GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Artificiell intelligens (AI)

Behandling av personuppgifter vid utveckling och användning av artificiell intelligens

Det finns flera saker att tänka på för företag vid behandling av personuppgifter vid utveckling och användning av artificiell intelligens. 

Vad är artificiell intelligens (AI)?

Artificiell intelligens (AI) är förmågan i en maskin att kunna visa mänskliga drag. Exempelvis föra resonemang, planera, vara kreativ och annat som tidigare har krävt mänsklig intelligens. AI är inte nödvändigtvis någonting nytt, utan har funnits länge inom branscher såsom medicin. Däremot har det blivit mer tillgängligt och idag har många människor tillgång till AI-modeller som många använder i sin vardag. Det finns många fördelar med AI, men det finns också nackdelar och utmaningar. 

Personuppgifter som rör fällande domar i brottmål

Definitionen av personuppgifter

När det går att koppla en uppgift till en fysisk levande person, utgör det en personuppgift. Det spelar ingen roll om det går att koppla direkt, såsom genom ett namn eller personnummer, utan även när det går att koppla indirekt, såsom genom en bakvägsidentifikation. Dessutom är det skillnad på personuppgifter av subjektiv respektive objektiv karaktär. Generellt brukar personuppgifter med subjektiv karaktär anses viktigare, vilket innebär att de omfattas av striktare regler. 

Exempel på personuppgifter

  • Namn.
  • Personnummer. 
  • Telefonnummer. 
  • Bilder och ljudinspelningar där det går att identifiera en person.
  • Spårbara cookies.

Ju viktigare personuppgifter, desto striktare krav

Ju viktigare personuppgifterna är, desto striktare är kraven i GDPR. Exempelvis kan det påverka vilka tekniska och organisatoriska säkerhetsåtgärder som företaget behöver vidta för att skydda uppgifterna. Det finns fyra grupper av integritetskänsliga uppgifter som anses vara särskilt viktiga. En av grupperna är känsliga personuppgifter, såsom uppgift om religion, politiska åsikter och medlemskap i fackföreningar, vilket är särskilt reglerat i artikel 9 i GDPR. En annan av grupperna är subjektivt integritetskänsliga personuppgifter, såsom kreditkortsuppgifter. 

Olika saker att tänka på vid behandling av personuppgifter vid utveckling och användning av artificiell intelligens

Det finns flera saker som kan vara viktiga att tänka på vid utveckling och användning av artificiell intelligens i relation till GDPR. 

AI-Förordningen

AI-förordningen i EU är en allmän reglering av artificiell intelligens (AI) inom unionen. Syftet är att försöka skapa en trygg och etisk hållbar miljö för innovation inom EU, och samtidigt skydda medborgarnas fri- och rättigheter. 

Delar av AI-förordningen har redan börjat träda i kraft, men år 2026 kommer i princip hela förordningen att gälla.

Riskbaserat tillvägagångssätt

AI-förordningen delar in risker i fyra kategorier; oacceptabel risk, hög risk, begränsad risk och minimal risk. Om ett AI-system uppfyller kraven för oacceptabel risk, är AI-systemet inte tillåtet. 

Oacceptabel risk

De AI-modeller som uppfyller kraven för oacceptabel risk enligt AI-förordningen är förbjudna. Däremot kan det finnas undantag, i exempelvis brottsbekämpande syfte. Exempel på en AI-modell med oacceptabel risk är vid social poängsättning.

Hög risk

Dessa AI-modeller kan ha negativ påverkan på människors och samhällets säkerhet. Alternativt människors grundläggande rättigheter. Sådana modeller kommer att bedömas innan de kommer ut på marknaden och även under dess livscykel.

Begränsad risk

Så kallad “generativ AI” klassas som AI-modeller med begränsad risk vid de flesta fallen. Exempelvis Chat GPT. Dessa system måste bland annat uppfylla kraven gällande copyright inom EU och transparens. Observera att kraftfull generativ AI måste gå igenom mer omfattande undersökningar, om de kan innebära systemrisker.

Minimal risk

Det finns inga obligatoriska krav i AI-förordningen för AI-modeller med minimal risk, såsom det finns för de övriga riskerna. Observera däremot att det kan finnas andra lagar som ställer obligatoriska krav.

Personuppgiftsansvar

Den verksamhet som bestämmer medel och ändamål för en personuppgiftsbehandling, är personuppgiftsansvarig. Det är företaget som bestämmer hur och varför behandlingen ska ske, men behöver inte nödvändigtvis vara företaget som utför behandlingen i praktiken. Det är möjligt att överlåta utförandet av själva behandlingen, men inte ansvaret för den. Om ett företag behandlar personuppgifter åt ett annat företags räkning, är det ett personuppgiftsbiträde. 

