Dataskydd vid utveckling och användning av AI-system
På den här sidan finns information om kraven i dataskyddslagstiftningen som ska beaktas i utvecklingen och användningen av system för artificiell intelligens. Anvisningarna är inte uttömmande, utan den organisation som utvecklar eller tar i bruk ett AI-system ska alltid bedöma kraven i lagstiftningen från fall till fall. På AI-system tillämpas dessutom till exempel EU:s förordning om artificiell intelligens.
På den här sidan hittar du information om följande ämnen:
- Vad avses med ett AI-system?
- Hur ska dataskyddsregleringen beaktas i AI-system?
- Bedöm riskerna och konsekvenserna för dataskyddet
- Säkerställ att behandlingen är lagenlig: när kan personuppgifter utnyttjas?
- Förbjuden praxis och system för artificiell intelligens med hög risk
- Beakta dataskyddsprinciperna
- Vad ska beaktas vid automatiserat beslutsfattande?
- Behandla personuppgifter på ett säkert sätt
- Genomför människornas dataskyddsrättigheter
- Visa att du följer dataskyddslagstiftningen
Vad avses med ett AI-system?
Med ett system för artificiell intelligens avses här ett system som är avsett och planerat för att analysera information, identifiera modeller och använda denna information för att fatta beslut, skapa innehåll eller prognoser.
Dataskyddslagstiftningen innehåller ingen definition av artificiell intelligens eller system för artificiell intelligens. I förordningen om artificiell intelligens avses med AI-system ett maskinbaserat system som är konstruerat för fungera på varierande grader av autonomi och där det kan visa sig vara anpassningsbart efter ibruktagandet och som utifrån den inmatning som det tar emot för explicita eller implicita mål, hur man producerar resultat, såsom prognoser, innehåll, rekommendationer och beslut som kan påverka fysiska eller virtuella miljöer.
EU-kommissionen har gett riktlinjer för definitionen av AI-system (på komissionens webbplats på engelska)
Livscykeln för ett AI-system indelas i två faser: utvecklingsfasen och användningsfasen. Utvecklingsfasen omfattar all verksamhet innan systemet tas i bruk, såsom utveckling av algoritmen, insamling och förbehandling av informationen som används för att träna systemet. Användningsfasen inleds när systemet tas i bruk och används för det planerade ändamålet.
Exempel på allmänna AI-system i vardagen
- Streamingtjänsternas system för rekommendationer som analyserar användarens lyssnings- eller läshistorik, identifierar likheter i användarnas intressen och rekommenderar utifrån det nytt innehåll för dem.
- Webbutikernas system för rekommendationer som analyserar köphistoriken, identifierar likheter mellan olika användares intressen och rekommenderar nya produkter utifrån dem.
- E-postsystemens filter för skräppost som analyserar uppgifter i e-postmeddelanden och identifierar egenskaper utifrån vilka de skiljer skräppost från andra e-postmeddelanden.
- Karttjänster och hjälpmedel för navigering som analyserar tillgänglig information om trafiken och föreslår rutter utifrån den.
- Sökmotorer som analyserar användarnas val och rekommenderar sökresultat utifrån dem.
- Chattbotar som används i kundtjänsten och som analyserar den information som matats in i dem och bildar svar utifrån den.
- Personliga AI-assistenter som hjälper användaren att skapa innehåll, samlar information från olika källor och skapar tidtabeller och uppgiftslistor utifrån informationen.
Hur ska dataskyddsregleringen beaktas i AI-system?
Dataskyddsregleringen ska iakttas oberoende av teknologi, även i system för artificiell intelligens. Dataskyddsregleringen ska alltid beaktas när personuppgifter behandlas automatiskt.
I utvecklingen och användningen av AI-system utnyttjas ofta stora mängder personuppgifter. Det ska finnas en lagenlig grund för behandlingen av personuppgifter och principerna för dataskydd, såsom uppgiftsminimering och ändamålsbundenhet, ska iakttas.
