Udvikling og brug af AI-modeller
Principper for den generelle forordning om databeskyttelse i forbindelse med udvikling og anvendelse af AI-modeller
Der er flere grundlæggende principper i GDPR i udviklingen og anvendelsen af AI-modeller, der er relevante. Virksomheder skal altid overholde de syv (7) grundlæggende principper, der er fastsat i artikel 5 i GDPR.
Princippet om formålsbegrænsning
Virksomheder må ikke behandle flere personoplysninger end nødvendigt for at opfylde formålet med behandlingen. Desuden skal formålet udtrykkeligt angives, være specifikt og udgøre et legitimt formål.
Princippet om formålsbegrænsning i udviklingen af AI-modeller
Hvis en virksomhed tidligere har indsamlet personoplysninger til andre formål end udvikling af en AI-model, kan det kræve et nyt retsgrundlag at anvende dem til udviklingen, men ikke altid.
I overensstemmelse med det oprindelige formål
For at behandle personoplysninger med henblik på at udvikle en AI-model, selv om personoplysningerne ikke blev indsamlet til dette formål, skal det nye formål være foreneligt med det oprindelige formål. Derfor skal virksomheden foretage en samlet vurdering for at kunne afgøre dette.
Overvejelse, når der træffes afgørelse om, hvorvidt behandlingen i forbindelse med udviklingen af en AI-model er forenelig med det oprindelige formål
Kobling
Hvad er forbindelsen mellem det nye og det oprindelige formål?
Indsamling
Hvordan er personoplysningerne blevet indsamlet?
Forhold
Hvad er forholdet mellem virksomheden og den registrerede?
Rimelighed
Kan den registrerede med rimelighed forvente en sådan behandling?
Kategori
Hvilken kategori af personoplysninger vedrører behandlingen?
Mulige konsekvenser
Hvad er de mulige konsekvenser af behandlingen for de registrerede?
Tekniske og organisatoriske sikkerhedsforanstaltninger
Hvilke tekniske og organisatoriske sikkerhedsforanstaltninger har virksomheden truffet?
Vurdering af formålsbegrænsning
Eksempler på uautoriseret behandling: Udvikling af AI-model til at finde mønstre i sygefravær
En virksomhed ønsker at udvikle en AI-model, der kan afgøre, om der er et mønster i, hvornår deres medarbejdere bliver syge, så virksomheden på forhånd kan beregne, hvornår de skal have ekstra personale klar. Virksomheden ønsker at give AI-modellen alle de data om sine medarbejdere, som de har ret til at behandle i henhold til ansættelseskontrakten. Virksomheden selv engagerer udviklerne for at undgå at overføre personoplysningerne til nogen tredjepart. Personoplysningerne vil ikke blive krypteret på tidspunktet for indtastningen.
Denne behandling vil højst sandsynligt ikke blive tilladt.
Her er nogle faktorer, der begrunder beslutningen:
Der synes at være en forbindelse mellem det oprindelige og det nye formål med behandlingen af personoplysningerne, men der er to forskellige typer sager.
Registrerede har ringe indflydelse på behandlingen, og hvilke personoplysninger der behandles, da det er et krav, at de skal være ansat.
Der er et ulige magtforhold mellem parterne, da de er arbejdsgivere og arbejdstagere.
De behandlede personoplysninger (sygeorlov) er følsomme i henhold til GDPR (data, der afslører oplysninger om en persons helbred, udgør en særlig kategori af personoplysninger i henhold til artikel 9 i GDPR).
Virksomheden har ikke til hensigt at kryptere personoplysningerne, inden den indlæser AI-modellen, hvilket bør ske som en teknisk sikkerhedsforanstaltning med hensyn til behandling af følsomme personoplysninger.
Personoplysningerne er indsamlet på grundlag af den juridiske basiskontrakt med den registrerede for at kunne indgå og opfylde ansættelseskontrakten. Udviklingen af AI-modellen er ikke nødvendig til dette formål, og dette retsgrundlag kan derfor ikke anvendes til dette nye formål med behandlingen.
Det er vanskeligt at argumentere for, at udviklingen af AI-modellen er i de ansattes bedste interesse, hvilket ellers kunne være et godt argument at medtage i deres vurdering.