Exempel på roller vid utveckling och användning av AI-modeller

Measures that companies need to take to comply with GDPR

Personuppgiftsansvarig

Ett företag beställer ett färdigutvecklat AI-system där de själva får bestämma ändamålet med behandlingen, eftersom den inte är byggt för ett specifikt ändamål. Vid sådana fall är företaget personuppgiftsansvarig.

What is the definition of anonymised data?

Personuppgiftsbiträde

Ett företag arbetar med att utveckla system till andra företag och får i uppdrag att utveckla en AI-modell. Det är företaget som beställer systemet som bestämmer ändamålet med behandlingen och därmed är personuppgiftsansvarig. Företaget som utvecklar AI-systemet är personuppgiftsbiträde, eftersom de behandlar personuppgifter åt någon annan enligt instruktion.

Gemensamt personuppgiftsansvariga

Två företag vill utveckla ett AI-system för att effektivisera sitt arbete, men i och med att det kan vara dyrt att göra det, väljer två företag att göra det tillsammans för att minska kostnaderna. Med andra ord samarbetar de för att utveckla systemet för ett gemensamt ändamål, och därmed är de gemensamt personuppgiftsansvariga.

Grundläggande dataskyddsprinciper

Företag måste alltid följa de sju (7) grundläggande dataskyddsprinciperna i GDPR vid behandling av personuppgifter. Om utvecklingen eller användningen av en AI-modell innebär en behandling av personuppgifter, gäller alltså GDPR och de grundläggande principerna.  

Två principer som är svåra att följa vid behandling av personuppgifter vid utveckling och användning av artificiell intelligens

Principen om ändamålsbegränsning

Företag får bara behandla personuppgifter om ändamålet är särskilt, uttryckt och berättigat. Om ett företag behandlar personuppgifter för ett specifikt syfte, men senare vill använda samma personuppgifter för att utveckla en AI-modell, kan det vara svårt att uppfylla kraven i principen om ändamålsbegränsning. Däremot kan det vara tillåtet, om den nya behandlingen är förenlig med det ursprungliga ändamålet.

Principen om uppgiftsminimering

Företag får inte behandla fler personuppgifter än nödvändigt för ändamålet med behandlingen. Vid maskininlärning brukar modellen få bättre resultat, ju mer data den har tränats med. Det kan vara en utmaning i förhållande till principen om uppgiftsminimering, eftersom det finns en risk att man behandlar för mycket personuppgifter för att försöka uppnå ett så bra resultat som möjligt.

Diskriminerande algoritmer

Om en AI-modell är partisk, kan den vara diskriminerande mot vissa individer eller grupper av personer. I vissa fall kan detta vara svårt att upptäcka, och därför är det viktigt att ständigt testa AI-modellen för att den inte ska vara diskriminerande

Diskriminerande algoritmer strider mot principen om korrekthet

Principen om korrekthet innebär att en behandling av personuppgifter är skälig, rättvis och rimlig. Dessutom ska den vara proportionerlig. Om behandlingen är diskriminerande, är det inte en rättvis behandling och därmed strider det mot principen om korrekthet. Därför är det viktigt att vidta tillräckliga tekniska och organisatoriska åtgärder för att algoritmerna inte ska vara diskriminerande. 

Rättsliga grunder vid behandling av personuppgifter vid utveckling och användning av artificiell intelligens

Varje enskild behandling av personuppgifter kräver en rättslig grund för att vara tillåten. I GDPR finns det sex (6) stycken rättsliga grunder, men det är enbart 3 av de som brukar vara lämpliga vid utveckling och användning av AI-modeller. Vilken rättslig grund som är lämplig beror på situationen och omständigheterna. 

Här är tre rättsliga grunder som kan vara lämpliga att använda vid utveckling och användning av AI-modeller

Sensitive personal data according to GDPR

Samtycke

Vid utvecklingen av en AI-modell kan det vara svårt att använda samtycke som den rättsliga grunden, eftersom det kan vara administrativt betungande. Däremot är förutsättningarna bättre vid användningen av en AI-modell.

What is the definition of anonymised data?

Avtal med den registrerade

Företag får behandla de personuppgifter som är nödvändiga för att kunna ingå och fullgöra ett avtal. Till exempel behöver säljare som driver en e-handel behandla kundernas namn och adresser för att kunna leverera produkterna till dem. Det är ovanligt att använda avtal med registrerade som rättslig grund vid utveckling av AI-modeller, men det är desto mer vanligt att använda om det gäller användningen av en redan färdigtränad AI-modell.

