Polityka prywatności dotycząca AI i zautomatyzowanego podejmowania decyzji

Polityka prywatności dotycząca AI i zautomatyzowanego podejmowania decyzji określa obowiązkowe wymagania prywatności dla sztucznej inteligencji, profilowania, punktacji, rekomendacji, wsparcia decyzji i działań zautomatyzowanego podejmowania decyzji obejmujących PII. Jej zakres obejmuje systemy, aplikacje, modele, usługi, procesy pracy, silniki decyzyjne, modele analityczne i procesy zautomatyzowanego podejmowania decyzji wykorzystujące AI, które używają PII, wywodzą je, generują, ujawniają lub w inny sposób przetwarzają w zakresie PIMS. Obejmuje także PII wykorzystywane do szkolenia, testowania, walidacji, strojenia, monitorowania, inferencji w środowisku produkcyjnym, przeglądu wyników, pomiaru wydajności, dochodzenia w sprawie incydentów i wycofania modeli. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, w tym wobec dostawców związanych z AI, podmiotów przetwarzających, podwykonawców przetwarzania, odbiorców w ramach udostępniania danych oraz międzynarodowych ścieżek transferu. Celem polityki jest zapewnienie, aby działania AI, profilowania i zautomatyzowanego podejmowania decyzji obejmujące PII były identyfikowane, dokumentowane, oceniane pod kątem ryzyka, przejrzyste, możliwe do zakwestionowania, monitorowane i kontrolowane przez PIMS bez tworzenia zduplikowanych artefaktów ładu zarządczego specyficznych dla AI. Polityka wyraźnie wskazuje, że nie tworzy pełnych ram ładu zarządczego AI, systemu zarządzania AI, inwentarza AI, inwentarza modeli, rejestru ryzyka modeli, rejestru sprawiedliwości, rejestru algorytmów, rejestru incydentów AI, komitetu AI, roli właściciela modelu, roli właściciela systemu AI, procesu uzyskiwania porady prawnej ani odrębnego formularza zatwierdzenia AI. Zamiast tego wymaga, aby obowiązki prywatności związane z AI były wykazywane przez istniejące kanoniczne obiekty dowodowe: REG02, REG04, REG06, REG07, REG08, REG09, REG10 i REG12. Operacyjnie polityka wymaga, aby właściciele procesów / właściciele biznesowi ustalali, czy nowe lub istotnie zmienione systemy, procesy pracy lub procesy biznesowe wykorzystują AI, profilowanie, punktację, rekomendacje, wsparcie decyzji lub zautomatyzowane podejmowanie decyzji obejmujące PII, oraz rejestrowali to ustalenie w REG02. Przed rozpoczęciem przetwarzania PII związanego z AI polityka wymaga udokumentowania celu przetwarzania, kategorii PII, kategorii osób, których dane dotyczą, źródeł danych, kategorii danych wywnioskowanych lub pochodnych, kategorii wyników, kategorii odbiorców, podstawy prawnej oraz powiązania z retencją. W przypadku profilowania, punktacji, rekomendacji, wsparcia decyzji lub zautomatyzowanego podejmowania decyzji wykorzystywanych produkcyjnie kontekst decyzji, oczekiwany skutek dla osób, których dane dotyczą, udział człowieka oraz ścieżka realizacji praw muszą być udokumentowane w REG02 i REG04. Nadzór nad ryzykiem stanowi centralny element polityki. Przed uruchomieniem lub istotną zmianą przetwarzania PII związanego z AI osoba odpowiedzialna za prywatność / Menedżer PIMS musi przeprowadzić wstępną ocenę ryzyka dla prywatności i zarejestrować decyzję dotyczącą DPIA w REG04. Gdy przetwarzanie obejmuje profilowanie, zautomatyzowane decyzje, ocenę na dużą skalę, szczególne kategorie danych osobowych, dane dotyczące wyroków skazujących i czynów zabronionych, osoby, których dane dotyczą, wymagające szczególnej ochrony, ocenę pracowników, dzieci, monitorowanie behawioralne, dane lokalizacyjne, dane biometryczne, punktację o istotnym wpływie lub istotne skutki, Inspektor Ochrony Danych (IOD) / doradca ds. prywatności musi przejrzeć ryzyko dla prywatności i zarejestrować poradę w REG04. Jeżeli po planowanym postępowaniu z ryzykiem pozostaje wysokie ryzyko rezydualne dla prywatności, najwyższe kierownictwo musi zatwierdzić, odrzucić lub wymagać dalszego postępowania przed użyciem produkcyjnym, a decyzja musi zostać zarejestrowana w REG04 i REG12. Polityka ustanawia również środki kontrolne dotyczące przejrzystości, istotnych informacji, minimalizacji, obsługi praw, monitorowania, dostawców i stosowania polityki. Treść klauzuli informacyjnej musi opisywać cel związany z AI, kategorie danych, kategorie wyników, kategorie odbiorców, ścieżkę realizacji praw oraz ścieżkę kontaktu, a wersje klauzul informacyjnych muszą być rejestrowane w REG07. Ścieżki interwencji ludzkiej, sprzeciwu i możliwości zakwestionowania są wymagane dla decyzji związanych z AI wywołujących skutki prawne, skutki dotyczące kwalifikowalności, dostępu, zatrudnienia, finansów, edukacji, usług, bezpieczeństwa lub podobnie istotne skutki. Dostawcy i podmioty przetwarzające muszą być nadzorowani przez REG08, a transfery międzynarodowe kierowane przez REG09. Kryteria monitorowania muszą obejmować zmiany danych wejściowych, zmiany wyników, kwestie związane z prawami, niekorzystne skutki dla prywatności, nieuprawnione użycie oraz trendy skarg, z kwartalnym przeglądem aktywnego przetwarzania PII związanego z AI o istotnym wpływie oraz niezgodnościami lub działaniami korygującymi rejestrowanymi w REG12.