Dataskydd i AI-system 4

Beakta dataskyddsprinciperna

Även i samband med AI-system ska dataskyddsregleringen iakttas i sin helhet. Det är inte tillräckligt att det finns en grund för behandlingen av personuppgifter, utan dessutom ska dataskyddsprinciperna enligt dataskyddsförordningen och skyldigheterna i anslutning till dem beaktas. Bestämmelser om dataskyddsprinciperna finns i artikel 5 i dataskyddsförordningen.

Mer information om dataskyddsprinciperna

Berätta öppet om behandlingen av personuppgifter

Personuppgifter ska behandlas på ett transparent och korrekt sätt för det ändamål för vilket de har samlats in. Informationen om behandlingen av personuppgifter ska vara öppen och begriplig och informationen får inte vara vilseledande. Uppgifterna får inte heller behandlas på ett sätt som är oförutsägbart och oväntat för personerna.

När personuppgifter behandlas i samband med utveckling eller användning av ett system för artificiell intelligens ska personen åtminstone informeras om

vilka personuppgifter som samlas in om personen,
för vilket ändamål personuppgifterna behandlas,
hur länge de personuppgifter som samlas in förvaras,
om de personuppgifter som samlats in delas eller säljs till tredje part,
på vilket sätt hens personuppgifter behandlas,
hurdana dataskyddsrättigheter hen har och hur hen kan använda dem.

Förordningen om artificiell intelligens förutsätter att organisationen öppet informerar användarna om systemet. Användarna ska till exempel informeras om när de interagerar med AI-systemet. Dessutom är organisationen skyldig att ge en beskrivning av den mekanism som ligger till grund för det automatiska beslutsfattandet.

När behöver man inte informera om behandlingen av personuppgifter?

Det finns vissa undantagssituationer då det inte finns någon skyldighet att informera. Dessa undantagsgrunder måste tolkas snävt. Att informera personerna på ett omfattande sätt är en förutsättning för att de ska kunna försäkra sig om att deras personuppgifter behandlas på behörigt sätt.

Om avsikten är att samla in personuppgifter från offentliga källor för att utveckla ett AI-system eller på något annat sätt så att uppgifterna fås någon annanstans än från personen själv, kan man avvika från informationsskyldigheten, om det i lag föreskrivs om inhämtande eller utlämnande av uppgifter eller om uppgifterna inte kan lämnas ut på grund av lagstadgad sekretess. Personen behöver inte få sådana uppgifter som hen redan tidigare mottagit.

Undantag från informationsskyldigheten kan också göras under vissa förutsättningar när personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga och historiska forskningsändamål eller statistiska ändamål, om det är omöjligt eller oskäligt besvärligt att lämna uppgifterna. Även då ska den registeransvarige göra informationen offentligt tillgänglig.

Definiera användningsändamålet för personuppgifterna och använd uppgifterna på ett sätt som är förenligt med syftet

Innan behandlingen av personuppgifter inleds ska man tydligt planera och definiera för vilket ändamål uppgifterna används. Personuppgifter ska samlas in för detta specifika ändamål. Ändamålet måste vara lagligt.

Den organisation som utvecklar eller använder ett AI-system ansvarar för att fastställa användningsändamålet för uppgifterna. Flera organisationer kan också delta i utvecklingen eller användningen av systemet i olika skeden. Då kan det vara fråga om gemensamt personuppgiftsansvariga, varvid organisationerna gemensamt ansvarar för att fastställa användningsändamålen och behandlingen av uppgifterna.