Κώδικας δεοντολογίας AI του ομίλου LEGIER και "SANDIC by LEGIER"

Πίνακας περιεχομένων

Σημείωση: Εάν ο αυτόματος κατάλογος εμφανίζεται άδειος, κάντε δεξί κλικ στο Word → "Ενημέρωση πεδίου".

1. προοίμιο & πεδίο εφαρμογής

Ο παρών Κώδικας καθορίζει δεσμευτικές αρχές, διαδικασίες και ελέγχους για την ανάπτυξη, την προμήθεια, τη λειτουργία και τη χρήση της ΤΝ στον Όμιλο LEGIER. Ισχύει σε ολόκληρο τον Όμιλο για τους υπαλλήλους, τα διευθυντικά στελέχη, τους εκτελούντες συμβόλαια, τους προμηθευτές και τους συνεργάτες.

Ενσωματώνει τις υφιστάμενες κατευθυντήριες γραμμές του Ομίλου (προστασία δεδομένων, διαδικασίες ψηφιακών υπηρεσιών, εταιρική διακυβέρνηση, βιωσιμότητα, πολιτική για τα ανθρώπινα δικαιώματα, δήλωση για τη σύγχρονη δουλεία) και τις επεκτείνει ώστε να συμπεριλάβουν ειδικές απαιτήσεις για την ΤΝ.

Στόχος είναι να επιτρέπει τα οφέλη και την καινοτομία, να καθιστά τους κινδύνους διαχειρίσιμους και να προστατεύει τα δικαιώματα των χρηστών, των πελατών και του κοινού.

2. βασικές αξίες & κατευθυντήριες αρχές

Ανθρώπινη αξιοπρέπεια και θεμελιώδη δικαιώματα στέκονται πάνω από την οικονομική αποδοτικότητα. Η τεχνητή νοημοσύνη εξυπηρετεί τους ανθρώπους - ποτέ το αντίθετο.
Νομική συμμόρφωση: Συμμόρφωση με Πράξη της ΕΕ για την τεχνητή νοημοσύνη, GDPR, DSA και τα ειδικά για τον τομέα πρότυπα. Καμία χρήση απαγορευμένων πρακτικών.
Υπευθυνότητα & Λογοδοσία: Για κάθε σύστημα ΤΝ ορίζεται ένας υπεύθυνος ιδιοκτήτης- οι αποφάσεις είναι ανιχνεύσιμες και αμφισβητήσιμες.
Αναλογικότητα: Ισορροπία σκοπού, κινδύνου, έντασης παρέμβασης και κοινωνικού αντίκτυπου.
Διαφάνεια και επεξηγηματικότητα: Επαρκείς πληροφορίες, τεκμηρίωση και κανάλια επικοινωνίας σχετικά με τη λειτουργικότητα, τις καταστάσεις δεδομένων και τους περιορισμούς.
Δικαιοσύνη και ένταξη: Συστηματικός έλεγχος μεροληψίας, προστασία ευάλωτων ομάδων, προσβασιμότητα και πολυγλωσσία.
Ασφάλεια και ανθεκτικότητα: Ασφάλεια μέσω σχεδιασμού, άμυνα σε βάθος, συνεχής σκλήρυνση και παρακολούθηση.
Βιωσιμότητα: Αποδοτικότητα μοντέλων και κέντρων δεδομένων (ενέργεια, PUE/CFE), άποψη του κύκλου ζωής των δεδομένων/μοντέλων.

3. διακυβέρνηση και αρμοδιότητες (Συμβούλιο Δεοντολογίας ΤΝ, RACI)

Συμβούλιο Δεοντολογίας ΤΝ (AIEB): Διεπιστημονική (τεχνολογία, νομική/συμμόρφωση, προστασία δεδομένων, ασφάλεια, σύνταξη/προϊόν, άνθρωποι). Καθήκοντα: Επικαιροποίηση πολιτικών, έκδοση εγκρίσεων (ιδίως υψηλού κινδύνου), λήψη αποφάσεων για συγκρούσεις, παρακολούθηση εκθέσεων.

