Mākslīgā intelekta un automatizētas lēmumu pieņemšanas privātuma politika

Mākslīgā intelekta un automatizētas lēmumu pieņemšanas privātuma politika nosaka obligātās privātuma prasības mākslīgajam intelektam, profilēšanai, vērtēšanai, ieteikumiem, lēmumu atbalstam un automatizētas lēmumu pieņemšanas darbībām, kas ietver PII. Tās darbības joma ietver ar mākslīgo intelektu iespējotas sistēmas, lietojumprogrammas, modeļus, pakalpojumus, darbplūsmas, lēmumu dzinējus, analītikas modeļus un automatizētas lēmumu pieņemšanas procesus, kas PIMS darbības jomas ietvaros izmanto, secina, ģenerē, izpauž vai citādi apstrādā PII. Tā aptver arī PII, kas tiek izmantota apmācībai, testēšanai, validēšanai, pielāgošanai, uzraudzībai, ražošanas secinājumu veikšanai, izvaddatu pārskatīšanai, veiktspējas mērīšanai, incidentu izmeklēšanai un modeļa izņemšanai no ekspluatācijas. Politika ir piemērojama pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstā, tostarp ar mākslīgo intelektu saistītiem piegādātājiem, apstrādātājiem, apakšapstrādātājiem, datu koplietošanas saņēmējiem un starptautiskas datu nosūtīšanas maršrutiem. Politikas mērķis ir nodrošināt, ka mākslīgā intelekta, profilēšanas un automatizētas lēmumu pieņemšanas darbības, kas ietver PII, tiek identificētas, dokumentētas, risku izvērtētas, pārredzamas, apstrīdamas, uzraudzītas un kontrolētas caur PIMS, neveidojot dublējošus, mākslīgajam intelektam specifiskus pārvaldības artefaktus. Tā skaidri nosaka, ka tā neizveido pilnu mākslīgā intelekta pārvaldības ietvaru, mākslīgā intelekta pārvaldības sistēmu, mākslīgā intelekta uzskaiti, modeļu uzskaiti, modeļu risku reģistru, taisnīguma reģistru, algoritmu reģistru, mākslīgā intelekta incidentu reģistru, mākslīgā intelekta komiteju, modeļa īpašnieka lomu, mākslīgā intelekta sistēmas īpašnieka lomu, juridisko konsultāciju darbplūsmu vai atsevišķu mākslīgā intelekta apstiprinājuma veidlapu. Tā vietā politika prasa ar mākslīgo intelektu saistītos privātuma pienākumus pierādīt ar esošiem kanoniskiem pierādījumu objektiem: REG02, REG04, REG06, REG07, REG08, REG09, REG10 un REG12. Operatīvi politika prasa procesu īpašniekiem / uzņēmuma īpašniekiem noteikt, vai jaunas vai būtiski mainītas sistēmas, darbplūsmas vai biznesa procesi izmanto mākslīgo intelektu, profilēšanu, vērtēšanu, ieteikumus, lēmumu atbalstu vai automatizētu lēmumu pieņemšanu, kas ietver PII, un reģistrēt šo noteikšanu REG02. Pirms ar mākslīgo intelektu saistīta PII apstrāde sākas, politika prasa dokumentēt apstrādes nolūku, PII kategorijas, datu subjektu kategorijas, datu avotus, secināto vai atvasināto datu kategorijas, izvaddatu kategorijas, saņēmēju kategorijas, tiesisko pamatu un glabāšanas sasaisti. Profilēšanai, vērtēšanai, ieteikumiem, lēmumu atbalstam vai automatizētai lēmumu pieņemšanai, kas tiek izmantota ražošanas vidē, lēmuma konteksts, paredzamā ietekme uz datu subjektiem, cilvēka iesaiste un tiesību maršruts ir jādokumentē REG02 un REG04. Risku pārvaldība ir šīs politikas centrālā daļa. Pirms ar mākslīgo intelektu saistītas PII apstrādes uzsākšanas vai būtiskām izmaiņām tajā privātuma vadītājam / PIMS vadītājam ir jāveic privātuma riska sākotnējā izvērtēšana un REG04 jāreģistrē DPIA lēmums. Ja apstrāde ietver profilēšanu, automatizētus lēmumus, liela mēroga izvērtēšanu, īpašu kategoriju personas datus, datus par noziedzīgiem nodarījumiem, ievainojamus datu subjektus, darbinieku izvērtēšanu, bērnus, uzvedības uzraudzību, atrašanās vietas datus, biometriskos datus, augstas ietekmes vērtēšanu vai būtiskas sekas, datu aizsardzības speciālistam / privātuma konsultantam ir jāpārskata privātuma risks un REG04 jāreģistrē ieteikumi. Ja pēc plānotās apstrādes saglabājas augsts atlikušais privātuma risks, augstākajai vadībai pirms izmantošanas ražošanas vidē ir jāapstiprina, jānoraida vai jāpieprasa turpmāka apstrāde, un lēmums jāreģistrē REG04 un REG12. Politika arī nosaka kontroles pasākumus pārredzamībai, jēgpilnai informācijai, minimizēšanai, tiesību apstrādei, uzraudzībai, piegādātājiem un politikas piemērošanai. Privātuma paziņojuma saturam ir jāapraksta ar mākslīgo intelektu saistītais nolūks, datu kategorijas, izvaddatu kategorijas, saņēmēju kategorijas, tiesību maršruts un kontaktkanāls, un paziņojumu versijas jāreģistrē REG07. Cilvēka veikta pārskatīšana, iebildumu un apstrīdamības maršruti ir nepieciešami ar mākslīgo intelektu saistītiem lēmumiem ar tiesiskām, atbilstības, piekļuves, nodarbinātības, finanšu, izglītības, pakalpojumu, drošības vai līdzīgi būtiskām sekām. Piegādātāji un apstrādātāji ir jāpārvalda caur REG08, bet starptautiska personas datu nosūtīšana jāvirza caur REG09. Uzraudzības kritērijiem jāaptver ievaddatu izmaiņas, izvaddatu izmaiņas, tiesību jautājumi, nelabvēlīgi privātuma rezultāti, nesankcionēta izmantošana un sūdzību tendences, ar ceturkšņa pārskatīšanu aktīvai augstas ietekmes ar mākslīgo intelektu saistītai PII apstrādei, un neatbilstības vai korektīvās darbības jāreģistrē REG12.