GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Kunstig intelligens

Retsgrundlag for udvikling og anvendelse af AI-modeller

Der er flere retsgrundlag for udvikling og anvendelse af AI-modeller, der kan være hensigtsmæssige til at understøtte behandlingen af personoplysninger.

Krav om at have et retsgrundlag

Det er klart reguleret i GDPR, at en virksomhed skal have et retsgrundlag, også kaldet et retsgrundlag, for at kunne foretage en behandling af personoplysninger. Der er i alt seks (6) retsgrundlag i henhold til artikel 6 i GDPR. 

Retsgrundlag, som virksomheder kan anvende, hvis virksomheden er privat, i forbindelse med udvikling og anvendelse af AI-modeller, der involverer behandling af personoplysninger

What breaches of the GDPR can lead to an administrative fine?

Samtykke

Samtykke kan være et muligt retsgrundlag for anvendelse til behandling af personoplysninger, der finder sted i forbindelse med udvikling og anvendelse af AI-modellen. Dette gælder, forudsat at det opfylder kravene til gyldigt samtykke i henhold til reglerne i GDPR. Det er imidlertid ofte et uhensigtsmæssigt retsgrundlag at anvende, navnlig i forbindelse med udvikling af AI-modeller, da det kan være meget byrdefuldt administrativt at håndtere så mange samtykker. Det kan f.eks. være vanskeligt at håndtere alle tilbagekaldte samtykker og at informere alle registrerede i overensstemmelse med GDPR. 

Krav til gyldigt samtykke
Frivilligt

Samtykke skal gives frivilligt. Der må ikke være nogen ydre påvirkning for at give samtykke. I sådanne tilfælde gives den ikke frivilligt. Det bør med andre ord være et reelt og aktivt valg fra den registreredes side. Det er desuden forbudt at give den registrerede negative konsekvenser, hvis vedkommende ikke giver sit samtykke. Det er også ugyldigt, hvis samtykket er et krav i henhold til kontrakten.

What is the definition of anonymised data?
Ulige magtforhold

Hvis magtforholdet mellem parterne er ulige, er det ikke et gyldigt samtykke. For eksempel når en arbejdsgiver behandler personoplysninger om en medarbejder eller i magtforholdet mellem en myndighed og borgere.

Subjektivt integritetskänsliga personuppgifter
Informeret

Den registrerede skal informeres om samtykket, og hvad det betyder at give samtykke. Oplysningerne gives på et letforståeligt sprog, som den registrerede forstår, og som er let tilgængeligt.

Measures that companies need to take to comply with GDPR
Mulighed for tilbagekaldelse

Udgangspunktet er, at det skal være lige så let at trække et samtykke tilbage som at give det. Hvis dette ikke er opfyldt, er det et ugyldigt samtykke fra begyndelsen.

Kontrakter med registrerede

Det er tilladt at støtte en behandling på retsgrundlaget for en kontrakt med registrerede, hvis behandlingen af personoplysningerne er nødvendig for indgåelsen eller opfyldelsen af kontrakten. Bemærk, at dette ikke er et fælles retsgrundlag, der skal anvendes, når der udvikles en AI-model. Dette skyldes, at virksomheden derefter skal indgå en kontrakt med de registrerede, der gør det nødvendigt at behandle personoplysninger for at udvikle AI-modellen. 

Det kan imidlertid være mere hensigtsmæssigt at anvende dette retsgrundlag til at anvende et fuldt uddannet AI-værktøj. I sådanne tilfælde kan behandlingen af personoplysninger i forbindelse med anvendelsen af AI-modellen baseres på en kontrakt med den registrerede som retsgrundlag, hvis behandlingen er nødvendig for opfyldelsen af kontrakten.

Legitim interesse

Legitim interesse er det mest fleksible retsgrundlag i GDPR og er almindeligt at bruge. 

For at vide, om en virksomhed har en legitim interesse i behandlingen af personoplysninger, skal virksomheden først foretage en interesseafvejning. Hvis virksomheden konkluderer, at dens interesser vejer tungere end de registreredes gennem interesseafvejning, kan virksomheden foretage behandlingen. Bemærk dog, at den registrerede har ret til at gøre indsigelse mod behandlingen i henhold til artikel 21 i GDPR.

Tre trin i vurderingen af, om virksomheden har en legitim interesse

Det er muligt at anvende legitim interesse som retsgrundlag for udvikling og anvendelse af AI-modeller, hvis følgende tre krav er opfyldt: 

1. Har virksomheden eller en tredjepart en legitim interesse i behandlingen af personoplysninger?

Virksomheder kan have forskellige interesser og grunde til at behandle personoplysninger. En legitim interesse er, at motivet skal være acceptabelt. Med andre ord vejer virksomhedens interesser tungere end den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. For eksempel i direkte markedsføring, forebyggelse af forbrydelser som svig og hvidvaskning af penge, IT-sikkerhed og lignende. 

