policy ISO 27701 PIMS Policy Pack

Dirbtinio intelekto ir automatizuoto sprendimų priėmimo privatumo politika

Su ISO 27701 suderinta politika, skirta DI, profiliavimo ir automatizuoto sprendimų priėmimo privatumo kontrolės priemonėms AII apskaitos, DPIA, pranešimų, teisių ir tiekėjų srityse.

Apžvalga

Ši politika apibrėžia PIMS kontrolės priemones DI, profiliavimui ir automatizuotam sprendimų priėmimui, susijusiam su asmenį identifikuojančia informacija (AII). Joje reikalaujama identifikavimo, pirminio privatumo rizikos vertinimo, DPIA nukreipimo, skaidrumo, teisių tvarkymo, tiekėjų kontrolės priemonių, perdavimo nukreipimo, stebėsenos ir korekcinių veiksmų, naudojant esamus įrodymų objektus, o ne atskirus DI registrus.

DI privatumo kontrolės priemonių sistema

Apibrėžia privalomus privatumo reikalavimus DI, profiliavimui, vertinimui balais, rekomendacijoms ir automatizuotiems sprendimams, susijusiems su asmenį identifikuojančia informacija (AII).

Įrodymais grindžiama PIMS valdysena

Nukreipia DI privatumo įrodymus per REG02, REG04, REG06, REG07, REG08, REG09, REG10 ir REG12.

Teisės ir sprendimo užginčijimas

Reikalauja žmogaus atliekamos peržiūros kelių, prieštaravimų nagrinėjimo ir sprendimo užginčijimo palaikymo reikšmingiems su DI susijusiems sprendimams.

