GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Kunstnerisk intelligens

Juridisk grunnlag for utvikling og bruk av AI-modeller

Det er flere rettslige grunnlag for utvikling og bruk av AI-modeller som kan være egnet til å støtte behandlingen av personopplysninger på.

Krav om å ha et rettslig grunnlag

Det er tydelig regulert i GDPR at et selskap må ha et juridisk grunnlag, også kjent som et lovlig grunnlag, for å kunne utføre behandling av personopplysninger. I alt er det seks (6) rettslige grunnlag i henhold til artikkel 6 GDPR. 

Juridisk grunnlag som selskaper kan bruke hvis deres aktiviteter er private i utvikling og bruk av AI-modeller som involverer behandling av personopplysninger

What breaches of the GDPR can lead to an administrative fine?

Samtykke

Samtykke kan være et mulig rettslig grunnlag for behandling av personopplysninger som finner sted i sammenheng med utvikling og bruk av AI-modellen. Dette gjelder forutsatt at det oppfyller kravene til gyldig samtykke i henhold til reglene i GDPR. Det er imidlertid ofte et upassende rettslig grunnlag å bruke, spesielt når man utvikler AI-modeller, da det å administrere så mange samtykker kan være svært byrdefullt administrativt. For eksempel kan det være vanskelig å håndtere alt tilbaketrukket samtykke, og å informere alle registrerte i samsvar med GDPR. 

Krav til gyldig samtykke
Frivillig

Samtykke skal gis fritt. Det må ikke være noen ekstern påvirkning for å gi samtykke. I slike tilfeller er det ikke frivillig igjen. Det må med andre ord være et reelt og aktivt valg av den registrerte. I tillegg er det forbudt å gi negative konsekvenser for den registrerte hvis han eller hun ikke gir sitt samtykke. Det er også ugyldig dersom samtykke kreves av vilkårene i kontrakten.

What is the definition of anonymised data?
Ulik maktforhold

Dersom maktforholdet mellom partene er ulikt, utgjør det ikke et gyldig samtykke. For eksempel når en arbeidsgiver behandler personopplysninger om en ansatt, eller i maktforholdet mellom en offentlig myndighet og borgere.

Subjektivt integritetskänsliga personuppgifter
Informert

Den registrerte må informeres om samtykket og hva det betyr å gi samtykke. Opplysningene skal gis på et forståelig språk som den registrerte forstår og er lett tilgjengelig.

Measures that companies need to take to comply with GDPR
Mulighet for tilbaketrekking

Utgangspunktet er at det skal være like enkelt å trekke tilbake samtykke som å gi det. Hvis dette ikke er tilfelle, er samtykket ugyldig fra begynnelsen.

Kontrakt med den registrerte

Det er tillatt å støtte en behandling på juridisk grunnlag av en kontrakt med en registrert hvis behandlingenav personopplysningene er nødvendig for inngåelse eller gjennomføring av kontrakten. Vær oppmerksom på at dette ikke er et felles rettslig grunnlag som skal brukes ved utvikling av en AI-modell. Dette skyldes at selskapet da må inngå en kontrakt med de registrerte som gjør det nødvendig å behandle personopplysninger for å utvikle AI-modellen. 

Det kan imidlertid være mer hensiktsmessig å bruke dette rettslige grunnlaget for bruk av et forhåndsutdannet AI-verktøy. I så fall kan behandling av personopplysninger som utføres i forbindelse med bruk av AI-modellen, være basert på en kontrakt med den registrerte som rettslig grunnlag, der behandlingen er nødvendig for å oppfylle kontrakten.

Berettiget interesse

Legitime interesser er det mest fleksible rettslige grunnlaget i GDPR og er vanlig å bruke. 

For å fastslå om et foretak har en berettiget interesse i behandlingen av personopplysninger, må det først avveie de berørte interessene. Hvis selskapet konkluderer med at deres interesser oppveier interessene til de registrerte gjennom interesseavveining, kan selskapet utføre behandlingen. Vær imidlertid oppmerksom på at den registrerte har rett til å motsette seg behandlingen i henhold til artikkel 21 GDPR.

Tre trinn i vurderingen av om foretaket har en berettiget interesse

Det er mulig å bruke berettiget interesse som rettslig grunnlag for utvikling og bruk av AI-modeller dersom følgende tre krav er oppfylt: 

1. Har selskapet eller en tredjepart en legitim interesse for behandling av personopplysninger?

Bedrifter kan ha ulike typer interesser og grunnlag for behandling av personopplysninger. En legitim interesse er at motivet skal være akseptabelt. Med andre ord overstyrer selskapets interesse interessene eller de grunnleggende rettighetene og frihetene til den registrerte. For eksempel i direkte markedsføring, forebygging av forbrytelser som svindel og hvitvasking av penger, IT-sikkerhet og lignende. 

