policy ISO 27701 PIMS Policy Pack

Πολιτική Ιδιωτικότητας για Τεχνητή Νοημοσύνη και Αυτοματοποιημένη Λήψη Αποφάσεων

Πολιτική ευθυγραμμισμένη με το ISO 27701 για ελέγχους ιδιωτικότητας σε τεχνητή νοημοσύνη, κατάρτιση προφίλ και αυτοματοποιημένη λήψη αποφάσεων σε απογραφή δεδομένων προσωπικού χαρακτήρα, DPIA, ειδοποιήσεις, δικαιώματα και προμηθευτές.

Επισκόπηση

Η παρούσα πολιτική καθορίζει ελέγχους PIMS για τεχνητή νοημοσύνη, κατάρτιση προφίλ και αυτοματοποιημένη λήψη αποφάσεων που αφορούν δεδομένα προσωπικού χαρακτήρα. Απαιτεί αναγνώριση, έλεγχο κινδύνου, δρομολόγηση DPIA, διαφάνεια, χειρισμό δικαιωμάτων, ελέγχους προμηθευτών, δρομολόγηση διαβιβάσεων, παρακολούθηση και διορθωτικές ενέργειες, χρησιμοποιώντας υφιστάμενα αντικείμενα τεκμηρίων αντί για χωριστά μητρώα τεχνητής νοημοσύνης.

Πλαίσιο ελέγχων ιδιωτικότητας για τεχνητή νοημοσύνη

Καθορίζει υποχρεωτικές απαιτήσεις ιδιωτικότητας για τεχνητή νοημοσύνη, κατάρτιση προφίλ, βαθμολόγηση, συστάσεις και αυτοματοποιημένες αποφάσεις που αφορούν δεδομένα προσωπικού χαρακτήρα.

Διακυβέρνηση PIMS βάσει τεκμηρίων

Δρομολογεί τα τεκμήρια ιδιωτικότητας για τεχνητή νοημοσύνη μέσω των REG02, REG04, REG06, REG07, REG08, REG09, REG10 και REG12.

