Databeskyttelsespolitik for AI og automatiseret beslutningstagning

Databeskyttelsespolitikken for AI og automatiseret beslutningstagning definerer obligatoriske databeskyttelseskrav for aktiviteter med kunstig intelligens, profilering, scoring, anbefaling, beslutningsstøtte og automatiseret beslutningstagning, der involverer PII. Omfanget omfatter AI-understøttede systemer, applikationer, modeller, tjenester, arbejdsgange, beslutningsmotorer, analysemodeller og processer for automatiseret beslutningstagning, der bruger, udleder, genererer, videregiver eller på anden måde behandler PII inden for PIMS-omfanget. Den dækker også PII, der anvendes til træning, test, validering, tuning, overvågning, produktionsinferens, gennemgang af output, resultatmåling, hændelsesundersøgelse og udfasning af modeller. Politikken gælder på tværs af kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, herunder AI-relaterede leverandører, databehandlere, underdatabehandlere, modtagere i datadelingsordninger og internationale overførselsruter. Politikkens formål er at sikre, at aktiviteter med AI, profilering og automatiseret beslutningstagning, der involverer PII, identificeres, dokumenteres, risikovurderes, gøres gennemsigtige, kan bestrides, overvåges og kontrolleres gennem PIMS uden at skabe overlappende AI-specifikke styringsartefakter. Den fastslår udtrykkeligt, at den ikke opretter en fuld AI-styringsramme, et AI-ledelsessystem, en AI-fortegnelse, en modelfortegnelse, et risikoregister for modeller, et fairness-register, et algoritmeregister, et AI-hændelsesregister, et AI-udvalg, en rolle som modelejer, en rolle som AI-systemejer, en arbejdsgang for juridisk rådgivning eller en særskilt AI-godkendelsesformular. I stedet kræver den, at AI-relaterede databeskyttelsesforpligtelser dokumenteres gennem eksisterende kanoniske bevisobjekter: REG02, REG04, REG06, REG07, REG08, REG09, REG10 og REG12. Operationelt kræver politikken, at procesejere/forretningsejere afgør, om nye eller væsentligt ændrede systemer, arbejdsgange eller forretningsprocesser bruger AI, profilering, scoring, anbefaling, beslutningsstøtte eller automatiseret beslutningstagning, der involverer PII, og registrerer afgørelsen i REG02. Før AI-relateret behandling af PII påbegyndes, kræver politikken dokumentation af behandlingsformål, PII-kategorier, kategorier af registrerede, datakilder, kategorier af udledte eller afledte data, outputkategorier, modtagerkategorier, behandlingsgrundlag og kobling til opbevaringsplan. For profilering, scoring, anbefaling, beslutningsstøtte eller automatiseret beslutningstagning, der anvendes i produktionsmiljøet, skal beslutningskontekst, forventet virkning for registrerede, menneskelig involvering og rettighedsrute dokumenteres i REG02 og REG04. Risikostyring er en central del af politikken. Før lancering eller væsentlig ændring af AI-relateret behandling af PII skal Privacy Lead/PIMS-ansvarlig gennemføre risikoscreening vedrørende databeskyttelse og registrere DPIA-beslutningen i REG04. Hvor behandlingen involverer profilering, automatiserede afgørelser, evaluering i stor skala, særlige kategorier af personoplysninger, oplysninger om straffedomme og lovovertrædelser, sårbare registrerede, medarbejdervurdering, børn, adfærdsovervågning, lokaliseringsdata, biometriske data, scoring med stor betydning eller betydelige virkninger, skal databeskyttelsesrådgiveren (DPO)/rådgiveren inden for databeskyttelse gennemgå databeskyttelsesrisikoen og registrere rådgivningen i REG04. Hvis høj restrisiko vedrørende databeskyttelse består efter planlagt behandling, skal øverste ledelse godkende, afvise eller kræve yderligere behandling før brug i produktionsmiljøet, og beslutningen skal registreres i REG04 og REG12. Politikken fastlægger også kontroller for gennemsigtighed, meningsfulde oplysninger, dataminimering, rettighedshåndtering, overvågning, leverandører og håndhævelse. Indhold i privatlivsmeddelelser skal beskrive AI-relateret formål, datakategorier, outputkategorier, modtagerkategorier, rettighedsrute og kontaktvej, og versioner af meddelelser skal registreres i REG07. Veje for menneskelig gennemgang, indsigelse og mulighed for at bestride afgørelsen kræves for AI-relaterede afgørelser med retlige virkninger eller tilsvarende betydelige virkninger vedrørende berettigelse, adgang, ansættelse, finansielle forhold, uddannelse, tjenester, sikkerhed eller lignende. Leverandører og databehandlere skal styres gennem REG08, og internationale overførsler rutes gennem REG09. Overvågningskriterier skal dække ændringer i input, ændringer i output, rettighedsspørgsmål, negative databeskyttelsesresultater, uautoriseret brug og klagetendenser, med kvartalsvis gennemgang af aktiv AI-relateret behandling af PII med højt konsekvensniveau samt afvigelser eller korrigerende handlinger registreret i REG12.