Utveckling och användning av AI-modeller
Principer i GDPR vid utveckling och användning av AI-modeller
Det finns flera grundläggande principer i GDPR vid utveckling och användning av AI-modeller som är relevanta. Företag måste alltid följa de sju (7) grundläggande principerna som framgår i artikel 5 i GDPR.
Principen om ändamålsbegränsning
Företag får inte behandla fler personuppgifter än nödvändigt för att uppnå ändamålet med behandlingen. Dessutom måste ändamålet vara uttryckligt angivet, specifikt och utgöra ett berättigat ändamål.
Principen om ändamålsbegränsning vid utveckling av AI-modell
Om ett företag har samlat in personuppgifter tidigare för något annat syfte än att utveckla en AI-modell, kan det krävas en ny rättslig grund för att få använda dem för utvecklingen, men inte alltid.
Förenligt med det ursprungliga ändamålet
För att få behandla personuppgifter för att utveckla en AI-modell även fast personuppgifterna inte blev insamlade för det syftet, måste det nya ändamålet vara förenligt med det ursprungliga ändamålet. Därför behöver företaget göra en samlad bedömning för att kunna avgöra detta.
Att tänka på vid avgörandet huruvida behandlingen vid utvecklingen av en AI-modell är förenligt med det ursprungliga ändamålet
Koppling
Vilka är kopplingarna mellan det nya och ursprungliga ändamålet?
Insamling
Hur har personuppgifterna blivit insamlade?
Förhållande
Vad är förhållandet mellan företaget och den registrerade?
Rimlighet
Kan den registrerade rimligen förvänta sig en sådan behandling?
Kategori
Vilken kategori av personuppgifter avser behandlingen?
Eventuella konsekvenser
Vilka eventuella konsekvenser kan behandlingen innebära för de registrerade?
Tekniska och organisatoriska säkerhetsåtgärder
Vilka tekniska och organisatoriska säkerhetsåtgärder har företaget vidtagit?
Bedömningar av ändamålsbegränsning
Exempel på otillåten behandling: Utveckling av AI-modell för att hitta mönster vid sjukskrivning
Ett företag vill utveckla en AI-modell som ska kunna avgöra om det finns något mönster i när deras anställda blir sjuka, för att företaget i förväg ska kunna beräkna när de bör ha extra personal redo. Företaget vill ge AI-modellen all data om sina anställda som de har rätt att behandla enligt anställningsavtalet. Företaget anlitar själva utvecklarna för att slippa överföra personuppgifterna till någon tredje part. Personuppgifterna kommer inte att krypteras inte vid inmatningen.
Denna behandling skulle med största sannolikhet inte vara tillåten.
Här är några omständigheter som motiverar beslutet:
Det verkar finnas en koppling mellan det ursprungliga och nya ändamålet med behandlingen av personuppgifterna, men det gäller två olika typer av ärenden.
De registrerade har lite inflytande över behandlingen och vilka personuppgifter som behandlas, eftersom det utgör ett krav för att de ska kunna bli anställda.
Det råder ett ojämlikt maktförhållande mellan parterna, eftersom de utgörs av arbetsgivare och arbetstagare.
Personuppgifterna som behandlas (sjukfrånvaro) är känsliga enligt GDPR (uppgifter som avslöjar information om en individs hälsa utgör en särskild kategori av personuppgifter enligt artikel 9 i GDPR).
Företaget avser inte att kryptera personuppgifterna inför inmatning till AI-modellen, vilket bör göras som en teknisk säkerhetsåtgärd när det gäller behandling av känsliga personuppgifter.
Personuppgifterna har samlats in med stöd i den rättsliga grunden avtal med registrerad för att kunna ingå och fullgöra anställningsavtalet. Att utveckla AI-modellen är inte nödvändigt för detta, och därmed kan inte denna rättsliga grund bli använd för detta nya ändamål med behandlingen.
Det är svårt att argumentera att utvecklingen av AI-modellen sker för de anställdas bästa, vilket annars skulle kunna vara ett bra argument att inkludera i sin bedömning.