Ρόλοι: Ιδιοκτήτης περιπτώσεων χρήσης, Ιδιοκτήτης μοντέλου, Διαχειριστής δεδομένων, DPO, Επικεφαλής ασφάλειας, Υπεύθυνος συντάκτης, Ιδιοκτήτης υπηρεσιών, Επικεφαλής προμηθειών.

Επιτροπές & Πύλες: Έγκριση AIIA πριν από την έναρξη λειτουργίας- συμβουλευτική επιτροπή αλλαγών για ουσιώδεις αλλαγές- ετήσιες διαχειριστικές αναθεωρήσεις.

Αρχή RACI: Σαφής ανάθεση ευθύνης για κάθε δραστηριότητα (Υπεύθυνος, Υπόλογος, Διαβουλεύσεις, Ενημέρωση).

4. νομικό και τυποποιητικό πλαίσιο (νόμος της ΕΕ για την ΤΝ, ΓΚΠΔ, DSA, πνευματικά δικαιώματα, εμπορικό δίκαιο)

EU-AI-Act: Πλαίσιο βάσει κινδύνου με απαγορεύσεις, υποχρεώσεις για συστήματα υψηλού κινδύνου, τεκμηρίωση, καταγραφή, διακυβέρνηση, υποχρεώσεις διαφάνειας- κλιμακωτή εφαρμογή από το 2025/2026.
GDPR: Νομικές βάσεις (άρθρο 6/9), δικαιώματα των υποκειμένων των δεδομένων, προστασία της ιδιωτικής ζωής εκ κατασκευής/από προεπιλογή, εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (DPIA), διαβιβάσεις σε τρίτες χώρες (άρθρο 44 και επόμενα).
DSA: Διαδικασίες πλατφόρμας για κοινοποιήσεις, καταγγελίες, εκθέσεις διαφάνειας, αξιολογήσεις κινδύνου μεγάλων πλατφορμών.
Πνευματικά δικαιώματα & συγγενικά δικαιώματα / προσωπικά δικαιώματα: Σαφείς αλυσίδες αδειών χρήσης, δικαιώματα εικόνας/επωνυμίας, δικαιώματα κατοικίας τρίτων.
Ειδικές βιομηχανικές απαιτήσεις (π.χ. αεροπορικό/ναυτικό δίκαιο/υγεία) πρέπει επίσης να τηρούνται.

5. ταξινόμηση κινδύνου & αξιολόγηση επιπτώσεων ΤΝ (AIIA)

Ταξινόμηση:

Απαγορευμένες πρακτικές (δεν επιτρέπονται)
Συστήματα υψηλού κινδύνου (αυστηρές υποχρεώσεις)
Περιορισμένος κίνδυνος (διαφάνεια)
Ελαχιστοποίηση του κινδύνου

Διαδικασία AIIA: Περιγραφή Σκοπός/πεδίο εφαρμογής, ενδιαφερόμενοι, νομική βάση, πηγές δεδομένων- ανάλυση κινδύνου (νομικός, δεοντολογικός, ασφάλειας, προκατάληψης, περιβαλλοντικός αντίκτυπος)- σχέδιο μετριασμού- απόφαση (έγκριση AIEB).

Επαναξιολογήσεις: Για ουσιώδεις αλλαγές, ετησίως για υψηλό κίνδυνο- τεκμηρίωση στο κεντρικό μητρώο.

6. δεοντολογία και προστασία δεδομένων (νομική βάση, DPIA, cookies, τρίτη χώρα)

Ελαχιστοποίηση δεδομένων & περιορισμός σκοπού, Προτιμάται η ψευδωνυμοποίηση/ανωνυμοποίηση.
Διαφάνεια: Πληροφορίες για την προστασία των δεδομένων, κανάλια ενημέρωσης και διαγραφής- φορητότητα- επιλογές ένστασης.
Cookies/Παρακολούθηση: Διαχείριση συγκατάθεσης- ανάκληση- ανωνυμοποίηση IP- μόνο εγκεκριμένα εργαλεία.
Μεταφορές από τρίτες χώρες: Μόνο με κατάλληλες εγγυήσεις (SCC/επαρκής), τακτικός έλεγχος των υπο-επεξεργαστών.
DPIA: Υποχρεωτική για μεταποίηση υψηλού κινδύνου- τεκμηρίωση τεχνικών/οργανωτικών μέτρων (ΤΟΜ).

