Databeskyttelsesmyndighedernes rolle i tilsynet med kunstig intelligens bør være central ifølge Det Europæiske Databeskyttelsesråd. To andre EU-forordninger inden for digital erhvervsret i EU-retten er forordningen om digitale tjenester og forordningen om digitale markeder. En EU-forordning er en retsakt og er bindende. En anden retsakt, der også er bindende, er EU-direktiver, men kun med hensyn til det resultat, der skal opnås.
Det Europæiske Databeskyttelsesråds udtalelse om databeskyttelsesmyndighedernes rolle i tilsynet med kunstig intelligens
I juli 2024 afgav Det Europæiske Databeskyttelsesråd en udtalelse om databeskyttelsesmyndighedernes rolle i overvågningen af forordningen om kunstig intelligens. De konkluderede, at AI-systemer er forbundet med behandling af personoplysninger, og at databeskyttelsesmyndighederne derfor bør spille en vigtig rolle. Ifølge næstformanden for Det Europæiske Databeskyttelsesråd er databeskyttelsesmyndighederne egnede til at udføre denne opgave.
Højrisikosystemer med kunstig intelligens
Hvad specifikt angår visse højrisikosystemer med kunstig intelligens (dvs. højrisiko-AI-systemer), anbefaler Databeskyttelsesrådet, at databeskyttelsesmyndighederne overvåger dem. Blandt andet når det kommer til biometrisk identifikation, såsom ansigtsgenkendelse, og om det er lovligt i henhold til GDPR. Et praktisk eksempel er grænsebevogtning. Biometriske data udgør følsomme personoplysninger i henhold til GDPR, og derfor er kravene til en sådan behandling strengere.
Udpeget myndighed
Bemærk, at alle EU-lande senest den 2. august 2025 skal udpege en national myndighed til at overvåge forordningen om kunstig intelligens. Den myndighed, som landene udpeger som markedsmyndighed i overensstemmelse med forordningen, vil være et kontaktpunkt for borgere og andre interessenter. Ifølge henstillingen fra Det Europæiske Databeskyttelsesråd bør det være landets databeskyttelsesmyndighed, da AI-systemer og behandling af personoplysninger går hånd i hånd.
Digitale platforme med samtykke eller betalingsmodel
Flere databeskyttelsesmyndigheder i EU/EØS anmodede Databeskyttelsesrådet om en holdning til “samtykke- eller betalingsmodellen” på store digitale platforme. Databeskyttelsesrådet fandt, at det normalt ikke opfylder kravene til gyldigt samtykke i overensstemmelse med GDPR, hvis den registrerede enten skal betale for eller modtage målrettet reklame. I stedet bør platformsudbydere overveje at have en gratis markedsføringsmulighed, men ikke udføre målrettet markedsføring.
