policy ISO 27701 PIMS Policy Pack

Tehisintellekti ja automatiseeritud otsuste tegemise privaatsuspoliitika

ISO 27701-ga kooskõlas olev poliitika tehisintellekti, profiilianalüüsi ja automatiseeritud otsuste tegemise privaatsuskontrollide jaoks isikut tuvastava teabe registris, DPIA-des, teadetes, õigustes ja tarnijates.

Ülevaade

See poliitika määratleb PIMS-i kontrollimeetmed tehisintellektile, profiilianalüüsile ja automatiseeritud otsuste tegemisele, mis hõlmavad isikut tuvastavat teavet. See nõuab tuvastamist, privaatsusriski vajaduse hindamist, DPIA suunamist, läbipaistvust, õiguste käsitlemist, tarnijate kontrollimeetmeid, edastamise marsruutimist, seiret ja parandusmeetmeid olemasolevate tõendusmaterjali objektide kaudu, mitte eraldi tehisintellekti registrite abil.

Tehisintellekti privaatsuskontrollide raamistik

Määratleb kohustuslikud privaatsusnõuded tehisintellektile, profiilianalüüsile, skoorimisele, soovitustele ja automatiseeritud otsustele, mis hõlmavad isikut tuvastavat teavet.

Tõendusmaterjalil põhinev PIMS-i juhtimine

Suunab tehisintellektiga seotud privaatsuse tõendusmaterjali REG02, REG04, REG06, REG07, REG08, REG09, REG10 ja REG12 kaudu.

Õigused ja vaidlustatavus

Nõuab inimese tehtava läbivaatamise marsruute, vastuväidete käsitlemist ja vaidlustatavuse tuge oluliste tehisintellektiga seotud otsuste puhul.