7. κύκλος ζωής μοντέλων και δεδομένων (κύκλος ζωής ML, κάρτες δεδομένων, κάρτες μοντέλων)

Κύκλος ζωής δεδομένων: Απόκτηση → Επιμέλεια → Επισήμανση → Πύλες ποιότητας → Έκδοση → Διατήρηση/διαγραφή.

Κύκλος ζωής μοντέλου: Ορισμός προβλήματος → Επιλογή αρχιτεκτονικής → Εκπαίδευση/ρυθμίσεις → Αξιολόγηση (offline/online) → Αποδέσμευση → Λειτουργία → Παρακολούθηση → Επανεκπαίδευση/απόσυρση.

Κάρτες δεδομένων: Προέλευση, αντιπροσωπευτικότητα, ποιότητα, ευρήματα μεροληψίας, περιορισμοί στη χρήση.

Μοντέλο καρτών: Σκοπός, δεδομένα εκπαίδευσης, σημεία αναφοράς, μετρήσεις, περιορισμοί, αναμενόμενα μοτίβα σφαλμάτων, ενέργειες/μη ενέργειες.

Προέλευση και αναπαραγωγιμότητα: Κατακερματισμοί, εκδόσεις δεδομένων/μοντέλων, επαληθεύσεις αγωγών.

8. Διαφάνεια, επεξηγηματικότητα & οδηγίες χρήσης

Επισήμανση για αλληλεπίδραση με ΤΝ και περιεχόμενο που παράγεται από ΤΝ.
Εξηγησιμότητα: Χρησιμοποιήστε επεξηγήσεις προσαρμοσμένες στην περίπτωση, φιλικές προς τον απλό άνθρωπο (τοπικές/παγκόσμιες).
Οδηγίες χρήσης: Σκοπός, κύριοι παράγοντες επιρροής, όρια- μέθοδοι ανατροφοδότησης και διόρθωσης.

9. Ανθρώπινα καθήκοντα & καθήκοντα εποπτείας

Ανθρώπινη εποπτεία ως πρότυπο για τις σχετικές αποφάσεις (ιδιαίτερα υψηλού κινδύνου).
Αρχή των τεσσάρων ματιών για συντακτικές/κοινωνικά ευαίσθητες εργασίες.
Λειτουργίες παράκαμψης/ακύρωσης- διαδρομές κλιμάκωσης- τεκμηρίωση.

10. ασφάλεια, ευρωστία & red-teaming (prompt injection, jailbreaks)

Μοντελοποίηση απειλών (STRIDE + AI-specific): Εισαγωγή προτροπής, δηλητηρίαση δεδομένων εκπαίδευσης, κλοπή μοντέλου, διαρροή προστασίας δεδομένων.
Red teaming & αντίπαλες δοκιμές- πρόληψη jailbreak- περιορισμός ρυθμού- φιλτράρισμα εξόδου- μυστική σάρωση.
Ανθεκτικότητα: Προτροπές επαναφοράς, προστατευτικές ράγες, σχέδια επαναφοράς- απελευθερώσεις με καραντίνα- δοκιμές χάους για ασφάλεια.

11. Αλυσίδα εφοδιασμού, ανθρώπινα δικαιώματα και δίκαιη εργασία (σύγχρονη δουλεία, LkSG-αναλογία)

Δέουσα επιμέλεια για τα ανθρώπινα δικαιώματα: Ανάλυση κινδύνων, κώδικας δεοντολογίας προμηθευτών, συμβατικές δεσμεύσεις, έλεγχοι, διορθωτικές ενέργειες.
Σύγχρονη δουλεία: Ετήσια δήλωση, ευαισθητοποίηση, κανάλια αναφοράς.
Πρότυπα εργασίας: Δίκαιη αμοιβή, ωράριο εργασίας, προστασία της υγείας- προστασία των πληροφοριοδοτών.

