policy ISO 27701 PIMS Policy Pack

Politika privatnosti za umjetnu inteligenciju i automatizirano donošenje odluka

Politika usklađena s ISO 27701 za kontrole privatnosti u području umjetne inteligencije, profiliranja i automatiziranog donošenja odluka kroz popis osobnih podataka (PII), DPIA-e, obavijesti, prava i dobavljače.

Pregled

Ova politika definira kontrole PIMS-a za AI, profiliranje i automatizirano donošenje odluka koje uključuju osobne podatke (PII). Zahtijeva identifikaciju, provjeru rizika, usmjeravanje DPIA-e, transparentnost, postupanje s pravima, kontrole dobavljača, usmjeravanje prijenosa, praćenje i korektivne radnje uporabom postojećih objekata dokaza, umjesto zasebnih AI-registara.

Okvir kontrola privatnosti za AI

Definira obvezne zahtjeve privatnosti za AI, profiliranje, bodovanje, preporuke i automatizirane odluke koje uključuju osobne podatke (PII).

Upravljanje PIMS-om temeljeno na dokazima

Usmjerava dokaze o privatnosti povezane s AI-jem kroz REG02, REG04, REG06, REG07, REG08, REG09, REG10 i REG12.

Prava i mogućnost osporavanja

Zahtijeva putove za ljudsko preispitivanje, postupanje s prigovorima i podršku mogućnosti osporavanja za značajne odluke povezane s AI-jem.

