Politika ochrany soukromí pro AI a automatizované rozhodování

Politika ochrany soukromí pro AI a automatizované rozhodování vymezuje povinné požadavky na ochranu soukromí pro činnosti umělé inteligence, profilování, skórování, doporučování, podpory rozhodování a automatizovaného rozhodování zahrnující PII. Její rozsah zahrnuje systémy s podporou AI, aplikace, modely, služby, pracovní postupy, rozhodovací enginy, analytické modely a procesy automatizovaného rozhodování, které používají, odvozují, generují, zpřístupňují nebo jinak zpracovávají PII v rámci rozsahu PIMS. Vztahuje se také na PII používané pro školení, testování, validaci, ladění, monitorování, produkční inferenci, přezkum výstupů, měření výkonnosti, vyšetřování incidentů a vyřazení modelu. Politika se uplatňuje v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele, včetně dodavatelů, zpracovatelů, dílčích zpracovatelů, příjemců sdílení údajů a cest mezinárodního předávání souvisejících s AI. Účelem politiky je zajistit, aby činnosti AI, profilování a automatizovaného rozhodování zahrnující PII byly identifikovány, dokumentovány, posouzeny z hlediska rizik, transparentní, napadnutelné, monitorované a řízené prostřednictvím PIMS, aniž by vznikaly duplicitní artefakty správy specifické pro AI. Politika výslovně stanoví, že nevytváří úplný rámec správy a řízení AI, systém řízení AI, evidenci AI, evidenci modelů, registr rizik modelů, registr férovosti, registr algoritmů, registr incidentů AI, výbor pro AI, roli vlastníka modelu, roli vlastníka systému AI, pracovní postup právního poradenství ani samostatný schvalovací formulář pro AI. Namísto toho vyžaduje, aby povinnosti ochrany soukromí související s AI byly doloženy prostřednictvím stávajících kanonických důkazních objektů: REG02, REG04, REG06, REG07, REG08, REG09, REG10 a REG12. Provozní část politiky vyžaduje, aby vlastníci procesů / vlastníci obchodních procesů určili, zda nové nebo významně změněné systémy, pracovní postupy nebo obchodní procesy používají AI, profilování, skórování, doporučování, podporu rozhodování nebo automatizované rozhodování zahrnující PII, a aby toto určení zaznamenali do REG02. Před zahájením zpracování PII souvisejícího s AI politika vyžaduje dokumentaci účelu zpracování, kategorií PII, kategorií subjektů PII, zdrojů údajů, kategorií odvozených nebo inferovaných údajů, kategorií výstupů, kategorií příjemců, právního základu a vazby na uchovávání. U profilování, skórování, doporučování, podpory rozhodování nebo automatizovaného rozhodování používaného v produkčním prostředí musí být v REG02 a REG04 zdokumentován kontext rozhodnutí, očekávaný dopad na subjekty PII, zapojení člověka a cesta pro uplatnění práv. Správa rizik je ústřední součástí této politiky. Před spuštěním nebo významnou změnou zpracování PII souvisejícího s AI musí vedoucí ochrany soukromí / manažer PIMS dokončit předběžné posouzení rizik pro soukromí a zaznamenat rozhodnutí o DPIA do REG04. Pokud zpracování zahrnuje profilování, automatizovaná rozhodnutí, rozsáhlé hodnocení, zvláštní kategorie údajů, údaje o trestných činech, zranitelné subjekty PII, hodnocení zaměstnanců, děti, behaviorální monitorování, lokalizační údaje, biometrické údaje, skórování s významným dopadem nebo významné účinky, musí pověřenec pro ochranu osobních údajů / poradce pro ochranu soukromí přezkoumat riziko pro soukromí a zaznamenat poradenství do REG04. Pokud po plánovaném ošetření zůstává vysoké zbytkové riziko pro soukromí, musí vrcholové vedení před použitím v produkčním prostředí schválit, zamítnout nebo vyžadovat další ošetření, přičemž rozhodnutí se zaznamená do REG04 a REG12. Politika dále stanoví opatření pro transparentnost, smysluplné informace, minimalizaci, vyřizování práv, monitorování, dodavatele a uplatňování požadavků. Obsah oznámení o ochraně osobních údajů musí popisovat účel související s AI, kategorie údajů, kategorie výstupů, kategorie příjemců, cestu pro uplatnění práv a kontaktní cestu, přičemž verze oznámení se zaznamenávají do REG07. Pro rozhodnutí související s AI s právními účinky nebo s účinky týkajícími se způsobilosti, přístupu, zaměstnání, financí, vzdělávání, služby, bezpečnosti nebo obdobně významnými účinky jsou vyžadovány cesty pro lidský přezkum, námitku a možnost napadnout rozhodnutí. Dodavatelé a zpracovatelé musí být řízeni prostřednictvím REG08 a mezinárodní předávání musí být směrováno prostřednictvím REG09. Kritéria monitorování musí zahrnovat změny vstupů, změny výstupů, problémy s právy, nepříznivé dopady na soukromí, neoprávněné použití a trendy stížností, se čtvrtletním přezkumem u aktivního zpracování PII souvisejícího s AI s významným dopadem a se záznamem neshod nebo nápravných opatření v REG12.