Κώδικας δεοντολογίας AI της ομάδας LEGIER και „SANDIC by LEGIER“

Πίνακας περιεχομένων

Σημείωση: Εάν ο αυτόματος κατάλογος εμφανίζεται άδειος, κάντε δεξί κλικ στο Word → „Ενημέρωση πεδίου“.

1. προοίμιο & πεδίο εφαρμογής

Ο παρών Κώδικας καθορίζει δεσμευτικές αρχές, διαδικασίες και ελέγχους για την ανάπτυξη, την προμήθεια, τη λειτουργία και τη χρήση της ΤΠ στον Όμιλο LEGIER. Ισχύει σε ολόκληρο τον Όμιλο για τους εργαζόμενους, τα διευθυντικά στελέχη, τους συμβαλλόμενους επεξεργαστές, τους προμηθευτές και τους συνεργάτες. Ενσωματώνει τις υφιστάμενες κατευθυντήριες γραμμές του Ομίλου (προστασία δεδομένων, διαδικασίες ψηφιακών υπηρεσιών, εταιρική διακυβέρνηση, βιωσιμότητα, πολιτική για τα ανθρώπινα δικαιώματα, δήλωση για τη σύγχρονη δουλεία) και τις επεκτείνει ώστε να συμπεριλάβει ειδικές απαιτήσεις για την ΤΝ. Στόχος είναι να επιτρέπει τα οφέλη και την καινοτομία, να καθιστά τους κινδύνους διαχειρίσιμους και να προστατεύει τα δικαιώματα των χρηστών, των πελατών και του κοινού. 2. βασικές αξίες & κατευθυντήριες αρχές

Ανθρώπινη αξιοπρέπεια και θεμελιώδη δικαιώματα στέκονται πάνω από την οικονομική αποδοτικότητα. Η τεχνητή νοημοσύνη εξυπηρετεί τους ανθρώπους - ποτέ το αντίθετο.
Νομική συμμόρφωση: Συμμόρφωση με Πράξη της ΕΕ για την τεχνητή νοημοσύνη, GDPR, DSA και τα ειδικά για τον τομέα πρότυπα. Καμία χρήση απαγορευμένων πρακτικών.
Υπευθυνότητα & Λογοδοσία: Για κάθε σύστημα ΤΝ ορίζεται ένας υπεύθυνος ιδιοκτήτης- οι αποφάσεις είναι ανιχνεύσιμες και αμφισβητήσιμες.
Αναλογικότητα: Ισορροπία σκοπού, κινδύνου, έντασης παρέμβασης και κοινωνικού αντίκτυπου.
Διαφάνεια και επεξηγηματικότητα: Επαρκείς πληροφορίες, τεκμηρίωση και κανάλια επικοινωνίας σχετικά με τη λειτουργικότητα, τις καταστάσεις δεδομένων και τους περιορισμούς.
Δικαιοσύνη και ένταξη: Συστηματικός έλεγχος μεροληψίας, προστασία ευάλωτων ομάδων, προσβασιμότητα και πολυγλωσσία.
Ασφάλεια και ανθεκτικότητα: 1TP63Ασφάλεια μέσω σχεδιασμού, άμυνα σε βάθος, συνεχής σκλήρυνση και παρακολούθηση.
Βιωσιμότητα: Αποδοτικότητα μοντέλων και κέντρων δεδομένων (ενέργεια, PUE/CFE), άποψη του κύκλου ζωής των δεδομένων/μοντέλων.