Pročitaj cijeli pregled (click to expand)
Politika privatnosti za umjetnu inteligenciju i automatizirano donošenje odluka definira obvezne zahtjeve privatnosti za umjetnu inteligenciju, profiliranje, bodovanje, preporučivanje, podršku odlučivanju i aktivnosti automatiziranog donošenja odluka koje uključuju osobne podatke (PII). Njezin opseg uključuje sustave, aplikacije, modele, usluge, tijekove rada, sustave za donošenje odluka, analitičke modele i procese automatiziranog donošenja odluka omogućene AI-jem koji upotrebljavaju, izvode, generiraju, otkrivaju ili na drugi način obrađuju osobne podatke (PII) unutar opsega PIMS-a. Obuhvaća i osobne podatke (PII) koji se koriste za obuku, testiranje, validaciju, podešavanje, praćenje, produkcijsko zaključivanje, pregled izlaznih rezultata, mjerenje uspješnosti, istragu incidenata i povlačenje modela iz uporabe. Politika se primjenjuje u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, uključujući dobavljače, izvršitelje obrade, podizvršitelje obrade, primatelje u okviru dijeljenja podataka i putove međunarodnog prijenosa povezane s AI-jem. Svrha politike jest osigurati da se aktivnosti povezane s AI-jem, profiliranjem i automatiziranim donošenjem odluka koje uključuju osobne podatke (PII) identificiraju, dokumentiraju, procijene prema riziku, učine transparentnima, omogući njihovo osporavanje, prate i kontroliraju kroz PIMS bez stvaranja dupliciranih artefakata upravljanja specifičnih za AI. Politika izričito navodi da ne uspostavlja cjelovit okvir upravljanja AI-jem, sustav upravljanja AI-jem, AI-popis, popis modela, registar rizika modela, registar pravednosti, registar algoritama, registar AI-incidenata, AI-odbor, ulogu vlasnika modela, ulogu vlasnika AI-sustava, tijek rada za pravni savjet ni zaseban obrazac odobrenja za AI. Umjesto toga, zahtijeva da se obveze privatnosti povezane s AI-jem dokazuju kroz postojeće kanonske objekte dokaza: REG02, REG04, REG06, REG07, REG08, REG09, REG10 i REG12. Operativno, politika zahtijeva da vlasnici procesa / vlasnici poslovanja utvrde upotrebljavaju li novi ili značajno izmijenjeni sustavi, tijekovi rada ili poslovni procesi AI, profiliranje, bodovanje, preporučivanje, podršku odlučivanju ili automatizirano donošenje odluka koje uključuju osobne podatke (PII) te da to utvrđenje evidentiraju u REG02. Prije početka obrade osobnih podataka (PII) povezane s AI-jem, politika zahtijeva dokumentiranje svrhe obrade, kategorija osobnih podataka (PII), kategorija ispitanika, izvora podataka, izvedenih ili deriviranih kategorija podataka, kategorija izlaznih rezultata, kategorija primatelja, pravne osnove i povezanosti s pravilima zadržavanja. Za aktivnosti profiliranja, bodovanja, preporučivanja, podrške odlučivanju ili automatiziranog donošenja odluka koje se koriste u produkciji, kontekst odluke, očekivani učinak na ispitanike, ljudska uključenost i put za ostvarivanje prava moraju se dokumentirati u REG02 i REG04. Upravljanje rizicima središnji je dio politike. Prije pokretanja ili značajne promjene obrade osobnih podataka (PII) povezane s AI-jem, voditelj privatnosti / voditelj PIMS-a mora dovršiti provjeru rizika za privatnost i evidentirati odluku o DPIA-i u REG04. Kada obrada uključuje profiliranje, automatizirane odluke, opsežno vrednovanje, posebne kategorije osobnih podataka, podatke o kaznenim djelima, ranjive ispitanike, procjenu zaposlenika, djecu, praćenje ponašanja, lokacijske podatke, biometrijske podatke, bodovanje s visokim utjecajem ili značajne učinke, službenik za zaštitu podataka / savjetnik za zaštitu privatnosti mora pregledati rizik za privatnost i evidentirati savjet u REG04. Ako visok preostali rizik za privatnost ostane nakon planirane obrade rizika, najviše rukovodstvo mora odobriti, odbiti ili zahtijevati daljnju obradu rizika prije produkcijske uporabe, pri čemu se odluka evidentira u REG04 i REG12. Politika također uspostavlja kontrole za transparentnost, smislene informacije, minimizaciju, postupanje s pravima, praćenje, dobavljače i poštivanje politike. Sadržaj obavijesti o privatnosti mora opisati svrhu povezanu s AI-jem, kategorije podataka, kategorije izlaznih rezultata, kategorije primatelja, put za ostvarivanje prava i kontaktni put, a verzije obavijesti evidentiraju se u REG07. Putovi za ljudsko preispitivanje, prigovor i mogućnost osporavanja potrebni su za odluke povezane s AI-jem koje imaju pravne učinke ili značajne učinke na prihvatljivost, pristup, zaposlenje, financije, obrazovanje, uslugu, sigurnost ili slična područja. Dobavljačima i izvršiteljima obrade mora se upravljati kroz REG08, a međunarodni prijenosi usmjeravaju se kroz REG09. Kriteriji praćenja moraju obuhvatiti promjene ulaznih podataka, promjene izlaznih rezultata, pitanja povezana s pravima, nepovoljne ishode za privatnost, neovlaštenu uporabu i trendove pritužbi, uz tromjesečni pregled za aktivnu obradu osobnih podataka (PII) povezanu s AI-jem s visokim utjecajem te evidentiranje nesukladnosti ili korektivnih radnji u REG12.

Dijagram politike

Dijagram tijeka procesa koji prikazuje identifikaciju obrade osobnih podataka (PII) povezane s AI-jem u REG02, provjeru rizika za privatnost i usmjeravanje DPIA-e u REG04, zapise o transparentnosti u REG07, prava i ljudsko preispitivanje u REG06, kontrole dobavljača i prijenosa u REG08 i REG09, eskalaciju incidenata u REG10 te praćenje, iznimke, korektivne radnje i revizijske dokaze u REG12.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Identifikacija AI-obrade i dokazi u REG02

Provjera rizika za privatnost i usmjeravanje DPIA-e

Transparentnost, smislene informacije i obavijesti

Ljudsko preispitivanje, prigovor i mogućnost osporavanja

Kontrole dobavljača, izvršitelja obrade i međunarodnih prijenosa

Praćenje, incidenti, iznimke i korektivne radnje

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 4(4)Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(d)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.4Annex A.5Annex A.7Annex A.8Annex A.10

Povezane politike

Politika popisa obrada i pravne osnove

Svrhe povezane s AI-jem, pravna osnova, kategorije osobnih podataka (PII), izvori podataka, izlazni rezultati i učinci odluka moraju se evidentirati u popisu obrada.

