Hoppa till innehåll på sidan

GDPR och AI

När en verksamhet behandlar personuppgifter är dataskyddsförordningen (GDPR) tillämplig. Det innebär att om personuppgifter behandlas i samband med att AI utvecklas eller används måste GDPR följas.

Vår vägledning om GDPR och AI kommer att byggas på med mer information löpande.

Är GDPR tillämpligt?

Avgörande för om GDPR är tillämpligt är att det sker en behandling, och att det rör sig om personuppgifter. Här förklarar vi närmare vad begreppen omfattar.

Med personuppgifter avses uppgifter som direkt eller indirekt kan knytas till en identifierad eller identifierbar fysisk person. Exempel på personuppgifter är:

  • personnummer
  • namn
  • IP-adress
  • e-postadress
  • bilder där en person syns.

Uppgifter som i sig själva inte går att knyta till en person, men som tillsammans med andra uppgifter kan identifiera en person, är personuppgifter. Det kan till exempel vara:

  • diarienummer
  • bostadsadress
  • registreringsnummer på en bil
  • krypterade eller pseudonymiserade personuppgifter.

Även information på en digital tjänst eller plattform, som till exempel inlägg och bilder på sociala medier, är personuppgifter om den kan kopplas till en person.

Med personuppgiftsbehandling avses alla åtgärder som kan göras med personuppgifter, till exempel insamling, utlämning, läsning, bearbetning och lagring, och som är helt eller delvis automatiska.

Följande fall är exempel på när en personuppgiftsbehandling sker:

  • Personuppgifter väljs ut och systematiseras för att ingå i ett dataset som ska användas för att träna en modell med hjälp av maskininlärning.
  • Personuppgifter överförs eller lämnas ut till en annan verksamhet, till exempel när verksamheter som behöver stora mänger data för att utveckla AI delar personuppgifter med varandra.
  • Personuppgifter matas in i en generativ AI-tjänst.
  • En modell förses med ett dataset som innehåller personuppgifter för att tränas genom maskininlärning.
  • En modell används och förses med data som innehåller personuppgifter för att lösa en uppgift.
  • När personuppgifter lagras i en modell.

 

När det sker en behandling av personuppgifter är GDPR tillämplig. Den verksamhet som utför personuppgiftsbehandlingen, den så kallade personuppgiftsansvariga, måste därför följa kraven i dataskyddsförordningen.

GDPR kräver bland annat att:


Grundläggande principer

De grundläggande principerna regleras i artikel 5 i GDPR och gäller vid all behandling av personuppgifter. Principerna innebär att:

  • personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt (principen om laglighet, korrekthet och öppenhet)
  • personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (principen om ändamålsbegränsning)
  • personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering)
  • personuppgifterna ska vara korrekta och, om nödvändigt, uppdaterade (principen om riktighet)
  • personuppgifterna får inte behandlas under en längre tid än vad som är nödvändigt för ändamålet med behandlingen (principen om lagringsminimering)
  • behandlingen ska omfattas av lämplig säkerhet för personuppgifterna (principen om integritet och konfidentialitet)
  • den personuppgiftsansvariga ska säkerställa och kunna visa att de grundläggande principerna följs (principen om ansvarsskyldighet).


Kan den personuppgiftsbehandling som sker vid utveckling av en AI-modell vara förenlig med principen om ändamålsbegränsning?

Utveckling av en AI-modell kräver ofta stora mängder data. En personuppgiftsansvarig kan vilja använda uppgifter som redan finns i verksamheten, men som har samlats in för ett annat ändamål än ändamålet med utvecklingen av AI-modellen. Ett exempel kan vara patientuppgifter som en vårdgivare samlat in genom journalsystemet i hälso- och sjukvården, och som vårdgivaren sedan vill använda för att utveckla en AI-modell som kan bedöma sannolikheten för att en person har eller kommer att få en viss sjukdom.