3. διακυβέρνηση και αρμοδιότητες (Συμβούλιο Δεοντολογίας ΤΝ, RACI)

Συμβούλιο Δεοντολογίας ΤΝ (AIEB): Διεπιστημονική (τεχνολογία, νομική/συμμόρφωση, προστασία δεδομένων, ασφάλεια, σύνταξη/προϊόν, άνθρωποι). Καθήκοντα: Επικαιροποίηση πολιτικών, έκδοση εγκρίσεων (ιδίως υψηλού κινδύνου), λήψη αποφάσεων για συγκρούσεις, παρακολούθηση εκθέσεων. Ρόλοι: Ιδιοκτήτης περιπτώσεων χρήσης, Ιδιοκτήτης μοντέλου, Data Steward, DPO, Security Lead, Υπεύθυνος συντάκτης, Ιδιοκτήτης υπηρεσιών, Επικεφαλής προμηθειών. Επιτροπές & Πύλες: Έγκριση AIIA πριν από τη θέση σε λειτουργία- συμβουλευτική επιτροπή αλλαγών για ουσιώδεις αλλαγές- ετήσιες διαχειριστικές αναθεωρήσεις. Αρχή RACI: Σαφής ανάθεση ευθύνης για κάθε δραστηριότητα (Υπεύθυνος, Υπόλογος, Διαβουλεύσεις, Ενημέρωση).

4. νομικό και τυποποιητικό πλαίσιο (νόμος της ΕΕ για την ΤΝ, ΓΚΠΔ, DSA, πνευματικά δικαιώματα, εμπορικό δίκαιο)

EU-AI-Act: Πλαίσιο βάσει κινδύνου με απαγορεύσεις, υποχρεώσεις για συστήματα υψηλού κινδύνου, τεκμηρίωση, καταγραφή, διακυβέρνηση, υποχρεώσεις διαφάνειας- κλιμακωτή εφαρμογή από το 2025/2026.
GDPR: Νομικές βάσεις (άρθρο 6/9), δικαιώματα των υποκειμένων των δεδομένων, προστασία της ιδιωτικής ζωής εκ κατασκευής/από προεπιλογή, εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (DPIA), διαβιβάσεις σε τρίτες χώρες (άρθρο 44 και επόμενα).
DSA: Διαδικασίες πλατφόρμας για κοινοποιήσεις, καταγγελίες, εκθέσεις διαφάνειας, αξιολογήσεις κινδύνου μεγάλων πλατφορμών.
Πνευματικά δικαιώματα & συγγενικά δικαιώματα / προσωπικά δικαιώματα: Σαφείς αλυσίδες αδειών χρήσης, δικαιώματα εικόνας/επωνυμίας, δικαιώματα κατοικίας τρίτων.
Ειδικές βιομηχανικές απαιτήσεις (π.χ. αεροπορικό/ναυτικό δίκαιο/Health) πρέπει επίσης να τηρούνται.

5. ταξινόμηση κινδύνου & αξιολόγηση επιπτώσεων ΤΝ (AIIA)

Ταξινόμηση:

Απαγορευμένες πρακτικές (δεν επιτρέπονται)
Συστήματα υψηλού κινδύνου (αυστηρές υποχρεώσεις)
Περιορισμένος κίνδυνος (διαφάνεια)
Ελαχιστοποίηση του κινδύνου

Διαδικασία AIIA: Περιγραφή Σκοπός/πεδίο εφαρμογής, ενδιαφερόμενοι, νομική βάση, πηγές δεδομένων- ανάλυση κινδύνου (νομικός, δεοντολογικός, ασφάλειας, προκατάληψης, περιβαλλοντικός αντίκτυπος)- σχέδιο μετριασμού- απόφαση (έγκριση AIEB). Επαναξιολογήσεις: Για ουσιώδεις αλλαγές, ετησίως για υψηλό κίνδυνο- τεκμηρίωση στο κεντρικό μητρώο.

