GDPR og kunstig intelligens
Juni 2022
En artikel om brug af kunstig intelligens, herunder forholdet mellem brug af kunstig intelligens og GDPR
Brugen af kunstig intelligens er givet kommet for at blive. Det er nok ikke for meget at sige, at med alle de digitaliseringsinitiativer vi hører om, så er kunstig intelligens det nye sorte.
Jeg bruger i denne artikel begrebet kunstig intelligens i ordets bredeste forstand, herunder som det er defineret i det nedenfor nævnte udkast til ny EU-forordning.
Lovgivning om kunstig intelligens - ARTIFICIAL INTELLIGENCE ACT (”AI Act”)
EU-kommissionen arbejder nemlig på en forordning benævnt “REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS. Forordningen træder formentlig i kraft i 2024 eller 2025. Forordningen foreligger i dag i udkast https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:52021PC0206&from=EN, men er ikke færdigforhandlet.
Udkastet til AI Act tager udgangspunkt i klassisk produktregulering i EU, så det er en fordel, hvis man har kendskab til andre typer af produktregulering, når man læser udkastet, da det i høj grad er den samme terminologi og systematik, der anvendes.
Skal man i dag i gang med et projekt med kunstig intelligens eller arbejder man allerede med kunstig intelligens, gør man klogt i at følge med i tilblivelsen af AI Act, herunder kravene til udbyder, da man som dataansvarlig meget vel kan blive udbyder, hvis man får kunstig intelligens udviklet til eget brug.
Endvidere bør man følge med i, om udkastets bestemmelser omkring forbudt brug af kunstig intelligens opretholdes, ændres eller udvides, når udkastet til AI Act bliver forhandlet færdig.
Anvendelsen af kunstig intelligens til behandling af personoplysninger
Kunstig intelligens anvendes allerede i dag og givet i et betydeligt omfang både af private virksomheder, som f.eks. forsikringsselskaber, banker og mange online tjenester, og det offentlige.
Nogle gange anvender en dataansvarlig kunstig intelligens, uden at man egentlig gør sig klart, at det er det man anvender. Det skyldes, at den kunstige intelligens er indeholdt i et tredjepartssoftware, som den dataansvarlige anvender. Det kan så betyde, at den dataansvarlige ikkefår foretaget de tilstrækkelige analyser af den anvendte logik eller mulige fejlresultater i behandlingen, da man ikke er/har været opmærksom på, at softwaret anvender kunstig intelligens til at nå sine resultater.
Indenfor GDPR hører kunstig intelligens til de midler, som den dataansvarlige anvender til behandling af personoplysninger.
Ved anvendelse af kunstig intelligens indgår der i de midler, man vælger til sin behandling af personoplysninger, ikke alene selve algoritmen, men typisk en meget kompleks konfiguration, herunder træningsdata og et ganske avanceret teknisk setup.
Så når man vælger kunstig intelligens som et middel til behandling, er det hele ”midlet” man skal forholde sig til og overveje brugen af.
Da kunstig intelligens er et middel til behandling af personoplysninger, er anvendelsen af kunstig intelligens til behandling af personoplysninger i personretlig forstand alene den dataansvarliges ansvar.
Det er ikke et ansvar man kan overføre til en leverandør, uanset om denne leverandør også er ens databehandler. Dermed ikke være sagt, at man ikke kan få ens leverandør til at stå på mål for en lang række forhold, men dette skal i så fald reguleres i leveranceaftalen og ikke i databehandleraftalen.
Kravene i GDPR til brug af kunstig intelligens
Som nævnt er det alene den dataansvarlige, der kan og skal påse, at anvendelsen af kunstig intelligens opfylder kravene i GDPR, herunder kravene til formål, behandlingsgrundlag, dataminimering etc.
De krav, som den datansvarlige særligt skal være opmærksom på og opfylde, er i første omfang kravene i artikel 24 og særligt i artikel 25.
Dernæst skal den dataansvarlige overveje/undersøge om brugen af kunstig intelligens også kræver en konsekvensanalyse. Kravene til, hvornår en konsekvensanalyse skal foretages, finder man i artikel 35 i GDPR.
Da der typisk vil være tale om brug af ny teknologi, når vi taler om brugen af kunstig intelligens, vil kravet om gennemførelse af en konsekvensanalyse meget ofte blive aktualiseret, hvorfor den dataansvarlige skal gennemføre en konsekvensanalyse og håndtere analysens resultatet, før den kunstige intelligens tages i brug.
Som minimum bør den dataansvarlige have taget udtrykkelig stilling til, om en konsekvensanalyse skal gennemføres, herunder sikre sig, at den påtænkte brug ikke står på den liste Datatilsynet fører over behandlinger, hvor der altid skal foretages en konsekvensanalyse.
Uanset om der skal foretages en konsekvensanalyse, skal den dataansvarlige i medfør af artikel 25 i GDPR, allerede før den kunstige intelligens tages i brug, lave en grundig analyse som opfylder kravene i artikel 25.
