När personuppgifter behandlas i samband med att AI utvecklas och används måste det finnas en så kallad rättslig grund för behandlingen. Utan en rättslig grund är behandlingen av personuppgifter inte laglig.
Det finns sex rättsliga grunder i GDPR. Behandling av personuppgifter kan vara tillåten med stöd av samtycke, fullgörande av avtal, rättslig förpliktelse, med hänvisning till skydd av grundläggande intressen, fullgörande av uppgift av allmänt intresse eller som ett led i myndighetsutövning och med stöd av intresseavvägning.
Personuppgiftsbehandling kan ske med stöd av samtycke från de personer som personuppgifterna i fråga rör. Samtycke kan användas både vid utveckling och användning av AI. Även om samtycket lever upp till kraven i GDPR är det inte alltid den mest lämpliga rättsliga grunden att använda. Särskilt när det gäller utveckling av AI kan det vara administrativt betungande att hantera samtycken från ett stort antal registrerade och det kan också bli problematiskt om samtycket skulle återkallas.
Vid användning av AI finns det ofta bättre förutsättningar att använda samtycke som rättslig grund än vid utveckling, under förutsättning att kraven för ett giltigt samtycke är uppfyllda.
Avtal med den registrerade
Personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Avtal kan användas som rättslig grund vid både utveckling och användning av AI. I praktiken verkar det dock vara ovanligt att utveckla AI med stöd av den rättsliga grunden avtal, eftersom det då skulle krävas att en verksamhet har ett avtal med den registrerade som skulle göra det nödvändigt att behandla personuppgifter för att utveckla AI.
Rättslig förpliktelse
Rättslig förpliktelse innebär att det finns lagar eller regler som gör att ni som personuppgiftsansvarig måste behandla vissa personuppgifter i er verksamhet.
Den personuppgiftsansvariga får med stöd av denna rättsliga grund endast genomföra behandlingar av personuppgifter som är nödvändiga för att kunna fullgöra den rättsliga förpliktelsen. I praktiken finns det förmodligen små möjligheter att behandla personuppgifter för att utveckla eller använda AI med stöd av den rättsliga grunden rättslig förpliktelse.
Skydda grundläggande intressen
Skydda grundläggande intressen innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. Det handlar om tillfällen när den registrerade inte kan fatta ett eget beslut eller lämna samtycke på grund av att personen är medvetslös eller i liknande akuta situationer. Bestämmelsen används mycket sällan i praktiken och det är förmodligen inte möjligt att utveckla eller använda AI med stöd av denna rättsliga grund.
Intresseavvägning
Intresseavvägning innebär att personuppgifter får behandlas om verksamhetens intressen bedöms väga tyngre än de registrerades intresse. Intresseavvägning är den mest flexibla av de rättsliga grunderna, eftersom det inte krävs några särskilda omständigheter för att den ska kunna tillämpas.
Myndigheter får inte använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter.
Intresseavvägning som rättslig grund för AI
Intresseavvägning kan användas både vid utveckling och användning av AI. Det ställs däremot ett antal krav på behandlingen för att den personuppgiftsansvariga berättigade intresse ska anses väga tyngre än den registrerades.
För att behandlingen av personuppgifter ska få ske med stöd av intresseavvägning måste den personuppgiftsansvariga göra en bedömning i tre steg:
Finns det ett berättigat intresse hos den personuppgiftsansvariga eller hos en tredje part?
Är behandlingen av personuppgifter nödvändig för det berättigade intresse som eftersträvas?
Väger den registrerades intresse av skydd för sina personuppgifter tyngre än den personuppgiftsansvarigea berättigade intresse?
Med intresse avses alla intressen som en personuppgiftsansvarig eller samhället kan ha av behandlingen. Att intresset ska vara berättigat innebär att intresset ska vara godtagbart enligt lagstiftningen.
Ett exempel på berättigat intresse kan vara direktmarknadsföring och andra former av marknadsföring eller reklam, förhindrande av bedrägeri, missbruk eller penningtvätt, fysisk säkerhet, it-säkerhet och nätverkssäkerhet samt behandling för historiska, vetenskapliga eller statistiska ändamål.
Begreppet berättigat intresse är alltså brett och kan ta sikte på såväl den personuppgiftsansvarigas som en tredje parts intressen och omfatta både sociala och kommersiella intressen.
För att det ska vara fråga om ett berättigat intresse måste det vara:
lagenligt,
specifikt, det vill säga tillräckligt tydligt formulerat för att kunna vägas mot den registrerades intresse,
utgöra ett verkligt och faktiskt intresse, och inte vara spekulativt eller hypotetiskt.
Behandlingen är inte nödvändig om det går att använda andra, mindre ingripande metoder för att tillgodose den personuppgiftsansvarigas berättigade intresse. Kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering. Det innebär att den personuppgiftsansvariga måste ha begränsat omfattningen av den aktuella personuppgiftsbehandlingen till vad som är nödvändigt för att kunna uppnå ändamålet med behandlingen. Endast om detta har gjorts kan behandlingen anses vara nödvändig.