Δικαιώματα και δυνατότητα αμφισβήτησης

Απαιτεί διαδρομές ανθρώπινης ανασκόπησης, χειρισμό αντιρρήσεων και υποστήριξη της δυνατότητας αμφισβήτησης για σημαντικές αποφάσεις που σχετίζονται με τεχνητή νοημοσύνη.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Ιδιωτικότητας για Τεχνητή Νοημοσύνη και Αυτοματοποιημένη Λήψη Αποφάσεων καθορίζει υποχρεωτικές απαιτήσεις ιδιωτικότητας για δραστηριότητες τεχνητής νοημοσύνης, κατάρτισης προφίλ, βαθμολόγησης, σύστασης, υποστήριξης αποφάσεων και αυτοματοποιημένης λήψης αποφάσεων που αφορούν δεδομένα προσωπικού χαρακτήρα. Το πεδίο εφαρμογής της περιλαμβάνει συστήματα, εφαρμογές, μοντέλα, υπηρεσίες, ροές εργασίας, μηχανές λήψης αποφάσεων, αναλυτικά μοντέλα και διαδικασίες αυτοματοποιημένης λήψης αποφάσεων με χρήση τεχνητής νοημοσύνης, τα οποία χρησιμοποιούν, συνάγουν, παράγουν, κοινολογούν ή με άλλον τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS. Καλύπτει επίσης δεδομένα προσωπικού χαρακτήρα που χρησιμοποιούνται για εκπαίδευση, δοκιμές, επικύρωση, ρύθμιση, παρακολούθηση, συναγωγή συμπερασμάτων σε περιβάλλον παραγωγής, ανασκόπηση εξόδων, μέτρηση επιδόσεων, διερεύνηση περιστατικών και απόσυρση μοντέλων. Η πολιτική εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, συμπεριλαμβανομένων προμηθευτών, εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας, αποδεκτών κοινοχρησίας δεδομένων και διαδρομών διεθνών διαβιβάσεων που σχετίζονται με τεχνητή νοημοσύνη. Σκοπός της πολιτικής είναι να διασφαλίζει ότι οι δραστηριότητες τεχνητής νοημοσύνης, κατάρτισης προφίλ και αυτοματοποιημένης λήψης αποφάσεων που αφορούν δεδομένα προσωπικού χαρακτήρα αναγνωρίζονται, τεκμηριώνονται, αξιολογούνται ως προς τον κίνδυνο, είναι διαφανείς, μπορούν να αμφισβητηθούν, παρακολουθούνται και ελέγχονται μέσω του PIMS, χωρίς τη δημιουργία διπλών τεχνουργημάτων διακυβέρνησης ειδικών για την τεχνητή νοημοσύνη. Ορίζει ρητά ότι δεν δημιουργεί πλήρες πλαίσιο διακυβέρνησης τεχνητής νοημοσύνης, σύστημα διαχείρισης τεχνητής νοημοσύνης, αποθετήριο τεχνητής νοημοσύνης, αποθετήριο μοντέλων, μητρώο κινδύνων μοντέλων, μητρώο δικαιοσύνης, μητρώο αλγορίθμων, μητρώο περιστατικών τεχνητής νοημοσύνης, επιτροπή τεχνητής νοημοσύνης, ρόλο ιδιοκτήτη μοντέλου, ρόλο ιδιοκτήτη συστήματος τεχνητής νοημοσύνης, ροή εργασίας νομικής συμβουλής ή χωριστό έντυπο έγκρισης τεχνητής νοημοσύνης. Αντίθετα, απαιτεί οι υποχρεώσεις ιδιωτικότητας που σχετίζονται με τεχνητή νοημοσύνη να τεκμηριώνονται μέσω υφιστάμενων κανονικών αντικειμένων τεκμηρίων: REG02, REG04, REG06, REG07, REG08, REG09, REG10 και REG12. Σε επιχειρησιακό επίπεδο, η πολιτική απαιτεί από τους Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης να καθορίζουν αν νέα ή ουσιωδώς τροποποιημένα συστήματα, ροές εργασίας ή επιχειρησιακές διαδικασίες χρησιμοποιούν τεχνητή νοημοσύνη, κατάρτιση προφίλ, βαθμολόγηση, σύσταση, υποστήριξη αποφάσεων ή αυτοματοποιημένη λήψη αποφάσεων που αφορά δεδομένα προσωπικού χαρακτήρα και να καταγράφουν τον καθορισμό στο REG02. Πριν αρχίσει η επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζεται με τεχνητή νοημοσύνη, η πολιτική απαιτεί τεκμηρίωση του σκοπού επεξεργασίας, των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των κατηγοριών υποκειμένων των δεδομένων προσωπικού χαρακτήρα, των πηγών δεδομένων, των κατηγοριών συναγόμενων ή παράγωγων δεδομένων, των κατηγοριών εξόδων, των κατηγοριών αποδεκτών, της νομικής βάσης και της σύνδεσης με τη διατήρηση. Για κατάρτιση προφίλ, βαθμολόγηση, σύσταση, υποστήριξη αποφάσεων ή αυτοματοποιημένη λήψη αποφάσεων που χρησιμοποιείται σε περιβάλλον παραγωγής, το πλαίσιο απόφασης, η αναμενόμενη επίδραση στα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, η ανθρώπινη συμμετοχή και η διαδρομή διαχείρισης δικαιωμάτων πρέπει να τεκμηριώνονται στα REG02 και REG04. Η διακυβέρνηση κινδύνων αποτελεί κεντρικό μέρος της πολιτικής. Πριν από την έναρξη ή την ουσιώδη αλλαγή επεξεργασίας δεδομένων προσωπικού χαρακτήρα που σχετίζεται με τεχνητή νοημοσύνη, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να ολοκληρώνει έλεγχο κινδύνου ιδιωτικότητας και να καταγράφει την απόφαση DPIA στο REG04. Όταν η επεξεργασία περιλαμβάνει κατάρτιση προφίλ, αυτοματοποιημένες αποφάσεις, αξιολόγηση μεγάλης κλίμακας, δεδομένα ειδικής κατηγορίας, δεδομένα ποινικών αδικημάτων, ευάλωτα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, αξιολόγηση εργαζομένων, παιδιά, παρακολούθηση συμπεριφοράς, δεδομένα τοποθεσίας, βιομετρικά δεδομένα, βαθμολόγηση υψηλού αντικτύπου ή σημαντικά αποτελέσματα, ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας πρέπει να ανασκοπεί τον κίνδυνο ιδιωτικότητας και να καταγράφει τη συμβουλή στο REG04. Εάν παραμένει υψηλός υπολειπόμενος κίνδυνος ιδιωτικότητας μετά την προγραμματισμένη αντιμετώπιση, η Ανώτατη Διοίκηση πρέπει να εγκρίνει, να απορρίψει ή να απαιτήσει περαιτέρω αντιμετώπιση πριν από τη χρήση σε περιβάλλον παραγωγής, με την απόφαση να καταγράφεται στα REG04 και REG12. Η πολιτική θεσπίζει επίσης ελέγχους για τη διαφάνεια, τις ουσιαστικές πληροφορίες, την ελαχιστοποίηση, τον χειρισμό δικαιωμάτων, την παρακολούθηση, τους προμηθευτές και την εφαρμογή. Το περιεχόμενο των ειδοποιήσεων ιδιωτικότητας πρέπει να περιγράφει τον σκοπό που σχετίζεται με τεχνητή νοημοσύνη, τις κατηγορίες δεδομένων, τις κατηγορίες εξόδων, τις κατηγορίες αποδεκτών, τη διαδρομή δικαιωμάτων και τη διαδρομή επικοινωνίας, με τις εκδόσεις ειδοποιήσεων να καταγράφονται στο REG07. Διαδρομές ανθρώπινης ανασκόπησης, αντίρρησης και δυνατότητας αμφισβήτησης απαιτούνται για αποφάσεις που σχετίζονται με τεχνητή νοημοσύνη και έχουν νομικά αποτελέσματα ή σημαντικά αποτελέσματα ως προς την επιλεξιμότητα, την πρόσβαση, την απασχόληση, τα χρηματοοικονομικά θέματα, την εκπαίδευση, τις υπηρεσίες, την ασφάλεια ή παρόμοια θέματα. Οι προμηθευτές και οι εκτελούντες την επεξεργασία πρέπει να διέπονται μέσω του REG08, ενώ οι διεθνείς διαβιβάσεις δρομολογούνται μέσω του REG09. Τα κριτήρια παρακολούθησης πρέπει να καλύπτουν αλλαγές εισόδων, αλλαγές εξόδων, ζητήματα δικαιωμάτων, δυσμενή αποτελέσματα για την ιδιωτικότητα, μη εξουσιοδοτημένη χρήση και τάσεις παραπόνων, με τριμηνιαία ανασκόπηση για ενεργή επεξεργασία δεδομένων προσωπικού χαρακτήρα υψηλού αντικτύπου που σχετίζεται με τεχνητή νοημοσύνη και με μη συμμορφώσεις ή διορθωτικές ενέργειες να καταγράφονται στο REG12.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διεργασίας που δείχνει την αναγνώριση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που σχετίζεται με τεχνητή νοημοσύνη στο REG02, τον έλεγχο κινδύνου ιδιωτικότητας και τη δρομολόγηση DPIA στο REG04, τα αρχεία διαφάνειας στο REG07, τα δικαιώματα και την ανθρώπινη ανασκόπηση στο REG06, τους ελέγχους προμηθευτών και διαβιβάσεων στα REG08 και REG09, την κλιμάκωση περιστατικών στο REG10, και την παρακολούθηση, τις εξαιρέσεις, τις διορθωτικές ενέργειες και τα ελεγκτικά τεκμήρια στο REG12.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Αναγνώριση επεξεργασίας με τεχνητή νοημοσύνη και τεκμήρια REG02