Loe täielikku ülevaadet (click to expand)
Tehisintellekti ja automatiseeritud otsuste tegemise privaatsuspoliitika määratleb kohustuslikud privaatsusnõuded tehisintellekti, profiilianalüüsi, skoorimise, soovituste, otsustustoe ja automatiseeritud otsuste tegemise tegevustele, mis hõlmavad isikut tuvastavat teavet. Selle kohaldamisala hõlmab tehisintellekti toega süsteeme, rakendusi, mudeleid, teenuseid, töövooge, otsustusmootoreid, analüütikamudeleid ja automatiseeritud otsuste tegemise protsesse, mis kasutavad, järeldavad, genereerivad, avalikustavad või muul viisil töötlevad isikut tuvastavat teavet PIMS-i kohaldamisalas. See hõlmab ka isikut tuvastavat teavet, mida kasutatakse koolituseks, testimiseks, valideerimiseks, häälestamiseks, seireks, tootmiskeskkonna järelduste tegemiseks, väljundi läbivaatamiseks, toimivuse mõõtmiseks, intsidendi uurimiseks ja mudeli kasutuselt kõrvaldamiseks. Poliitika kohaldub vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides, sealhulgas tehisintellektiga seotud tarnijatele, volitatud töötlejatele, alltöötlejatele, andmete jagamise saajatele ja rahvusvaheliste edastuste marsruutidele. Poliitika eesmärk on tagada, et tehisintellekti, profiilianalüüsi ja automatiseeritud otsuste tegemise tegevused, mis hõlmavad isikut tuvastavat teavet, oleksid tuvastatud, dokumenteeritud, riskihinnatud, läbipaistvad, vaidlustatavad, jälgitavad ja kontrollitud PIMS-i kaudu, ilma dubleerivaid tehisintellektispetsiifilisi juhtimise artefakte loomata. Poliitikas on sõnaselgelt sätestatud, et see ei loo täielikku tehisintellekti juhtimisraamistikku, tehisintellekti haldussüsteemi, tehisintellekti registrit, mudeliregistrit, mudeliriski registrit, õigluse registrit, algoritmiregistrit, tehisintellekti intsidentide registrit, tehisintellekti komiteed, mudeli omaniku rolli, tehisintellektisüsteemi omaniku rolli, õigusnõu töövoogu ega eraldi tehisintellekti heakskiitmise vormi. Selle asemel nõuab see, et tehisintellektiga seotud privaatsuskohustusi tõendataks olemasolevate kanooniliste tõendusmaterjali objektide kaudu: REG02, REG04, REG06, REG07, REG08, REG09, REG10 ja REG12. Operatiivsel tasandil nõuab poliitika, et protsessiomanikud / ettevõtte omanikud määraksid kindlaks, kas uued või oluliselt muudetud süsteemid, töövood või äriprotsessid kasutavad tehisintellekti, profiilianalüüsi, skoorimist, soovitusi, otsustustuge või automatiseeritud otsuste tegemist, mis hõlmab isikut tuvastavat teavet, ning dokumenteeriksid selle määratluse REG02-s. Enne tehisintellektiga seotud isikut tuvastava teabe töötlemise algust nõuab poliitika töötlemise eesmärgi, isikut tuvastava teabe kategooriate, isikuandmesubjekti kategooriate, andmeallikate, järeldatud või tuletatud andmete kategooriate, väljundikategooriate, saajakategooriate, õigusliku aluse ja säilitamise seose dokumenteerimist. Tootmiskeskkonnas kasutatava profiilianalüüsi, skoorimise, soovituste, otsustustoe või automatiseeritud otsuste tegemise puhul tuleb otsuse kontekst, eeldatav mõju isikuandmesubjektidele, inimese osalus ja õiguste marsruut dokumenteerida REG02-s ja REG04-s. Riskijuhtimine on poliitika keskne osa. Enne tehisintellektiga seotud isikut tuvastava teabe töötlemise käivitamist või olulist muutmist peab privaatsusvaldkonna juht / PIMS-i juht tegema privaatsusriski vajaduse hindamise ja dokumenteerima DPIA otsuse REG04-s. Kui töötlemine hõlmab profiilianalüüsi, automatiseeritud otsuseid, suuremahulist hindamist, eriliiki andmeid, süüteoandmeid, haavatavaid isikuandmesubjekte, töötajate hindamist, lapsi, käitumise seiret, asukohaandmeid, biomeetrilisi andmeid, suure mõjuga skoorimist või olulisi mõjusid, peab andmekaitseametnik / andmekaitsenõustaja privaatsusriski läbi vaatama ja nõuande REG04-s dokumenteerima. Kui suur privaatsuse jääkrisk püsib pärast kavandatud riskikäsitlust, peab tippjuhtkond enne tootmiskeskkonnas kasutamist selle heaks kiitma, tagasi lükkama või nõudma täiendavat riskikäsitlust; otsus dokumenteeritakse REG04-s ja REG12-s. Poliitika kehtestab ka kontrollimeetmed läbipaistvuse, sisulise teabe, andmete minimaalsuse, õiguste käsitlemise, seire, tarnijate ja rakendamise jaoks. Privaatsusteate sisu peab kirjeldama tehisintellektiga seotud eesmärki, andmekategooriaid, väljundikategooriaid, saajakategooriaid, õiguste marsruuti ja kontaktmarsruuti ning teate versioonid tuleb dokumenteerida REG07-s. Inimese tehtava läbivaatamise, vastuväidete ja vaidlustatavuse marsruudid on nõutavad tehisintellektiga seotud otsuste puhul, millel on õiguslikud, abikõlblikkuse, juurdepääsu, tööhõive, finants-, haridus-, teenuse-, ohutus- või sarnaselt olulised mõjud. Tarnijaid ja volitatud töötlejaid tuleb hallata REG08 kaudu ning rahvusvahelised edastused suunatakse läbi REG09. Seirekriteeriumid peavad hõlmama sisendimuutusi, väljundimuutusi, õigustega seotud probleeme, ebasoodsaid privaatsustulemusi, loata kasutust ja kaebuste suundumusi; aktiivse suure mõjuga tehisintellektiga seotud isikut tuvastava teabe töötlemise puhul tuleb teha kvartaalne läbivaatamine ning mittevastavused või parandusmeetmed dokumenteerida REG12-s.

Poliitika diagramm

Protsessivoo skeem, mis näitab tehisintellektiga seotud isikut tuvastava teabe töötlemise tuvastamist REG02-s, privaatsusriski vajaduse hindamist ja DPIA suunamist REG04-s, läbipaistvuse kirjeid REG07-s, õigusi ja inimese tehtavat läbivaatamist REG06-s, tarnijate ja edastuste kontrollimeetmeid REG08-s ja REG09-s, intsidendi eskaleerimist REG10-s ning seiret, erandeid, parandusmeetmeid ja audititõendust REG12-s.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Tehisintellekti töötlemise tuvastamine ja REG02 tõendusmaterjal

Privaatsusriski vajaduse hindamine ja DPIA suunamine

Läbipaistvus, sisuline teave ja teated

Inimese tehtav läbivaatamine, vastuväited ja vaidlustatavus

Tarnija, volitatud töötleja ja rahvusvahelise edastuse kontrollimeetmed

Seire, intsidendid, erandid ja parandusmeetmed

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 4(4)Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(d)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.4Annex A.5Annex A.7Annex A.8Annex A.10

Seotud poliitikad

Töötlemisregistri ja õigusliku aluse poliitika

Tehisintellektiga seotud eesmärgid, õiguslik alus, isikut tuvastava teabe kategooriad, andmeallikad, väljundid ja otsuse mõjud tuleb dokumenteerida töötlemisregistris.

