Hoppa till innehåll på sidan
IMY-bloggen

Frågor och svar om AI och GDPR

Publicerad: 5 juni 2024
För några veckor sedan höll IMY ett välbesökt webbinarium där experter på myndigheten bland annat presenterade AI ur ett GDPR-perspektiv, AI-baserad ansiktsigenkänning, det nuvarande projektet i vår regulatoriska sandlåda samt AI-förordningen. Det var ett stort engagemang som webbinariets deltagare visade genom att ställa många frågor i chatten och i detta blogginlägg besvarar vi ett antal av dessa frågor.

Här har vi samlat ett antal av de frågor som vi tog emot under det webbinarium om AI och GDPR som vi höll nyligen. Till hösten kommer vi att ordna ett webbinarium som fokuserar på AI-förordningen. Vi kommer att återkomma med information om datum och tid i våra sociala mediekanaler (LinkedIn och X) och på vår webbplats. Håll utkik!

När kommer rapporten från er pågående sandlåda om utlämnande av allmänna handingar och kan ni säga något redan nu om era slutsatser?

Rapporten kommer att publiceras på IMY:s webbplats i september eller oktober i höst. Det är under skrivfasen som vi även gör våra slutgiltiga juridiska bedömningar och resonemang, varpå vi inte kan ge några bra slutsatser än. Det vi kan säga är att rapporten kommer att beröra rättslig grund, personuppgiftsansvar och tekniska säkerhetsåtgärder kopplat till användningen av AI-systemet för utlämnandet av allmänna handlingar. 

Vad betyder regulatorisk sandlåda kopplat till dataskydd?

Med regulatorisk sandlåda om dataskydd avser IMY en fördjupad vägledning om hur gällande dataskyddsregelverk bör tolkas och tillämpas. Inget undantag ges dock från reglerna i dataskyddsförordningen eller dess kompletterande lagstiftning. Kännetecknande för arbetssättet är att vi på IMY och innovationsaktörerna tillsammans identifierar de rättsliga frågor som vägledningen ska fokusera på. Vägledning ges muntligt vid flera tillfällen under några månaders tid i form av workshops eller andra dialogbaserade former. Arbetet avslutas med att resonemang och bedömningar från vägledningen sammanfattas och publiceras i en rapport för att möjliggöra lärande för många.

Läs mer om regulatoriska sandlådor

Kommer ni säga något om hur man ska tänka kring personuppgiftsansvar, gentemot tjänsteleverantör vid användningen av en AI-modell i rapporten från er sandlåda om utlämnande av allmänna handlingar?

Absolut! Detta är en av frågorna som kommer att behandlas i rapporten. Leverantören är ofta ett personuppgiftsbiträde, men det kan även finnas tillfällen då leverantören kan bli ansvarig, enskilt eller tillsammans med den personuppgiftsansvarige för olika typer av behandlingar. I många fall finns det även underleverantörer, eller underbiträden med när motsvarande lösningar tas fram och driftsätts. 

Ni nämner samverka över disciplinerna och då ofta mellan jurister och tekniker, men hur ska vi tänka kring ledningsfunktioner och dataskyddsombud?

Samverkan är otroligt viktigt när nya lösningar tas fram, inte minst med tanke på reglerna om inbyggt dataskydd och dataskydd som standard. För att lyckas med samverkan ser vi ett stort behov av att ”tala samma språk”, det vill säga att de olika kompetenserna måste förstå varandra. Dataskyddsombudet sitter ofta på en central roll vad gäller samverkan och är väl insatt i dataskyddsfrågorna kopplat till den lokala verksamheten. Även ledningen har ett stort ansvar för att säkerställa att alla nödvändiga kompetenser och funktioner involveras så tidigt som möjligt i processen. IMY har tillsammans med DIGG tagit fram ett metodstöd att använda vid innovation som berör dessa frågor och som ni kan läsa mer om här.

IMY och Digg publicerar vägledning om dataskydd

Vilken myndighet kommer att övervaka AI-förordningen i Sverige?

