GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Artificiell intelligens

Rättsliga grunder vid utveckling och användning av AI-modeller

Det finns flera rättsliga grunder vid utveckling och användning av AI-modeller som kan vara lämpliga att stödja behandling av personuppgifter på.

Krav på att ha en rättslig grund

Det är klart och tydligt reglerat i GDPR att ett företag måste ha en rättslig grund, även kallat för laglig grund, för att få utföra en behandling av personuppgifter. Det finns totalt sex (6) rättsliga grunder enligt artikel 6 i GDPR. 

Rättsliga grunder som företag kan använda om verksamheten är privat vid utveckling och användning av AI-modeller som innefattar personuppgiftsbehandling

What breaches of the GDPR can lead to an administrative fine?

Samtycke

Samtycke kan vara en möjlig rättslig grund att använda för personuppgiftsbehandling som sker i samband med utveckling och användning av AI-modellen. Detta gäller under förutsättning att det uppfyller kraven för giltigt samtycke enligt reglerna i GDPR. Däremot är det ofta en olämplig rättslig grund att använda, speciellt vid utveckling av AI-modeller, då det kan vara väldigt betungande administrativt att hantera så många samtycken. Till exempel kan det vara svårt att hantera alla återkallade samtycken, och att informera alla registrerade i enlighet med GDPR. 

Krav för giltigt samtycke
Frivilligt

Samtycket måste vara frivilligt lämnat. Det får inte ske någon yttre påverkan för att ge samtycket. Vid sådana fall är det inte frivilligt lämnat. Med andra ord ska det vara ett genuint och aktivt val från den registrerade. Dessutom är det förbjudet att ge negativa konsekvenser för den registrerade om denne inte ger sitt samtycke. Det är också ogiltigt om samtycket är ett krav enligt avtalsvillkoren.

What is the definition of anonymised data?
Ojämlikt maktförhållande

Om maktförhållandet mellan parterna är ojämlikt, är det inte ett giltigt samtycke. Exempelvis när en arbetsgivare behandlar personuppgifter om en arbetstagare, eller i maktförhållandet mellan en myndighet och medborgare.

Subjektivt integritetskänsliga personuppgifter
Informerat

Den registrerade måste bli informerad om samtycket och vad det innebär att ge samtycke. Informationen ska lämnas formulerad på ett begripligt språk som den registrerade förstår och enkelt att komma åt.

Measures that companies need to take to comply with GDPR
Möjlighet till återkallelse

Utgångspunkten är att det ska vara lika enkelt att återkalla ett samtycke som att ge det. Om detta inte är uppfyllt, är det ett ogiltigt samtycke från första början.

Avtal med registrerad

Det är tillåtet att stödja en behandling på den rättsliga grunden avtal med registrerade, om behandlingen av personuppgifterna är nödvändig för att ingå eller fullgöra avtalet. Observera att detta inte är en vanlig rättslig grund att använda vid utveckling av en AI-modell. Detta beror på att företaget då skulle behöva att ingå ett avtal med de registrerade som gör det nödvändigt att behandla personuppgifter för att  utveckla AI-modellen. 

Däremot kan det vara mer lämpligt att använda denna rättsliga grund för användningen av ett färdigtränat AI-verktyg. Då kan behandling av personuppgifter som sker i samband med användningen av AI-modellen vara baserad på avtal med den registrerade som rättslig grund, i de fall behandlingen är nödvändig för avtalets fullgörande.

Berättigat intresse

Berättigat intresse utgör den mest flexibla rättsliga grunden i GDPR och är vanlig att använda. 

För att veta huruvida ett företag har ett berättigat intresse av en behandling av personuppgifter, måste företaget först göra en intresseavvägning. Om företaget kommer fram till att deras intresse väger tyngre än de registrerades genom intresseavvägningen, får företaget utföra behandlingen. Observera dock att den registrerade har rätt att invända mot behandlingen enligt artikel 21 i GDPR.

Tre steg i bedömningen av huruvida företaget har ett berättigat intresse

Det är möjligt att använda berättigat intresse som den rättsliga grunden vid utveckling och användning av AI-modeller om följande tre krav är uppfyllda: 

1. Har företaget eller en tredje part ett berättigat intresse för behandlingen av personuppgifter?

Företag kan ha olika typer av intressen och motiv till behandling av personuppgifter. Ett berättigat intresse handlar om att motivet ska vara godtagbart. Med andra ord, att företagets intresse väger tyngre än den registrerades intressen eller grundläggande fri- och rättigheter. Exempelvis vid direktmarknadsföring, förhindrande av brott såsom bedrägeri och penningtvätt, IT-säkerhet och liknande. 