Skaityti visą apžvalgą (click to expand)
Dirbtinio intelekto ir automatizuoto sprendimų priėmimo privatumo politika apibrėžia privalomus privatumo reikalavimus dirbtinio intelekto, profiliavimo, vertinimo balais, rekomendavimo, sprendimų priėmimo paramos ir automatizuoto sprendimų priėmimo veikloms, susijusioms su asmenį identifikuojančia informacija (AII). Jos taikymo sritis apima DI palaikomas sistemas, taikomąsias programas, modelius, paslaugas, darbo eigas, sprendimų priėmimo variklius, analizės modelius ir automatizuoto sprendimų priėmimo procesus, kurie naudoja, išveda, generuoja, atskleidžia ar kitaip tvarko AII PIMS taikymo srityje. Ji taip pat apima AII, naudojamą mokymui, testavimui, validavimui, derinimui, stebėsenai, produkcinės aplinkos išvedimui, išvesties peržiūrai, veiklos matavimui, incidento tyrimui ir modelio eksploatacijos nutraukimui. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose, įskaitant su DI susijusius tiekėjus, duomenų tvarkytojus, subtvarkytojus, duomenų bendrinimo gavėjus ir tarptautinio perdavimo kelius. Politikos tikslas – užtikrinti, kad DI, profiliavimo ir automatizuoto sprendimų priėmimo veiklos, susijusios su AII, būtų identifikuotos, dokumentuotos, įvertintos pagal riziką, skaidrios, užginčijamos, stebimos ir kontroliuojamos per PIMS, nekuriant dubliuojančių DI skirtų valdysenos artefaktų. Joje aiškiai nustatyta, kad ji nesukuria išsamios DI valdysenos sistemos, DI valdymo sistemos, DI apskaitos, modelių apskaitos, modelių rizikos registro, sąžiningumo registro, algoritmų registro, DI incidentų registro, DI komiteto, modelio savininko vaidmens, DI sistemos savininko vaidmens, teisinės konsultacijos darbo eigos ar atskiros DI patvirtinimo formos. Vietoj to joje reikalaujama su DI susijusias privatumo prievoles pagrįsti esamais kanoniniais įrodymų objektais: REG02, REG04, REG06, REG07, REG08, REG09, REG10 ir REG12. Operaciniu požiūriu politika reikalauja, kad procesų savininkai / verslo savininkai nustatytų, ar naujos arba iš esmės pakeistos sistemos, darbo eigos ar verslo procesai naudoja DI, profiliavimą, vertinimą balais, rekomendavimą, sprendimų priėmimo paramą ar automatizuotą sprendimų priėmimą, susijusį su AII, ir šį nustatymą įrašytų REG02. Prieš pradedant su DI susijusį AII tvarkymą, politika reikalauja dokumentuoti tvarkymo tikslą, AII kategorijas, duomenų subjektų kategorijas, duomenų šaltinius, numanomų ar išvestinių duomenų kategorijas, išvesties kategorijas, gavėjų kategorijas, teisinį pagrindą ir saugojimo sąsają. Profiliavimui, vertinimui balais, rekomendavimui, sprendimų priėmimo paramai ar automatizuotam sprendimų priėmimui, naudojamam produkcinėje aplinkoje, REG02 ir REG04 turi būti dokumentuojamas sprendimo kontekstas, numatomas poveikis duomenų subjektams, žmogaus dalyvavimas ir teisių įgyvendinimo kelias. Rizikos valdysena yra esminė šios politikos dalis. Prieš pradedant arba iš esmės keičiant su DI susijusį AII tvarkymą, privatumo vadovas / PIMS vadovas turi atlikti pirminį privatumo rizikos vertinimą ir REG04 įrašyti DPIA sprendimą. Kai tvarkymas apima profiliavimą, automatizuotus sprendimus, plataus masto vertinimą, specialių kategorijų duomenis, duomenis apie nusikalstamas veikas, pažeidžiamus duomenų subjektus, darbuotojų vertinimą, vaikus, elgsenos stebėseną, vietos duomenis, biometrinius duomenis, didelio poveikio vertinimą balais ar reikšmingą poveikį, duomenų apsaugos pareigūnas / privatumo konsultantas turi peržiūrėti privatumo riziką ir REG04 įrašyti konsultaciją. Jei po suplanuoto rizikos tvarkymo lieka didelė liekamoji privatumo rizika, aukščiausioji vadovybė prieš naudojimą produkcinėje aplinkoje turi ją patvirtinti, atmesti arba pareikalauti papildomo tvarkymo, o sprendimas turi būti įrašytas REG04 ir REG12. Politika taip pat nustato skaidrumo, prasmingos informacijos, minimizavimo, teisių tvarkymo, stebėsenos, tiekėjų ir įgyvendinimo kontrolės priemones. Privatumo pranešimo turinyje turi būti aprašytas su DI susijęs tikslas, duomenų kategorijos, išvesties kategorijos, gavėjų kategorijos, teisių įgyvendinimo kelias ir kontaktinis kelias, o pranešimo versijos turi būti įrašytos REG07. Žmogaus atliekamos peržiūros, prieštaravimo ir sprendimo užginčijimo keliai yra privalomi su DI susijusiems sprendimams, turintiems teisinį, tinkamumo, prieigos, darbo santykių, finansinį, švietimo, paslaugų, saugos ar panašiai reikšmingą poveikį. Tiekėjai ir duomenų tvarkytojai turi būti valdomi per REG08, o tarptautiniai duomenų perdavimai nukreipiami per REG09. Stebėsenos kriterijai turi apimti įvesties pakeitimus, išvesties pakeitimus, teisių klausimus, neigiamus privatumo rezultatus, neautorizuotą naudojimą ir skundų tendencijas, o aktyviam didelio poveikio su DI susijusiam AII tvarkymui turi būti atliekama ketvirtinė peržiūra; neatitiktys arba korekciniai veiksmai registruojami REG12.

