Hoppa till innehåll på sidan

AI och grundläggande principer

Att utveckla en AI-modell kräver ofta stora mängder data. Om personuppgifter ingår i den data som ska användas, ska behandlingen vara förenlig med grundläggande principer i dataskyddsförordningen, GDPR.

De grundläggande principerna regleras i artikel 5 i GDPR och gäller vid all behandling av personuppgifter. Här beskriver vi två principer som kan vara särskilt utmanande att leva upp till vid utveckling av AI – principen om ändamålsbegränsning och principen om uppgiftsminimering. Det är alltid den personuppgiftsansvariga som ansvarar för att principerna följs.

Här kan du läsa om samtliga grundläggande principer i GDPR

Innehåll på sidan

Principen om ändamålsbegränsning

Principen om ändamålsbegränsning innebär att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Principen är viktig för att begränsa spridning av personuppgifter och ge de registrerade kontroll över sina personuppgifter. 

Utveckling av AI och ändamålsbegränsning

En organisation kan vilja använda uppgifter som redan finns i verksamheten, men som har samlats in för ett annat ändamål än ändamålet med utvecklingen av en AI-modell. 

Ett exempel kan vara patientuppgifter som en vårdgivare samlat in genom journalsystemet i hälso- och sjukvården, och som vårdgivaren sedan vill använda för att utveckla en AI-modell som kan bedöma sannolikheten för att en person har eller kommer att få en viss sjukdom.

Principen om ändamålsbegränsning kan göra det svårt att behandla personuppgifter för ett annat ändamål än det ursprungliga ändamålet som uppgifterna samlades in för. 

Vad ska den personuppgiftsansvariga tänka på vid bedömningen?

För att det ska vara tillåtet att efter insamlingen behandla personuppgifterna för ett annat ändamål får det inte vara oförenligt med det ursprungliga ändamålet som uppgifterna samlades in för. Den personuppgiftsansvariga måste göra en samlad bedömning av om ändamålet med den nya behandlingen är förenligt med det ursprungliga ändamålet.

Den personuppgiftsansvariga bör bland annat tänka på:
  • Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
  • I vilket sammanhang har personuppgifterna samlats in?
  • Vilket förhållande har de registrerade till den personuppgiftsansvariga?
  • Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
  • Vilken typ av personuppgifter ska behandlas?
  • Avser behandlingen känsliga personuppgifter?
  • Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
  • Vilka skyddsåtgärder finns på plats?

Om det nya ändamålet är förenligt med det ursprungliga ändamålet behövs ingen annan rättslig grund än den som användes för själva insamlingen av personuppgifterna. Dessa uppgifter kan då användas för att träna AI-modellen.

Om det nya ändamålet däremot är oförenligt med det ursprungliga, betraktas det som en ny personuppgiftsbehandling. I sådant fall krävs en ny rättslig grund för att uppgifterna ska få behandlas för det nya ändamålet.

Läs mer om AI och rättslig grund här

Tillbaka till innehåll på sidan

 

En kommun vill träna en AI-modell för att identifiera felaktiga utbetalningar

Exempel

En större kommun behandlar personuppgifter avseende ett stort antal registrerade för att handlägga ansökningar om bostadsanpassningsbidrag. Kommunen vill även behandla personuppgifterna för att träna en AI-modell som kan identifiera felaktiga utbetalningar på grund av att de sökande lämnat oriktiga uppgifter. Alla uppgifter i de registrerades ansökningar utom namn, personnummer och kontaktuppgifter ska användas för att träna modellen. Kommunen har endast gett ett begränsat antal personer behörighet att arbeta med träningen av modellen.

Det verkar finnas en koppling mellan ändamålen, då båda avser bostadsanpassningsbidrag. Ändamålen avser dock olika typer av ärenden. Det ursprungliga ändamålet handlar om ansökningar om utbetalning av förmånen, medan det nya ändamålet handlar om att identifiera felaktiga utbetalningar och kräva återbetalning.

Uppgifterna har samlats in i ett sammanhang där de registrerade har mycket litet inflytande över behandlingen, eftersom personuppgifterna måste behandlas om den registrerade ska kunna beviljas bidraget. Det råder även ett ojämnt maktförhållande mellan den registrerade och den personuppgiftsansvariga, eftersom den personuppgiftsansvariga är en myndighet. Det är omständigheter som talar mot att det nya ändamålet är förenligt med det ursprungliga ändamålet.

Även de registrerades förväntningar på hur personuppgifterna behandlas har betydelse för bedömningen. Behandling av personuppgifter för att utveckla AI för en annan ärendetyp än vad uppgifterna ursprungligen samlades in för kan ligga utanför vad de registrerade förväntar sig. I detta fallet finns det kopplingar mellan ändamålen, men det kan ifrågasättas om de registrerade förväntar sig att deras personuppgifter ska användas för att träna en AI-modell.