Subjektivt integritetskänsliga personuppgifter

Berättigat intresse

Berättigat intresse är den mest flexibla rättsliga grunden och brukar ofta användas av företag. För att avgöra huruvida ett företag har ett berättigat intresse för en behandling, det vill säga att företagets intresse väger tyngre än den registrerades, måste företaget göra en intresseavvägning. I vissa fall kan denna rättsliga grund vara tillåten vid användning och utveckling av AI-modeller vid vissa typer av situationer, men inte alltid.

Rätt till information

En av rättigheterna som registrerade har enligt GDPR är rätten till information. Det innebär att de ska bli informerade om behandlingen. Exempelvis syftet med behandlingen, den rättsliga grunden, om någon annan får ta del av personuppgifterna, lagringstiden och vilka rättigheter de registrerade har m.m. Denna information ska framgå i ett integritetsmeddelande, som företaget med fördel bör publicera på sin officiella webbplats.

Automatiserat beslutsfattande

Om en AI-modell fattar ett beslut om någon utan att någon fysisk person är involverad i beslutsfattandet, är det en fråga om automatiskt beslutsfattande. I GDPR finns det särskilda regler vid behandlingar som avser automatiserat beslutsfattande. Enligt huvudregeln är det förbjudet med sådana behandlingar, men det finns undantag. Till exempel är det tillåtet om den registrerade ger sitt uttryckliga samtycke eller om det är nödvändigt för att fullgöra ett avtal. 

Svårt att uppnå informationsskyldigheten enligt GDPR vid automatiskt beslutsfattande

Om ett företag vill använda en AI-modell för att effektivisera sitt beslutsfattande, är det bra om det går att genomföra med kombinationen av en mänsklig insats också, för att reglerna gällande automatiskt beslutsfattande inte ska gälla. Med andra ord, att det är en fysisk person som i slutändan fattar beslutet, men kan ha tagit hjälp av ett AI-verktyg. 

Djupinlärning och maskininlärning

För att skapa en AI-modell, behöver man träna systemet med data genom en algoritm så att den resulterar i en matematisk modell. Matematisk modell är ett annat ord för AI-modell. 

Maskininlärning

Ett system som kan efterlikna den mänskliga intelligensen genom att lära sig av erfarenheter. Med andra ord, en process för datorer att utveckla förmågan att kunna sära sig och anpassa sig efter en uppgift, även fast den inte har programmerats specifikt för det.

Djupinlärning

Djupinlärning handlar om att bygga en AI-modell så att den efterliknar den mänskliga hjärnans neuronnät. Det är en form av maskininlärning.

Träning av AI-modeller

Det är viktigt att ge en AI-modell träningsdata för att den ska kunna uppnå bästa möjliga resultat. Huvudregeln är att ju mer data, desto bättre resultat brukar det producera. Däremot är det inte alltid fallet. Det är viktigt att datan är relevant.

GDPR kräver att företag inte behandlar fler personuppgifter än nödvändigt för ändamålet och därför är det viktigt att analysera vilken träningsdata som AI-modellen bör få, för att inte behandla fler personuppgifter än nödvändigt om datan innehåller personuppgifter. 

Olika träningsmetoder för AI-modeller

Det finns olika träningsmetoder för AI-modeller. 

Measures that companies need to take to comply with GDPR

Övervakad inlärning

AI-modellen får märkt data så att den själv kan känna igen samma sak. Exempelvis tusentals bilder på båtar, för att kunna användas för att känna igen båtar.

Subjektivt integritetskänsliga personuppgifter

Oövervakad inlärning

Algoritmer lär sig hitta mönster utan förbestämda svar. Med andra ord används omärkt data för träningen av AI-modellen.

What is the definition of anonymised data?

Förstärkningsinlärning

Genom att värdera handlingar positivt och negativt utifrån slutresultatet eller målet, kan förstärkningsinlärning leda till att en AI-modell upptäcker vilka handlingar som leder till det slutresultatet.

Sensitive personal data according to GDPR

Semiövervakad inlärning

Genom semiövervakad inlärning, använder man en kombination av både övervakad och övervakad inlärning.

Mer om GDPR

Skapa en god dataskyddsstruktur för att optimera resultaten med GDPR

Ju större företag, desto bättre dataskyddsstruktur brukar krävas.

Vill du lära dig mer?

Klicka här
Rulla till toppen