Det är flera nationella myndigheter som kommer att ha tillsynsuppgifter, eller utöva marknadskontroll som det egentligen kallas, enligt AI-förordningen. Förmodligen kommer bland annat Elsäkerhetsverket, Arbetsmiljöverket och Läkemedelsverket att utöva marknadskontroll för vissa högrisk-AI-system (artikel 74.3 i AI-förordningen och avsnitt A i bilaga I). Även IMY kommer troligtvis att utöva marknadskontroll avseende AI-system med hög risk som används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati (artikel 74.8 i AI-förordningen).

Trots att flera nationella myndigheter kommer att utöva marknadskontroll enligt AI-förordningen, ska det i varje medlemsstat finnas en myndighet som ska fungera som en gemensam kontaktpunkt för AI-förordningen (artikel 70.2 i AI-förordningen). Vilken myndighet detta blir för ett svenskt vidkommande, vet vi ännu inte men IMY har annonserat att myndigheten är lämplig att utses för detta uppdrag. Det finns flera argument för det, men bland annat tror vi på IMY att det skulle underlätta för offentliga och privata aktörer om frågor om AI med hög risk och dataskydd samlas under samma tak. Vidare har IMY redan stor vana att ge vägledning i frågor om komplex teknik och juridik, vilket också AI-förordningen kommer att ställa krav på.

Anses all AI som rör anställningsförfarandet vara AI-system med hög risk enligt punkten 4 i bilaga III? Vilka exempel finns?

Av bilaga III till AI-förordningen listas flertalet av de AI-system som anses utgöra AI-system med hög risk. Under punkten 4 i bilagan listas de högrisk-AI-system som rör området anställning, arbetsledning och tillgång till egenföretagande. För närvarande finns två typer av system som omfattas av punkten 4:

  1. AI-system som är avsedda att användas för rekrytering eller urval av fysiska personer, särskilt för att publicera riktade platsannonser, analysera och filtrera platsansökningar och utvärdera kandidater.
  2. AI-system som är avsedda att användas för att fatta beslut som påverkar villkoren för arbetsrelaterade förhållanden, befordringar och uppsägningar av arbetsrelaterade avtalsförhållanden, för uppgiftsfördelning på grundval av individuellt beteende eller personlighetsdrag eller egenskaper eller för att övervaka och utvärdera personers prestationer och beteende inom ramen för sådana förhållanden.

EU-kommissionen kan under vissa förutsättningar ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk (artikel 7.1 i AI-förordningen).

Hur fungerar ansiktsigenkänning om individer genom exempelvis kirurgiska ingrepp får ett förändrat utseende?

Om korrigerande eller kosmetiska kirurgiska ingrepp förändrar de specifika ansiktsdrag som en ansiktsigenkänningsteknik normalt beräknar och skapar en biometrisk mall utifrån kan det leda till att det inte blir en matchning mot en bild av personen före förändringen. Så kan också vara fallet om de mätbara kännetecknen i ansiktet väsentligt har förändrats på grund av exempelvis ålder. Eftersom resultatet som ansiktsigenkänningstekniken ger är en statistisk uppskattning av hur väl de två mallarna matchar varandra kan alltså sådana förändringar sannolikt få utslag på resultatet. 

Vilka risker ser ni kring användning av AI-funktioner som inte använder biometriska uppgifter, men som exempelvis kan identifiera att det är en människa som finns på bilden?

AI-funktioner som används i kombination med kamerabevakning behandlar inte biometriska uppgifter om behandlingen inte möjliggör identifiering eller bekräftar identiteten på en viss person. Om AI-funktionen kan klassificera eller gruppera personer utifrån andra egenskaper eller kännetecken kan det ändå vara fråga om en behandling av känsliga personuppgifter om grupperingen eller klassificeringen sker utifrån sådana uppgifter som anses vara känsliga personuppgifter, till exempel etniskt ursprung, politiska åsikter eller hälsa. Oavsett om känsliga personuppgifter behandlas eller inte är det vid kamerabevakning i regel fråga om en personuppgiftsbehandling. Används AI-funktioner vid kamerabevakning bör den personuppgiftsansvariga särskilt informera om det på skyltarna, eftersom de som bevakas inte förväntar sig en sådan behandling. 

Hur kan man skapa ett giltigt samtycke för behandling av biometriska uppgifter eller annan integritetskänslig behandling? 