Når den dataansvarlige overvejer brugen af kunstig intelligens, så skal den datansvarlige altid gøre sig klart, om brugen af den kunstige intelligens kan rummes inden for rammerne af grundprincipperne i artikel 5.
Her skal den dataansvarlige særligt huske på, at brugen af kunstig intelligens skal være fair og transparant overfor de registrerede. Der skal derfor være klare fordele for de registrerede forbundet med brugen af den kunstige intelligens, særligt hvis brugen heraf øger mængden af personoplysninger, som den dataansvarlige bliver nødt til at indsamle for at kunne bruge den kunstige intelligens forsvarligt.
Hvis den kunstige intelligens skal bruges til at træffe automatiserede beslutninger, er det meget sandsynligt, at den dataansvarlige også skal overholde bestemmelsen i artikel 22, som formentlig er en forbudsbestemmelse. Det betyder, at den dataansvarlige ikke kan oplyse sig ud af brugen af bestemmelsen, men skal sikre sig et korrekt samtykke eller opfylde en af de andre betingelser i bestemmelsen.
Brugen af kunstig intelligens kræver også, at den dataansvarlige har adgang til de tilstrækkelige oplysninger til at kunne opfylde sin oplysningspligt overfor de registrerede, jf. artikel 13/14.
Her er det godt at have sprogkravene i artikel 12 i mente, da der givet vil komme sanktioner mod sprogbrug, som skjuler/nedtoner brugen af den kunstige intelligens overfor de registrerede.
Afhængig af hvorfra man får sin kunstige intelligens leveret, kan der også indgå overvejelser omkring overførsel af personoplysninger til usikre tredjelande, som også skal håndteres, så man er sikker på, at kravene hertil er opfyldt.
Dokumentation/ansvarlighed
Det er vigtigt at huske på, at hele beslutningsgrundlaget for at anvende kunstig intelligens skal dokumenteres og løbende holdes vedlige. Dokumentationen skal derfor ajourføres, når der sker ændringer i brugen af den kunstige intelligens, f.eks. som følge af opdateringer.
Den dataansvarlige skal særligt være opmærksom på, at indførelsen af ny funktionalitet kan medføre, at der skal laves helt nye analyser, da den nye funktionalitet måske kan sidestilles med anvendelse af nye midler til behandling af personoplysninger.
Forholdet til leverandøren af den kunstige intelligens
En dataansvarlig kan ikke uden videre overlade opdateringen af den kunstige intelligens til leverandøren. Den dataansvarlige skal hele tiden påse, at opdateringer ikke afgørende ændrer på den behandling af personoplysninger, der finder sted ved brug af den kunstige intelligens.
Opdateringer kan meget vel kræve fornyet konsekvensanalyse eller andre tiltag fra den dataansvarlige.
Den dataansvarlige må derfor sætte organisatoriske foranstaltninger op, der gør, at opdateringer af den kunstige intelligens ikke kan ske uden forudgående godkendelse fra den dataansvarlige, som så må sikre sig den nødvendige kompetence til at kunne give en godkendelse.
Hvorvidt en opdatering af den kunstige intelligens også kræver opdatering af instruksen til databehandleren, må bero på en fortolkning af den eksisterende instruks.
Forhold omkring markedsføring og køberetten
Ud over de persondataretlige krav kan der for det private erhvervsliv opstå et afledt krav som følge af brugen af kunstig intelligens. Ved markedsføring og salg af fx en tjeneste eller produkter til forbrugere, hvor brugen af kunstig intelligens er en væsentlig del af tjenesten eller produktet, skal man således også påse overholdelsen af købelovens og markedsføringslovens regler om oplysninger om væsentlige egenskaber ved ens produkt/tjeneste for at undgå, at man kommer i konflikt med reglerne om vildledende reklame eller udbyder en tjeneste med mangler.
Opsummering
Alle organisationer kommer før eller siden til at forholde sig til brugen af kunstig intelligens.
Der er for mig at se ikke nogen grund til at vente på vedtagelsen af AI Act, da GDPR samlet set indeholder de regler og krav, som hvis de anvendes korrekt, kan sikre både den dataansvarlige og de registrerede en god og tryg anvendelse af kunstig intelligens.
Så på den måde er GDPR og kunstig intelligens et godt match, selv om man ser ind i en tidskrævende proces. Det er derfor bare om at komme i gang, hvis man har planer om at bruge kunstig intelligens, da man ellers risikerer at blive overhalet af konkurrenterne.
Forsvarlig brug af kunstig intelligens kan styrkes endnu mere, hvis man kombinerer en solid overholdelse af reglerne i GDPR med en gennemtænkt og professionel anskaffelse, implementering og idriftsættelse af den
kunstige intelligens. Derved opnår man også de resultater af brugen af kunstig intelligens, som man ønsker sig.