12. Διαχείριση προκαταλήψεων, δικαιοσύνη και ένταξη (ευάλωτοι πελάτες, προσβασιμότητα)

Έλεγχοι μεροληψίας: Ανάλυση συνόλου δεδομένων, εξισορρόπηση, διάφορες ομάδες δοκιμών, μετρικές δικαιοσύνης- τεκμηριωμένος μετριασμός.
Πελάτες σε κίνδυνο: Στόχοι προστασίας, εναλλακτικοί δίαυλοι, σαφής γλώσσα- καμία εκμετάλλευση των γνωστικών αδυναμιών.
Προσβασιμότητα: WCAG-Συμμόρφωση- πολυγλωσσία- προσέγγιση χωρίς αποκλεισμούς.

13. γεννητική τεχνητή νοημοσύνη, απόδειξη προέλευσης και επισήμανση (C2PA, υδατογράφημα)

Επισήμανση: Ορατές ετικέτες/μεταδεδομένα για το περιεχόμενο ΤΝ- υπόδειξη για αλληλεπιδράσεις.
Εγγυήσεις προέλευσης: C2PA-περιβάλλον, υπογραφές/υπογραφές/υδροσήματα στο μέτρο του τεχνικά δυνατού.
Πνευματικά δικαιώματα/προστασία υπηρεσιών: Αποσαφήνιση των αδειών χρήσης- συμμόρφωση με τα εκπαιδευτικά δεδομένα- τεκμηρίωση της αλυσίδας δικαιωμάτων.

14. Διαδικασίες περιεχομένου, συντονισμού και DSA (αναφορές, καταγγελίες, διαφάνεια)

Κανάλια αναφοράς: Αναφορά χρηστών χαμηλού κατωφλίου- επεξεργασία παράνομου περιεχομένου κατά προτεραιότητα.
Διαδικασίες καταγγελιών: Διαφανής αιτιολόγηση, ένσταση, κλιμάκωση.
Εκθέσεις διαφάνειας: Περιοδική δημοσίευση των σχετικών βασικών στοιχείων και μέτρων.

15. χρήση συγκεκριμένων τομέων (ειδήσεις, δεδομένα, υγεία, αεροπλοΐα, σκάφη αναψυχής, ακίνητα, πληρωμή/εμπόριο/καταπίστευμα/νομίσματα, αυτοκίνητα)

Ειδήσεις/εκδόσεις: Βοήθεια στην έρευνα, μετάφραση, συντονισμός- σαφής επισήμανση του παραγωγικού περιεχομένου.
ΣΚΑΝΔΙΚΑ ΔΕΔΟΜΕΝΑ: Ασφαλής υποδομή AI/HPC, διαχωρισμός πελατών, HSM/KMS, παρατηρησιμότητα, τεχνουργήματα συμμόρφωσης.
Υγεία: Χρήση βάσει τεκμηρίων, τελική απόφαση από τον άνθρωπο, όχι μη δοκιμασμένες διαγνώσεις.
Αεροπλοΐα/Σκάφη αναψυχής: Διαδικασίες ασφάλειας, ανθρώπινη εποπτεία, διαδικασίες έκτακτης ανάγκης.
Κτήμα: Μοντέλα αποτίμησης με ελέγχους δικαιοσύνης- ενσωμάτωση ESG.
Πληρωμή/διαπραγμάτευση/καταπιστεύσεις/νομίσματα: Πρόληψη της απάτης, KYC/AML, εποπτεία της αγοράς, εξηγήσιμες αποφάσεις.
Αυτοκίνητα: Εξατομικευμένες υπηρεσίες με αυστηρή προστασία δεδομένων.