Om det i utvecklingen eller användningen av ett AI-system inte överhuvudtaget utnyttjas personuppgifter, tillämpas inte dataskyddslagstiftningen. För att organisationen ska kunna vara säker på om den behandlar personuppgifter i samband med ett AI-system eller inte ska den noggrant bekanta sig med definitionerna av personuppgifter och behandlingen av personuppgifter. Organisationen måste också sätta sig in i det system som tas i bruk och hur systemet fungerar.
Mer information:
- Vad är en personuppgift?
- Pseudonymiserade och anonymiserade uppgifter
- Europeiska dataskyddstyrelsens yttrande 28/2024 vissa dataskyddsaspekter vid behandling av personuppgifter i samband med AI-modeller (på dataskyddsstyrelsens webbplats på engelska)
- Artikel 29-arbetsgruppens yttrande 05/2014 om avidentifieringsmetoder (pdf-fil på webbplatsen ec.europa.eu)
Bedöm riskerna och konsekvenserna för dataskyddet
En organisation som utvecklar eller tar i bruk ett AI-system ska alltid bedöma riskerna i anslutning till behandlingen av personuppgifter innan behandlingen börjar. På så sätt kan man redan i planeringsskedet identifiera vilka åtgärder man ska vidta för att hantera riskerna och trygga en ändamålsenlig behandling av personuppgifterna.
Organisationen ska alltid följa dataskyddsprinciperna i sin verksamhet och säkerställa att de genomförs i enlighet med risknivå som behandlingen medför. Risken ska bedömas uttryckligen ur individens synvinkel och man ska identifiera vilka risker behandlingen av personuppgifter kan medföra för individerna. Riskbedömningen kan också vara till nytta vid bedömningen av risker som riktas mot organisationen.
Ett verktyg för riskbedömning är konsekvensbedömningen av dataskyddet. Enligt dataskyddsförordningen ska en konsekvensbedömning göras i synnerhet när ny teknik används vid behandlingen av personuppgifter.
Mer information om konsekvensbedömning
I vissa situationer är det obligatoriskt att göra en konsekvensbedömning. Den ska alltid göras när den planerade behandlingen av personuppgifter kan medföra en hög risk för människors rättigheter och friheter. Om minst två av följande kriterier uppfylls är det sannolikt fråga om en hög risk. Utvecklingen av system för artificiell intelligens uppfyller ofta kriterierna för hög risk.
Kriterier som ska beaktas vid bedömning av hög risk
- Bedömning eller poängsättning av personer
- Automatiskt beslutsfattande med rättsverkningar för personen
- Systematisk kontroll av människor
- Behandling av uppgifter som hör till särskilda kategorier av personuppgifter eller som annars är mycket personliga
- Omfattande behandling av personuppgifter
- Sammanslagning av informationshelheter
- Behandling av personuppgifter om personer i svagare ställning, såsom barn
- Tillämpning eller innovativ användning av ny teknologi eller en organisatorisk lösning
Konsekvensbedömningen är obligatorisk även när de planerade behandlingsåtgärderna ingår i dataombudsmannens förteckning över behandlingsåtgärder som kräver en konsekvensbedömning. En organisation som planerar att utveckla eller använda ett system för artificiell intelligens bör bekanta sig med förteckningen och kriterierna för hög risk när den bedömer om en konsekvensbedömning av dataskyddet är obligatorisk.
Även om det inte är obligatoriskt att göra en konsekvensbedömning av dataskyddet kan organisationen utnyttja bedömningen när som helst när den planerar funktioner som omfattar behandling av personuppgifter. Konsekvensbedömningen hjälper till iakttagandet av kraven i dataskyddsregleringen.
Säkerställ att behandlingen är lagenlig: när kan personuppgifter utnyttjas?
För behandlingen av personuppgifter behövs alltid en lagenlig grund, dvs. en så kallad behandlingsgrund. Behandlingsgrunden behövs både för utvecklingen och användningen av AI-systemet, om det är förknippat med behandling av personuppgifter. Grunden ska finnas redan när personuppgifter samlas in och används för att utveckla och lära upp artificiell intelligens.
