AI och rättslig grund
Det finns sex rättsliga grunder i dataskyddsförordningen, GDPR. Här beskriver vi de olika rättsliga grunderna och ger exempel på vilken rättslig grund som kan vara lämplig att tillämpa vid utveckling eller användning av AI.
Innehåll på sidan
- Vilken rättslig grund kan användas av vem?
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydda grundläggande intressen
- Intresseavvägning
- Uppgift av allmänt intresse och myndighetsutövning
Vilken rättslig grund kan användas av vem?
Det skiljer sig åt vilken rättslig grund ni kan använda beroende på om ni driver en privat eller en offentlig verksamhet.
Rättslig grund för privat verksamhet
För privata verksamheter är det framför allt följande rättsliga grunder som kan tillämpas vid behandling av personuppgifter:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydda grundläggande intressen
- Intresseavvägning
Rättslig grund för offentlig verksamhet
Myndigheter och andra inom offentlig verksamhet kan främst använda följande rättsliga grunder:
- Avtal
- Rättslig förpliktelse
- Uppgift av allmänt intresse eller myndighetsutövning
Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel skolor eller hälso- och sjukvård som bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.
Myndigheter får inte använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter.
Tillbaka till innehåll på sidan
Samtycke
Samtycke innebär att de personer vars uppgifter ska behandlas (de registrerade) samtycker till behandlingen. Det ställs dock ett antal krav på samtycket för att det ska vara giltigt. Kraven är att det ska vara:
- Frivilligt
- Jämlikt förhållande
- Informerat
- Möjligt att återkalla
Samtycke som rättslig grund för AI
Samtycke kan användas både vid utveckling och användning av AI. Även om samtycket lever upp till kraven i GDPR är det inte alltid den mest lämpliga rättsliga grunden att använda. Särskilt när det gäller utveckling av AI kan det vara administrativt betungande att hantera samtycken från ett stort antal registrerade och det kan också bli problematiskt om samtycket skulle återkallas.
Vid användning av AI finns det ofta bättre förutsättningar att använda samtycke som rättslig grund än vid utveckling, under förutsättning att kraven för ett giltigt samtycke är uppfyllda.
Tillbaka till innehåll på sidan
Avtal
Avtal innebär att den personuppgiftsansvariga har eller ska ingå ett avtal med den registrerade, och då får behandla de personuppgifter som är nödvändiga för att leva upp till avtalet. Till exempel kan en personuppgiftsbehandling ske med stöd av avtal vid behandling av kunduppgifter för att fakturera ett köp.
För att avtal ska kunna utgöra en rättslig grund krävs att personuppgiftsbehandlingen är nödvändig, antingen för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Den rättsliga grunden gäller alltså bara avtal som den registrerade har ingått eller planerar att ingå. Ett avtal med en annan verksamhet, det vill säga en tredje part, kan inte utgöra rättslig grund för behandling av personuppgifter.
Avtal som rättslig grund för AI
Personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Avtal kan användas som rättslig grund vid både utveckling och användning av AI. I praktiken verkar det dock vara ovanligt att utveckla AI med stöd av den rättsliga grunden avtal, eftersom det då skulle krävas att en verksamhet har ett avtal med den registrerade som skulle göra det nödvändigt att behandla personuppgifter för att utveckla AI.
Om ett färdigtränat AI-verktyg används för att fullgöra ett avtal med den registrerade bör behandling av personuppgifter som sker när modellen används kunna ske med stöd av den rättsliga grunden avtal, om behandlingen är nödvändig för att fullgöra avtalet.
Tillbaka till innehåll på sidan
Rättslig förpliktelse
Rättslig förpliktelse innebär att det finns lagar eller regler som gör att ni som personuppgiftsansvarig måste behandla vissa personuppgifter i er verksamhet. Till exempel kan ni enligt lag vara skyldiga att lämna vissa personuppgifter till en myndighet eller en domstol.
Den personuppgiftsansvariga får med stöd av denna rättsliga grund endast genomföra behandlingar av personuppgifter som är nödvändiga för att kunna fullgöra den rättsliga förpliktelsen. I praktiken finns det förmodligen små möjligheter att behandla personuppgifter för att utveckla AI med stöd av den rättsliga grunden rättslig förpliktelse.
Tillbaka till innehåll på sidan
Skydda grundläggande intressen
Skydda grundläggande intressen innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. Den personuppgiftsansvariga får behandla personuppgifter om det är nödvändigt för att rädda den registrerades eller någon annans liv. Det handlar om tillfällen när den registrerade inte kan fatta ett eget beslut eller lämna samtycke på grund av att personen är medvetslös eller i liknande akuta situationer. Bestämmelsen används mycket sällan i praktiken och det är förmodligen varken möjligt att utveckla eller använda AI med stöd av denna rättsliga grund.
Tillbaka till innehåll på sidan
Intresseavvägning
Intresseavvägning innebär att personuppgifter får behandlas om verksamhetens intressen bedöms väga tyngre än de registrerades intresse. Intresseavvägning är den mest flexibla av de rättsliga grunderna, eftersom det inte krävs några särskilda omständigheter för att den ska kunna tillämpas.
Myndigheter får inte använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter.
Intresseavvägning som rättslig grund för AI
Intresseavvägning kan användas både vid utveckling och användning av AI. Det ställs däremot ett antal krav på behandlingen för att den personuppgiftsansvarigea berättigade intresse ska anses väga tyngre än den registrerades.
