Livscykeln för ett AI-system indelas i två faser: utvecklingsfasen och användningsfasen. Utvecklingsfasen omfattar all verksamhet innan systemet tas i bruk, såsom utveckling av algoritmen, insamling och förbehandling av informationen som används för att träna systemet. Användningsfasen inleds när systemet tas i bruk och används för det planerade ändamålet.
Exempel på allmänna AI-system i vardagen
- Streamingtjänsternas system för rekommendationer som analyserar användarens lyssnings- eller läshistorik, identifierar likheter i användarnas intressen och rekommenderar utifrån det nytt innehåll för dem.
- Webbutikernas system för rekommendationer som analyserar köphistoriken, identifierar likheter mellan olika användares intressen och rekommenderar nya produkter utifrån dem.
- E-postsystemens filter för skräppost som analyserar uppgifter i e-postmeddelanden och identifierar egenskaper utifrån vilka de skiljer skräppost från andra e-postmeddelanden.
- Karttjänster och hjälpmedel för navigering som analyserar tillgänglig information om trafiken och föreslår rutter utifrån den.
- Sökmotorer som analyserar användarnas val och rekommenderar sökresultat utifrån dem.
- Chattbotar som används i kundtjänsten och som analyserar den information som matats in i dem och bildar svar utifrån den.
- Personliga AI-assistenter som hjälper användaren att skapa innehåll, samlar information från olika källor och skapar tidtabeller och uppgiftslistor utifrån informationen.
Hur ska dataskyddsregleringen beaktas i AI-system?
Dataskyddsregleringen ska iakttas oberoende av teknologi, även i system för artificiell intelligens. Dataskyddsregleringen ska alltid beaktas när personuppgifter behandlas automatiskt.
I utvecklingen och användningen av AI-system utnyttjas ofta stora mängder personuppgifter. Det ska finnas en lagenlig grund för behandlingen av personuppgifter och principerna för dataskydd, såsom uppgiftsminimering och ändamålsbundenhet, ska iakttas.
Om det i utvecklingen eller användningen av ett AI-system inte överhuvudtaget utnyttjas personuppgifter, tillämpas inte dataskyddslagstiftningen. För att organisationen ska kunna vara säker på om den behandlar personuppgifter i samband med ett AI-system eller inte ska den noggrant bekanta sig med definitionerna av personuppgifter och behandlingen av personuppgifter. Organisationen måste också sätta sig in i det system som tas i bruk och hur systemet fungerar.
Mer information:
- Vad är en personuppgift?
- Pseudonymiserade och anonymiserade uppgifter
- Europeiska dataskyddstyrelsens yttrande 28/2024 vissa dataskyddsaspekter vid behandling av personuppgifter i samband med AI-modeller (på dataskyddsstyrelsens webbplats på engelska)
- Artikel 29-arbetsgruppens yttrande 05/2014 om avidentifieringsmetoder (pdf-fil på webbplatsen ec.europa.eu)
Bedöm riskerna och konsekvenserna för dataskyddet
En organisation som utvecklar eller tar i bruk ett AI-system ska alltid bedöma riskerna i anslutning till behandlingen av personuppgifter innan behandlingen börjar. På så sätt kan man redan i planeringsskedet identifiera vilka åtgärder man ska vidta för att hantera riskerna och trygga en ändamålsenlig behandling av personuppgifterna.
Organisationen ska alltid följa dataskyddsprinciperna i sin verksamhet och säkerställa att de genomförs i enlighet med risknivå som behandlingen medför. Risken ska bedömas uttryckligen ur individens synvinkel och man ska identifiera vilka risker behandlingen av personuppgifter kan medföra för individerna. Riskbedömningen kan också vara till nytta vid bedömningen av risker som riktas mot organisationen.
Ett verktyg för riskbedömning är konsekvensbedömningen av dataskyddet. Enligt dataskyddsförordningen ska en konsekvensbedömning göras i synnerhet när ny teknik används vid behandlingen av personuppgifter.
Mer information om konsekvensbedömning
I vissa situationer är det obligatoriskt att göra en konsekvensbedömning. Den ska alltid göras när den planerade behandlingen av personuppgifter kan medföra en hög risk för människors rättigheter och friheter. Om minst två av följande kriterier uppfylls är det sannolikt fråga om en hög risk. Utvecklingen av system för artificiell intelligens uppfyller ofta kriterierna för hög risk.
Kriterier som ska beaktas vid bedömning av hög risk
- Bedömning eller poängsättning av personer
- Automatiskt beslutsfattande med rättsverkningar för personen
- Systematisk kontroll av människor
- Behandling av uppgifter som hör till särskilda kategorier av personuppgifter eller som annars är mycket personliga
- Omfattande behandling av personuppgifter
- Sammanslagning av informationshelheter
- Behandling av personuppgifter om personer i svagare ställning, såsom barn
- Tillämpning eller innovativ användning av ny teknologi eller en organisatorisk lösning
Konsekvensbedömningen är obligatorisk även när de planerade behandlingsåtgärderna ingår i dataombudsmannens förteckning över behandlingsåtgärder som kräver en konsekvensbedömning. En organisation som planerar att utveckla eller använda ett system för artificiell intelligens bör bekanta sig med förteckningen och kriterierna för hög risk när den bedömer om en konsekvensbedömning av dataskyddet är obligatorisk.
Även om det inte är obligatoriskt att göra en konsekvensbedömning av dataskyddet kan organisationen utnyttja bedömningen när som helst när den planerar funktioner som omfattar behandling av personuppgifter. Konsekvensbedömningen hjälper till iakttagandet av kraven i dataskyddsregleringen.
Säkerställ att behandlingen är lagenlig: när kan personuppgifter utnyttjas?
För behandlingen av personuppgifter behövs alltid en lagenlig grund, dvs. en så kallad behandlingsgrund. Behandlingsgrunden behövs både för utvecklingen och användningen av AI-systemet, om det är förknippat med behandling av personuppgifter. Grunden ska finnas redan när personuppgifter samlas in och används för att utveckla och lära upp artificiell intelligens.
Det lönar sig att skilja mellan olika behandlingsåtgärder för personuppgifter och faserna i utvecklingen och ibruktagandet av ett AI-system. På så sätt kan man vid behov välja egna behandlingsgrunder och riskhanteringsåtgärder som lämpar sig för varje fas.
Enligt artikel 6 i dataskyddsförordningen är grunderna för behandling av personuppgifter den registrerades samtycke, avtal, en rättslig förpliktelse för den personuppgiftsansvarige, skydd av vitala intressen, en uppgift av allmänt intresse eller utövning av offentlig makt samt den personuppgiftsansvariges eller en tredje parts berättigade intresse.
Mer information om grunderna för behandlingen av personuppgifter