Privaatsusteate ja läbipaistvuse poliitika

Tehisintellektiga seotud läbipaistvust, sisulist teavet ja privaatsusteate versioonihaldust käsitletakse privaatsusteate protsessi kaudu.

Isikuandmesubjekti õiguste haldamise poliitika

Juurdepääsu, vastuväite, parandamise, kustutamise, piiramise, inimese tehtava läbivaatamise ja vaidlustatavuse taotlused suunatakse õiguste töövoo kaudu.

Privaatsusriskide hindamise ja DPIA poliitika

Tehisintellektiga seotud privaatsusriski vajaduse hindamine, DPIA suunamine, riskikäsitlus ja suure privaatsuse jääkriski eskaleerimine sõltuvad sellest poliitikast.

Lõimitud ja vaikimisi andmekaitse poliitika

Süsteemi rakendamine ja muudatuste kontrollimeetmed peavad hõlmama heakskiidetud tehisintellekti sisendipiiranguid, väljundi käitlemist, juurdepääsu, logimist ja vaikeseadeid.

Volitatud töötleja, alltöötleja ja kolmanda osapoole privaatsuse halduse poliitika

Tehisintellektiga seotud tarnijaid, volitatud töötlejaid, alltöötlejaid, andmete jagamise saajaid ja abistamiskohustusi juhitakse REG08 kaudu.

Claryseci poliitikate kohta - Tehisintellekti ja automatiseeritud otsuste tegemise privaatsuspoliitika

Tehisintellektiga seotud privaatsuse juhtimine ebaõnnestub, kui profiilianalüüsi, skoorimise, soovituste ja automatiseeritud otsuste tegemise tegevused ei ole seotud isikut tuvastava teabe registri, riskihindamise, läbipaistvuse, õiguste käsitlemise, tarnijajuhtimise, edastuste, intsidentide ja pideva täiustamisega. See poliitika määratleb kohustuslikud privaatsusnõuded tehisintellektiga seotud isikut tuvastava teabe töötlemisele PIMS-i kohaldamisalas ning kohaldub vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides. See nõuab, et tehisintellektiga seotud tegevused oleksid tuvastatud, dokumenteeritud, riskihinnatud, läbipaistvad, vaidlustatavad, jälgitavad ja kontrollitud REG02, REG04, REG06, REG07, REG08, REG09, REG10 ja REG12 kaudu, vältides samal ajal sõnaselgelt dubleerivaid tehisintellektispetsiifilisi registreid või eraldi juhtimise artefakte.

Määratletud tehisintellekti kohaldamisala

Hõlmab tehisintellektisüsteeme, profiilianalüüsi, skoorimist, soovitusi, otsustustuge ja automatiseeritud otsuseid, mis hõlmavad isikut tuvastavat teavet.

Riski ja DPIA suunamine

Nõuab privaatsusriski vajaduse hindamist, DPIA otsuseid ja eskaleerimist kõrge riskiga tehisintellektiga seotud isikut tuvastava teabe töötlemise puhul.

Inimese tehtava läbivaatamise marsruudid

Dokumenteerib õiguste, vastuväidete, selgituste, inimese tehtava läbivaatamise ja vaidlustatavuse marsruudid mõjutatud isikuandmesubjektide jaoks.

Kanooniline tõendusmaterjal

Hoiab tehisintellekti privaatsuse tõendusmaterjali olemasolevates PIMS-i objektides, mitte eraldi tehisintellektispetsiifilistes registrites.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus õigus vastavus IT-turve andmekaitseametniku büroo

🏷️ Temaatiline katvus

Privaatsusteabe haldus isikuandmete töötlemine andmesubjekti õiguste haldus privaatsuse mõjuhindamine töötlemistoimingute kirjed lõimitud andmekaitse kolmandate osapoolte haldus
€59

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
AI and Automated Decision-Making Privacy Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 5