MI- és automatizált döntéshozatali adatvédelmi szabályzat

Az MI- és automatizált döntéshozatali adatvédelmi szabályzat kötelező adatvédelmi követelményeket határoz meg a PII-t érintő mesterséges intelligenciával, profilalkotással, pontozással, ajánlással, döntéstámogatással és automatizált döntéshozatallal kapcsolatos tevékenységekre. Alkalmazási területe kiterjed azokra az MI-alapú rendszerekre, alkalmazásokra, modellekre, szolgáltatásokra, munkafolyamatokra, döntési motorokra, analitikai modellekre és automatizált döntéshozatali folyamatokra, amelyek a PIMS alkalmazási területén belül PII-t használnak, következtetnek ki, hoznak létre, közölnek vagy más módon kezelnek. Kiterjed továbbá a tanításhoz, teszteléshez, ellenőrzéshez, finomhangoláshoz, nyomon követéshez, éles következtetéshez, kimenet-felülvizsgálathoz, teljesítményméréshez, incidensvizsgálathoz és modellkivezetéshez használt PII-re. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokban alkalmazandó, beleértve az MI-hez kapcsolódó beszállítókat, adatfeldolgozókat, al-adatfeldolgozókat, adatmegosztási címzetteket és nemzetközi adattovábbítási útvonalakat. A szabályzat célja annak biztosítása, hogy a PII-t érintő MI-, profilalkotási és automatizált döntéshozatali tevékenységek azonosítottak, dokumentáltak, kockázatértékeltek, átláthatók, vitathatók, nyomon követettek és kontrolláltak legyenek a PIMS-en keresztül, anélkül, hogy párhuzamos, MI-specifikus irányítási artefaktumokat hoznának létre. Kifejezetten rögzíti, hogy nem hoz létre teljes MI-irányítási keretrendszert, MI-irányítási rendszert, MI-nyilvántartást, modellnyilvántartást, modellkockázati nyilvántartást, méltányossági nyilvántartást, algoritmusnyilvántartást, MI-incidensnyilvántartást, MI-bizottságot, modelltulajdonosi szerepkört, MI-rendszertulajdonosi szerepkört, jogi tanácsadási munkafolyamatot vagy külön MI-jóváhagyási űrlapot. Ehelyett előírja, hogy az MI-hez kapcsolódó adatvédelmi kötelezettségeket a meglévő kanonikus bizonyítékobjektumokon keresztül kell igazolni: REG02, REG04, REG06, REG07, REG08, REG09, REG10 és REG12. Működési szinten a szabályzat előírja, hogy a folyamatgazdák / üzlettulajdonosok megállapítsák, hogy az új vagy lényegesen módosított rendszerek, munkafolyamatok vagy üzleti folyamatok használnak-e PII-t érintő MI-t, profilalkotást, pontozást, ajánlást, döntéstámogatást vagy automatizált döntéshozatalt, és a megállapítást rögzítsék a REG02-ben. Az MI-hez kapcsolódó PII-adatkezelés megkezdése előtt a szabályzat előírja az adatkezelési cél, a PII-kategóriák, a PII-alanyok kategóriái, az adatforrások, a kikövetkeztetett vagy származtatott adatkategóriák, a kimeneti kategóriák, a címzettkategóriák, a jogalap és a megőrzési kapcsolódás dokumentálását. Az éles környezetben használt profilalkotás, pontozás, ajánlás, döntéstámogatás vagy automatizált döntéshozatal esetén a döntési kontextust, a PII-alanyokra várható hatást, az emberi közreműködést és a joggyakorlási útvonalat a REG02-ben és a REG04-ben kell dokumentálni. A kockázatirányítás a szabályzat központi eleme. Az MI-hez kapcsolódó PII-adatkezelés bevezetése vagy lényeges módosítása előtt az adatvédelemért felelős vezetőnek / PIMS-vezetőnek el kell végeznie az adatvédelmi kockázati előszűrést, és a DPIA-döntést rögzítenie kell a REG04-ben. Ha az adatkezelés profilalkotást, automatizált döntéseket, nagyléptékű értékelést, különleges kategóriájú adatokat, bűncselekményekre vonatkozó adatokat, sérülékeny PII-alanyokat, munkavállalói értékelést, gyermekeket, viselkedésalapú megfigyelést, helyadatokat, biometrikus adatokat, nagy hatású pontozást vagy jelentős hatásokat érint, az adatvédelmi tisztviselőnek / adatvédelmi tanácsadónak felül kell vizsgálnia az adatvédelmi kockázatot, és tanácsát rögzítenie kell a REG04-ben. Ha a tervezett kockázatkezelés után magas maradványkockázat marad fenn, a felső vezetésnek az éles használat előtt jóvá kell hagynia, el kell utasítania vagy további kockázatkezelést kell előírnia, és a döntést a REG04-ben és a REG12-ben kell rögzíteni. A szabályzat kontrollokat állapít meg az átláthatóságra, az érdemi tájékoztatásra, az adattakarékosságra, a joggyakorlási kérelmek kezelésére, a nyomon követésre, a beszállítókra és a betartatásra is. Az adatvédelmi tájékoztató tartalmának ismertetnie kell az MI-hez kapcsolódó célt, adatkategóriákat, kimeneti kategóriákat, címzettkategóriákat, joggyakorlási útvonalat és kapcsolattartási útvonalat, a tájékoztató verzióit pedig a REG07-ben kell rögzíteni. Ember általi felülvizsgálati, tiltakozási és vitathatósági útvonalakat kell biztosítani az olyan MI-hez kapcsolódó döntésekhez, amelyek jogi, jogosultsági, hozzáférési, foglalkoztatási, pénzügyi, oktatási, szolgáltatási, biztonsági vagy hasonlóan jelentős hatással járnak. A beszállítókat és adatfeldolgozókat a REG08-on keresztül kell irányítani, a nemzetközi adattovábbításokat pedig a REG09 útvonalán kell kezelni. A nyomon követési kritériumoknak ki kell terjedniük a bemeneti változásokra, a kimeneti változásokra, a joggyakorlási problémákra, a kedvezőtlen adatvédelmi eredményekre, a jogosulatlan használatra és a panasztrendekre; az aktív, nagy hatású MI-hez kapcsolódó PII-adatkezelést negyedévente felül kell vizsgálni, a meg nem feleléseket vagy helyesbítő intézkedéseket pedig a REG12-ben kell rögzíteni.