Det lönar sig att skilja mellan olika behandlingsåtgärder för personuppgifter och faserna i utvecklingen och ibruktagandet av ett AI-system. På så sätt kan man vid behov välja egna behandlingsgrunder och riskhanteringsåtgärder som lämpar sig för varje fas.
Enligt artikel 6 i dataskyddsförordningen är grunderna för behandling av personuppgifter den registrerades samtycke, avtal, en rättslig förpliktelse för den personuppgiftsansvarige, skydd av vitala intressen, en uppgift av allmänt intresse eller utövning av offentlig makt samt den personuppgiftsansvariges eller en tredje parts berättigade intresse.
Mer information om grunderna för behandlingen av personuppgifter
Samtycket kan användas som grund för behandling av personuppgifter både i utvecklingen och användningen av system för artificiell intelligens. En individ kan ge sitt samtycke till att personuppgifter som gäller hen behandlas för ett eller flera ändamål. Ett sådant samtycke ska vara en frivillig, specificerad, medveten och entydig viljeyttring med vilken personen godkänner behandlingen av sina personuppgifter.
Den personuppgiftsansvarige, dvs. den organisation som utvecklar eller använder ett system för artificiell intelligens, ska kunna påvisa att det finns ett lagenligt samtycke. Samtycket ska också när som helst kunna återkallas gratis och lika enkelt som det har kunnat ges. Efter att samtycket har återkallats ska behandlingen av personuppgifter som behandlats på basis av samtycket avslutas och uppgifterna raderas. Återkallandet av samtycket måste kunna genomföras effektivt även i system för artificiell intelligens. Om det till exempel inte tekniskt går att genomföra samtycket, kan samtycke inte användas som en behandlingsgrund.
Dataombudsmannen betonar att det kan vara administrativt arbetsamt att välja samtycke som grund för behandling av personuppgifter i utvecklingsskedet av ett system för artificiell intelligens, i synnerhet om man behandlar ett stort antal personuppgifter.
Avtal kan användas som behandlingsgrund både i utvecklingen och användningen av system för artificiell intelligens. När en individ är part i ett avtal kan personuppgifter som gäller hen behandlas om det är nödvändigt för att avtalet ska kunna verkställas.
Rättslig förpliktelse kan användas som behandlingsgrund både i utvecklingen och användningen av ett system för artificiell intelligens, om behandlingen av personuppgifter är nödvändig för att den personuppgiftsansvarige, dvs. den organisation som utvecklar eller använder systemet för artificiell intelligens, ska kunna fullgöra sin rättsliga förpliktelse.
Skydd av vitala intressen kan användas som behandlingsgrund vid utveckling och användning av ett system för artificiell intelligens endast om det är nödvändigt för att skydda den registrerades eller en annan persons vitala intressen. Behandlingen av personuppgifter kan tjäna ett livsviktigt intresse till exempel i humanitära nödsituationer, såsom naturkatastrofer eller epidemier.
För att detta krav ska uppfyllas måste till exempel livsfaran i det aktuella fallet vara tillräckligt konkret. Behandlingsgrunden kan därför mycket sällan tillämpas i praktiken.
Personuppgifter får behandlas i samband med utveckling eller användning av ett system för artificiell intelligens när det allmänna intresset eller utövandet av offentlig makt som tillhör den personuppgiftsansvarige förutsätter det. En uppgift av allmänt intresse eller offentlig makt måste ha anförtrotts genom lag eller någon annan rättslig bestämmelse. Med personuppgiftsansvarig avses en organisation som utvecklar eller använder ett system för artificiell intelligens.
Personuppgifter får behandlas i samband med utveckling eller användning av ett system för artificiell intelligens, ifall det är nödvändigt för att tillgodose det berättigade intresset hos den personuppgiftsansvarige eller en tredje part. Med personuppgiftsansvarig avses den organisation som utvecklar eller använder ett system för artificiell intelligens.
Ett berättigat intresse kan finnas till exempel när det finns en betydelsefull relation mellan individen, dvs. den registrerade och organisationen, dvs. den personuppgiftsansvarige. Så är fallet till exempel om individen är kund hos organisationen. Personuppgifter får dock inte behandlas om individens intressen eller rättigheter åsidosätter organisationens intressen.
