I olika skeden av utvecklingen och användningen av AI-system kan det behövas olika personuppgifter för olika ändamål. I vissa fall används samma personuppgifter för samma ändamål både i systemets utvecklings- och användningsfaser.

Personuppgifter får inte senare användas för sådana ändamål som strider mot de ursprungliga användningsändamålen. Det kan vara möjligt att behandla uppgifter för andra ändamål om det nya syftet är förenligt med det ursprungliga syftet.

Om organisationen ämnar använda personuppgifter som den samlat in för andra ändamål för att utveckla eller använda system för artificiell intelligens, ska den bedöma det nya användningsändamålet utifrån följande kriterier:

  1. Vilken samband finns det mellan det ursprungliga användningsändamålet och det nya syftet?
  2. I vilket sammanhang har personuppgifterna samlats in?
  3. Vad är individernas förhållande till den instans som ansvarar för behandlingen av personuppgifter?
  4. Hurdan behandling av personuppgifter kan människor rimligen förvänta sig?
  5. Vilka typer av personuppgifter kommer att behandlas?
  6. Kommer känsliga personuppgifter att behandlas?
  7. Vilka konsekvenser kan behandlingen av personuppgifter ha för personer vars uppgifter behandlas?
  8. Vilka skyddsåtgärder använder organisationen?

Om det nya användningsändamålet är förenligt med det ursprungliga syftet, kan personuppgifterna behandlas med stöd av den ursprungliga behandlingsgrunden. Om det nya användningsändamålet däremot inte är förenligt behövs en ny behandlingsgrund.

I allmänhet är det nya användningsändamålet inte förenligt om det ändras väsentligt, om behandlingen av personuppgifter är oväntad eller om behandlingen av uppgifterna orsakar orättvisa följder för personen. Arkivering av allmänt intresse, vetenskaplig eller historisk forskning eller statistiska ändamål är i sin tur förenliga med det ursprungliga användningsändamålet, förutsatt att tillräckliga skyddsåtgärder iakttas.

Mer information om bundenheten till användningsändamålet

Minimera de personuppgifter som behandlas och se till att de är korrekta

Enligt dataskyddsförordningen ska de personuppgifter som behandlas vara adekvata, relevanta och begränsade endast till det som behövs för ändamålet med behandlingen. Det innebär att personuppgifter inte får samlas in i större utsträckning än nödvändigt.

Även i utvecklingen och användningen av system för artificiell intelligens får endast sådana personuppgifter behandlas som behövs för på förhand fastställda användningsändamål. En organisation som utvecklar eller använder ett AI-system ska alltid noggrant bedöma vilka personuppgifter som är nödvändiga.

I utvecklingen av ett AI-system behövs ofta omfattande och högklassigt informationsmaterial för att modellen ska fungera statistiskt korrekt och till exempel inte diskriminera vissa människogrupper. För att undvika snedvridningar och fel kan det därför vara nödvändigt att behandla personuppgifter. Även sådana behov ska identifieras när uppgifternas användningsändamål planeras.

Om det är svårt att förutse mängden nödvändig information i olika skeden, lönar det sig att börja med en liten mängd information som gradvis utvidgas enligt ett motiverat behov. Uppgifternas nödvändighet ska också följas upp och utvärderas på nytt i olika faser. I bedömningen ska man bland annat fundera på om man kan uppnå samma mål till exempel med hjälp av syntetisk eller anonymiserad information.

Personuppgifterna ska också vara exakta och vid behov uppdateras. Det är särskilt viktigt att fästa uppmärksamhet vid att personuppgifterna är korrekta när används för beslutsfattande som gäller människor eller för att dra slutsatser i AI-system.

Mer information om uppgiftsminimering
Mer information om uppgifternas korrekthet

Begränsning av förvaringen av uppgifter och fastställande av förvaringstiden

Enligt dataskyddsförordningen ska förvaringstiden för personuppgifter begränsas. Personuppgifterna får förvaras i en form som gör det möjligt att identifiera personen endast så länge som det krävs för användningsändamålet.

En tidsgräns ska fastställas för uppgifterna, varefter de raderas, arkiveras eller anonymiseras. När personuppgifter inte längre behövs för att utveckla eller använda ett AI-system ska de anonymiseras eller raderas.

Personuppgifter kan förvaras längre än det ursprungliga användningsändamålet endast om skyddsåtgärderna i dataskyddsförordningen iakttas på behörigt sätt och om uppgifterna behandlas för

  • arkivering av allmänt intresse,
  • vetenskaplig eller historisk forskning eller
  • statistiska ändamål.

Mer information om lagringsminimering

Vad ska beaktas vid automatiserat beslutsfattande?

AI-system kan utnyttjas för automatiserat beslutsfattande. Beslutsfattandet är automatiskt när det grundar sig enbart på en automatisk behandling av personuppgifter och när besluten har rättsverkningar eller motsvarande betydande konsekvenser för personen.