Principen om ändamålsbegränsning kan göra det svårt att behandla personuppgifter för ett annat ändamål än det ursprungliga ändamålet som uppgifterna samlades in för. Principen är viktig för att begränsa spridning av personuppgifter och ger de registrerade kontroll över sina personuppgifter. Den innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål.

För att det ska vara tillåtet att efter insamlingen behandla personuppgifterna för ett annat ändamål får det inte vara oförenligt med det ursprungliga ändamålet som uppgifterna samlades in för. Den personuppgiftsansvariga måste då göra en samlad bedömning av om ändamålet med den nya behandlingen är förenligt med det ursprungliga ändamålet.

Den personuppgiftsansvariga bör bland annat tänka på följande:

  • Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
  • I vilket sammanhang har personuppgifterna samlats in?
  • Vilket förhållande har de registrerade till den personuppgiftsansvariga?
  • Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
  • Vilken typ av personuppgifter ska behandlas?
  • Avser behandlingen känsliga personuppgifter?
  • Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
  • Vilka skyddsåtgärder finns på plats?

Om det nya ändamålet är förenligt med det ursprungliga ändamålet, behövs ingen annan rättslig grund än den som användes för själva insamlingen av personuppgifterna. Dessa uppgifter kan då användas för att träna AI-modellen. Om det nya ändamålet däremot är oförenligt med det ursprungliga, betraktas det som en ny personuppgiftsbehandling. I sådant fall krävs en ny rättslig grund för att uppgifterna ska få behandlas för det nya ändamålet.

Läs mer om rättslig grund här

 

Exempel 1

Exempel

En större kommun behandlar personuppgifter avseende ett stort antal registrerade för att handlägga ansökningar om bostadsanpassningsbidrag. Kommunen vill även behandla personuppgifterna för att träna en AI-modell som kan identifiera felaktiga utbetalningar på grund av att de sökande lämnat oriktiga uppgifter. Alla uppgifter i de registrerades ansökningar utom namn, personnummer och kontaktuppgifter ska användas för att träna modellen. Kommunen har endast gett ett begränsat antal personer behörighet att arbeta med träningen av modellen.

Det verkar finnas en koppling mellan ändamålen, då båda avser bostadsanpassningsbidrag. Ändamålen avser dock olika typer av ärenden. Det ursprungliga ändamålet handlar om ansökningar om utbetalning av förmånen, medan det nya ändamålet handlar om att identifiera felaktiga utbetalningar och kräva återbetalning.

Uppgifterna har samlats in i ett sammanhang där de registrerade har mycket litet inflytande över behandlingen, eftersom personuppgifterna måste behandlas om den registrerade ska kunna beviljas bidraget. Det råder även ett ojämnt maktförhållande mellan den registrerade och den personuppgiftsansvarige, eftersom den personuppgiftsansvarige är en myndighet. Det är omständigheter som talar mot att det nya ändamålet är förenligt med det ursprungliga ändamålet.

Även de registrerades förväntningar på hur personuppgifterna behandlas har betydelse för bedömningen. Behandling av personuppgifter för att utveckla AI för en annan ärendetyp än vad uppgifterna ursprungligen samlades in för kan ligga utanför vad de registrerade förväntar sig. I detta fallet finns det kopplingar mellan ändamålen, men det kan ifrågasättas om de registrerade förväntar sig att deras personuppgifter ska användas för att träna en AI-modell.

Behandlingen avser känsliga personuppgifter, vilket talar mot att det nya ändamålet är förenligt med det ursprungliga ändamål som uppgifterna samlades in för.

Vilka konsekvenser den nya behandlingen har för de registrerade har betydelse för bedömningen. Såväl konsekvenserna för skyddet av personuppgifter som andra konsekvenser bör beaktas. Att personuppgifterna ska användas för att träna en AI-modell kan antas minska transparensen och göra det svårare för de registrerade att förstå hur personuppgifterna behandlas och iaktta sina rättigheter. Det är en omständighet som talar mot att ändamålen är förenliga med varandra.