En legitim interesse er: 

  • I overensstemmelse med gældende lovgivning. 
  • Konkret og klart. 
  • En reel interesse, ikke blot en hypotetisk eller spekulativ interesse.
2. Er denne behandling nødvendig for at opnå den legitime interesse?

Udgangspunktet er, at hvis der er mindre indgribende metoder til at opnå det samme formål, er det normalt ikke en nødvendig behandling. Bemærk også, at nødvendigheden af behandlingen også skal vurderes på grundlag af princippet om dataminimering. Behandlingen kan kun være nødvendig, hvis den er begrænset til opfyldelse af formålet. 

3. Er virksomhedens legitime interesse vigtigere end den registreredes interesse i beskyttelse og ikke-behandling af personoplysninger?

Hvis en virksomhed finder, at den har en legitim interesse, skal den foretage en afvejning af disse interesser. Dette omfatter bl.a. behandling, som de registrerede med rimelighed kan forvente. Her er et par flere faktorer, der skal tages i betragtning ved afbalancering: 

Hvilken interesse har virksomheden? F.eks. en almen interesse, en grundlæggende rettighed eller lignende.
Kan nogen blive skadet, hvis behandlingen er færdig? For eksempel, hvis behandlingen indebærer opbevaring af kreditkortdata, hvilket kan føre til økonomiske konsekvenser, hvis nogen uautoriseret adgang til dem.
Hvad er magtforholdet mellem parterne? For eksempel, hvis der er et ulige magtforhold, f.eks. mellem arbejdsgiver og arbejdstager.
Er den registrerede person et barn eller en voksen? Børn er særligt beskyttelsesværdige, og der bør derfor udvises omhu ved behandling af børns personoplysninger.
Er virksomheden magtfuld? Hvis det er en meget stærk virksomhed, der dominerer markedet, kan forholdet mellem parterne være meget ulige.
Hvor omfattende er behandlingen? Jo større rækkevidde, jo højere risiko. Hvis der er nogen profilering, kan det også være mere problematisk.
Er der nogen grundlæggende rettigheder for den registrerede, som kan blive krænket?
Hvilke fordele og ulemper er der ved behandlingen for de registrerede?

Eksempler på, hvornår legitim interesse er et passende retsgrundlag for udvikling og anvendelse af AI-modeller: AI-model til at foreslå rejsedestinationer til kunder

En virksomhed, der driver en rejsereservationstjeneste, ønsker at udvikle en AI-model for at kunne foreslå rejsedestinationer for kunderne. Uddannelsesdataene består af kundernes rejsehistorik, men der anvendes ingen direkte identifikatorer, f.eks. navn og CPR-nummer. Derudover vælger virksomheden at træne AI-modellen med en lille mængde data ad gangen, indtil de opnår det ønskede resultat, for at sikre, at de lever op til kravene i princippet om dataminimering. 

Trin i vurderingen af den legitime interesse

Her er tre trin til at afgøre, om virksomhedens interesser vejer tungere end de registreredes interesser, dvs. om der er en legitim interesse i virksomheden. 

1. Vurdere, om der foreligger en legitim interesse

Først og fremmest skal virksomheden godtgøre, at de har en legitim interesse i behandlingen. I dette tilfælde har virksomheden en kommerciel interesse i at udvikle en AI-model, der vil kunne foreslå ture til kunder baseret på kundernes præferencer. Dette kan være en legitim interesse. Den skal desuden være lovlig, konkret og udgøre en faktisk interesse, således som det også synes at være tilfældet i den foreliggende sag. 

Oplysningerne viser, at virksomheden har en legitim interesse.

2. Find ud af, om det er en nødvendig behandling

Behandlingen skal være nødvendig for at opfylde formålet, hvilket bl.a. betyder, at den skal overholde princippet om dataminimering. For ikke at behandle flere personoplysninger end nødvendigt til formålet har virksomheden gradvist indtastet data, indtil AI-modellen fungerer efter hensigten. Virksomheden har derfor sikret, at behandlingen sker i overensstemmelse med princippet om dataminimering. 

Oplysningerne tyder på, at det udgør en nødvendig behandling.

3. Det sidste skridt er at finde en balance mellem interesser. Bemærk, at det skal være skriftligt.

Det sidste skridt er at afveje de registreredes og virksomhedens interesser. I dette tilfælde udgør den legitime interesse ikke en offentlig interesse, og der er ingen risiko for, at virksomheden lider skade, hvis interessen ikke kan opfyldes. Desuden er målet at have en positiv indvirkning på de registrerede, da de modtager rejseoplysninger, der passer dem ud fra deres egne præferencer og rejsehistorik. 

Det er ikke ud over rimelig forventning, at virksomheden bruger oplysninger, såsom historie, til at producere tilbud, der er til virksomhedens fordel.

