Politika ochrany súkromia pri AI a automatizovanom rozhodovaní

Politika ochrany súkromia pri AI a automatizovanom rozhodovaní definuje povinné požiadavky na ochranu súkromia pri umelej inteligencii, profilovaní, skórovaní, odporúčaniach, podpore rozhodovania a automatizovanom rozhodovaní zahŕňajúcich osobné údaje. Jej rozsah zahŕňa systémy, aplikácie, modely, služby, pracovné toky, rozhodovacie mechanizmy, analytické modely a procesy automatizovaného rozhodovania s podporou AI, ktoré používajú, odvodzujú, generujú, poskytujú alebo inak spracúvajú osobné údaje v rámci rozsahu PIMS. Zahŕňa aj osobné údaje používané na školenie, testovanie, validáciu, ladenie, monitorovanie, produkčnú inferenciu, preskúmanie výstupov, meranie výkonnosti, vyšetrovanie incidentov a vyradenie modelu. Politika sa uplatňuje v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa vrátane dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov, príjemcov zdieľania údajov a trás medzinárodného prenosu súvisiacich s AI. Účelom politiky je zabezpečiť, aby boli činnosti AI, profilovania a automatizovaného rozhodovania zahŕňajúce osobné údaje identifikované, zdokumentované, posúdené z hľadiska rizík, transparentné, napadnuteľné, monitorované a riadené prostredníctvom PIMS bez vytvárania duplicitných artefaktov správy a riadenia špecifických pre AI. Výslovne uvádza, že nevytvára úplný rámec správy a riadenia AI, systém riadenia AI, inventár AI, inventár modelov, register rizík modelov, register férovosti, register algoritmov, register incidentov AI, výbor pre AI, rolu vlastníka modelu, rolu vlastníka systému AI, pracovný tok právneho poradenstva ani samostatný formulár schvaľovania AI. Namiesto toho vyžaduje, aby sa povinnosti ochrany súkromia súvisiace s AI preukazovali prostredníctvom existujúcich kanonických dôkazových objektov: REG02, REG04, REG06, REG07, REG08, REG09, REG10 a REG12. Z prevádzkového hľadiska politika vyžaduje, aby vlastníci procesov / vlastníci organizácie určili, či nové alebo podstatne zmenené systémy, pracovné toky alebo obchodné procesy používajú AI, profilovanie, skórovanie, odporúčanie, podporu rozhodovania alebo automatizované rozhodovanie zahŕňajúce osobné údaje, a aby toto určenie zaznamenali v REG02. Pred začatím spracúvania osobných údajov súvisiaceho s AI politika vyžaduje zdokumentovanie účelu spracúvania, kategórií osobných údajov, kategórií dotknutých osôb, zdrojov údajov, kategórií odvodených údajov, kategórií výstupov, kategórií príjemcov, právneho základu a väzby na uchovávanie. Pri profilovaní, skórovaní, odporúčaní, podpore rozhodovania alebo automatizovanom rozhodovaní používanom v produkčnom prostredí sa v REG02 a REG04 musí zdokumentovať kontext rozhodnutia, očakávaný účinok na dotknuté osoby, zapojenie človeka a postup uplatnenia práv. Správa a riadenie rizík je ústrednou súčasťou politiky. Pred spustením alebo podstatnou zmenou spracúvania osobných údajov súvisiaceho s AI musí vedúci ochrany súkromia / manažér PIMS vykonať preverenie rizík ochrany súkromia a zaznamenať rozhodnutie o DPIA v REG04. Ak spracúvanie zahŕňa profilovanie, automatizované rozhodnutia, rozsiahle hodnotenie, údaje osobitnej kategórie, údaje o trestných činoch, zraniteľné dotknuté osoby, hodnotenie zamestnancov, deti, monitorovanie správania, lokalizačné údaje, biometrické údaje, skórovanie s vysokým dopadom alebo významné účinky, zodpovedná osoba pre ochranu osobných údajov (DPO) / poradca pre ochranu údajov musí preskúmať riziko ochrany súkromia a zaznamenať odporúčanie v REG04. Ak po plánovanom ošetrení zostáva vysoké zvyškové riziko ochrany súkromia, vrcholový manažment musí pred použitím v produkčnom prostredí schváliť, odmietnuť alebo vyžadovať ďalšie ošetrenie, pričom rozhodnutie sa zaznamená v REG04 a REG12. Politika zároveň stanovuje kontroly transparentnosti, zmysluplných informácií, minimalizácie, vybavovania práv, monitorovania, dodávateľov a uplatňovania. Obsah oznámenia o ochrane údajov musí opisovať účel súvisiaci s AI, kategórie údajov, kategórie výstupov, kategórie príjemcov, postup uplatnenia práv a kontaktný postup, pričom verzie oznámenia sa zaznamenávajú v REG07. Pri rozhodnutiach súvisiacich s AI, ktoré majú právne, kvalifikačné, prístupové, pracovnoprávne, finančné, vzdelávacie, servisné, bezpečnostné alebo obdobne významné účinky, sa vyžadujú postupy ľudského preskúmania, námietky a napadnuteľnosti. Dodávatelia a sprostredkovatelia musia byť riadení cez REG08, pričom medzinárodné prenosy sa smerujú cez REG09. Kritériá monitorovania musia pokrývať zmeny vstupov, zmeny výstupov, otázky práv, nepriaznivé výsledky z hľadiska ochrany súkromia, neoprávnené použitie a trendy sťažností, so štvrťročným preskúmaním pri aktívnom spracúvaní osobných údajov súvisiacom s AI s vysokým dopadom a so zaznamenaním nezhôd alebo nápravných opatrení v REG12.