Har de registrerades förväntningar på hur behandlingen kan ske någon effekt på bedömningen?
Ja, det påverkar beslutet. Om den nya behandlingen gäller något annat än det ursprungliga ändamålet, kan det innebära att det ligger utanför vad de registrerade rimligen kan förvänta sig. Även fast det finns en koppling mellan det ursprungliga och nya ändamålet, kan behandlingen för utvecklingen och användningen av en AI-modell vara något som rimligen inte förväntas.
Spelar det någon roll i bedömningen vilka konsekvenser som behandlingen kan få för de registrerade?
Ja, det har en betydelse i beslutet. Om personuppgifterna används för att utveckla en AI-modell, kan det innebära mindre transparens om behandlingen gentemot de registrerade. Det kan exempelvis göra det svårare för dem att iaktta sina rättigheter och förstå behandlingen.
Exempel på tillåten behandling: För att optimera elförbrukningen, vill en elleverantör kartlägga elpriserna genom att utveckla en AI-modell
Ett företag, som är en elleverantör, anlitar en extern part för utvecklingen av AI-modell. Företaget behöver behandla vissa personuppgifter för att kunna leverera el och fakturera kunderna. Företaget vill använda dessa personuppgifter för att kunna utveckla en AI-modell, för att kunna optimera sina elpriser. Syftet med behandlingen är därmed att sänka kostnaderna för kunderna, genom att kartlägga vilka tidpunkter som elpriset är lägst respektive högst.
Företaget behöver alla personuppgifter som behandlas gällande deras kunder, men har delat in dem i olika geografiska områden. De kommer inte att ge all data till AI-modellen direkt, utan börjar istället med ett geografiskt område i taget. På så sätt försöker företaget att undvika att behandla fler personuppgifter än nödvändigt för ändamålet.
Efter varje geografiskt område som företaget har matat in datan med, kommer företaget undersöka huruvida det är tillräckligt för att AI-modellen ska kunna göra det som tänkt. Om inte, kommer företaget mata in datan för ett nytt område, tills att de når resultatet som efterfrågas.
Inga direkta identifierare, såsom namn och personnummer, kommer att delges till AI-modellen, utan istället har personuppgifterna krypterats.
Frågan är om det nya ändamålet kan anses vara förenligt med det ursprungliga ändamålet?
Det verkar i detta fall som att det finns en tydlig koppling mellan ändamålen. Däremot finns det flera faktorer som påverkar huruvida den nya behandlingen är tillåten eller inte. Här är några omständigheter som motiverar beslutet att det avser en tillåten behandling:
Gamla och nya ändamålet handlar om elförbrukning.
Det finns inget ojämlikt maktförhållande mellan parterna.
Registrerade är inte i någon utsatt position.
Personuppgifterna är inte känsliga enligt artikel 9 i GDPR eller artikel 10 i GDPR.
Syftet är att minska kostnaderna för kunderna, vilket är positivt för dem.
För att undvika att behandla fler personuppgifter än nödvändigt, börjar företaget med att tillhandahålla data avseende ett geografiskt område i taget, tills att de når önskat resultat, istället för att mata in all data på samma gång.
Det är också viktigt att tänka på att vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. I detta fall hade företaget krypterat personuppgifterna, vilket är en lämplig teknisk säkerhetsåtgärd vid denna situation.
Omständigheter som kan tala emot att en behandling är förenlig med det ursprungliga ändamålet:
Om företaget överlåter personuppgifterna till en annan verksamhet för utvecklingen. Det innebär bland annat en större risk för att personuppgifterna kan komma i orätta händer, men behöver inte nödvändigtvis innebära att det är oförenligt med det ursprungliga ändamålet. En annan nackdel är att det kan vara svårare att vara transparent gentemot de registrerade, eftersom det kan vara svårare för dem att förstå behandlingen och iaktta sina rättigheter i enlighet med GDPR.
Det är viktigt att analysera konsekvenserna som den nya behandlingen kan få för de registrerade. Dessutom bör man analysera vikten av att skydda personuppgifterna. Exempelvis om det är kreditkortsuppgifter kan det få stora konsekvenser om de kommer i orätta händer.
