AI: Besked om användning av personuppgifter, men flera frågetecken återstår
EU:s dataskyddsmyndighet har klargjort hur personuppgifter för träning och användning av AI-modeller ska behandlas. Men det betyder inte att alla frågor är besvarade, skriver Carolina Brånby, jurist och policyansvarig.
EU:s dataskyddsmyndighet, EDPB, har gett klartecken till att behandling av personuppgifter för träning av AI-modeller kan baseras på berättigat intresse som rättslig grund i yttrandet 28/2024 om vissa dataskyddsaspekter som rör behandling av personuppgifter i samband med AI-modeller. I yttrandet godkänner myndigheten att det kan vara ett berättigat intresse att samla in både första- och tredjepartsdata, inklusive information som skrapats från webben eller köpts från en datamäklare. Detta är ett viktigt besked för de AI-utvecklare för att både kunna skapa generativa AI-modeller och verktyg. Dessutom kommer det vara styrande för kommande riktlinjer både från EDPB och AI-Office.
Under hösten har användningen av personuppgifter för träning av AI-modeller varit ett hett ämne. Den irländska dataskyddsmyndigheten begärde ett yttrande från EDPB för att få rättslig förutsägbarhet om vad som gäller för att samla in data för att träna och distribuera AI-modeller. Frågan är komplex och mycket viktig för möjligheterna att skapa AI-modeller och generativa AI-verktyg. Tillgången till tillförlitliga data till modellerna är centralt. Eftersom data kan skrapats från nätet eller köpas in är det omöjligt för utvecklare att be personer om deras samtycke för att använda personuppgifter. I stället får företaget som utvecklar AI-modeller göra en intresseavvägning för att bevisa om data får användas (se faktaruta). Om intresseavvägningen visar att berättigat intresse finns att använda data ska GDPRs regler om effektiv datastyrning, noggrann registerhållning och transparens efterlevas. Åtgärderna är avgörande för att minimera bias i AI-modeller och säkerställa att generativa AI-system inte oavsiktligt införlivar upphovsrättsligt skyddat material..
Intresseavvägning- finns ett berättigat intresse?
För att få behandla personuppgifter efter en intresseavvägning krävs det att personuppgiftsbehandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.
Steg 1: Identifiera det berättigade intresset och motivera det. Intresset kan vara samhälleligt, kulturellt, eller ekonomiskt.
Steg 2: Nödvändighetstestet fungerar som ett proportionalitetstest. Varför är behandling avgörande? Finns det alternativa sätt att uppnå målet?
Steg 3: Balanstestet innebär att försöka väga den registrerades intresse av rätten till privatliv och respekt för mänskliga rättigheter mot den personuppgiftsansvariges intresse. Utförs behandlingen delvis i den registrerades intresse? Resulterar behandlingen troligen i skada för den registrerade?
Trots positiva besked från EDPB finns en oro över det tolkningsutrymme som yttrandet lämnar till nationella dataskyddsmyndigheter och därmed bristen på harmonisering inom EU. Det går stick i stäv med det inspel som Svenskt Näringsliv tillsammans med sju systerorganisationer gjorde till EDPB inför yttrandet. Där underströks bland annat vikten av enhetlig tillämpning för alla personuppgiftsansvariga och ett teknikneutralt tillvägagångssätt som ger flexibilitet för att uppnå efterlevnad i takt med AI:s snabba utveckling är också avgörande.
AI-användning har en enorm potential, både när det gäller ekonomiska fördelar och när det gäller att stärka Europas globala konkurrenskraft. Som framhålls i ”Framtiden för EU:s konkurrenskraft”, den så kallade Draghi-rapporten, är dock samspelet mellan GDPR och AI-förordningen en källa till osäkerhet som skulle kunna hindra tillväxten av AI i Europa och undergräva EU:s ambitioner att vara ledande inom AI-innovation.
Artificiell intelligensDU KANSKE OCKSÅ VILL LÄSA