16. Τρίτα μέρη, προμήθειες και διαχείριση κινδύνων από προμηθευτές

Δέουσα επιμέλεια πριν από την ένταξη: Επίπεδο ασφάλειας/προστασίας δεδομένων, τοποθεσίες δεδομένων, υποεπεξεργαστές, πιστοποιητικά.
Συμβάσεις: Δικαιώματα ελέγχου, ρήτρες διαφάνειας και αποκατάστασης, μετρήσεις SLA/OLA.
Παρακολούθηση: Δείκτες απόδοσης, ανταλλαγή ευρημάτων/περιστατικών, σχέδια εξόδου.

17. Σχέδια λειτουργίας, παρατηρησιμότητας, έκτακτης ανάγκης και επανεκκίνησης

Λειτουργία: Παρατηρησιμότητα (αρχεία καταγραφής, μετρήσεις, ίχνη), διαχείριση SLO/SLI, σχεδιασμός χωρητικότητας.
Επείγοντα περιστατικά: Βιβλία εκτέλεσης, δοκιμές DR, χρόνοι αποκατάστασης, σχέδια επικοινωνίας.
Διαχείριση παραμέτρων/μυστικών: Λιγότερο προνόμια, εναλλαγές, σκλήρυνση.

18. περιστατικά και διορθωτικά μέτρα (δεοντολογία, προστασία δεδομένων, ασφάλεια)

Περιστατικά δεοντολογίας: Ανεπιθύμητες διακρίσεις, παραπληροφόρηση, ασαφής προέλευση - άμεσα μέτρα και επανεξέταση από την AIEB.
Περιστατικά προστασίας δεδομένων: Διαδικασίες αναφοράς στον ΥΠΔ/την εποπτεία- ενημέρωση των ενδιαφερομένων μερών- ανάλυση της αιτίας.
Περιστατικά ασφαλείας: Διαδικασίες CSIRT, εγκληματολογία, διδάγματα, προληπτικά μέτρα.

19. Μετρήσεις, KPIs & διασφάλιση (εσωτερική/εξωτερική)

Υποχρεωτικοί KPIs: 100 % AIIA κάλυψη παραγωγικών περιπτώσεων χρήσης ΤΝ- 95 ποσοστό κατάρτισης %- 0 ανοικτά κρίσιμα ευρήματα ελέγχου.
Μετρήσεις δικαιοσύνης: Ανόμοιες επιπτώσεις, εξισωμένες πιθανότητες (χρήση κατά περίπτωση).
Βιωσιμότητα: Στοιχεία ενέργειας/PUE/ανθρακούχων εκπομπών των κέντρων δεδομένων- αποδοτικότητα των μοντέλων.

20. Εκπαίδευση, ευαισθητοποίηση & πολιτιστική αλλαγή

Υποχρεωτική εκπαίδευση (ετήσια): Ηθική της τεχνητής νοημοσύνης, προστασία δεδομένων, ασφάλεια, ηθική των μέσων μαζικής ενημέρωσης.
Εκστρατείες ευαισθητοποίησης: Οδηγοί, συνεδρίες, ώρες διαβούλευσης, εσωτερικές κοινότητες πρακτικής.
Πολιτισμός: Η ηγεσία ως πρότυπο, κουλτούρα λάθους, επιβράβευση υπεύθυνης συμπεριφοράς.

21. υλοποίηση & οδικός χάρτης (0-6 / 6-12 / 12-24 μήνες)

0-6 μήνες: Καταγραφή των περιπτώσεων χρήσης ΤΝ- διαδικασία AIIA- ελάχιστοι έλεγχοι- κύμα κατάρτισης- έλεγχος προμηθευτών.
6-12 μήνες: Ανάπτυξη της κόκκινης ομάδας- πρώτες εκθέσεις διαφάνειας- ενεργειακό πρόγραμμα- οριστικοποίηση του RACI.
12-24 μήνες: Ευθυγράμμιση με ISO/IEC-42001- περιορισμένη διασφάλιση- συνεχής βελτίωση- προετοιμασία CSRD/ESRS (κατά περίπτωση).