Έλεγχος κινδύνου ιδιωτικότητας και δρομολόγηση DPIA

Διαφάνεια, ουσιαστικές πληροφορίες και ειδοποιήσεις

Ανθρώπινη ανασκόπηση, αντίρρηση και δυνατότητα αμφισβήτησης

Έλεγχοι προμηθευτών, εκτελούντων την επεξεργασία και διεθνών διαβιβάσεων

Παρακολούθηση, περιστατικά, εξαιρέσεις και διορθωτικές ενέργειες

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 4(4)Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(d)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.4Annex A.5Annex A.7Annex A.8Annex A.10

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Οι σκοποί που σχετίζονται με τεχνητή νοημοσύνη, η νομική βάση, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα, οι πηγές δεδομένων, τα αποτελέσματα και οι επιδράσεις αποφάσεων πρέπει να καταγράφονται στο αποθετήριο επεξεργασίας.

Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας

Η διαφάνεια που σχετίζεται με τεχνητή νοημοσύνη, οι ουσιαστικές πληροφορίες και ο έλεγχος εκδόσεων ειδοποιήσεων αντιμετωπίζονται μέσω της διαδικασίας ειδοποιήσεων ιδιωτικότητας.

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα

Τα αιτήματα πρόσβασης, αντίρρησης, διόρθωσης, διαγραφής, περιορισμού, ανθρώπινης ανασκόπησης και δυνατότητας αμφισβήτησης δρομολογούνται μέσω της ροής εργασίας δικαιωμάτων.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Ο έλεγχος κινδύνου ιδιωτικότητας που σχετίζεται με τεχνητή νοημοσύνη, η δρομολόγηση DPIA, η αντιμετώπιση κινδύνου και η κλιμάκωση υψηλού υπολειπόμενου κινδύνου εξαρτώνται από αυτήν την πολιτική.