En berettiget interesse skal være: 

  • I henhold til gjeldende lovgivning. 
  • Spesifikk og tydelig. 
  • Faktisk interesse, ikke bare hypotetisk eller spekulativ.
2. Er behandlingen nødvendig for å oppnå den berettigede interessen?

Utgangspunktet er at hvis det er mindre påtrengende midler for å oppnå samme formål, er det vanligvis ikke en nødvendig behandling. Vær også oppmerksom på at nødvendigheten av behandlingen også skal vurderes på grunnlag av prinsippet om dataminimering. Behandling kan bare være nødvendig hvis den er begrenset til det eneste formålet med å oppnå formålet. 

3. Har den berettigede interessen til selskapet overstyrt interessen til den registrerte for beskyttelse og ikke-behandling av personopplysninger?

Dersom et foretak anser at det har en berettiget interesse, må det avveie interessene. Slik behandling må særlig med rimelighet forventes av de registrerte. Her er noen flere faktorer som må tas i betraktning i balanseøvelsen: 

Hva slags interesse har din virksomhet? For eksempel en offentlig interesse, grunnleggende rettighet eller lignende.
Kan noen bli skadet hvis behandlingen finner sted? For eksempel, hvor behandlingen innebærer lagring av kredittkortdata, noe som kan føre til økonomiske konsekvenser hvis det er tilgjengelig for uautoriserte personer.
Hva er maktforholdet mellom partene? For eksempel, hvis det er et ulikt maktforhold, for eksempel mellom arbeidsgiver og arbeidstaker.
Er den registrerte et barn eller en voksen? Barn er spesielt verneverdige, og det bør derfor utvises forsiktighet ved behandling av barns personopplysninger.
Er selskapet mektig? Hvis markedet domineres av et veldig kraftig selskap, kan forholdet mellom partene være svært ulikt.
Hva er omfanget av behandlingen? Jo større skala, desto høyere risiko. Hvis det er noen profilering, kan det også være mer problematisk.
Er det noen grunnleggende rettigheter hos den registrerte som kan bli negativt påvirket?
Hva er fordeler og ulemper ved behandling for registrerte?

Eksempler på når berettiget interesse er et hensiktsmessig rettslig grunnlag for utvikling og bruk av AI-modeller: AI-modell for å foreslå destinasjoner til kunder

Et selskap som driver en reisebestillingstjeneste ønsker å utvikle en AI-modell, for å kunne foreslå destinasjoner til kunder. Opplæringsdataene består av kundens reisehistorie, men det brukes ingen direkte identifikatorer, for eksempel navn og personnummer. I tillegg velger selskapet å trene AI-modellen med en liten mengde data om gangen til de oppnår ønsket resultat, for å gi en sikkerhetskilde som de overholder kravene i prinsippet om dataminimering. 

Fremgangsmåte i vurderingen av den berettigede interessen

Her er tre trinn for å avgjøre om interessen til selskapet oppveier interessen til de registrerte, dvs. at det er en legitim interesse for selskapet. 

1. Vurdere om det finnes en legitim interesse

For det første må selskapet fastslå at de har en legitim interesse for behandlingen. I dette tilfellet har selskapet en kommersiell interesse i å utvikle en AI-modell som vil kunne foreslå reiser til kunder, basert på kundenes preferanser. Dette kan være av legitim interesse. I tillegg må den være lovlig, spesifikk og utgjøre en egen og nåværende interesse, slik den også ser ut til å være i den foreliggende sak. 

Informasjonen indikerer at selskapet har en legitim interesse.

2. Vurdere om det er behov for behandling

Behandlingen må være nødvendig for å oppnå formålet, noe som blant annet betyr at den må overholde prinsippet om dataminimering. For ikke å behandle flere personopplysninger enn det som er nødvendig for formålet, har selskapet gradvis lagt inn data til AI-modellen fungerer som den skal. Derfor har selskapet sørget for at behandlingen utføres i samsvar med prinsippet om dataminimering. 

Informasjonen antyder at det utgjør nødvendig behandling.

3. Det siste trinnet er å finne en balanse av interesser. Vær oppmerksom på at det må være skriftlig

Det siste trinnet er å balansere interessene til de registrerte og interessene til selskapet. I dette tilfellet utgjør den berettigede interessen ikke en offentlig interesse, og unnlatelse av å oppfylle den risikerer ikke å skade foretaket. I tillegg er målet å ha en positiv innvirkning på de registrerte, da de mottar informasjon om reiser som passer dem i henhold til deres egne preferanser og reisehistorie. 

Det er ikke over rimelig forventning at enheten bruker informasjon, for eksempel historie, til å utvikle tilbud til fordel for enheten.