22. ρόλοι & πίνακας RACI

Ιδιοκτήτης περίπτωσης χρήσης (A): Σκοπός, οφέλη, KPIs, προϋπολογισμός, επανεκτιμήσεις.
Μοντέλο-ιδιοκτήτης (R): Δεδομένα/Εκπαίδευση/Αξιολόγηση, Κάρτα μοντέλου, Παρακολούθηση παρέκκλισης.
DPO (C/A για την προστασία των δεδομένων): Νομική βάση, DPIA, δικαιώματα των υποκειμένων των δεδομένων.
Επικεφαλής ασφάλειας (C): Μοντελοποίηση απειλών, Red Teaming, TOMs.
Υπεύθυνος συντάκτης (Γ): Ηθική των μέσων ενημέρωσης, επισήμανση, μητρώο διορθώσεων.
Ιδιοκτήτης υπηρεσίας (R): Λειτουργία, SLO, διαχείριση περιστατικών.
Επικεφαλής προμηθειών (R/C): Τρίτα μέρη, συμβάσεις, σχέδια εξόδου.

23. Λίστες ελέγχου (AIIA short, απελευθέρωση δεδομένων, πύλη go-live)

Γρήγορος έλεγχος AIIA: Σκοπός; Νομική βάση; Επηρεαζόμενα μέρη; Κίνδυνοι (νομικοί/ηθικοί/ασφάλεια/μεροληψία/περιβαλλοντικοί) Μετριασμός; Έλεγχοι HIL;
Αποδέσμευση δεδομένων: Πηγή νόμιμη; Ελαχιστοποίηση; Διατήρηση; Πρόσβαση; Τρίτη χώρα
Go-Live-Gate: Τα τεχνουργήματα είναι πλήρη (κάρτες δεδομένων/μοντέλων, ημερολόγια); Αντιμετώπιση των αποτελεσμάτων της κόκκινης ομάδας Ρύθμιση παρακολούθησης/ΔΕΑ

24. Έντυπα και υποδείγματα (κάρτα μοντέλου, κάρτα δεδομένων, αναφορά περιστατικού)

Μοντέλο-κάρτα-πρότυπο: Σκοπός, δεδομένα, κατάρτιση, σημεία αναφοράς, περιορισμοί, κίνδυνοι, υπεύθυνοι, επαφή.
Data-Card-Template: Προέλευση, άδεια χρήσης, ποιότητα, αντιπροσωπευτικότητα, έλεγχοι μεροληψίας, περιορισμοί χρήσης.
Υπόδειγμα αναφοράς περιστατικού: Περιστατικό, επιπτώσεις, θιγόμενα πρόσωπα, άμεσα μέτρα, βασική αιτία, αποκατάσταση, διδάγματα.

25 Γλωσσάριο & αναφορές

Γλωσσάριο: Σύστημα τεχνητής νοημοσύνης, παραγωγική τεχνητή νοημοσύνη, σύστημα υψηλού κινδύνου, AIIA, HIL, C2PA, κόκκινη ομάδα, DPIA, RACI, SLO/SLI.

Αναφορές:

Πράξη της ΕΕ για την τεχνητή νοημοσύνη
GDPR
DSA
Αρχές ΤΝ του ΟΟΣΑ
NIST AI RMF
ISO/IEC 42001
Εσωτερικές κατευθυντήριες γραμμές (προστασία δεδομένων, διαδικασίες DSA, σύγχρονη δουλεία, βιωσιμότητα)

Σημείωση: Ο παρών Κώδικας ΤΠ συμπληρώνει τις υφιστάμενες κατευθυντήριες γραμμές της LEGIER, όπως, μεταξύ άλλων: (Προστασία δεδομένων, ψηφιακές υπηρεσίες, ανθρώπινα δικαιώματα/αλυσίδα εφοδιασμού, εταιρική διακυβέρνηση, βιωσιμότητα, σύγχρονη δουλεία). Αποτελεί αναπόσπαστο μέρος του πλαισίου συμμόρφωσης του ομίλου LEGIER (LEGIER Beteiligungs mbH).