Observera att varje enskilt fall kräver en egen bedömning och små omständigheter kan påverka huruvida den nya behandlingen är förenlig med det ursprungliga ändamålet eller inte.
Principen om uppgiftsminimering
Företag får enbart behandla personuppgifter som är adekvata och relevanta i förhållande till ändamålet. Med andra ord, inte behandla fler personuppgifter än nödvändigt för att uppnå det.
Krav på proportionalitet
Behandlingen måste vara proportionerlig i förhållande till ändamålet som ska uppnås. Det innebär att integritetsintrånget inte får vara för omfattande i förhållande till nyttan med behandlingen.
Principen om uppgiftsminimering vid utveckling av AI-modell
Principen om uppgiftsminimering måste noggrant beaktas när en AI-modell tränas och utvecklas, eftersom det finns en risk att den behandlar fler personuppgifter än nödvändigt. Det kan också vara så att man inte alltid vet vad exakt som ska uppnås och därför behandlar onödiga personuppgifter i processen, vilket inte är förenligt med principen. Därför är det viktigt att först noggrant analysera vad syftet med behandlingen är, för att kunna veta vilka personuppgifter som behövs. Det kan vara svårt att uppfylla kraven enligt denna princip när ett företag utvecklar en AI-modell, men det är möjligt.
Statistiskt korrekt
Det är viktigt att inte diskriminera vissa grupper när man skapar en statistisk korrekt AI-modell. Därför behöver man träna AI-modellen med relevanta uppgifter som inte är diskriminerande. Det innebär att relevanta uppgifter är viktiga både för att inte behandla fler personuppgifter än de som behövs för att uppnå ändamålet med behandlingen samt för att det ska bli så statistiskt korrekt som möjligt.
Övervakad inlärning
Vid träning av en AI-modell genom övervakad inlärning, bör man avsiktligt försäkra egenskaperna i datan som används
Bra utgångspunkt för att uppnå reglerna kring principen om uppgiftsminimering
I och med att AI-modeller brukar använda mycket stora mängder data, kan det vara svårt att uppnå principen om uppgiftsminimering. Däremot är det möjligt. För att göra det, är det bra att börja med att tillhandahålla AI-modellen en liten mängd data och därefter vid behov öka datan successivt. I och med att det är svårt att alltid veta exakt hur en AI-modell kommer att utvecklas i framtiden, är det bra att börja i en mindre omfattning.
Glöm inte gallra personuppgifter som inte längre är nödvändiga
Företag måste radera eller anonymisera personuppgifter när de inte längre är nödvändiga för syftet de blev insamlade för. Om personuppgifterna inte längre är nödvändiga att behandla efter att AI-modellen har utvecklats, ska de raderas. Alternativt anonymiseras. Det kan också vara bra att analysera om det går att utveckla AI-modellen med anonyma uppgifter istället för personuppgifter.
Diskriminerande algoritmer: Diskriminering är förbjudet
Det är inte tillåtet för en AI-modell att använda diskriminerande algoritmer, eftersom det strider mot principen om korrekthet. Det är förbjudet, oavsett om sådan användning sker medvetet eller inte. Därför är det bra att ständigt testa AI-modellen så att den varken diskriminerar mot grupper eller enskilda individer.
Mer om AI
Rättsliga grunder som kan vara användbara vid utveckling och användning av AI-modeller
Det finns flera rättsliga grunder som kan vara lämpliga att stödja behandlingen av personuppgifter på, vid utveckling och användning av AI-modeller. Berättigat intresse brukar vara vanligt att använda, eftersom det är en flexibel rättslig grund. Däremot är det viktigt att tänka på att göra en skriftlig intresseavvägning först, samt känna till att den registrerade har rätt att invända mot behandlingen. Samtycke brukar vara svårt att använda vid utveckling av AI-modell, men kan vara mer lämplig att använda som stöd för behandling av personuppgifter vid användning av en AI-modell.