Ett berättigat intresse ska vara: 

  • I enlighet med gällande lagstiftning. 
  • Specifikt och tydligt. 
  • Ett faktiskt intresse, inte bara ett hypotetiskt eller spekulativt.
2. Är det en nödvändig behandling för att uppnå det berättigade intresset?

Utgångspunkten är att om det finns mindre ingripande metoder för att uppnå samma syfte, är det oftast inte en nödvändig behandling. Observera också att nödvändigheten med behandlingen också ska prövas utifrån principen om uppgiftsminimering. Behandlingen kan enbart vara nödvändig om den begränsas till att ske enbart för att uppnå ändamålet. 

3. Väger det berättigade intresset hos företaget tyngre än den registrerades intresse av att personuppgifterna skyddas och inte behandlas?

Om ett företag anser sig ha ett berättigat intresse ska företaget därefter göra en avvägning mellan intressena. Det ska bland annat vara fråga om en behandling som de registrerade rimligen kan förvänta sig. Här är några fler omständigheter att ha i beaktande vid avvägningen: 

Vilken typ av intresse har företaget? Exempelvis ett allmänt intresse, grundläggande rättighet eller liknande.

Kan någon lida skada om behandlingen sker? Till exempel om behandlingen innefattar lagring av kreditkortsuppgifter, vilket skulle kunna leda till ekonomiska konsekvenser om någon obehörig får tillgång till dem.

Vad är maktförhållandet mellan parterna? Exempelvis om det är ett ojämlikt maktförhållande, såsom mellan arbetsgivare och arbetstagare.

Är den registrerade ett barn eller en vuxen person? Barn är extra skyddsvärda och därför bör man vara försiktig med att behandla barns personuppgifter.

Är företaget mäktigt? Om det är ett väldigt mäktigt företag som dominerar marknaden kan förhållandet mellan parterna vara väldigt ojämlikt.

Hur omfattande är behandlingen? Ju större omfattning, desto högre risk. Sker det någon profilering kan det också vara mer problematiskt.

Finns det några grundläggande rättigheter hos den registrerade som kan påverkas negativt?

Vilka för- och nackdelar kan behandlingen innebära för de registrerade?

Exempel på när berättigat intresse är en lämplig rättslig grund vid utveckling och användning av AI-modeller: AI-modell för att kunna föreslå resemål för kunder

Ett företag som bedriver en resebokningstjänst vill utveckla en AI-modell, för att kunna föreslå resemål för kunder. Träningsdatan består av resehistoriken från kunderna, men det används inga direkta identifierare, såsom namn och personnummer. Dessutom väljer företaget att träna AI-modellen med en liten mängd data i taget tills att de når önskat resultat, för att säkerhetskälla att de lever upp till kraven i principen om uppgiftsminimering. 

Steg i en bedömning av det berättigade intresset

Här är tre steg för att avgöra om företagets intresse väger tyngre än de registrerade, alltså att det finns ett berättigat intresse för företaget. 

1. Bedöm om det finns ett berättigat intresse

Först och främst behöver företaget fastställa att de har ett berättigat intresse för behandlingen. I detta fall har företaget ett kommersiellt intresse av att utveckla en AI-modell som ska kunna föreslå resor till kunder, utifrån kundernas preferenser. Detta kan vara ett berättigat intresse. Dessutom måste det vara lagenligt, specifikt och utgöra ett faktiskt intresse, vilket det också verkar vara i detta fall. 

Informationen talar för att företaget har ett berättigat intresse.

2. Bedöm om det är en nödvändig behandling

Behandlingen måste vara nödvändig för att uppnå ändamålet, vilket bland annat innebär att det ska vara förenligt med principen om uppgiftsminimering. För att inte behandla fler personuppgifter än nödvändigt för ändamålet, har företaget successivt matat in data till dess att AI-modellen fungerar på avsett sätt. Därför har företaget säkerställt att behandlingen sker i enlighet med principen om uppgiftsminimering. 

Informationen talar för att det utgör en nödvändig behandling.

3. Det sista steget är att göra en intresseavvägning. Observera att den ska vara skriftlig.

Det sista steget är att väga de registrerades och företagets intressen mot varandra. I detta fall utgör det berättigade intresset inget allmänt intresse, och det riskerar inte att skada företaget om intresset inte kan tillgodoses. Dessutom är syftet att ge positiva effekter för de registrerade, eftersom de får information om resor som passar dem utifrån deras egna preferenser och resehistorik. 

Det är inte utom rimlig förväntan att företaget använder information, såsom historik, för att ta fram erbjudanden vilket är till företagets fördel.