För att behandla biometriska uppgifter genom ansiktsigenkänning med stöd av samtycke krävs att flera förutsättningar är uppfyllda. Det ska vara en frivillig, specifik, informerad och otvetydig viljeyttring. Det innebär bland annat att samtycket måste kunna återkallas när som helst och att behandlingen av den personens uppgifter då upphör. För att kunna behandla uppgifterna med stöd av samtycke krävs sannolikt att behandlingen sker på en avgränsad plats och att åtgärder för att minimera riskerna har vidtagits. EDPB har i yttrande om ansiktsigenkänning vid kontrollpunkter på flygplatser bedömt teknikens förenlighet med bestämmelser i GDPR för fyra olika scenarier. EDPB ger också exempel på allmänna, tekniska och organisatoriska åtgärder som bör vidtas vid sådan behandling.

Läs EDPB:s pressmeddelande och hela yttrandet

Vad var IMY:s beslut om ansiktsigenkänning på gymnasieskolan för att notera närvaro. Fick de göra det eller ej?

Beslutet som det hänvisades till under webbinariet var IMY:s tillsynsbeslut mot en gymnasieskola som under en testperiod använde ansiktsigenkänning för närvarokontroll. I beslutet konstaterade IMY att behandlingen med ansiktsigenkänningsteknik för det aktuella ändamålet var mer ingripande och mer omfattande än vad som var nödvändigt för att uppnå ändamålet. IMY ansåg också att det saknades ett giltigt undantag i artikel 9.2 från förbudet att behandla känsliga personuppgifter då bland annat samtycke till behandlingen inte kunde anses ha lämnats frivilligt eftersom det råder en betydande ojämlikhet mellan gymnasienämnden och eleverna. Vidare ansåg IMY att kommunen hade brustit i kraven på en konsekvensbedömning och att inte ha kommit in med en begäran om förhandssamråd till IMY. Beslutat överklagades och såväl förvaltningsrätten som kammarrätten instämde i IMY:s bedömning. HFD lämnade inte prövningstillstånd.

Läs beslutet i sin helhet

Är det möjligt att tillgodose registrerades rättigheter vid utveckling av AI och hur gör vi det på bästa sätt?

Vid träning av en AI-modell används ofta stora mängder data som innehåller personuppgifter och det kan då vara svårt för en organisation att leva upp till vissa krav i dataskyddsförordningen, som till exempel rätten för de registrerade att få tillgång till sina personuppgifter. Det går dock att kombinera innovation och utveckling av AI med ett gott dataskydd men för att lyckas med det är det viktigt att dataskyddsfrågorna beaktas redan när processen med att utveckla en innovation inleds, och finns med i hela processen. En verksamhet som vill utveckla AI måste när processen planeras och modellen utformas analysera hur de registrerades rättigheter ska kunna tillgodoses. Det är också viktigt att göra en noggrann bedömning av vilka uppgifter som verkligen behövs för att träna modellen och inte behandla fler uppgifter än vad som behövs. Detta dels för att leva upp till den grundläggande principen om uppgiftsminimering men även för att ha kontroll över vilka uppgifter som behandlas och ska lämnas till en registrerad som begär att få tillgång till dem. 

Kan en organisation fortsätta behandla uppgifter som finns i organisationen för att utveckla AI, trots att uppgifterna ursprungligen samlats in för ett annat ändamål? Är det en ny behandling? Kan ni ge konkreta exempel på när det är möjligt?

Principen om ändamålsbegränsning innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Principen innebär också att personuppgifterna sedan inte får behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet. För att det ska vara tillåtet att efter insamlingen behandla personuppgifterna för ett annat ändamål måste den personuppgiftsansvarige göra en samlad bedömning av om ändamålet med den nya behandlingen är förenligt med det ursprungliga ändamålet. Tänk på att bedömningen tar sikte på om det är ett nytt ändamål, inte om det är en ny behandling. Det är alltså inte alltid oförenligt med principen om ändamålsbegränsning att vidarebehandla personuppgifter, det vill säga fortsätta behandla personuppgifter för ett annat ändamål än det de samlades in för. 
I IMY:s vägledning om AI och GDPR har det publicerats ett avsnitt om principen om ändamålsbegränsning vid utveckling av AI och där ges ett par konkreta exempel.

Läs mer på vår innovationsportal

 

Senast uppdaterad: 5 juni 2024
Sidans etiketter Dataskydd
Senast uppdaterad: 5 juni 2024
Sidans etiketter Dataskydd