Har de registreredes forventninger til, hvordan behandlingen kan finde sted, nogen indvirkning på vurderingen?
Ja, det påvirker beslutningen. Hvis den nye behandling vedrører noget andet end det oprindelige formål, kan det betyde, at den ligger uden for, hvad de registrerede med rimelighed kan forvente. Selv om der er en forbindelse mellem det oprindelige og det nye formål, kan behandlingen med henblik på udvikling og anvendelse af en AI-model være noget, der ikke med rimelighed kan forventes.
Har det betydning for vurderingen, hvilke konsekvenser behandlingen kan have for de registrerede?
Ja, det har en betydning i beslutningen. Hvis personoplysningerne anvendes til at udvikle en AI-model, kan der være mindre gennemsigtighed om behandlingen over for de registrerede. Det kan f.eks. gøre det vanskeligere for dem at respektere deres rettigheder og forstå behandlingen.
Eksempel på tilladt behandling: For at optimere elforbruget ønsker en elleverandør at kortlægge elpriserne ved at udvikle en AI-model
En virksomhed, der er elleverandør, ansætter en ekstern part til udvikling af AI-modellen. Virksomheden skal behandle visse personoplysninger for at kunne levere elektricitet og fakturere kunder. Virksomheden ønsker at bruge disse personoplysninger til at udvikle en AI-model for at optimere sine elpriser. Formålet med behandlingen er således at reducere omkostningerne for kunderne ved at kortlægge, hvilke gange elprisen er lavest og højest.
Virksomheden har brug for alle de personoplysninger, der behandles om deres kunder, men har opdelt dem i forskellige geografiske områder. De vil ikke give alle data direkte til AI-modellen, men i stedet starte med et geografisk område ad gangen. På denne måde forsøger virksomheden at undgå at behandle flere personoplysninger end nødvendigt til formålet.
Efter hvert geografisk område, som virksomheden har indtastet dataene, vil virksomheden undersøge, om det er nok for AI-modellen at gøre, hvad den havde til hensigt. Hvis ikke, vil virksomheden indtaste data for et nyt område, indtil de når det ønskede resultat.
Ingen direkte identifikatorer, såsom navn og CPR-nummer, vil blive delt med AI-modellen, men i stedet er personoplysningerne blevet krypteret.
Spørgsmålet er, om det nye formål kan anses for at være foreneligt med det oprindelige formål?
I det foreliggende tilfælde synes der at være en klar forbindelse mellem formålene. Der er dog flere faktorer, der påvirker, om den nye behandling er tilladt eller ej. Her er nogle omstændigheder, der begrunder beslutningen om, at den vedrører en godkendt behandling:
Det gamle og nye formål handler om elforbrug.
Der er ingen ulige magtforhold mellem parterne.
Registrerede personer befinder sig ikke i en sårbar situation.
Personoplysningerne er ikke følsomme i henhold til artikel 9 i GDPR eller artikel 10 i GDPR.
Målet er at reducere omkostningerne for kunderne, hvilket er positivt for dem.
For at undgå at behandle flere personoplysninger end nødvendigt, starter virksomheden med at levere data vedrørende et geografisk område ad gangen, indtil de opnår det ønskede resultat, i stedet for at indtaste alle data på samme tid.
Det er også vigtigt at overveje at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger. I dette tilfælde havde virksomheden krypteret personoplysningerne, hvilket er en passende teknisk sikkerhedsforanstaltning i denne situation.
Omstændigheder, der kan tale imod behandlingens forenelighed med det oprindelige formål:
Hvis virksomheden overfører personoplysningerne til en anden virksomhed med henblik på udvikling. Dette indebærer bl.a. en større risiko for, at personoplysningerne falder i de forkerte hænder, men betyder ikke nødvendigvis, at de er uforenelige med det oprindelige formål. En anden ulempe er, at det kan være vanskeligere at være gennemsigtig over for de registrerede, da det kan være vanskeligere for dem at forstå behandlingen og respektere deres rettigheder i henhold til GDPR.