Om vidtagna skyddsåtgärder sammantaget anses vara otillräckliga och den personuppgiftsansvarige därför inte kan anses säkerställa en lämplig säkerhetsnivå för den aktuella behandlingen, är det en omständighet som talar mot att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för. Myndigheten har tillämpat behörighetsstyrning. Då det är fråga om en omfattande behandling av känsliga personuppgifter kan det ifrågasättas om denna skyddsåtgärd i sig är tillräcklig.

Det är alltså inte bara ändamålens koppling som är avgörande för bedömningen om de kan anses vara förenliga med varandra, utan även de registrerades situation ska beaktas. I detta fallet finns en relativt stark koppling mellan ändamålen, men flera andra omständigheter talar mot att ändamålen kan anses vara förenliga. Under sådana omständigheter ställs det höga krav på kopplingen mellan ändamålen för att de ska anses vara förenliga med varandra.

Exempel 2

Exempel

En elleverantör behandlar personuppgifter om sina kunders elförbrukning för att kunna fakturera dem. En privat verksamhet kontaktar elleverantören och vill ta del av personuppgifterna för att utveckla en AI-modell som kartlägger vid vilka tidpunkter elpriset är lägst och optimerar elförbrukningen. Det ska leda till lägre elkostnader för kunderna.

Alla uppgifter gällande de registrerades elförbrukning ska lämnas, men uppgifterna är indelade utifrån de geografiska områden de kan härledas till. De uppgifter som ska lämnas ut avser endast ett geografiskt område i taget. Därtill kommer leverantören börja med att endast lämna ut tio procent av uppgifterna avseende varje område.

Om det under träningen av AI-modellen visar sig behövas fler personuppgifter för att modellen ska kunna uppnå tillräckligt höga prestanda, kommer fler uppgifter successivt lämnas ut. Inga direkta identifierare som namn, personnummer eller kontaktuppgifter kommer lämnas ut. Uppgifterna skickas krypterat till den externa verksamheten.

Det verkar finnas en tydlig koppling mellan ändamålen eftersom att båda avser elförbrukning.

Uppgifterna har inte samlats in i något sammanhang som innebär att de registrerade är i en utsatt position och det finns inget ojämnt maktförhållande mellan den registrerade och den personuppgiftsansvarige. Detta är omständigheter som talar för att det nya ändamålet är förenligt med det ursprungliga ändamålet. Även de registrerades förväntningar på hur personuppgifterna behandlas har betydelse för bedömningen. Att uppgifterna lämnas ut till en annan verksamhet är en omständighet som kan ligga utanför vad de registrerade förväntar sig. Det är en omständighet som talar mot att ändamålen är förenliga.

Behandlingen avser inte känsliga personuppgifter, vilket talar för att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för.

Vilka konsekvenser den nya personuppgiftsbehandlingen har för de registrerade har betydelse för bedömningen. Såväl konsekvenserna för skyddet av personuppgifter som andra konsekvenser bör beaktas. Att personuppgifterna lämnas ut till en annan verksamhet och ska användas för att träna en AI-modell kan antas minska transparensen och göra det svårare för de registrerade att förstå hur personuppgifterna behandlas och iaktta sina rättigheter. Det talar mot att ändamålen är förenliga. Den färdiga modellen ska dock användas för att optimera elpriserna och leda till lägre elpriser för kunderna, vilket är positivt för de registrerade. Det är en omständighet som talar för att ändamålen är förenliga med varandra.

Om vidtagna skyddsåtgärder sammantaget anses vara otillräckliga och den personuppgiftsansvarige därför inte kan anses säkerställa en lämplig säkerhetsnivå för den aktuella behandlingen, är det en omständighet som talar mot att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för. Elleverantören har vidtagit skyddsåtgärder genom att uppgifterna skickas krypterat till den mottagande verksamheten. Vidare har parterna begränsat varje utlämnande till uppgifter som avser ett avgränsat geografiskt område. Även antalet personuppgifter som lämnas ut har begränsats, och ytterligare uppgifter lämnas endast ut om det skulle behövas för att AI-modellen ska kunna uppnå tillräckligt höga prestanda. På så sätt har parterna försökt leva upp till principen om uppgiftsminimering.