De registrerades intressen verkar inte i detta fall väga tyngre än det berättigade intresset som företaget har för behandlingen. Därmed kan det vara tillåtet att stödja behandlingen på med berättigat intresse som rättslig grund.

Exempel på när berättigat intresse är inte en lämplig rättslig grund vid utveckling och användning av AI-modeller:

Utveckla ett AI-baserat hjälpmedel som kan rätta prov

Ett företag vill utveckla ett AI-baserat hjälpmedel som kan rätta prov. De begär därför ut hundratusentals rättade prov från skolor med stöd av offentlighetprincipen (en liknande princip finns i många EU-länder). 

Tre steg för att avgöra huruvida företaget har ett berättigat intresse

1. Bedömning av det berättigade intresset

Det kan föreligga ett berättigat intresse att vilja utveckla ett AI-baserat hjälpmedel som kan rätta prov, för ett kommersiellt syfte, alltså för att tjäna pengar på det. Dessutom måste ändamålet vara lagenligt, specifikt och utgöra ett faktiskt intresse vilket det verkar vara i detta fall. Med andra ord, verkar företaget ha ett berättigat intresse att utveckla ett sådant system. 

2. Bedöma huruvida det är en nödvändig behandling

Om ett företag anser att de har ett berättigat intresse för en viss behandling, ska de därefter bedöma om behandlingen är nödvändig för att kunna uppnå ändamålet. För att kunna avgöra detta, måste företaget säkerställa att behandlingen är förenlig med principen om uppgiftsminimering. Med andra ord får företaget inte behandla fler personuppgifter än nödvändigt. 

I detta fall begär företaget ut ett stort antal prov, och det finns ingen information om att de har analyserat vilka av dem som faktiskt är nödvändiga för att träna AI-modellen. Företaget har inte heller börjat med en liten mängd data, för att sedan kontinuerligt mata in mer tills att AI-modellen är tillräckligt tränad. Med andra ord har företaget inte vidtagit tillräckliga åtgärder för att  behandlingen ska kunna anses uppfylla kraven i principen om uppgiftsminimering.

Slutsats

Företaget verkar ha ett berättigat intresse för behandlingen, men behandlingen kan inte anses nödvändig för att uppnå det berättigade intresset. Därmed är behandlingen inte tillåten. I och med att slutsatsen här redan visar att behandlingen inte är tillåten, behöver en intresseavvägning (steg 3) inte genomföras.

Rättsliga grunder som är svåra att stödja behandlingen på

Rättslig förpliktelse

Det finns inte stora möjligheter att använda rättslig förpliktelse som rättslig grund vid utveckling och användning av AI-modeller. Rättslig förpliktelse innebär att det står reglerat i en lag, förordning eller kollektivavtal att företaget måste behandla personuppgifterna.

Skydda grundläggande intressen

Skydda grundläggande intressen får enbart användas som rättslig grund om det är absolut nödvändigt att utföra behandlingen för att rädda liv. Det är en ovanlig rättslig grund att använda, eftersom enbart ett fåtal olika typer av verksamheter räddar liv. Sjukhus är exempel på verksamheter som använder denna rättsliga grund när en person inkommer till sjukhuset medvetslös. Observera att det inte är möjligt att använda denna rättsliga grund om personen har möjlighet att till exempel ge sitt samtycke, såsom när en person har bokat en tid med en läkare och är medveten. Det är svårt att hävda att utvecklingen eller/och användningen av en AI-modell skulle utgöra ett räddande av någons liv och därför är det högst osannolikt att denna rättsliga grund skulle vara tillämpbar för det.

Om företaget utgör en offentlig verksamhet

I vissa fall är det möjligt för privata företag att vara verksamma inom offentlig verksamhet. Exempelvis en privat skola eller ett privatsjukhus. De främsta rättsliga grunderna som offentliga verksamheter kan använda vid utveckling och användning av AI-modeller är: 

  • Avtal med registrerade. 
  • Rättslig förpliktelse. 
  • Uppgift av allmänt intresse eller myndighetsutövning.

Mer om AI

Informationsskyldighet vid utveckling och användning av AI-modeller

Enligt GDPR måste företag informera de registrerade om behandlingen av deras personuppgifter. Det brukar ske i ett integritetsmeddelande som ofta finns på företagets officiella webbplats. Där ska det bland annat framgå vilka personuppgifter som blir behandlade, hur länge behandlingen sker, vilka rättigheter de registrerade har osv. Integritetsmeddelandet ska vara formulerat på det språk som de registrerade förstår, ofta det nationella språket, och får inte vara för komplicerat formulerat.

Vill du lära dig mer?

Klicka här
Rulla till toppen