Det er vigtigt at analysere de konsekvenser, som den nye behandling kan have for de registrerede. Desuden bør betydningen af at beskytte personoplysninger analyseres. For eksempel, hvis det er kreditkortoplysninger, kan det have store konsekvenser, hvis det kommer i de forkerte hænder.
Bemærk venligst, at hver sag kræver sin egen vurdering, og små omstændigheder kan påvirke, om den nye behandling er forenelig med det oprindelige formål eller ej.
Princippet om dataminimering
Virksomheder må kun behandle personoplysninger, der er tilstrækkelige og relevante i forhold til formålet. Med andre ord må du ikke behandle flere personoplysninger end nødvendigt for at opnå det.
Proportionalitetskrav
Behandlingen skal stå i et rimeligt forhold til det tilstræbte formål. Det betyder, at krænkelsen af privatlivets fred ikke må være for omfattende i forhold til fordelene ved behandlingen.
Princippet om dataminimering i udviklingen af AI-modeller
Princippet om dataminimering skal overvejes nøje i forbindelse med træning og udvikling af en AI-model, da der er risiko for, at den behandler flere personoplysninger end nødvendigt. Det kan også være, at man ikke altid ved, hvad der præcist skal opnås, og derfor behandler unødvendige personoplysninger i processen, hvilket ikke er foreneligt med princippet. Derfor er det vigtigt først omhyggeligt at analysere, hvad formålet med behandlingen er, for at vide, hvilke personoplysninger der er behov for. Det kan være vanskeligt at overholde kravene i dette princip, når en virksomhed udvikler en AI-model, men det er muligt.
Statistisk korrekt
Det er vigtigt ikke at forskelsbehandle visse grupper, når der oprettes en statistisk korrekt AI-model. Der er derfor behov for at træne AI-modellen med relevante ikkediskriminerende data. Det betyder, at relevante oplysninger er vigtige både for ikke at behandle flere personoplysninger, end det er nødvendigt for at opfylde formålet med behandlingen, og for at de er så statistisk korrekte som muligt.
Overvåget læring
Når man træner en AI-model gennem overvåget læring, bør man bevidst forsikre sig om de anvendte datas karakteristika.
Godt udgangspunkt for at opfylde reglerne om princippet om dataminimering
Da AI-modeller har en tendens til at anvende meget store mængder data, kan det være vanskeligt at nå princippet om dataminimering. Men det er muligt. For at gøre det er det godt at starte med at give AI-modellen en lille mængde data og derefter om nødvendigt gradvist øge dataene. Da det er svært altid at vide præcis, hvordan en AI-model vil udvikle sig i fremtiden, er det godt at starte i mindre skala.
Glem ikke at slette personoplysninger, der ikke længere er nødvendige
Virksomheder skal slette eller anonymisere personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet. Hvis personoplysningerne ikke længere er nødvendige at behandle, efter at AI-modellen er blevet udviklet, slettes de. Alternativt er den anonymiseret. Det kan også være nyttigt at analysere, om det er muligt at udvikle AI-modellen med anonyme data i stedet for personoplysninger.
Diskriminerende algoritmer: Diskrimination er forbudt
Anvendelsen af diskriminerende algoritmer er ikke tilladt for en AI-model, da det er i strid med korrekthedsprincippet. Det er forbudt, uanset om en sådan anvendelse er tilsigtet eller ej. Derfor er det godt konstant at teste AI-modellen, så den ikke diskriminerer mod grupper eller enkeltpersoner.
Mere om AI
Retsgrundlag, der kan være nyttige i forbindelse med udvikling og anvendelse af AI-modeller
Der er flere retsgrundlag, der kan være hensigtsmæssige til at støtte behandlingen af personoplysninger i forbindelse med udviklingen og anvendelsen af AI-modeller. Legitim interesse er almindeligt anvendt, da det er et fleksibelt retsgrundlag. Det er dog vigtigt først at overveje at foretage en skriftlig interesseafvejning samt at vide, at den registrerede har ret til at gøre indsigelse mod behandlingen. Samtykke er normalt vanskeligt at anvende, når der udvikles en AI-model, men kan være mere hensigtsmæssigt at anvende til at understøtte behandlingen af personoplysninger, når der anvendes en AI-model.