Det är alltså inte bara de olika ändamålens koppling som är avgörande för bedömningen om de kan anses vara förenliga med varandra, utan även de registrerades situation ska beaktas. I detta fallet finns det en relativt stark koppling mellan ändamålen. Några omständigheter talar mot att ändamålen kan anses vara förenliga, medan andra omständigheter talar för. Under sådana omständigheter borde det vara tillräckligt om det finns en medelstark koppling mellan ändamålen för att de ska anses vara förenliga med varandra. Det kan antas att det i detta fallet är fråga om åtminstone en medelstark koppling mellan ändamålen.

 

Kan utveckling av en AI-modell vara förenlig med principen om uppgiftsminimering?

För att utveckla en AI-modell behövs ofta stora mängder data. Om modellen tränas med data som utgör personuppgifter måste den personuppgiftsansvariga särskilt beakta principen om uppgiftsminimering. Principen om uppgiftsminimering är viktig för att säkerställa att behandlingen av personuppgifter begränsas till vad som är nödvändigt och inte blir för omfattande.

Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Att personuppgifterna ska vara relevanta innebär att endast just de uppgifter som behövs för det aktuella ändamålet ska behandlas. Att uppgifterna inte ska vara för omfattande innebär att bara det som är nödvändigt för att uppnå ändamålet ska behandlas.

Principen om uppgiftsminimering ställer även krav på proportionalitet. Det innebär att även om en behandling av personuppgifter är nödvändig för att uppnå ändamålet, måste integritetsintrånget som behandlingen innebär vara rimligt i förhållande till nyttan med ändamålet.

När en AI-modell tränas genom maskininlärning krävs ofta stora mängder data. Modellen blir som regel mer statistiskt korrekt ju mer data den tränas på. Det kan då många gånger vara en utmaning att leva upp till principen om uppgiftsminimering.

Principen om uppgiftsminimering står dock inte alltid i motsats till behoven vid träning av AI-modellen. För att skapa en statistisk korrekt modell som till exempel inte diskriminerar vissa grupper, är det viktigt att modellen tränas på relevanta, kvalitativa och icke-diskriminerande uppgifter. Att fundera på vilka uppgifter som verkligen är relevanta för ändamålet är alltså viktigt både för att minska risken för de som använder AI-modellen, men också för att modellen ska bli så statistiskt korrekt som möjligt.

Om träningen av AI-modellen sker genom övervakad inlärning är det även möjligt att avsiktligt förstärka de egenskaper i träningsdata som har betydelse för att modellens kategorisering av data ska ske som förväntat. Att välja ut en mindre mängd relevanta, kvalitativa och icke-diskriminerande träningsdata kan vara lämpligare än att använda stora mängder data av sämre kvalitet och relevans för att träna en AI-modell till att utföra en uppgift.

För att säkerställa att behandlingen lever upp till principen om uppgiftsminimering är det viktigt att verksamheter som behandlar stora mängder data gör en noggrann bedömning av vilka personuppgifter som behövs för ändamålet och i vilken omfattning. Då det kan vara svårt att på förhand veta hur AI-modellen kommer utvecklas, kan den personuppgiftsansvariga behöva börja behandla uppgifter i begränsad omfattning. Om det efterhand som modellen utvecklas visar sig behövas fler uppgifter kan behandlingen successivt utökas.

Den personuppgiftsansvariga bör följa hur modellen utvecklas och regelbundet utvärdera vilka personuppgifter som är nödvändiga för att modellen ska kunna tränas och utföra den tilltänkta uppgiften. Om den personuppgiftsansvariga samlar in personuppgifter från en annan verksamhet, bör den avvakta med insamlingen tills det är säkerställt att dessa uppgifter är relevanta och behövs för att träna AI-modellen.

 

Läs mer om GDPR

Relaterade länkar

 

Läs den andra delen av vägledningen här: Teknisk beskrivning av AI

Senast uppdaterad: 9 april 2024
Sidans etiketter Dataskydd, Utveckling och innovation, AI