I dette tilfellet ser det ikke ut til at de registrertes interesser overstyrer selskapets legitime interesse i behandlingen. Dermed kan det være tillatt å støtte behandlingen på et legitimt interesserettslig grunnlag.

Eksempler på når berettiget interesse ikke er et egnet rettslig grunnlag for utvikling og bruk av AI-modeller:

Utvikle et AI-basert hjelpesystem som kan korrigere tester

Et selskap ønsker å utvikle et AI-basert hjelpemiddel som kan korrigere tester. De ber derfor om hundretusener av korrigerte eksamener fra skoler på grunnlag av publisitetsprinsippet (et lignende prinsipp finnes i mange EU-land). 

Tre trinn for å avgjøre om selskapet har en legitim interesse

1. Vurdering av den berettigede interessen

Det kan være en legitim interesse i å utvikle en AI-aktivert enhet som kan korrigere tester, for et kommersielt formål, dvs. for å tjene penger på det. Videre må formålet være lovlig, spesifikt og utgjøre en egen og nåværende interesse, slik det ser ut til å være tilfelle her. Selskapet ser med andre ord ut til å ha en berettiget interesse i å utvikle et slikt system. 

2. Vurdere om det er nødvendig å behandle

Dersom et foretak anser at det har en berettiget interesse i en bestemt behandlingsoperasjon, skal det deretter vurdere om behandlingen er nødvendig for å oppnå formålet. For å fastslå dette må selskapet sørge for at behandlingen er i samsvar med prinsippet om dataminimering. Selskapet må med andre ord ikke behandle flere personopplysninger enn nødvendig. 

I dette tilfellet ber selskapet om et stort antall prøver, og det er ingen informasjon om at de har analysert hvilke av dem som faktisk er nødvendige for å trene AI-modellen. Selskapet har heller ikke startet med en liten mengde data, og legger deretter kontinuerlig inn mer til AI-modellen er tilstrekkelig trent. Selskapet har med andre ord ikke truffet tilstrekkelige tiltak for å vurdere at behandlingen er i samsvar med dataminimeringsprinsippet.

Konklusjon

Selskapet ser ut til å ha en berettiget interesse i behandlingen, men behandlingen kan ikke anses som nødvendig for å oppnå den berettigede interessen. Behandlingen er derfor ikke tillatt. Ettersom konklusjonen her allerede viser at behandlingen ikke er godkjent, er det ikke nødvendig å foreta en interesseavveining (trinn 3).

Rettslig grunnlag som er vanskelig å underbygge
Juridisk forpliktelse

Det er lite rom for å bruke rettslig forpliktelse som rettslig grunnlag i utvikling og bruk av AI-modeller. Juridisk forpliktelse innebærer at det er regulert ved lov, forskrift eller tariffavtale at virksomheten skal behandle personopplysningene.

Beskyttelse av grunnleggende interesser

Beskyttelsen av grunnleggende interesser kan bare brukes som rettslig grunnlag når det er strengt nødvendig å gjennomføre behandlingen for å redde liv. Det er et uvanlig juridisk grunnlag å bruke, da bare noen få forskjellige typer aktiviteter redder liv. Sykehus er eksempler på aktiviteter som bruker dette juridiske grunnlaget når en person kommer inn på sykehuset ubevisst. Vær oppmerksom på at det ikke er mulig å bruke dette juridiske grunnlaget hvis personen for eksempel har mulighet til å gi samtykke, for eksempel når en person har bestilt en avtale med en lege og er klar over det. Det er vanskelig å argumentere for at utvikling eller/og bruk av en AI-modell vil spare noens liv, og det er derfor svært lite sannsynlig at dette rettslige grunnlaget vil gjelde for den.

Om virksomheten er en offentlig tjeneste

I noen tilfeller er det mulig for private foretak å drive offentlig virksomhet. For eksempel en privat skole eller et sykehus. De viktigste juridiske grunnlagene som offentlige aktiviteter kan bruke i utvikling og bruk av AI-modeller er: 

  • Kontrakter med registrerte personer. 
  • Juridisk forpliktelse. 
  • Oppgaver som utføres i allmennhetens interesse eller i utøvelsen av offentlig myndighet.

Mer om AI

Informasjonsplikt ved utvikling og bruk av AI-modeller

I henhold til GDPR må selskapene informere de registrerte om behandlingen av deres personopplysninger. Dette gjøres vanligvis ved hjelp av en personvernerklæring, ofte tilgjengelig på selskapets offisielle nettside. Den skal blant annet angi arten av personopplysningene som behandles, behandlingens varighet, de registrertes rettigheter osv. Personvernerklæringen skal utformes på det språket de registrerte forstår, ofte på det nasjonale språket, og skal ikke være for komplisert.

Lyst til å lære mer?

Les mer
Skroll til toppen