Europeiska dataskyddsstyrelsen har beskrivit omständigheter som ska beaktas när förekomsten av ett berättigat intresse bedöms.
Utvärderingens tre skeden är:
1. Identifiering och beskrivning av berättigat intresse. För att ett berättigat intresse ska kunna användas som behandlingsgrund måste alla följande förutsättningar uppfyllas.
- Det berättigade intresset är lagenligt.
- Det berättigade intresset är tydligt och grundligt uttryckt.
- Det berättigade intresset är verkligt och existerar (grundar sig inte på antagande).
2. Bedömning av det planerade behovet av behandling av personuppgifter
- Främjar de planerade behandlingarna det berättigade intresset?
- Finns det alternativa genomförandesätt som kräver mindre behandling av personuppgifter?
3. Att väga frågan om det berättigade intresse som eftersträvas åsidosätter individens intressen och rättigheter (s.k. balanstest). Bedömningen ska göras från fall till fall och i den ska särskilt följande beaktas:
-
Risker för individens rättigheter och intressen som utvecklingen eller användningen av ett system för artificiell intelligens kan medföra.
-
Konsekvenser för individen som behandlingen av personuppgifter kan ha i samband med utveckling eller användning av system för artificiell intelligens. Konsekvenserna kan vara av olika typ och de kan vara positiva eller negativa.
-
Typ av personuppgifter som behandlas, sammanhanget mellan behandlingsåtgärderna samt eventuella följder av behandlingen av personuppgifterna för individen.
En organisation som planerar att använda ett berättigat intresse som grund för behandling av personuppgifter i utvecklingen eller användningen av ett system för artificiell intelligens har nytta av att bekanta sig med dataskyddsstyrelsens utlåtande (på engelska på dataskyddsstyrelsens webbplats): Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models
Om man i samband med utveckling, träning eller användning av ett AI-system behandlar uppgifter som hör till särskilda kategorier av personuppgifter, såsom uppgifter om människors hälsa, ska det dessutom finnas en grund för undantag för behandlingen av uppgifterna. Bestämmelser om grunderna för undantag finns i artikel 9 i dataskyddsförordningen. Detta kan till exempel vara individens uttryckliga samtycke eller en lagstadgad orsak.
Mer information om behandlingen av särskilda kategorier av personuppgifter
En organisation som utvecklar eller använder ett AI-system ska välja på vilka grunder för behandling av personuppgifter den stöder sig. Grunden påverkar bland annat vilka rättigheter den person vars uppgifter behandlas har. AI-systemet ska planeras och genomföras så att individens dataskyddsrättigheter kan tillgodoses. Om behandlingen till exempel grundar sig på ett berättigat intresse, ska organisationen kunna tillgodose individens rätt att motsätta sig behandlingen av sina personuppgifter.
Mer information om vilka rättigheter den registrerade har i olika situationer
För att behandlingen av personuppgifter ska vara lagenlig ska även annan eventuell lagstiftning som tillämpas på verksamheten iakttas.
Förbjuden praxis och system för artificiell intelligens med hög risk
Det är inte tillåtet att använda ett AI-system i alla situationer. Vissa användningsfall för AI-system är helt förbjudna i artikel 5 i förordningen om artificiell intelligens.
I förordningen om artificiell intelligens fastställs också vilka system som är högrisksystem. Sådana är i synnerhet system som kan ha en betydande skadlig inverkan på människors säkerhet eller de grundläggande fri- och rättigheterna. AI-system som medför hög risk kan släppas ut på marknaden eller användas endast om de uppfyller kraven i förordningen om artificiell intelligens.
- Skadlig manipulation och vilseledande. AI-system som använder tekniker som personen inte medvetet kan upptäcka eller som är avsiktligt manipulerande eller vilseledande och vars syfte eller följd är att förvränga personens eller gruppens beteende. Till följd av förvrängningen försämras beslutsförmågan avsevärt och personen fattar ett beslut som denne annars inte skulle ha fattat och som sannolikt orsakar betydande olägenheter för hen själv eller någon annan.