6. δεοντολογία και προστασία δεδομένων (νομική βάση, DPIA, cookies, τρίτη χώρα)

Ελαχιστοποίηση δεδομένων & περιορισμός σκοπού,; Προτιμάται η ψευδωνυμοποίηση/ανωνυμοποίηση.
Διαφάνεια: Πληροφορίες για την προστασία των δεδομένων, κανάλια ενημέρωσης και διαγραφής- φορητότητα- επιλογές ένστασης.
Cookies/Παρακολούθηση: Διαχείριση συγκατάθεσης- ανάκληση- ανωνυμοποίηση IP- μόνο εγκεκριμένα εργαλεία.
Μεταφορές από τρίτες χώρες: Μόνο με κατάλληλες εγγυήσεις (SCC/επαρκής), τακτικός έλεγχος των υπο-επεξεργαστών.
DPIA: Υποχρεωτική για μεταποίηση υψηλού κινδύνου- τεκμηρίωση τεχνικών/οργανωτικών μέτρων (ΤΟΜ).

7. κύκλος ζωής μοντέλων και δεδομένων (ML-Lifecycle, κάρτες Data, κάρτες μοντέλων)

Data Κύκλος ζωής: Απόκτηση → Επιμέλεια → Επισήμανση → Πύλες ποιότητας → Έκδοση → Διατήρηση/διαγραφή. Κύκλος ζωής μοντέλου: Ορισμός προβλήματος → Επιλογή αρχιτεκτονικής → Εκπαίδευση/ρυθμίσεις → Αξιολόγηση (offline/online) → Αποδέσμευση → Λειτουργία → Παρακολούθηση → Επανεκπαίδευση/απόσυρση. Κάρτες Data: Προέλευση, αντιπροσωπευτικότητα, ποιότητα, ευρήματα μεροληψίας, περιορισμοί στη χρήση. Μοντέλο καρτών: Σκοπός, δεδομένα εκπαίδευσης, σημεία αναφοράς, μετρήσεις, περιορισμοί, αναμενόμενα μοτίβα σφαλμάτων, ενέργειες/μη ενέργειες. Προέλευση και αναπαραγωγιμότητα: Κατακερματισμοί, εκδόσεις δεδομένων/μοντέλων, επαληθεύσεις αγωγών.

8. Διαφάνεια, επεξηγηματικότητα & οδηγίες χρήσης

Επισήμανση για αλληλεπίδραση με ΤΝ και περιεχόμενο που παράγεται από ΤΝ.
Εξηγησιμότητα: Χρησιμοποιήστε επεξηγήσεις προσαρμοσμένες στην περίπτωση, φιλικές προς τον απλό άνθρωπο (τοπικές/παγκόσμιες).
Οδηγίες χρήσης: Σκοπός, κύριοι παράγοντες επιρροής, όρια- μέθοδοι ανατροφοδότησης και διόρθωσης.

9. Ανθρώπινα καθήκοντα & καθήκοντα εποπτείας

Ανθρώπινη εποπτεία ως πρότυπο για τις σχετικές αποφάσεις (ιδιαίτερα υψηλού κινδύνου).
Αρχή των τεσσάρων ματιών για συντακτικές/κοινωνικά ευαίσθητες εργασίες.
Λειτουργίες παράκαμψης/ακύρωσης- διαδρομές κλιμάκωσης- τεκμηρίωση.

10. ασφάλεια, ευρωστία & red-teaming (prompt injection, jailbreaks)

Μοντελοποίηση απειλών (STRIDE + AI-specific): Εισαγωγή προτροπής, δηλητηρίαση δεδομένων εκπαίδευσης, κλοπή μοντέλου, διαρροή προστασίας δεδομένων.
Red teaming & αντίπαλες δοκιμές; πρόληψη jailbreak; περιορισμός ρυθμού; φιλτράρισμα εξόδου; σάρωση πέλματος 1TP63.
Ανθεκτικότητα: Προτροπές επαναφοράς, προστατευτικές ράγες, σχέδια επαναφοράς- απελευθερώσεις με καραντίνα- δοκιμές χάους για ασφάλεια.