Om den personuppgiftsansvariga har bedömt att det är fråga om ett berättigat intresse och att behandlingen är nödvändig för ändamålet med behandlingen, är det sista steget att göra en avvägning mellan den personuppgiftsansvarigas och den registrerades intressen.
Intresseavvägningen ska göras genom en helhetsbedömning i varje enskilt fall. Den personuppgiftsansvarigas intresse ska vara berättigat, medan det är tillräckligt att den registrerade har ett intresse. Det innebär att den registrerades intressen och rättigheter har ett bredare skydd än den personuppgiftsansvarigas.
I bedömningen ska det vägas in vad den registrerade rimligen kan förvänta sig av den personuppgiftsansvariga i den specifika situationen. Om den registrerade inte rimligen kan förvänta sig att dennes personuppgifter behandlas på det aktuella sättet talar det för att den registrerades intressen väger tyngre än den personuppgiftsansvarigas berättigade intresse.
Andra omständigheter som har betydelse för bedömningen är följande:
Vilken typ av intresse den personuppgiftsansvariga anför, till exempel grundläggande rättighet, allmänintresse eller annan typ av intresse.
Om den personuppgiftsansvariga, tredje man eller en vidare krets skulle lida skada om personuppgifterna inte behandlas.
Vilken typ av personuppgifter som behandlas.
Vilken ställning den personuppgiftsansvariga har, inklusive i förhållande till den registrerade (till exempel anställda/arbetstagare).
Vilken ställning den registrerade har, till exempel om det gäller ett barn.
Vilken ställning den personuppgiftsansvariga har, till exempel om ett företag har en dominerande ställning på marknaden.
Hur uppgifterna behandlas, till exempel om det handlar om storskalig behandling, datautvinning och profilering, information till ett stort antal personer eller publicering. Träning av en språkmodell kan till exempel utgöra ett större integritetsintrång än träning av en statistisk modell.
Om det finns grundläggande rättigheter och intressen hos den registrerade som kan komma att påverkas.
Vilka negativa konsekvenser behandlingen kan få för den registrerade jämfört med de fördelar som behandlingen kan förväntas ge.
Intresseavvägning kan inte användas som rättslig grund
Exempel
En privat verksamhet begär med stöd av offentlighetsprincipen ut ett stort antal rättade prov från en gymnasieskola i syfte att utveckla en AI-modell som kan rätta prov. Detta AI-baserade hjälpmedel ska verksamheten sedan sälja till skolor.
Bedömningen av om verksamhetens berättigade intresse väger tyngre än de registrerades sker i tre steg. I det här fallet är de registrerade de elever vars rättade prov har begärts ut av verksamheten.
Steg 1: Bedöma berättigat intresse
Första steget i bedömningen är att fastställa om verksamheten har ett berättigat intresse. Verksamhetens intresse av att utveckla och sälja en AI-modell som kan rätta elevers prov är ett kommersiellt intresse, vilket kan vara berättigat.
För att det ska vara fråga om ett berättigat intresse måste detta vidare vara lagenligt, specifikt och utgöra ett verkligt och faktiskt intresse, vilket verksamhetens intresse verkar vara. Mycket talar för att verksamhetens intresse av att utveckla och sälja en AI-modell kan anses vara berättigat.
Steg 2: Bedöma nödvändighet
Om det fastställts att det är fråga om ett berättigat intresse är nästa steg att bedöma om behandlingen är nödvändig för att uppnå ändamålet. För att behandlingen ska anses vara nödvändig måste den personuppgiftsansvariga ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering.
Verksamheten har begärt ut ett stort antal rättade prov från gymnasieskolan, och det finns inget som tyder på att verksamheten har gjort en analys av vilka uppgifter som verkligen behövs för att träna AI-modellen. Verksamheten har inte heller inlett insamlingen med att begära ut en mindre omfattning, för att sedan begära ut fler uppgifter om det visar sig att det behövs fler uppgifter för att träna modellen. Det verkar alltså inte som att verksamheten har vidtagit åtgärder för att säkerställa att behandlingen är förenlig med principen om uppgiftsminimering.
Behandlingen kan därmed inte anses nödvändig för det berättigade intresset. Då det andra steget i bedömningen inte är uppfyllt ska den personuppgiftsansvariga inte gå vidare till det tredje steget i bedömningen. Den rättsliga grunden intresseavvägning är inte tillämplig.
Steg 3: Intresseavvägning
Om verksamheten däremot hade säkerställt att behandlingen är förenlig med principen om uppgiftsminimering och behandlingen alltså hade ansetts nödvändig för att uppnå det berättigade intresset, skulle avvägningen mellan den personuppgiftsansvarigas berättigade intresse och de registrerades intresse behöva göras.