Politikos diagrama

Proceso eigos schema, rodanti su DI susijusio AII tvarkymo identifikavimą REG02, pirminį privatumo rizikos vertinimą ir DPIA nukreipimą REG04, skaidrumo įrašus REG07, teises ir žmogaus atliekamą peržiūrą REG06, tiekėjų ir perdavimo kontrolės priemones REG08 ir REG09, incidentų eskalavimą REG10, taip pat stebėseną, išimtis, korekcinius veiksmus ir audito įrodymus REG12.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

DI tvarkymo identifikavimas ir REG02 įrodymai

Pirminis privatumo rizikos vertinimas ir DPIA nukreipimas

Skaidrumas, prasminga informacija ir pranešimai

Žmogaus atliekama peržiūra, prieštaravimas ir sprendimo užginčijimas

Tiekėjų, duomenų tvarkytojų ir tarptautinio perdavimo kontrolės priemonės

Stebėsena, incidentai, išimtys ir korekciniai veiksmai

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 4(4)Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(d)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.4Annex A.5Annex A.7Annex A.8Annex A.10

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Su DI susiję tikslai, teisinis pagrindas, AII kategorijos, duomenų šaltiniai, išvestys ir sprendimų poveikis turi būti įrašomi tvarkymo veiklos apskaitoje.

Privatumo pranešimo ir skaidrumo politika

Su DI susijęs skaidrumas, prasminga informacija ir pranešimų versijų kontrolė tvarkomi per privatumo pranešimo procesą.

Duomenų subjektų teisių valdymo politika

Prieigos, prieštaravimo, ištaisymo, ištrynimo, apribojimo, žmogaus atliekamos peržiūros ir sprendimo užginčijimo prašymai nukreipiami per teisių darbo eigą.

Privatumo rizikos vertinimo ir DPIA politika

Su DI susijęs pirminis privatumo rizikos vertinimas, DPIA nukreipimas, rizikos tvarkymas ir didelės liekamosios rizikos eskalavimas priklauso nuo šios politikos.

Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika

Sistemos įgyvendinimo ir pakeitimų kontrolės priemonės turi apimti patvirtintus DI įvesties apribojimus, išvesties tvarkymą, prieigą, žurnalų tvarkymą ir numatytuosius nustatymus.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Su DI susiję tiekėjai, duomenų tvarkytojai, subtvarkytojai, duomenų bendrinimo gavėjai ir pagalbos prievolės valdomi per REG08.

Apie Clarysec politikas - Dirbtinio intelekto ir automatizuoto sprendimų priėmimo privatumo politika

Su DI susijusi privatumo valdysena neveikia tinkamai, kai profiliavimo, vertinimo balais, rekomendavimo ir automatizuoto sprendimų priėmimo veiklos nėra susietos su AII apskaita, rizikos vertinimu, skaidrumu, teisių tvarkymu, tiekėjų valdysena, perdavimais, incidentais ir nuolatiniu tobulinimu. Ši politika apibrėžia privalomus privatumo reikalavimus su DI susijusiam AII tvarkymui PIMS taikymo srityje ir taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose. Ji reikalauja, kad su DI susijusios veiklos būtų identifikuotos, dokumentuotos, įvertintos pagal riziką, skaidrios, užginčijamos, stebimos ir kontroliuojamos per REG02, REG04, REG06, REG07, REG08, REG09, REG10 ir REG12, kartu aiškiai vengiant dubliuojančių DI skirtų registrų ar atskirų valdysenos artefaktų.

Apibrėžta DI taikymo sritis

Apima DI sistemas, profiliavimą, vertinimą balais, rekomendacijas, sprendimų priėmimo paramą ir automatizuotus sprendimus, susijusius su AII.

Rizikos ir DPIA nukreipimas

Reikalauja pirminio privatumo rizikos vertinimo, DPIA sprendimų ir eskalavimo dėl didelės rizikos su DI susijusio AII tvarkymo.

Žmogaus atliekamos peržiūros keliai

Dokumentuoja teisių, prieštaravimo, paaiškinimo, žmogaus atliekamos peržiūros ir sprendimo užginčijimo kelius paveiktiems duomenų subjektams.

Kanoniniai įrodymai

DI privatumo įrodymai laikomi esamuose PIMS objektuose, o ne atskiruose DI skirtuose registruose.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas teisė atitiktis IT saugumas duomenų apsaugos pareigūno (DAP) biuras

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas asmens duomenų tvarkymas duomenų subjektų teisių valdymas poveikio privatumui vertinimas tvarkymo veiklos įrašai privatumas pagal projektavimą trečiųjų šalių valdymas
€59

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
AI and Automated Decision-Making Privacy Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 5