- Skadligt sätt att utnyttja sårbarheter. AI-system där man utnyttjar sårbarheter som beror på ålder, funktionsnedsättning eller en särskild social eller ekonomisk situation och vars mål eller följd är att förvränga personernas beteende så att det rimligen sannolikt orsakar betydande olägenheter.
- Social poängsättning. AI-system som används för att bedöma eller klassificera personer eller grupper utifrån deras sociala beteende eller personliga egenskaper så att bedömningen leder till skadlig eller ogynnsam behandling. Skadlig eller ogynnsam behandling av vissa personer eller grupper som är omotiverad eller oproportionerlig i förhållande till personernas beteende eller till hur allvarligt beteendet är, eller behandlingen sker i annat sammanhang än var den ursprungliga informationen härstammar.
- Bedömning och prognostisering av risken för att en person gör sig skyldig till brott. AI-system som används för att bedöma eller förutspå individers risk att begå brott enbart på basis av profilering eller bedömning av personlighetsdrag och egenskaper. Det är dock inte förbjudet om detta stöder en bedömning som görs av en människa och som grundar sig på objektiva och verifierbara fakta som direkt anknyter till brottslig verksamhet.
- Oriktad skrapning för att utveckla databaser för ansiktsidentifiering. AI-system som används för att skapa eller utvidga databaser för ansiktsigenkänning genom att oriktad skrapning av ansiktsbilder från internet eller övervakningskameror.
- Uttydning av känslor. AI-system som uttyder känslor på arbetsplatsen eller vid läroanstalter. Förbudet gäller inte medicinska eller säkerhetsrelaterade ändamål.
- Biometrisk kategorisering. AI-system som kategoriserar människor utifrån deras biometriska uppgifter för att avgöra etnisk bakgrund, politiska åsikter, medlemskap i fackförening, religiös eller filosofisk övertygelse, sexuellt beteende eller sexuell läggning. Förbudet gäller inte märkning eller filtrering av lagligt anskaffat biometriskt informationsmaterial (såsom bilder) på basis av biometriska uppgifter i lagövervakningen.
- Biometrisk identifiering i realtid. Användning av sådana AI-system som används för att identifiera personer i realtid i offentliga lokaler för brottsbekämpningsändamål. Förbudet gäller inte situationer där det är absolut nödvändigt för riktad efterspaning av vissa offer, för att förhindra vissa hot (till exempel terrorattacker) eller för att söka efter misstänkta för vissa brott i enlighet med de lagstadgade kraven
Beakta dataskyddsprinciperna
Även i samband med AI-system ska dataskyddsregleringen iakttas i sin helhet. Det är inte tillräckligt att det finns en grund för behandlingen av personuppgifter, utan dessutom ska dataskyddsprinciperna enligt dataskyddsförordningen och skyldigheterna i anslutning till dem beaktas. Bestämmelser om dataskyddsprinciperna finns i artikel 5 i dataskyddsförordningen.
Mer information om dataskyddsprinciperna
Berätta öppet om behandlingen av personuppgifter
Personuppgifter ska behandlas på ett transparent och korrekt sätt för det ändamål för vilket de har samlats in. Informationen om behandlingen av personuppgifter ska vara öppen och begriplig och informationen får inte vara vilseledande. Uppgifterna får inte heller behandlas på ett sätt som är oförutsägbart och oväntat för personerna.
När personuppgifter behandlas i samband med utveckling eller användning av ett system för artificiell intelligens ska personen åtminstone informeras om
- vilka personuppgifter som samlas in om personen,
- för vilket ändamål personuppgifterna behandlas,
- hur länge de personuppgifter som samlas in förvaras,
- om de personuppgifter som samlats in delas eller säljs till tredje part,
- på vilket sätt hens personuppgifter behandlas,
- hurdana dataskyddsrättigheter hen har och hur hen kan använda dem.
Förordningen om artificiell intelligens förutsätter att organisationen öppet informerar användarna om systemet. Användarna ska till exempel informeras om när de interagerar med AI-systemet. Dessutom är organisationen skyldig att ge en beskrivning av den mekanism som ligger till grund för det automatiska beslutsfattandet.