11. Αλυσίδα εφοδιασμού, ανθρώπινα δικαιώματα και δίκαιη εργασία (σύγχρονη δουλεία, LkSG-αναλογία)

Δέουσα επιμέλεια για τα ανθρώπινα δικαιώματα: Ανάλυση κινδύνων, κώδικας δεοντολογίας προμηθευτών, συμβατικές δεσμεύσεις, έλεγχοι, διορθωτικές ενέργειες.
Σύγχρονη δουλεία: Ετήσια δήλωση, ευαισθητοποίηση, κανάλια αναφοράς.
Πρότυπα εργασίας: Δίκαιη αμοιβή, ωράριο εργασίας, προστασία της υγείας- προστασία των πληροφοριοδοτών.

12. Διαχείριση προκαταλήψεων, δικαιοσύνη και ένταξη (ευάλωτοι πελάτες, προσβασιμότητα)

Έλεγχοι μεροληψίας: Αναλύσεις συνόλου δεδομένων, εξισορρόπηση, διάφορες ομάδες δοκιμών, μετρήσεις δικαιοσύνης- τεκμηριωμένος μετριασμός.
Πελάτες σε κίνδυνο: Στόχοι προστασίας, εναλλακτικοί δίαυλοι, σαφής γλώσσα- καμία εκμετάλλευση των γνωστικών αδυναμιών.
Προσβασιμότητα: WCAG-Συμμόρφωση- πολυγλωσσία- προσέγγιση χωρίς αποκλεισμούς.

13. γεννητική τεχνητή νοημοσύνη, απόδειξη προέλευσης και επισήμανση (C2PA, υδατογράφημα)

Επισήμανση: Ορατές ετικέτες/μεταδεδομένα για το περιεχόμενο ΤΝ- υπόδειξη για αλληλεπιδράσεις.
Εγγυήσεις προέλευσης: C2PA-περιβάλλον, υπογραφές/υπογραφές/υδροσήματα στο μέτρο του τεχνικά δυνατού.
Πνευματικά δικαιώματα/προστασία υπηρεσιών: Αποσαφήνιση των αδειών χρήσης- συμμόρφωση με τα εκπαιδευτικά δεδομένα- τεκμηρίωση της αλυσίδας δικαιωμάτων.

14. Διαδικασίες περιεχομένου, συντονισμού και DSA (αναφορές, καταγγελίες, διαφάνεια)

Κανάλια αναφοράς: Αναφορά χρηστών χαμηλού κατωφλίου- επεξεργασία παράνομου περιεχομένου κατά προτεραιότητα.
Διαδικασίες καταγγελιών: Διαφανής αιτιολόγηση, ένσταση, κλιμάκωση.
Εκθέσεις διαφάνειας: Περιοδική δημοσίευση των σχετικών βασικών στοιχείων και μέτρων.

15. Ειδική χρήση για συγκεκριμένο τομέα (Ειδήσεις, Data, Health, Αεροπορία, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

Ειδήσεις/εκδόσεις: Βοήθεια στην έρευνα, μετάφραση, συντονισμός- σαφής επισήμανση του παραγωγικού περιεχομένου.
SCANDIC DATA: Ασφαλής υποδομή AI/HPC, διαχωρισμός πελατών, HSM/KMS, παρατηρησιμότητα, τεχνουργήματα συμμόρφωσης.
Health: Χρήση βάσει τεκμηρίων, τελική απόφαση από άνθρωπο, όχι μη δοκιμασμένες διαγνώσεις.
Aviation/Yachts: Διαδικασίες ασφάλειας, ανθρώπινη εποπτεία, διαδικασίες έκτακτης ανάγκης.
Estate: Μοντέλα αποτίμησης με ελέγχους δικαιοσύνης- ενσωμάτωση ESG.
Pay/Trade/Trust/Coin: Πρόληψη της απάτης, KYC/AML, εποπτεία της αγοράς, εξηγήσιμες αποφάσεις.
Cars: Εξατομικευμένες υπηρεσίες με αυστηρή προστασία δεδομένων.

