се управляват чрез REG08, като международните предавания се насочват чрез REG09. Критериите за мониторинг трябва да обхващат промени във входните данни, промени в изходните резултати, проблеми с правата, неблагоприятни последици за поверителността, неоторизирано използване и тенденции при жалбите, с тримесечен преглед за активно обработване на лични данни с високо въздействие, свързано с изкуствен интелект, и с несъответствия или коригиращи действия, записани в REG12.