När behöver man inte informera om behandlingen av personuppgifter?
Det finns vissa undantagssituationer då det inte finns någon skyldighet att informera. Dessa undantagsgrunder måste tolkas snävt. Att informera personerna på ett omfattande sätt är en förutsättning för att de ska kunna försäkra sig om att deras personuppgifter behandlas på behörigt sätt.
Om avsikten är att samla in personuppgifter från offentliga källor för att utveckla ett AI-system eller på något annat sätt så att uppgifterna fås någon annanstans än från personen själv, kan man avvika från informationsskyldigheten, om det i lag föreskrivs om inhämtande eller utlämnande av uppgifter eller om uppgifterna inte kan lämnas ut på grund av lagstadgad sekretess. Personen behöver inte få sådana uppgifter som hen redan tidigare mottagit.
Undantag från informationsskyldigheten kan också göras under vissa förutsättningar när personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga och historiska forskningsändamål eller statistiska ändamål, om det är omöjligt eller oskäligt besvärligt att lämna uppgifterna. Även då ska den registeransvarige göra informationen offentligt tillgänglig.
Definiera användningsändamålet för personuppgifterna och använd uppgifterna på ett sätt som är förenligt med syftet
Innan behandlingen av personuppgifter inleds ska man tydligt planera och definiera för vilket ändamål uppgifterna används. Personuppgifter ska samlas in för detta specifika ändamål. Ändamålet måste vara lagligt.
Den organisation som utvecklar eller använder ett AI-system ansvarar för att fastställa användningsändamålet för uppgifterna. Flera organisationer kan också delta i utvecklingen eller användningen av systemet i olika skeden. Då kan det vara fråga om gemensamt personuppgiftsansvariga, varvid organisationerna gemensamt ansvarar för att fastställa användningsändamålen och behandlingen av uppgifterna.
Europeiska dataskyddsstyrelsen har konstaterat att dataskyddsmyndigheten måste kräva någon form av exakt beskrivning av det planerade ändamålet med behandlingen av personuppgifter i systemet för artificiell intelligens.
Förordningen om artificiell intelligens förutsätter att användningsändamålen för AI-system med hög risk definieras och dokumenteras noggrant.
I olika skeden av utvecklingen och användningen av AI-system kan det behövas olika personuppgifter för olika ändamål. I vissa fall används samma personuppgifter för samma ändamål både i systemets utvecklings- och användningsfaser.
Personuppgifter får inte senare användas för sådana ändamål som strider mot de ursprungliga användningsändamålen. Det kan vara möjligt att behandla uppgifter för andra ändamål om det nya syftet är förenligt med det ursprungliga syftet.
Om organisationen ämnar använda personuppgifter som den samlat in för andra ändamål för att utveckla eller använda system för artificiell intelligens, ska den bedöma det nya användningsändamålet utifrån följande kriterier:
- Vilken samband finns det mellan det ursprungliga användningsändamålet och det nya syftet?
- I vilket sammanhang har personuppgifterna samlats in?
- Vad är individernas förhållande till den instans som ansvarar för behandlingen av personuppgifter?
- Hurdan behandling av personuppgifter kan människor rimligen förvänta sig?
- Vilka typer av personuppgifter kommer att behandlas?
- Kommer känsliga personuppgifter att behandlas?
- Vilka konsekvenser kan behandlingen av personuppgifter ha för personer vars uppgifter behandlas?
- Vilka skyddsåtgärder använder organisationen?
Om det nya användningsändamålet är förenligt med det ursprungliga syftet, kan personuppgifterna behandlas med stöd av den ursprungliga behandlingsgrunden. Om det nya användningsändamålet däremot inte är förenligt behövs en ny behandlingsgrund.
I allmänhet är det nya användningsändamålet inte förenligt om det ändras väsentligt, om behandlingen av personuppgifter är oväntad eller om behandlingen av uppgifterna orsakar orättvisa följder för personen. Arkivering av allmänt intresse, vetenskaplig eller historisk forskning eller statistiska ändamål är i sin tur förenliga med det ursprungliga användningsändamålet, förutsatt att tillräckliga skyddsåtgärder iakttas.
