Politika zasebnosti za umetno inteligenco in avtomatizirano sprejemanje odločitev

Politika zasebnosti za umetno inteligenco in avtomatizirano sprejemanje odločitev določa obvezne zahteve glede zasebnosti za dejavnosti umetne inteligence, oblikovanja profilov, točkovanja, priporočanja, podpore odločanju in avtomatiziranega sprejemanja odločitev, ki vključujejo osebno določljive podatke. Njen obseg vključuje sisteme, aplikacije, modele, storitve, delovne tokove, mehanizme odločanja, analitične modele in procese avtomatiziranega sprejemanja odločitev, omogočene z umetno inteligenco, ki uporabljajo, sklepajo, ustvarjajo, razkrivajo ali drugače obdelujejo osebno določljive podatke v obsegu PIMS. Zajema tudi osebno določljive podatke, ki se uporabljajo za usposabljanje, testiranje, validacijo, prilagajanje, spremljanje, produkcijsko sklepanje, pregled izhodov, merjenje uspešnosti, preiskavo incidentov in umik modela iz uporabe. Politika se uporablja v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, vključno z dobavitelji, obdelovalci, podobdelovalci, prejemniki pri deljenju podatkov in potmi mednarodnih prenosov, povezanimi z umetno inteligenco. Namen politike je zagotoviti, da so dejavnosti umetne inteligence, oblikovanja profilov in avtomatiziranega sprejemanja odločitev, ki vključujejo osebno določljive podatke, identificirane, dokumentirane, predmet ocene tveganja, pregledne, izpodbojne, spremljane in nadzorovane prek PIMS, ne da bi nastajali podvojeni artefakti upravljanja, specifični za umetno inteligenco. Izrecno določa, da ne vzpostavlja celovitega okvira upravljanja umetne inteligence, sistema upravljanja umetne inteligence, evidence umetne inteligence, evidence modelov, registra tveganj modelov, registra pravičnosti, registra algoritmov, registra incidentov umetne inteligence, odbora za umetno inteligenco, vloge lastnika modela, vloge lastnika sistema umetne inteligence, delovnega toka pravnega svetovanja ali ločenega obrazca za odobritev umetne inteligence. Namesto tega zahteva, da se obveznosti glede zasebnosti, povezane z umetno inteligenco, dokazujejo z obstoječimi kanoničnimi dokaznimi objekti: REG02, REG04, REG06, REG07, REG08, REG09, REG10 in REG12. Operativno politika zahteva, da lastniki procesov / lastniki poslovnih procesov ugotovijo, ali novi ali bistveno spremenjeni sistemi, delovni tokovi ali poslovni procesi uporabljajo umetno inteligenco, oblikovanje profilov, točkovanje, priporočanje, podporo odločanju ali avtomatizirano sprejemanje odločitev, ki vključuje osebno določljive podatke, ter ugotovitev zabeležijo v REG02. Pred začetkom obdelave osebno določljivih podatkov, povezane z umetno inteligenco, politika zahteva dokumentiranje namena obdelave, kategorij osebno določljivih podatkov, kategorij posameznikov, na katere se nanašajo osebno določljivi podatki, virov podatkov, kategorij sklepanih ali izpeljanih podatkov, kategorij izhodov, kategorij prejemnikov, pravne podlage in povezave s hrambo. Pri oblikovanju profilov, točkovanju, priporočanju, podpori odločanju ali avtomatiziranem sprejemanju odločitev, ki se uporablja v produkciji, morajo biti kontekst odločitve, pričakovani učinek na posameznike, na katere se nanašajo osebno določljivi podatki, človeška vključenost in pot za uveljavljanje pravic dokumentirani v REG02 in REG04. Upravljanje tveganj je osrednji del politike. Pred uvedbo ali bistveno spremembo obdelave osebno določljivih podatkov, povezane z umetno inteligenco, mora vodja zasebnosti / vodja PIMS opraviti preverjanje tveganj za zasebnost in odločitev o DPIA zabeležiti v REG04. Kadar obdelava vključuje oblikovanje profilov, avtomatizirane odločitve, obsežno vrednotenje, posebne vrste podatkov, podatke o kaznivih dejanjih, ranljive posameznike, na katere se nanašajo osebno določljivi podatki, ocenjevanje zaposlenih, otroke, spremljanje vedenja, lokacijske podatke, biometrične podatke, točkovanje z velikim vplivom ali pomembne učinke, mora pooblaščena oseba za varstvo podatkov / svetovalec za zasebnost pregledati tveganje za zasebnost in nasvet zabeležiti v REG04. Če po načrtovani obravnavi tveganj ostane visoko preostalo tveganje za zasebnost, mora najvišje vodstvo pred produkcijsko uporabo odobriti, zavrniti ali zahtevati dodatno obravnavo, pri čemer se odločitev zabeleži v REG04 in REG12. Politika določa tudi kontrole za preglednost, smiselne informacije, minimizacijo, obravnavo zahtev za uveljavljanje pravic, spremljanje, dobavitelje in izvajanje. Vsebina obvestila o zasebnosti mora opisati namen, povezan z umetno inteligenco, kategorije podatkov, kategorije izhodov, kategorije prejemnikov, pot za uveljavljanje pravic in kontaktno pot, različice obvestil pa morajo biti zabeležene v REG07. Poti za človeški pregled, ugovor in možnost izpodbijanja so zahtevane za odločitve, povezane z umetno inteligenco, ki imajo pravne, upravičenostne, dostopne, zaposlitvene, finančne, izobraževalne, storitvene, varnostne ali podobno pomembne učinke. Dobavitelje in obdelovalce je treba upravljati prek REG08, mednarodne prenose pa usmerjati prek REG09. Merila spremljanja morajo zajemati spremembe vhodov, spremembe izhodov, vprašanja pravic, škodljive izide za zasebnost, nepooblaščeno uporabo in trende pritožb, s četrtletnim pregledom za aktivno obdelavo osebno določljivih podatkov, povezano z umetno inteligenco z velikim vplivom, ter z neskladnostmi ali korektivnimi ukrepi, zabeleženimi v REG12.