Artificiell intelligens
Rollerna vid utveckling och användning av AI-system
Det är viktigt att analysera och klargöra rollerna vid utveckling och användning av AI-system.
Rollerna vid utveckling och användning av AI-system: Personuppgiftsansvar
Det finns olika roller i GDPR som ett företag kan ha vid behandling av personuppgifter.
Det faktiska förhållandet avgör rollen och det ansvar ett företag har, inte vad som står i avtalet. Därför är det viktigt att reglera förhållandet mellan parterna korrekt i ett avtal.
Personuppgiftsansvarig
Företaget som bestämmer medel och ändamål med behandlingen är personuppgiftsansvarig. Detta innebär ett stort ansvar för att behandlingen sker i enlighet med reglerna i GDPR. Det är inte en enskild person på företaget som innehar rollen, utan det är företaget i sig som gör det. Däremot kan det vara en enskild person i vissa fall, exempelvis om det är en enskild näringsidkare. Privatpersoner och offentliga organ kan också vara personuppgiftsansvariga.
Personuppgiftsbiträde
Ett personuppgiftsbiträde behandlar personuppgifter åt en personuppgiftsansvariges räkning, enligt dennes instruktioner. Det är nämligen alltid den personuppgiftsansvarige som bestämmer ändamålet med behandlingen som ett personuppgiftsbiträde utför. Till exempel när ett företag anlitar en redovisningsbyrå för att byrån ska sköta lönehanteringen och bokföringen för kundföretagets räkning.
Gemensamt personuppgiftsansvariga
Det är möjligt för flera aktörer att vara gemensamt personuppgiftsansvariga. Vid sådana fall bestämmer de tillsammans ändamålet och medlen för behandlingen. Det är viktigt att vid sådana fall komma överens om ansvarsförhållandet mellan parterna, såsom vem som ska tillgodose de registrerades rättigheter och andra skyldigheter enligt GDPR, för att inte råka missa det.
Måste personuppgiftsbiträdesavtal vara skriftliga?
Ja, personuppgiftsbiträdesavtal måste vara skriftliga för att vara giltiga, eftersom det är ett formkrav i artikel 28 i GDPR. I de flesta fall är muntliga avtal lika giltiga som skriftliga avtal, men det finns undantag. I vissa fall måste avtal vara skriftliga för att vara giltiga, om det uttryckligen framgår av lagtexten.
Exempel på när företag kan vara personuppgiftsansvariga, personuppgiftsbiträde och gemensamt personuppgiftsansvariga
Företag använder ett färdigutvecklat AI-system
Ett företag använder ett färdigutvecklat AI-system för att till exempel analysera kundfeedback för att förbättra sina tjänster/produkter. AI-systemet är inte utvecklat för något specifikt ändamål, utan det får företaget som använder systemet själva göra. Systemet gör det möjligt för företag att göra mindre justeringar för att anpassa det efter företagets ändamål.
I och med att det är företaget som själv bestämmer ändamålet med behandlingen av personuppgifterna vid användning av AI-systemet, är det företaget som är personuppgiftsansvarig. Observera att företaget ska välja ett AI-system som de kan säkerställa följer reglerna i GDPR.
Företag anlitar utvecklare för att skapa en AI-modell
Ett företag vill sköta lönehanteringen med hjälp av ett AI-system för att effektivisera arbetet. Företaget vill därför utveckla ett eget AI-system genom att anlita en extern part. Företaget ger därför instruktioner om hur AI-systemet ska utvecklas, ändamålen med behandlingen av personuppgifterna, hur länge behandlingen av personuppgifterna ska ske, vilka personuppgifter som ska behandlas m.m. Därför är det företaget som anlitar utvecklarna, det vill säga uppdragsgivaren, som är den personuppgiftsansvariga aktören för behandlingen.
Den tredje parten som åtar sig uppdraget, det vill säga uppdragstagaren, utför behandlingen av personuppgifterna i rollen personuppgiftsbiträde, eftersom behandlingen sker för uppdragsgivarens räkning. Uppdragsgivaren och uppdragstagaren måste därför ingå ett skriftligt personuppgiftsbiträdesavtal med varandra, innan behandlingen påbörjas.
Två företag utvecklar ett AI-system tillsammans genom att anlita en extern part
Två företag vill utveckla ett AI-system tillsammans för att minska kostnaderna som det skulle innebära att göra det själva. De bestämmer ändamålet tillsammans, gör en gemensam analys av behandlingarna som krävs för AI-modellen, hur länge behandlingen ska pågå och omfattningen av behandlingen. Däremot är det bara det ena företaget som kommer att träna AI-modellen och få tillgång till den för användning, medan det andra företaget enbart får tillgång till den för användning. Detta innebär att de är gemensamt personuppgiftsansvariga
Observera att det inte krävs att båda parterna utför behandlingen av personuppgifter i praktiken för att båda ska vara gemensamt personuppgiftsansvariga. Det räcker med att de påverkar behandlingen tillräckligt eller har ett inflytande som är tillräckligt väsentligt för att det ska anses utgöra ett gemensamt personuppgiftsansvar enligt GDPR.
Mer info
Automatiserat beslutsfattande
Om en AI-modell används för att fatta ett beslut om en person, utan att någon individ är involverad i beslutsfattandet, är det fråga om ett automatiserat beslutsfattande. Vid sådana fall gäller särskilda regler i GDPR. Enligt huvudregeln är det förbjudet att göra en sådan behandling, men det finns undantag. Observera att det inte är en fråga om automatiserat beslutsfattande om AI-modellen används som ett hjälpverktyg, men att det är en fysisk person som i slutändan fattar beslutet.