ARTIFICIAL INTELLIGENCE
Roller i udviklingen og anvendelsen af AI-systemer
Det er vigtigt at analysere og præcisere rollerne i udviklingen og anvendelsen af AI-systemer.
Roller i udviklingen og anvendelsen af AI-systemer: Ansvar for personoplysninger
Der er forskellige roller i GDPR, som en virksomhed kan have, når de behandler personoplysninger.
Det faktiske forhold bestemmer en virksomheds rolle og ansvar, ikke hvad der er angivet i aftalen. Derfor er det vigtigt at regulere forholdet mellem parterne korrekt i en kontrakt.
Den registeransvarlige
Den virksomhed, der bestemmer midlerne og formålene med behandlingen, er den dataansvarlige. Dette indebærer et stort ansvar for at sikre, at behandlingen sker i overensstemmelse med reglerne i GDPR. Det er ikke en person i virksomheden, der har rollen, men det er virksomheden selv, der gør det. Det kan dog i nogle tilfælde være en enkeltperson, f.eks. hvis der er tale om en enkeltmandsvirksomhed. Privatpersoner og offentlige organer kan også være dataansvarlige.
Forarbejdningsvirksomhed
En databehandler behandler personoplysninger på vegne af en dataansvarlig i overensstemmelse med dennes instrukser. Det er altid den dataansvarlige, der afgør formålet med den behandling, der foretages af en databehandler. For eksempel, når en virksomhed ansætter et revisionsfirma til at håndtere løn og bogholderi på vegne af klientvirksomheden.
Fælles dataansvarlige
Det er muligt for flere aktører at være fælles dataansvarlige. I sådanne tilfælde fastlægger de i fællesskab formålet med og hjælpemidlerne til behandlingen. I sådanne tilfælde er det vigtigt at blive enige om ansvarsforholdet mellem parterne, f.eks. hvem der skal opfylde de registreredes rettigheder og andre forpligtelser i henhold til GDPR, for ikke ved et uheld at gå glip af det.
Skal aftaler om behandling af personoplysninger være skriftlige?
Ja, databehandleraftaler skal være skriftlige for at være gyldige, da dette er et formelt krav i artikel 28 GDPR. I de fleste tilfælde er mundtlige aftaler lige så gyldige som skriftlige aftaler, men der er undtagelser. I nogle tilfælde skal kontrakter være skriftlige for at være gyldige, hvis dette udtrykkeligt er angivet i lovteksten.
Eksempler på, hvornår virksomheder kan være dataansvarlige, databehandlere og fælles dataansvarlige
Virksomheder bruger et fuldt udviklet AI-system
En virksomhed bruger et fuldt udviklet AI-system til f.eks. at analysere kundefeedback for at forbedre sine tjenester/produkter. AI-systemet er ikke udviklet til noget specifikt formål, men den virksomhed, der anvender systemet, har lov til at gøre det. Systemet giver virksomhederne mulighed for at foretage mindre justeringer for at tilpasse det til virksomhedens formål.
Da det er virksomheden selv, der afgør formålet med behandlingen af personoplysninger ved brug af AI-systemet, er det virksomheden, der er den dataansvarlige. Bemærk, at virksomheden skal vælge et AI-system, som de kan sikre overholder reglerne i GDPR.
Virksomheder ansætter udviklere til at skabe en AI-model
En virksomhed ønsker at styre lønningslisten ved hjælp af et AI-system for at strømline arbejdet. Virksomheden ønsker derfor at udvikle sit eget AI-system ved hjælp af en ekstern part. Virksomheden giver derfor instrukser om, hvordan AI-systemet bør udvikles, formålene med behandlingen af personoplysninger, hvor længe behandlingen af personoplysninger bør finde sted, hvilke personoplysninger der bør behandles osv. Det er derfor virksomheden, der inddrager udviklerne, dvs. den hovedforpligtede, som er den dataansvarlige for behandlingen.
Den tredjemand, der har indgået kontrakten, dvs. kontrahenten, foretager behandlingen af personoplysningerne i rollen som databehandler, eftersom behandlingen foretages på vegne af den hovedforpligtede. Kunden og entreprenøren skal derfor indgå en skriftlig databehandlingsaftale med hinanden, inden behandlingen påbegyndes.
To virksomheder udvikler et AI-system sammen ved at hyre en ekstern part
To virksomheder ønsker at udvikle et AI-system sammen for at reducere de omkostninger, det ville medføre at gøre det selv. De fastlægger formålet sammen, foretager en fælles analyse af de behandlingsaktiviteter, der er nødvendige for AI-modellen, hvor længe behandlingen vil vare, og omfanget af behandlingen. Men kun én virksomhed vil træne AI-modellen og få adgang til den til brug, mens den anden virksomhed kun vil få adgang til den til brug. Det betyder, at de er fælles dataansvarlige
Bemærk venligst, at begge parter ikke er forpligtet til at foretage behandling af personoplysninger i praksis, for at begge parter kan være fælles dataansvarlige. Det er tilstrækkeligt, at de påvirker behandlingen tilstrækkeligt eller har en indflydelse, der er betydelig nok til, at den kan betragtes som et fælles dataansvar i henhold til GDPR.
Flere oplysninger
Automatiseret beslutningstagning
Hvis en AI-model anvendes til at træffe en beslutning om en person, uden at nogen person er involveret i beslutningsprocessen, er det en automatiseret beslutningsproces. I sådanne tilfælde gælder der særlige regler i GDPR. Ifølge den generelle regel er det forbudt at gøre en sådan behandling, men der er undtagelser. Bemærk, at det ikke er et spørgsmål om automatiseret beslutningstagning, hvis AI-modellen anvendes som et hjælpeværktøj, men det er en fysisk person, der i sidste ende træffer beslutningen.