Den personuppgiftsansvarigas berättigade intresse utgör inte någon grundläggande rättighet eller allmänintresse, och den personuppgiftsansvariga riskerar inte lida skada om intresset inte kan tillgodoses. Behandlingen sker i stor omfattning och majoriteten av de registrerade är barn. De registrerade kan inte antas förvänta sig att deras rättade prov ska lämnas ut till en verksamhet som ska använda uppgifterna för att ta fram en AI-modell som i sin tur ska säljas till skolor, det vill säga för ett kommersiellt syfte.
Sammantaget verkar den personuppgiftsansvarigas berättigade intresse inte väga tyngre än de registrerades intresse. Den rättsliga grunden intresseavvägning kan därmed inte ligga till grund för behandlingen av personuppgifter för att utveckla AI-modellen.
Intresseavvägning kan användas som rättslig grund
Exempel
En resebyrå vill lansera en ny resebokningstjänst som ska föreslå resor för byråns kunder, och vill därför träna en AI-modell till att kunna utföra den uppgiften.
Förslagen ska grunda sig på kundens egen resehistorik och modellen ska tränas på uppgifter om resenärers genomförda resor. Personuppgifterna som AI-modellen ska tränas på innehåller inga direkta identifierare som namn eller kontaktuppgifter.
För att säkerställa att personuppgiftsbehandlingen lever upp till principen om uppgiftsminimering ska resebyrån inledningsvis träna modellen på endast en begränsad mängd uppgifter, och sedan öka omfattningen endast om det under träningsfasen visar sig vara nödvändigt för att modellen ska kunna uppnå tillräckligt höga prestanda.
Bedömningen av om verksamhetens berättigade intresse väger tyngre än de registrerades sker i tre steg. I det här fallet är det resebyråns kunder vars personuppgifter är tänkta att användas för att träna AI-modellen.
Steg 1: Bedöma berättigat intresse
Första steget i bedömningen är att fastställa om verksamheten har ett berättigat intresse. Verksamhetens intresse av att utveckla en AI-modell som föreslår resor för kunder utifrån deras preferenser är ett kommersiellt intresse, vilket kan vara berättigat. För att det ska vara fråga om ett berättigat intresse måste detta vidare vara lagenligt, specifikt och utgöra ett verkligt och faktiskt intresse, vilket verksamhetens intresse verkar vara. Mycket talar för att resebyråns intresse av att utveckla en AI-modell kan anses vara berättigat.
Steg 2: Bedöma nödvändighet
Om det fastställts att det är fråga om ett berättigat intresse är nästa steg att bedöma om behandlingen är nödvändig för att uppnå ändamålet. För att behandlingen ska anses vara nödvändig måste den personuppgiftsansvarige ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering.
Verksamheten har inlett träningen av modellen genom att behandla personuppgifter i en begränsad omfattning, för att sedan öka omfattningen om det visar sig att det behövs för att modellen ska fungera ändamålsenligt. Resebyrån verkar alltså ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering, och att behandlingen därmed kan anses nödvändig för det berättigade intresset.
Steg 3: Intresseavvägning
Om behandlingen anses nödvändig för att uppnå det berättigade intresset är nästa steg att göra avvägningen mellan den personuppgiftsansvariges berättigade intresse och de registrerades intresse.
Den personuppgiftsansvariges berättigade intresse utgör inte någon grundläggande rättighet eller allmänintresse, och den personuppgiftsansvarige riskerar inte lida skada om intresset inte kan tillgodoses. AI-modellen kan antas ha positiva konsekvenser för de registrerade, genom att de får inspiration och information om resor som kan passa dem.
Träning av AI-modeller kräver ofta mycket data. Resebyrån har vidtagit åtgärder för att begränsa behandlingen av personuppgifter så mycket som möjligt. Det är inte ovanligt att resebokningstjänster använder kunders resehistorik för att ta fram anpassade erbjudanden till sina kunder, och kunderna kan därmed antas förvänta sig att deras resehistorik används för att generera förslag på andra resor.
Sammantaget verkar de registrerades intresse inte väga tyngre än den personuppgiftsansvariges berättigade intresse. Mycket talar därmed för att den rättsliga grunden intresseavvägning kan ligga till grund för behandlingen av personuppgifter för att utveckla den aktuella AI-modellen.
Uppgift av allmänt intresse eller myndighetsutövning som rättslig grund för AI
Det kan vara tillåtet att behandla personuppgifter för vissa aktörer i samband med att de utför uppgifter av allmänt intresse eller som led myndighetsutövning, när detta sker inom ramen för författningsreglerade uppdrag. .
Den rättsliga grunden att utföra en uppgift av allmänt intresse eller myndighetsutövning kan användas både vid utveckling och användning av AI. Det skiljer sig dock åt vilken typ av kompletterande bestämmelser som kan tillämpas för utveckling respektive användning av AI.
Exempelvis kan en myndighet använda och utveckla en AI-modell för ökad effektivisering. För utveckling av en modell kan personuppgiftsbehandlingen ske med stöd av bestämmelser om verksamhetsutveckling. För användning kan behandlingen stödjas på författningar om ärendehandläggning.