16. Τρίτα μέρη, προμήθειες και διαχείριση κινδύνων από προμηθευτές

Δέουσα επιμέλεια πριν από την ένταξη: Επίπεδο ασφάλειας/προστασίας δεδομένων, τοποθεσίες δεδομένων, υποεπεξεργαστές, πιστοποιητικά.
Συμβάσεις: Δικαιώματα ελέγχου, ρήτρες διαφάνειας και αποκατάστασης, μετρήσεις SLA/OLA.
Παρακολούθηση: Δείκτες απόδοσης, ανταλλαγή ευρημάτων/περιστατικών, σχέδια εξόδου.

17. Σχέδια λειτουργίας, παρατηρησιμότητας, έκτακτης ανάγκης και επανεκκίνησης

Λειτουργία: Παρατηρησιμότητα (αρχεία καταγραφής, μετρήσεις, ίχνη), διαχείριση SLO/SLI, σχεδιασμός χωρητικότητας.
Επείγοντα περιστατικά: Βιβλία εκτέλεσης, δοκιμές DR, χρόνοι ανάκαμψης, σχέδια επικοινωνίας.
Διαχείριση παραμέτρων/μυστικών: Λιγότερο προνόμια, εναλλαγές, σκλήρυνση.

18. περιστατικά και διορθωτικά μέτρα (δεοντολογία, προστασία δεδομένων, ασφάλεια)

Περιστατικά δεοντολογίας: Ανεπιθύμητες διακρίσεις, παραπληροφόρηση, ασαφής προέλευση - άμεσα μέτρα και επανεξέταση από την AIEB.
Περιστατικά προστασίας δεδομένων: Διαδικασίες αναφοράς στον ΥΠΔ/την εποπτεία- ενημέρωση των ενδιαφερομένων μερών- ανάλυση της αιτίας.
Περιστατικά ασφαλείας: Διαδικασίες CSIRT, εγκληματολογία, διδάγματα, προληπτικά μέτρα.

19. Μετρήσεις, KPIs & διασφάλιση (εσωτερική/εξωτερική)

Υποχρεωτικοί KPIs: 100 % AIIA κάλυψη παραγωγικών περιπτώσεων χρήσης ΤΝ- 95 % ποσοστό κατάρτισης- 0 ανοικτά κρίσιμα ευρήματα ελέγχου.
Μετρήσεις δικαιοσύνης: Ανόμοιες επιπτώσεις, εξισωμένες πιθανότητες (χρήση κατά περίπτωση).
Βιωσιμότητα: Στοιχεία ενέργειας/PUE/ανθρακούχων εκπομπών των κέντρων δεδομένων- αποδοτικότητα των μοντέλων.

20. Εκπαίδευση, ευαισθητοποίηση & πολιτιστική αλλαγή

Υποχρεωτική εκπαίδευση (ετήσια): Ηθική της τεχνητής νοημοσύνης, προστασία δεδομένων, ασφάλεια, ηθική των μέσων μαζικής ενημέρωσης.
Εκστρατείες ευαισθητοποίησης: Οδηγοί, συνεδρίες, ώρες διαβούλευσης, εσωτερικές κοινότητες πρακτικής.
Πολιτισμός: Η ηγεσία ως πρότυπο, κουλτούρα λάθους, επιβράβευση υπεύθυνης συμπεριφοράς.

21. υλοποίηση & οδικός χάρτης (0-6 / 6-12 / 12-24 μήνες)

0-6 μήνες: Καταγραφή των περιπτώσεων χρήσης ΤΝ- διαδικασία AIIA- ελάχιστοι έλεγχοι- κύμα κατάρτισης- έλεγχος προμηθευτών.
6-12 μήνες: Ανάπτυξη της κόκκινης ομάδας- πρώτες εκθέσεις διαφάνειας- ενεργειακό πρόγραμμα- οριστικοποίηση του RACI.
12-24 μήνες: Ευθυγράμμιση με ISO/IEC-42001- περιορισμένη διασφάλιση- συνεχής βελτίωση- προετοιμασία CSRD/ESRS (κατά περίπτωση).

