Suostumusta voidaan käyttää henkilötietojen käsittelyperusteena niin tekoälyjärjestelmän kehittämisessä kuin käytössäkin. Yksilö voi antaa suostumuksensa sille, että häntä koskevia henkilötietoja käsitellään yhtä tai useampaa tarkoitusta varten. Tällaisen suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla henkilö hyväksyy henkilötietojensa käsittelyn.
Rekisterinpitäjän eli tekoälyjärjestelmää kehittävän tai käyttävän organisaation on pystyttävä osoittamaan, että lainmukainen suostumus on olemassa. Suostumus on myös voitava peruuttaa milloin tahansa ilmaiseksi, ja yhtä helposti kuin sen on voinut antaa. Suostumuksen peruuttamisen jälkeen suostumuksen perusteella käsiteltyjen henkilötietojen käsittely on lopetettava ja tiedot poistettava. Suostumuksen peruuttaminen on kyettävä toteuttamaan tehokkaasti myös tekoälyjärjestelmissä. Jos sitä ei pystytä esimerkiksi teknisesti toteuttamaan, ei suostumusta voida käyttää käsittelyperusteena.
Tietosuojavaltuutettu korostaa, että suostumuksen valitseminen henkilötietojen käsittelyn perusteeksi tekoälyjärjestelmän kehittämisvaiheessa voi olla hallinnollisesti työlästä, varsinkin jos käsitellään suuren ihmismäärän henkilötietoja.
Sopimusta voidaan käyttää käsittelyperusteena niin tekoälyjärjestelmän kehittämisessä kuin käytössäkin. Silloin, kun yksilö on osapuolena sopimuksessa, voidaan häntä koskevia henkilötietoja käsitellä, jos se on tarpeen sopimuksen täytäntöönpanemiseksi.
Lakisääteistä velvoitetta voidaan käyttää käsittelyperusteena niin tekoälyjärjestelmän kehittämisessä kuin käytössäkin, jos henkilötietojen käsittely on tarpeen rekisterinpitäjän eli tekoälyjärjestelmää kehittävän tai käyttävän organisaation lakisääteisen velvoitteen noudattamiseksi.
Elintärkeiden etujen suojaamista voidaan käyttää käsittelyperusteena tekoälyjärjestelmän kehittämisessä ja käytössä vain, jos se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi. Henkilötietojen käsittely voi palvella elintärkeää etua esimerkiksi humanitaarisissa hätätilanteissa, kuten luonnonkatastrofeissa tai epidemioissa.
Jotta tämä vaatimus toteutuu, on esimerkiksi hengenvaaran oltava kyseisessä tapauksessa riittävän konkreettinen. Käsittelyperustetta voidaan siksi käytännössä soveltaa hyvin harvoin.
Henkilötietoja saa käsitellä tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, kun yleinen etu tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen sitä edellyttää. Yleistä etua koskeva tehtävä tai julkinen valta on täytynyt antaa lailla tai muulla oikeudellisella säännöksellä. Rekisterinpitäjällä tarkoitetaan tekoälyjärjestelmää kehittävää tai käyttävää organisaatiota.
Henkilötietoja saa käsitellä tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Rekisterinpitäjällä tarkoitetaan sitä organisaatiota, joka kehittää tai käyttää tekoälyjärjestelmää.
Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun yksilön eli rekisteröidyn ja organisaation eli rekisterinpitäjän välillä on jokin merkityksellinen suhde. Näin on esimerkiksi, jos yksilö on organisaation asiakas. Henkilötietoja ei kuitenkaan saa käsitellä, jos yksilön edut tai oikeudet syrjäyttävät organisaation edun.
Euroopan tietosuojaneuvosto on kuvannut seikkoja, jotka tulee huomioida, kun oikeutetun edun olemassaoloa arvioidaan.
Arvioinnin kolme vaihetta ovat:
1. Oikeutetun edun tunnistaminen ja kuvaaminen. Jotta oikeutettua etua voi käyttää käsittelyperusteena, on kaikkien seuraavien edellytysten täytyttävä
- Tavoiteltu etu on lainmukainen.
- Tavoiteltu etu on selkeästi ja perusteellisesti ilmaistu.
- Tavoiteltu etu on todellinen ja olemassa oleva (ei perustu oletukseen).
2. Suunnitellun henkilötietojen käsittelyn tarpeellisuuden arviointi
- Edistävätkö suunnitellut käsittelytoimet oikeutetun edun saavuttamista?
- Onko olemassa vaihtoehtoisia toteutustapoja, joihin tarvitaan vähemmän henkilötietojen käsittelyä?
3. Sen punnitseminen, syrjäyttääkö tavoiteltu oikeutettu etu yksilön edut ja oikeudet (niin kutsuttu tasapainotesti). Arviointi on tehtävä tapauskohtaisesti ja siinä on huomioitava erityisesti:
Yksilön oikeuksiin ja etuihin kohdistuvat riskit, joita tekoälyjärjestelmän kehittämisellä tai käytöllä voi olla.
Yksilöön kohdistuvat vaikutukset, joita henkilötietojen käsittelyllä voi olla tekoälyjärjestelmien kehittämisen tai käytön yhteydessä. Vaikutukset voivat olla erityyppisiä, ja ne voivat olla positiivisia tai negatiivisia.
Käsiteltävien henkilötietojen luonne, käsittelytoimien asiayhteys sekä henkilötietojen käsittelyn mahdolliset seuraukset yksilölle.
Organisaation, joka suunnittelee käyttävänsä oikeutettua etua henkilötietojen käsittelyn perusteena tekoälyjärjestelmien kehittämisessä tai käytössä, on hyödyllistä tutustua tietosuojaneuvoston lausuntoon (englanniksi tietosuojaneuvoston verkkosivuilla): Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models