Πολιτική Προστασίας της Ιδιωτικότητας ήδη από τον Σχεδιασμό και εξ Ορισμού

Η υλοποίηση συστημάτων και οι έλεγχοι αλλαγών πρέπει να περιλαμβάνουν εγκεκριμένους περιορισμούς εισόδων τεχνητής νοημοσύνης, χειρισμό εξόδων, πρόσβαση, καταγραφή και προεπιλεγμένες ρυθμίσεις.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Οι προμηθευτές, οι εκτελούντες την επεξεργασία, οι υπεργολάβοι επεξεργασίας, οι αποδέκτες κοινοχρησίας δεδομένων και οι υποχρεώσεις συνδρομής που σχετίζονται με τεχνητή νοημοσύνη διέπονται μέσω του REG08.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Ιδιωτικότητας για Τεχνητή Νοημοσύνη και Αυτοματοποιημένη Λήψη Αποφάσεων

Η διακυβέρνηση ιδιωτικότητας που σχετίζεται με τεχνητή νοημοσύνη αποτυγχάνει όταν οι δραστηριότητες κατάρτισης προφίλ, βαθμολόγησης, σύστασης και αυτοματοποιημένης λήψης αποφάσεων δεν συνδέονται με απογραφή δεδομένων προσωπικού χαρακτήρα, αξιολόγηση κινδύνου, διαφάνεια, χειρισμό δικαιωμάτων, διακυβέρνηση προμηθευτών, διαβιβάσεις, περιστατικά και συνεχή βελτίωση. Η παρούσα πολιτική καθορίζει υποχρεωτικές απαιτήσεις ιδιωτικότητας για επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζεται με τεχνητή νοημοσύνη εντός του πεδίου εφαρμογής του PIMS και εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Απαιτεί οι δραστηριότητες που σχετίζονται με τεχνητή νοημοσύνη να αναγνωρίζονται, να τεκμηριώνονται, να αξιολογούνται ως προς τον κίνδυνο, να είναι διαφανείς, να μπορούν να αμφισβητηθούν, να παρακολουθούνται και να ελέγχονται μέσω των REG02, REG04, REG06, REG07, REG08, REG09, REG10 και REG12, αποφεύγοντας ρητά διπλά μητρώα ειδικά για την τεχνητή νοημοσύνη ή χωριστά τεχνουργήματα διακυβέρνησης.

Καθορισμένο πεδίο εφαρμογής τεχνητής νοημοσύνης

Καλύπτει συστήματα τεχνητής νοημοσύνης, κατάρτιση προφίλ, βαθμολόγηση, συστάσεις, υποστήριξη αποφάσεων και αυτοματοποιημένες αποφάσεις που αφορούν δεδομένα προσωπικού χαρακτήρα.

Δρομολόγηση κινδύνου και DPIA

Απαιτεί έλεγχο κινδύνου ιδιωτικότητας, αποφάσεις DPIA και κλιμάκωση για επεξεργασία δεδομένων προσωπικού χαρακτήρα υψηλού κινδύνου που σχετίζεται με τεχνητή νοημοσύνη.

Διαδρομές ανθρώπινης ανασκόπησης

Τεκμηριώνει διαδρομές δικαιωμάτων, αντίρρησης, εξήγησης, ανθρώπινης ανασκόπησης και δυνατότητας αμφισβήτησης για επηρεαζόμενα υποκείμενα των δεδομένων προσωπικού χαρακτήρα.

Κανονικά τεκμήρια

Διατηρεί τα τεκμήρια ιδιωτικότητας για τεχνητή νοημοσύνη σε υφιστάμενα αντικείμενα PIMS αντί για χωριστά μητρώα ειδικά για την τεχνητή νοημοσύνη.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο Υπευθύνου Προστασίας Δεδομένων

🏷️ Θεματική κάλυψη

Διαχείριση πληροφοριών ιδιωτικότητας Επεξεργασία δεδομένων προσωπικού χαρακτήρα Διαχείριση δικαιωμάτων υποκειμένων δεδομένων Εκτίμηση αντικτύπου ιδιωτικότητας Αρχεία δραστηριοτήτων επεξεργασίας Προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό Διαχείριση τρίτων μερών
€59

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
AI and Automated Decision-Making Privacy Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 5