Mer information om bundenheten till användningsändamålet
Minimera de personuppgifter som behandlas och se till att de är korrekta
Enligt dataskyddsförordningen ska de personuppgifter som behandlas vara adekvata, relevanta och begränsade endast till det som behövs för ändamålet med behandlingen. Det innebär att personuppgifter inte får samlas in i större utsträckning än nödvändigt.
Även i utvecklingen och användningen av system för artificiell intelligens får endast sådana personuppgifter behandlas som behövs för på förhand fastställda användningsändamål. En organisation som utvecklar eller använder ett AI-system ska alltid noggrant bedöma vilka personuppgifter som är nödvändiga.
I utvecklingen av ett AI-system behövs ofta omfattande och högklassigt informationsmaterial för att modellen ska fungera statistiskt korrekt och till exempel inte diskriminera vissa människogrupper. För att undvika snedvridningar och fel kan det därför vara nödvändigt att behandla personuppgifter. Även sådana behov ska identifieras när uppgifternas användningsändamål planeras.
Om det är svårt att förutse mängden nödvändig information i olika skeden, lönar det sig att börja med en liten mängd information som gradvis utvidgas enligt ett motiverat behov. Uppgifternas nödvändighet ska också följas upp och utvärderas på nytt i olika faser. I bedömningen ska man bland annat fundera på om man kan uppnå samma mål till exempel med hjälp av syntetisk eller anonymiserad information.
Personuppgifterna ska också vara exakta och vid behov uppdateras. Det är särskilt viktigt att fästa uppmärksamhet vid att personuppgifterna är korrekta när används för beslutsfattande som gäller människor eller för att dra slutsatser i AI-system.
Mer information om uppgiftsminimering
Mer information om uppgifternas korrekthet
Begränsning av förvaringen av uppgifter och fastställande av förvaringstiden
Enligt dataskyddsförordningen ska förvaringstiden för personuppgifter begränsas. Personuppgifterna får förvaras i en form som gör det möjligt att identifiera personen endast så länge som det krävs för användningsändamålet.
En tidsgräns ska fastställas för uppgifterna, varefter de raderas, arkiveras eller anonymiseras. När personuppgifter inte längre behövs för att utveckla eller använda ett AI-system ska de anonymiseras eller raderas.
Personuppgifter kan förvaras längre än det ursprungliga användningsändamålet endast om skyddsåtgärderna i dataskyddsförordningen iakttas på behörigt sätt och om uppgifterna behandlas för
- arkivering av allmänt intresse,
- vetenskaplig eller historisk forskning eller
- statistiska ändamål.
Mer information om lagringsminimering
Vad ska beaktas vid automatiserat beslutsfattande?
AI-system kan utnyttjas för automatiserat beslutsfattande. Beslutsfattandet är automatiskt när det grundar sig enbart på en automatisk behandling av personuppgifter och när besluten har rättsverkningar eller motsvarande betydande konsekvenser för personen.
Personer har rätt att inte bli föremål för ett sådant beslutsfattande. Det finns dock undantag till förbudet. Automatiserat beslutsfattande är tillåtet om lämpliga skyddsåtgärder vidtas och om beslutet
- är nödvändigt för att ingå eller genomföra ett avtal mellan den registrerade och den personuppgiftsansvarige,
- har godkänts i den lagstiftning som tillämpas på den personuppgiftsansvarige, eller
- grundar sig på den registrerades uttryckliga samtycke.
Så kallade känsliga uppgifter som hör till särskilda kategorier av personuppgifter, såsom hälsouppgifter, kan behandlas i samband med automatiserat beslutsfattande endast om personen har gett sitt samtycke till behandlingen av dessa uppgifter eller om det är nödvändigt på grund av ett viktigt allmänt intresse som föreskrivs i lag.
Slutledningen av profileringen kan ge upphov till uppgifter som hör till särskilda kategorier av personuppgifter, även om de ursprungliga uppgifterna inte i sig är sådana. Det ska också finnas en grund för behandling av sådana uppgifter.
