Kunstnerisk intelligens
Roller i utvikling og bruk av AI-systemer
Det er viktig å analysere og avklare rollene i utvikling og bruk av AI-systemer.
Roller i utvikling og bruk av AI-systemer: Tilsynsmyndighet
Det er forskjellige roller i GDPR som et selskap kan ha når det behandler personopplysninger.
Det faktiske forholdet bestemmer rollen og ansvaret til en enhet, ikke hva som er i kontrakten. Det er derfor viktig å regulere forholdet mellom partene riktig i en kontrakt.
Behandlingsansvarlig
Selskapet som bestemmer midlene og formålene med behandlingen, er kontrolløren. Dette innebærer et høyt ansvar for at behandlingen er i samsvar med reglene i GDPR. Rollen utføres ikke av en person i selskapet, men av selskapet selv. På den annen side kan det være et individ i visse tilfeller, for eksempel hvis det er en eneste næringsdrivende. Privatpersoner og offentlige organer kan også være behandlingsansvarlige.
Prosessor
En databehandler behandler personopplysninger på vegne av en behandlingsansvarlig etter dennes instrukser. Faktisk er det alltid den behandlingsansvarlige som bestemmer formålet med behandlingen som utføres av en databehandler. For eksempel når et selskap engasjerer et regnskapsbyrå for å administrere lønn og kontoer på vegne av klientfirmaet.
Joint controllers
Det er mulig for flere aktører å være felles kontrollører. I slike tilfeller bestemmer de i fellesskap formålet og midlene for behandlingen. I slike tilfeller er det viktig å bli enige om ansvarsforholdet mellom partene, for eksempel hvem som skal oppfylle de registrertes rettigheter og andre forpliktelser i henhold til GDPR, for ikke å gå glipp av det.
Må prosessoravtalene være skriftlige?
Ja, databehandlernes avtaler må være skriftlige for å være gyldige, ettersom det er et formelt krav i artikkel 28 i GDPR. I de fleste tilfeller er muntlige avtaler like gyldige som skriftlige avtaler, men det finnes unntak. I noen tilfeller må kontraktene være skriftlige for å være gyldige, dersom det er uttrykkelig angitt i lovteksten.
Eksempler på når selskaper kan være behandlingsansvarlige, databehandlere og felles behandlingsansvarlige
Selskapet bruker et modent AI-system
Et selskap bruker et modent AI-system til for eksempel å analysere tilbakemeldinger fra kunder for å forbedre sine tjenester / produkter. AI-systemet er ikke utviklet for et bestemt formål, det er overlatt til selskapet som bruker systemet til å gjøre det selv. Ordningen gjør det mulig for selskaper å gjøre mindre tilpasninger for å tilpasse den til selskapets formål.
Siden det er selskapet selv som bestemmer formålet med behandlingen av personopplysningene ved bruk av AI-systemet, er det selskapet som er kontrolleren. Vær oppmerksom på at selskapet skal velge et AI-system som de kan sikre er i samsvar med GDPR-regler.
Bedrifter ansetter utviklere for å lage en AI-modell
Et selskap ønsker å administrere lønn ved hjelp av et AI-system for å gjøre arbeidet mer effektivt. Selskapet ønsker derfor å utvikle sitt eget AI-system ved å engasjere en ekstern part. Det gir derfor instruksjoner om hvordan man utvikler AI-systemet, formålene med behandlingen av personopplysningene, varigheten av behandlingen av personopplysningene, personopplysningene som skal behandles, etc. Derfor er det selskapet som engasjerer utviklerne, dvs. rektoren, som er behandlingsansvarlig.
Tredjeparten som påtar seg oppgaven, nemlig entreprenøren, utfører behandlingen av personopplysningene i rollen som prosessor, siden behandlingen utføres på vegne av oppdragsgiveren. Rektor og entreprenør må derfor inngå en skriftlig databehandleravtale med hverandre før behandlingen starter.
To selskaper utvikler et AI-system sammen ved å engasjere en ekstern part
To selskaper ønsker å utvikle et AI-system sammen for å redusere kostnadene som det ville bety å gjøre det selv. De bestemmer formålet sammen, gjennomfører en felles analyse av behandlingene som kreves for AI-modellen, varigheten av behandlingen og omfanget av behandlingen. Derimot vil bare ett selskap trene AI-modellen og få tilgang til den for bruk, mens det andre selskapet bare får tilgang til den for bruk. Dette betyr at de er felles kontrollører.
Vær oppmerksom på at det ikke er nødvendig at begge parter utfører behandling av personopplysninger i praksis for at begge skal være felles behandlingsansvarlige. Det er tilstrekkelig at de påvirker behandlingen tilstrekkelig eller har tilstrekkelig betydelig innflytelse til at det kan anses som et felles behandlingsansvar i henhold til GDPR.
Mer informasjon
Automatiserte avgjørelser
Hvis en AI-modell brukes til å ta en beslutning om en person, uten at noen er involvert i beslutningsprosessen, er det en automatisert beslutningsprosess. I slike tilfeller gjelder spesifikke regler i GDPR. Den generelle regelen forbyr slik behandling, men det finnes unntak. Vær oppmerksom på at bruk av AI-modellen som et hjelpeverktøy ikke er et spørsmål om automatisert beslutningstaking, men det er en naturlig person som til slutt tar avgjørelsen.