I dette tilfælde synes de registreredes interesser ikke at veje tungere end virksomhedens legitime interesse i behandlingen. Det kan således være tilladt at støtte behandlingen på grundlag af legitim interesse som retsgrundlag.

Eksempler på, hvornår legitim interesse ikke er et passende retsgrundlag for udvikling og anvendelse af AI-modeller:

Udvikle et AI-baseret værktøj, der kan korrigere test

En virksomhed ønsker at udvikle et AI-baseret værktøj, der kan korrigere test. De anmoder derfor om hundredtusindvis af korrigerede test fra skoler på grundlag af princippet om offentlig adgang til officielle registre (et lignende princip findes i mange EU-lande). 

Tre trin til at afgøre, om virksomheden har en legitim interesse

1. Vurdering af den berettigede interesse

Der kan være en legitim interesse i at ville udvikle et AI-baseret værktøj, der kan korrigere test, til et kommercielt formål, dvs. at tjene penge på det. Desuden skal formålet være lovligt, konkret og udgøre en eksisterende og faktisk interesse, således som det synes at være tilfældet i den foreliggende sag. Med andre ord synes virksomheden at have en legitim interesse i at udvikle et sådant system. 

2. Vurdere, om det er en nødvendig behandling

Hvis en virksomhed finder, at den har en legitim interesse i en bestemt behandling, skal den derefter vurdere, om behandlingen er nødvendig for at opfylde formålet. For at afgøre dette skal virksomheden sikre, at behandlingen overholder princippet om dataminimering. Med andre ord må virksomheden ikke behandle flere personoplysninger end nødvendigt. 

I dette tilfælde anmoder virksomheden om et stort antal prøver, og der er ingen oplysninger om, at de har analyseret, hvilke af dem der faktisk er nødvendige for at træne AI-modellen. Virksomheden er heller ikke startet med en lille mængde data, og derefter løbende input mere, indtil AI-modellen er tilstrækkeligt uddannet. Virksomheden har med andre ord ikke truffet tilstrækkelige foranstaltninger til, at behandlingen kan anses for at opfylde kravene i princippet om dataminimering.

Konklusion

Virksomheden synes at have en legitim interesse i behandlingen, men behandlingen kan ikke anses for nødvendig for at opnå den legitime interesse. Behandlingen er derfor ikke tilladt. Da konklusionen her allerede viser, at behandlingen ikke er tilladt, er det ikke nødvendigt at foretage en interesseafvejning (trin 3).

Retsgrundlag, der er vanskelige at understøtte behandlingen
Retlig forpligtelse

Der er ringe mulighed for at anvende retlige forpligtelser som retsgrundlag for udvikling og anvendelse af AI-modeller. Juridisk forpligtelse betyder, at det er reguleret i en lov, forskrift eller kollektiv overenskomst, at virksomheden skal behandle personoplysningerne.

Beskyttelse af grundlæggende interesser

Beskyttelsen af grundlæggende interesser kan kun anvendes som retsgrundlag, hvis det er strengt nødvendigt at foretage behandlingen for at redde liv. Det er et usædvanligt retsgrundlag at anvende, da kun få forskellige typer aktiviteter redder liv. Hospitaler er eksempler på aktiviteter, der anvender dette retsgrundlag, når en person kommer ind på hospitalet bevidstløs. Bemærk venligst, at det ikke er muligt at anvende dette retsgrundlag, hvis personen f.eks. er i stand til at give samtykke, f.eks. når en person har bestilt tid hos en læge og er bekendt hermed. Det er vanskeligt at hævde, at udviklingen og/eller anvendelsen af en AI-model vil redde nogens liv, og det er derfor højst usandsynligt, at dette retsgrundlag vil finde anvendelse på den.

Hvis virksomheden er en offentlig virksomhed

I nogle tilfælde er det muligt for private virksomheder at være aktive i den offentlige sektor. F.eks. en privatskole eller et hospital. De vigtigste retsgrundlag, som offentlige enheder kan anvende i udviklingen og anvendelsen af AI-modeller, er: 

  • Aftaler med registrerede. 
  • Juridisk forpligtelse. 
  • En opgave, der udføres i offentlighedens interesse eller som henhører under offentlig myndighedsudøvelse.

Mere om AI

Oplysningspligt i forbindelse med udvikling og anvendelse af AI-modeller

I henhold til GDPR skal virksomheder informere registrerede om behandlingen af deres personoplysninger. Dette gøres normalt i en meddelelse om beskyttelse af personlige oplysninger, der ofte findes på virksomhedens officielle hjemmeside. Den skal bl.a. angive, hvilke personoplysninger der behandles, hvor længe behandlingen finder sted, hvilke rettigheder de registrerede har osv. Meddelelsen om databeskyttelse skal affattes på det sprog, som de registrerede forstår, ofte det nationale sprog, og må ikke være for kompleks.

Vil du lære mere?

Læs mere
Scroll to Top