Personen ska dessutom informeras om logiken i behandlingen och följderna av behandlingen. Personen ska tydligt, transparent och begripligt informeras om med vilka förfaranden och enligt vilka principer uppgifter om hen behandlas. Organisationen ska också kunna påvisa vilken del av systemet för artificiell intelligens som har ingått i beslutsfattandet.
Mer information om automatiskt beslutsfattande och profilering
Behandla personuppgifter på ett säkert sätt
Både dataskyddsförordningen och förordningen om artificiell intelligens betonar vikten av att skydda personuppgifter under hela livscykeln mot behandling som strider mot dataskyddsbestämmelserna. Organisationen ska vidta tekniska och organisatoriska åtgärder för att säkerställa och påvisa att behandlingen av personuppgifter följer dataskyddslagstiftningen.
Organisationen ska ha förmågan att garantera kontinuerlig konfidentialitet, integritet, användbarhet och feltolerans i systemen och tjänsterna för behandling av personuppgifter samt förmågan att återställa tillgängligheten och åtkomsten till uppgifterna när det förhindras. Dessutom ska det finnas ett förfarande för att regelbundet testa, undersöka och utvärdera åtgärdernas effektivitet för att säkerställa säkerheten.
Åtgärderna kan till exempel vara:
- Kryptering av uppgifter: kryptering av personuppgifter både vid förvaring och under överföring säkerställer att uppgifterna är konfidentiella även vid ett eventuellt dataintrång.
- Hantering av användarrättigheter: ibruktagandet av strikta användarrättigheter begränsar vem som kan använda och redigera personuppgifter.
- Sårbarhetstest: regelbundna sårbarhetstest hjälper till att identifiera och korrigera svagheter i systemets säkerhet.
- Logguppgifter och auditering: upprätthållandet av detaljerade logguppgifter om systemets funktion gör det möjligt att följa upp och undersöka misstänkt verksamhet.
AI-system medför särskilda risker som kräver säkerhetsåtgärder som kompletterar den traditionella dataskyddspraxisen.
Kompletterande säkerhetsåtgärder kan vara till exempel:
- Hantering av input: ett AI-system kan ges som input till exempel text, video, ljud eller bild. Innan inmatningen ges till systemet för behandling ska man identifiera om inmatningen innehåller avvikande eller skadligt innehåll och vid behov rengöra innehållet så att de inte strider mot systemets användningsändamål. Andra säkerhetsåtgärder är hantering och begränsning av antalet inmatningar.
- Övervakning av beslut: säkerställande av exaktheten, rättvisan och spårbarheten i resultaten av AI-systemet samt identifiering av eventuella snedvridningar.
Genomför dataskyddsrättigheter
Dataskyddsförordningen innehåller bestämmelser om dataskyddsrättigheter för registrerade. Den registrerade är en person vars personuppgifter behandlas till exempel i samband med utveckling eller användning av ett system för artificiell intelligens. Rätten att ta del av uppgifter som gäller hen själv, rätten att få uppgifter korrigerade, kompletterade och raderade, rätten att begränsa och motsätta sig behandlingen av uppgifter samt rätten att få uppgifter överförda från ett system till ett annat.
En organisation som utvecklar eller använder ett AI-system ska säkerställa att systemet och verksamhetssätten är sådana att alla dataskyddsrättigheter i anslutning till behandlingen av personuppgifter kan tillgodoses effektivt i systemet.
Mer information om den registrerades rättigheter
Visa att du följer dataskyddslagstiftningen
En organisation som utvecklar eller använder ett AI-system ansvarar för att följa kraven i dataskyddsregleringen och ska kunna påvisa det. Skyldigheten att kunna påvisa att kraven uppfylls förutsätter till exempel att vissa åtgärder vidtas och dokumenteras.
Mer information om ansvarsskyldigheten, de åtgärder som krävs och den skriftliga dokumentationen
Läs mer:
EU:s förordning om artificiell intelligens (i EUR-Lex)
EU:s allmänna dataskyddsförordning (i EUR-Lex)
Mer information om förordningen om artificiell intelligens på kommissionens webbplats