Personer har rätt att inte bli föremål för ett sådant beslutsfattande. Det finns dock undantag till förbudet. Automatiserat beslutsfattande är tillåtet om lämpliga skyddsåtgärder vidtas och om beslutet

  • är nödvändigt för att ingå eller genomföra ett avtal mellan den registrerade och den personuppgiftsansvarige,
  • har godkänts i den lagstiftning som tillämpas på den personuppgiftsansvarige, eller
  • grundar sig på den registrerades uttryckliga samtycke.

Så kallade känsliga uppgifter som hör till särskilda kategorier av personuppgifter, såsom hälsouppgifter, kan behandlas i samband med automatiserat beslutsfattande endast om personen har gett sitt samtycke till behandlingen av dessa uppgifter eller om det är nödvändigt på grund av ett viktigt allmänt intresse som föreskrivs i lag.

Slutledningen av profileringen kan ge upphov till uppgifter som hör till särskilda kategorier av personuppgifter, även om de ursprungliga uppgifterna inte i sig är sådana. Det ska också finnas en grund för behandling av sådana uppgifter.

Personen ska dessutom informeras om logiken i behandlingen och följderna av behandlingen. Personen ska tydligt, transparent och begripligt informeras om med vilka förfaranden och enligt vilka principer uppgifter om hen behandlas. Organisationen ska också kunna påvisa vilken del av systemet för artificiell intelligens som har ingått i beslutsfattandet.

Mer information om automatiskt beslutsfattande och profilering

Behandla personuppgifter på ett säkert sätt

Både dataskyddsförordningen och förordningen om artificiell intelligens betonar vikten av att skydda personuppgifter under hela livscykeln mot behandling som strider mot dataskyddsbestämmelserna. Organisationen ska vidta tekniska och organisatoriska åtgärder för att säkerställa och påvisa att behandlingen av personuppgifter följer dataskyddslagstiftningen.

Organisationen ska ha förmågan att garantera kontinuerlig konfidentialitet, integritet, användbarhet och feltolerans i systemen och tjänsterna för behandling av personuppgifter samt förmågan att återställa tillgängligheten och åtkomsten till uppgifterna när det förhindras. Dessutom ska det finnas ett förfarande för att regelbundet testa, undersöka och utvärdera åtgärdernas effektivitet för att säkerställa säkerheten.

Åtgärderna kan till exempel vara:

  • Kryptering av uppgifter: kryptering av personuppgifter både vid förvaring och under överföring säkerställer att uppgifterna är konfidentiella även vid ett eventuellt dataintrång.
  • Hantering av användarrättigheter: ibruktagandet av strikta användarrättigheter begränsar vem som kan använda och redigera personuppgifter.
  • Sårbarhetstest: regelbundna sårbarhetstest hjälper till att identifiera och korrigera svagheter i systemets säkerhet.
  • Logguppgifter och auditering: upprätthållandet av detaljerade logguppgifter om systemets funktion gör det möjligt att följa upp och undersöka misstänkt verksamhet.

AI-system medför särskilda risker som kräver säkerhetsåtgärder som kompletterar den traditionella dataskyddspraxisen.

Kompletterande säkerhetsåtgärder kan vara till exempel:

  • Hantering av input: ett AI-system kan ges som input till exempel text, video, ljud eller bild. Innan inmatningen ges till systemet för behandling ska man identifiera om inmatningen innehåller avvikande eller skadligt innehåll och vid behov rengöra innehållet så att de inte strider mot systemets användningsändamål. Andra säkerhetsåtgärder är hantering och begränsning av antalet inmatningar.
  • Övervakning av beslut: säkerställande av exaktheten, rättvisan och spårbarheten i resultaten av AI-systemet samt identifiering av eventuella snedvridningar.

Genomför dataskyddsrättigheter

Dataskyddsförordningen innehåller bestämmelser om dataskyddsrättigheter för registrerade. Den registrerade är en person vars personuppgifter behandlas till exempel i samband med utveckling eller användning av ett system för artificiell intelligens. Rätten att ta del av uppgifter som gäller hen själv, rätten att få uppgifter korrigerade, kompletterade och raderade, rätten att begränsa och motsätta sig behandlingen av uppgifter samt rätten att få uppgifter överförda från ett system till ett annat.

En organisation som utvecklar eller använder ett AI-system ska säkerställa att systemet och verksamhetssätten är sådana att alla dataskyddsrättigheter i anslutning till behandlingen av personuppgifter kan tillgodoses effektivt i systemet.

Mer information om den registrerades rättigheter

Visa att du följer dataskyddslagstiftningen

En organisation som utvecklar eller använder ett AI-system ansvarar för att följa kraven i dataskyddsregleringen och ska kunna påvisa det. Skyldigheten att kunna påvisa att kraven uppfylls förutsätter till exempel att vissa åtgärder vidtas och dokumenteras.

Mer information om ansvarsskyldigheten, de åtgärder som krävs och den skriftliga dokumentationen

Läs mer:

EU:s förordning om artificiell intelligens (i EUR-Lex)

EU:s allmänna dataskyddsförordning (i EUR-Lex)

Mer information om förordningen om artificiell intelligens på kommissionens webbplats