Politika obavijesti o privatnosti i transparentnosti

Transparentnost povezana s AI-jem, smislene informacije i upravljanje verzijama obavijesti obrađuju se kroz proces obavijesti o privatnosti.

Politika upravljanja pravima ispitanika

Zahtjevi za pristup, prigovor, ispravak, brisanje, ograničenje, ljudsko preispitivanje i mogućnost osporavanja usmjeravaju se kroz tijek rada za prava.

Politika procjene rizika za privatnost i DPIA-e

Provjera rizika za privatnost povezana s AI-jem, usmjeravanje DPIA-e, obrada rizika i eskalacija visokog preostalog rizika ovise o ovoj politici.

Politika ugrađene zaštite privatnosti i zaštite privatnosti prema zadanim postavkama

Implementacija sustava i kontrole promjena moraju uključivati odobrena ograničenja ulaznih podataka za AI, postupanje s izlaznim rezultatima, pristup, zapisivanje događaja i zadane postavke.

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Dobavljačima, izvršiteljima obrade, podizvršiteljima obrade, primateljima u okviru dijeljenja podataka i obvezama pomoći povezanima s AI-jem upravlja se kroz REG08.

O Clarysec politikama - Politika privatnosti za umjetnu inteligenciju i automatizirano donošenje odluka

Upravljanje privatnošću povezano s AI-jem ne uspijeva kada profiliranje, bodovanje, preporučivanje i aktivnosti automatiziranog donošenja odluka nisu povezani s popisom osobnih podataka (PII), procjenom rizika, transparentnošću, postupanjem s pravima, upravljanjem dobavljačima, prijenosima, incidentima i kontinuiranim poboljšanjem. Ova politika definira obvezne zahtjeve privatnosti za obradu osobnih podataka (PII) povezanu s AI-jem unutar opsega PIMS-a i primjenjuje se u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Zahtijeva da se aktivnosti povezane s AI-jem identificiraju, dokumentiraju, procijene prema riziku, učine transparentnima, omogući njihovo osporavanje, prate i kontroliraju kroz REG02, REG04, REG06, REG07, REG08, REG09, REG10 i REG12, uz izričito izbjegavanje dupliciranih AI-registara ili zasebnih artefakata upravljanja specifičnih za AI.

Definiran opseg AI-ja

Obuhvaća AI-sustave, profiliranje, bodovanje, preporuke, podršku odlučivanju i automatizirane odluke koje uključuju osobne podatke (PII).

Usmjeravanje rizika i DPIA-e

Zahtijeva provjeru rizika za privatnost, odluke o DPIA-i i eskalaciju za obradu osobnih podataka (PII) povezanu s AI-jem visokog rizika.

Putovi za ljudsko preispitivanje

Dokumentira prava, prigovor, objašnjenje, ljudsko preispitivanje i putove mogućnosti osporavanja za pogođene ispitanike.

Kanonski dokazi

Zadržava dokaze o privatnosti povezane s AI-jem u postojećim objektima PIMS-a umjesto u zasebnim registrima specifičnima za AI.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost pravni poslovi usklađenost IT sigurnost ured službenika za zaštitu podataka

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti obrada osobnih podataka upravljanje pravima ispitanika procjena učinka na privatnost evidencije aktivnosti obrade ugrađena zaštita privatnosti upravljanje trećim stranama
€59

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
AI and Automated Decision-Making Privacy Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 5