För att behandlingen av personuppgifter ska få ske med stöd av intresseavvägning, måste den personuppgiftsansvariga göra en bedömning i tre steg:
- Finns det ett berättigat intresse hos den personuppgiftsansvariga eller hos en tredje part?
- Är behandlingen av personuppgifter nödvändig för det berättigade intresse som eftersträvas?
- Väger den registrerades intresse av skydd för sina personuppgifter tyngre än den personuppgiftsansvarigea berättigade intresse?
Tillbaka till innehåll på sidan
Intresseavvägning kan inte användas som rättslig grund
ExempelEn privat verksamhet begär med stöd av offentlighetsprincipen ut ett stort antal rättade prov från en gymnasieskola i syfte att utveckla en AI-modell som kan rätta prov. Detta AI-baserade hjälpmedel ska verksamheten sedan sälja till skolor.
Intresseavvägning kan användas som rättslig grund
ExempelEn resebyrå vill lansera en ny resebokningstjänst som ska föreslå resor för byråns kunder, och vill därför träna en AI-modell till att kunna utföra den uppgiften.
Förslagen ska grunda sig på kundens egen resehistorik och modellen ska tränas på uppgifter om resenärers genomförda resor. Personuppgifterna som AI-modellen ska tränas på innehåller inga direkta identifierare som namn eller kontaktuppgifter.
För att säkerställa att personuppgiftsbehandlingen lever upp till principen om uppgiftsminimering ska resebyrån inledningsvis träna modellen på endast en begränsad mängd uppgifter, och sedan öka omfattningen endast om det under träningsfasen visar sig vara nödvändigt för att modellen ska kunna uppnå tillräckligt höga prestanda.
Tillbaka till innehåll på sidan
Uppgift av allmänt intresse och myndighetsutövning
Uppgift av allmänt intresse eller myndighetsutövning innebär att det är tillåtet att behandla personuppgifter om det är nödvändigt för att utföra en uppgift av allmänt intresse. Den här rättsliga grunden används framför allt av myndigheter, men också av privata företag inom vård och skola.
Vad är en uppgift av allmänt intresse?
Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter är i regel uppgifter av allmänt intresse. Begreppet uppgifter av allmänt intresse omfattar dock inte bara uttryckliga åligganden eller uppdrag. Allmänintresset rör också hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.
Myndighetens uppgift ska ha stöd i lag
Utöver den rättsliga grunden i GDPR måste även den uppgift av allmänt intresse som behandlingen är nödvändig för regleras i lag eller annan författning. Det innebär att det måste finnas en kompletterande bestämmelse som behandlingen kan grundas på.
För att en personuppgiftsbehandling ska kunna stödjas på den kompletterande bestämmelsen måste den vara tydlig, precis och förutsägbar. Ju mer integritetsinskränkande behandlingen är, till exempel genom att den sker i stor omfattning, desto högre krav ställs på bestämmelsens tydlighet, precision och förutsägbarhet.
Uppgift av allmänt intresse eller myndighetsutövning som rättslig grund för AI
Den rättsliga grunden att utföra en uppgift av allmänt intresse eller myndighetsutövning kan användas både vid utveckling och användning av AI. Det skiljer sig dock åt vilken typ av kompletterande bestämmelser som kan tillämpas för utveckling respektive användning av AI.
Statiska AI-modeller
För statiska AI-modeller sker utveckling och användning av modellen i separata stadier. I användningsstadiet sker ingen fortsatt träning eller utveckling av modellen. Vid utveckling av AI sker träningen av modellen ofta genom behandling av historiska personuppgifter.
Om en myndighet till exempel utvecklar en AI-modell som ska användas vid handläggning av en viss ärendetyp, kommer modellen ofta att tränas på personuppgifter i avslutade ärenden. De registrerade har då inte ett pågående ärende hos myndigheten och behandlingen är därmed inte nödvändig för att handlägga ett ärende. Det innebär att behandling av personuppgifter för att utveckla AI inte kan ske med stöd av bestämmelser som gäller handläggning av ärenden. Behandlingen sker istället ofta med stöd av bestämmelser om verksamhetsutveckling.
När AI-modellen används som ett stöd i verksamheten kan den förses med uppgifter i ett pågående ärende för att handlägga ett ärende avseende den registrerade. Personuppgiftsbehandlingen kan då ofta stödjas på en kompletterande bestämmelse som rör ärendehandläggning.
Läs mer om statiska AI-modeller: Träning av AI – data, metoder och resultat
Dynamiska AI-modeller
För dynamiska modeller sker utveckling och användning inte i separata faser utan modellen utvecklas efterhand som den används. Det kan då vara svårare att bedöma för vilket ändamål som personuppgifter behandlas och vilka kompletterande bestämmelser som behandlingen kan grundas på.
Vid användning av modellen är det avgörande dock om personuppgiftsbehandlingen är nödvändig för handläggningen av ett ärende. Att modellen samtidigt utvecklas och förbättras kontinuerligt hindrar inte att det fortfarande kan anses vara nödvändigt att behandla uppgifterna för ärendehandläggningen.
Läs mer om dynamiska AI-modeller: Träning av AI – data, metoder och resultat
Tillbaka till innehåll på sidan