22. ρόλοι & πίνακας RACI

Ιδιοκτήτης περίπτωσης χρήσης (A): Σκοπός, οφέλη, KPIs, προϋπολογισμός, επανεκτιμήσεις.
Μοντέλο-ιδιοκτήτης (R): Δεδομένα/Εκπαίδευση/Αξιολόγηση, Κάρτα μοντέλου, Παρακολούθηση παρέκκλισης.
DPO (C/A για την προστασία των δεδομένων): Νομική βάση, DPIA, δικαιώματα των υποκειμένων των δεδομένων.
1TP63Μολύβι καθαρότητας (C): Μοντελοποίηση απειλών, Red Teaming, TOMs.
Υπεύθυνος συντάκτης (Γ): Ηθική των μέσων ενημέρωσης, επισήμανση, μητρώο διορθώσεων.
Ιδιοκτήτης υπηρεσίας (R): Λειτουργία, SLO, διαχείριση περιστατικών.
Επικεφαλής προμηθειών (R/C): Τρίτα μέρη, συμβάσεις, σχέδια εξόδου.

23. Λίστες ελέγχου (AIIA short, απελευθέρωση δεδομένων, πύλη go-live)

Γρήγορος έλεγχος AIIA: Σκοπός; Νομική βάση; Επηρεαζόμενα μέρη; Κίνδυνοι (νομικοί/ηθικοί/Security/μεροληψία/περιβάλλον) Μετριασμός; Έλεγχοι HIL;
Αποδέσμευση δεδομένων: Πηγή νόμιμη; Ελαχιστοποίηση; Διατήρηση; Πρόσβαση; Τρίτη χώρα
Go-Live-Gate: Πλήρη τεχνουργήματα (Data/Model Cards, Logs); Αντιμετώπιση των αποτελεσμάτων της κόκκινης ομάδας; Ρύθμιση παρακολούθησης/ΔΕΑ

24. Έντυπα και υποδείγματα (Κάρτα μοντέλου, Κάρτα Data, Έκθεση συμβάντος)

Μοντέλο-κάρτα-πρότυπο: Σκοπός, δεδομένα, κατάρτιση, σημεία αναφοράς, περιορισμοί, κίνδυνοι, υπεύθυνοι, επαφή.
Data-Card-Template: Προέλευση, άδεια χρήσης, ποιότητα, αντιπροσωπευτικότητα, έλεγχοι μεροληψίας, περιορισμοί χρήσης.
Υπόδειγμα αναφοράς περιστατικού: Περιστατικό, επιπτώσεις, θιγόμενα πρόσωπα, άμεσα μέτρα, βασική αιτία, αποκατάσταση, διδάγματα.

25 Γλωσσάριο & αναφορές

Γλωσσάριο: Σύστημα τεχνητής νοημοσύνης, παραγωγική τεχνητή νοημοσύνη, σύστημα υψηλού κινδύνου, AIIA, HIL, C2PA, κόκκινη ομάδα, DPIA, RACI, SLO/SLI. Αναφορές:

Πράξη της ΕΕ για την τεχνητή νοημοσύνη
GDPR
DSA
Αρχές ΤΝ του ΟΟΣΑ
NIST AI RMF
ISO/IEC 42001
Εσωτερικές κατευθυντήριες γραμμές (προστασία δεδομένων, διαδικασίες DSA, σύγχρονη δουλεία, βιωσιμότητα)

Σημείωση: Ο παρών κώδικας ΤΠ συμπληρώνει τις υφιστάμενες κατευθυντήριες γραμμές LEGIER, όπως, μεταξύ άλλων: (Προστασία δεδομένων, ψηφιακές υπηρεσίες, ανθρώπινα δικαιώματα/αλυσίδα εφοδιασμού, εταιρική διακυβέρνηση, βιωσιμότητα, σύγχρονη δουλεία). Αποτελεί αναπόσπαστο μέρος του πλαισίου συμμόρφωσης του ομίλου LEGIER (LEGIER Beteiligungs mbH).