Tekoälyä ja automaattista päätöksentekoa koskeva tietosuojapolitiikka

Tekoälyä ja automaattista päätöksentekoa koskeva tietosuojapolitiikka määrittää pakolliset tietosuojavaatimukset tekoälylle, profiloinnille, pisteytykselle, suosittelulle, päätöksenteon tuelle ja automaattiselle päätöksenteolle, joihin liittyy henkilötietoja. Sen soveltamisalaan kuuluvat tekoälyä hyödyntävät järjestelmät, sovellukset, mallit, palvelut, työnkulut, päätöksentekomoottorit, analytiikkamallit ja automaattisen päätöksenteon prosessit, jotka käyttävät, päättelevät, tuottavat, luovuttavat tai muutoin käsittelevät henkilötietoja PIMS:n soveltamisalassa. Se kattaa myös henkilötiedot, joita käytetään koulutukseen, testaukseen, validointiin, hienosäätöön, seurantaan, tuotantopäättelyyn, tulosten katselmointiin, suorituskyvyn mittaamiseen, poikkeamien tutkintaan ja mallien käytöstäpoistoon. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, mukaan lukien tekoälyyn liittyvät toimittajat, henkilötietojen käsittelijät, alikäsittelijät, tietojen jakamisen vastaanottajat ja henkilötietojen kansainvälisen siirron reitit. Politiikan tarkoituksena on varmistaa, että tekoälyyn, profilointiin ja automaattiseen päätöksentekoon liittyvät henkilötietojen käsittelytoimet tunnistetaan, dokumentoidaan, riskinarvioidaan, tehdään läpinäkyviksi, niiden riitauttaminen mahdollistetaan, niitä seurataan ja niitä valvotaan PIMS:n kautta ilman päällekkäisten tekoälykohtaisten hallinnointiartefaktien luomista. Siinä todetaan nimenomaisesti, ettei se luo täysimittaista tekoälyn hallinnointikehystä, tekoälyn hallintajärjestelmää, tekoälyluetteloa, malliluetteloa, malliriskirekisteriä, oikeudenmukaisuusrekisteriä, algoritmirekisteriä, tekoälypoikkeamarekisteriä, tekoälykomiteaa, mallinomistajan roolia, tekoälyjärjestelmän omistajan roolia, oikeudellisen neuvonnan työnkulkua tai erillistä tekoälyn hyväksyntälomaketta. Sen sijaan se edellyttää, että tekoälyyn liittyvät tietosuojavelvoitteet osoitetaan olemassa olevien kanonisten näyttöobjektien kautta: REG02, REG04, REG06, REG07, REG08, REG09, REG10 ja REG12. Operatiivisesti politiikka edellyttää, että prosessien omistajat / liiketoimintavastaavat määrittävät, käyttävätkö uudet tai olennaisesti muutetut järjestelmät, työnkulut tai liiketoimintaprosessit tekoälyä, profilointia, pisteytystä, suosittelua, päätöksenteon tukea tai automaattista päätöksentekoa, johon liittyy henkilötietoja, ja kirjaavat määrittelyn REG02:een. Ennen tekoälyyn liittyvän henkilötietojen käsittelyn aloittamista politiikka edellyttää käsittelyn tarkoituksen, henkilötietoluokkien, rekisteröityjen luokkien, tietolähteiden, pääteltyjen tai johdettujen tietoluokkien, tulosluokkien, vastaanottajaluokkien, oikeusperusteen ja säilytyskytkennän dokumentointia. Tuotantokäytössä olevaan profilointiin, pisteytykseen, suositteluun, päätöksenteon tukeen tai automaattiseen päätöksentekoon liittyvät päätöskonteksti, odotettu vaikutus rekisteröityihin, ihmisen osallistuminen ja oikeuksien käsittelyreitti tulee dokumentoida REG02:een ja REG04:ään. Riskien hallinnointi on politiikan keskeinen osa. Ennen tekoälyyn liittyvän henkilötietojen käsittelyn käynnistämistä tai olennaista muuttamista tietosuojavastaavan / PIMS-päällikön tulee tehdä tietosuojariskien esiarviointi ja kirjata DPIA-päätös REG04:ään. Kun käsittelyyn liittyy profilointi, automaattiset päätökset, laajamittainen arviointi, erityisiin henkilötietoryhmiin kuuluvat tiedot, rikostuomioihin ja rikkomuksiin liittyvät tiedot, haavoittuvassa asemassa olevat rekisteröidyt, työntekijöiden arviointi, lapset, käyttäytymisen seuranta, sijaintitiedot, biometriset tiedot, vaikutuksiltaan merkittävä pisteytys tai merkittävät vaikutukset, tietosuojavastaavan / tietosuojaneuvonantajan tulee katselmoida tietosuojariski ja kirjata neuvonta REG04:ään. Jos korkea tietosuojaan kohdistuva jäännösriski jää jäljelle suunnitellun käsittelyn jälkeen, ylimmän johdon tulee hyväksyä, hylätä tai edellyttää lisäkäsittelyä ennen tuotantokäyttöä, ja päätös kirjataan REG04:ään ja REG12:een. Politiikka vahvistaa myös kontrollit läpinäkyvyydelle, merkityksellisille tiedoille, minimoinnille, oikeuksien käsittelylle, seurannalle, toimittajille ja noudattamisen soveltamiselle. Tietosuojaselosteen sisällön tulee kuvata tekoälyyn liittyvä tarkoitus, tietoluokat, tulosluokat, vastaanottajaluokat, oikeuksien käsittelyreitti ja yhteydenottoreitti, ja tietosuojaselosteiden versiot kirjataan REG07:ään. Ihmisen tekemän katselmoinnin, vastustamisen ja riitautettavuuden reitit edellytetään tekoälyyn liittyville päätöksille, joilla on oikeudellisia tai kelpoisuuteen, pääsyyn, työsuhteeseen, talouteen, koulutukseen, palveluihin, turvallisuuteen tai vastaaviin liittyviä merkittäviä vaikutuksia. Toimittajia ja henkilötietojen käsittelijöitä tulee hallinnoida REG08:n kautta, ja henkilötietojen kansainväliset siirrot ohjataan REG09:n kautta. Seurantakriteerien tulee kattaa syötteiden muutokset, tulosten muutokset, oikeuksiin liittyvät ongelmat, haitalliset tietosuojavaikutukset, luvaton käyttö ja valitustrendit, ja aktiiviselle vaikutuksiltaan merkittävälle tekoälyyn liittyvälle henkilötietojen käsittelylle tehdään neljännesvuosittainen katselmointi sekä poikkeamat tai korjaavat toimenpiteet kirjataan REG12:een.