Behandlingen avser känsliga personuppgifter, vilket talar mot att det nya ändamålet är förenligt med det ursprungliga ändamål som uppgifterna samlades in för.

Vilka konsekvenser den nya behandlingen har för de registrerade har betydelse för bedömningen. Såväl konsekvenserna för skyddet av personuppgifter som andra konsekvenser bör beaktas. Att personuppgifterna ska användas för att träna en AI-modell kan antas minska transparensen och göra det svårare för de registrerade att förstå hur personuppgifterna behandlas och iaktta sina rättigheter. Det är en omständighet som talar mot att ändamålen är förenliga med varandra.

Om vidtagna skyddsåtgärder sammantaget anses vara otillräckliga och den personuppgiftsansvariga därför inte kan anses säkerställa en lämplig säkerhetsnivå för den aktuella behandlingen, är det en omständighet som talar mot att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för. Kommunen har tillämpat behörighetsstyrning. Då det är fråga om en omfattande behandling av känsliga personuppgifter kan det ifrågasättas om denna skyddsåtgärd i sig är tillräcklig.

Det är alltså inte bara ändamålens koppling som är avgörande för bedömningen om de kan anses vara förenliga med varandra, utan även de registrerades situation ska beaktas. I detta fallet finns en relativt stark koppling mellan ändamålen, men flera andra omständigheter talar mot att ändamålen kan anses vara förenliga. Under sådana omständigheter ställs det höga krav på kopplingen mellan ändamålen för att de ska anses vara förenliga med varandra.

En elleverantör vill kartlägga elpriser för att optimera elförbrukning

Exempel

En elleverantör behandlar personuppgifter om sina kunders elförbrukning för att kunna fakturera dem. En privat verksamhet kontaktar elleverantören och vill ta del av personuppgifterna för att utveckla en AI-modell som kartlägger vid vilka tidpunkter elpriset är lägst och optimerar elförbrukningen. Det ska leda till lägre elkostnader för kunderna.

Alla uppgifter gällande de registrerades elförbrukning ska lämnas, men uppgifterna är indelade utifrån de geografiska områden de kan härledas till. De uppgifter som ska lämnas ut avser endast ett geografiskt område i taget. Därtill kommer leverantören börja med att endast lämna ut tio procent av uppgifterna avseende varje område.

Om det under träningen av AI-modellen visar sig behövas fler personuppgifter för att modellen ska kunna uppnå tillräckligt höga prestanda, kommer fler uppgifter successivt lämnas ut. Inga direkta identifierare som namn, personnummer eller kontaktuppgifter kommer lämnas ut. Uppgifterna skickas krypterat till den externa verksamheten.

Det verkar finnas en tydlig koppling mellan ändamålen eftersom båda avser elförbrukning.

Uppgifterna har inte samlats in i något sammanhang som innebär att de registrerade är i en utsatt position och det finns inget ojämnt maktförhållande mellan den registrerade och den personuppgiftsansvariga. Detta är omständigheter som talar för att det nya ändamålet är förenligt med det ursprungliga ändamålet. Även de registrerades förväntningar på hur personuppgifterna behandlas har betydelse för bedömningen. Att uppgifterna lämnas ut till en annan verksamhet är en omständighet som kan ligga utanför vad de registrerade förväntar sig. Det är en omständighet som talar emot att ändamålen är förenliga.

Behandlingen avser inte känsliga personuppgifter, vilket talar för att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för.

Vilka konsekvenser den nya personuppgiftsbehandlingen har för de registrerade har betydelse för bedömningen. Såväl konsekvenserna för skyddet av personuppgifter som andra konsekvenser bör beaktas. Att personuppgifterna lämnas ut till en annan verksamhet och ska användas för att träna en AI-modell kan antas minska transparensen och göra det svårare för de registrerade att förstå hur personuppgifterna behandlas och iaktta sina rättigheter. Det talar emot att ändamålen är förenliga. Den färdiga modellen ska dock användas för att optimera elpriserna och leda till lägre elpriser för kunderna, vilket är positivt för de registrerade. Det är en omständighet som talar för att ändamålen är förenliga med varandra.

Om vidtagna skyddsåtgärder sammantaget anses vara otillräckliga och den personuppgiftsansvariga därför inte kan anses säkerställa en lämplig säkerhetsnivå för den aktuella behandlingen, är det en omständighet som talar emot att det nya ändamålet är förenligt med det ursprungliga ändamålet som uppgifterna samlades in för.

Elleverantören har vidtagit skyddsåtgärder genom att uppgifterna skickas krypterat till den mottagande verksamheten. Vidare har parterna begränsat varje utlämnande till uppgifter som avser ett avgränsat geografiskt område. Även antalet personuppgifter som lämnas ut har begränsats, och ytterligare uppgifter lämnas endast ut om det skulle behövas för att AI-modellen ska kunna uppnå tillräckligt höga prestanda. På så sätt har parterna försökt leva upp till principen om uppgiftsminimering.

Det är alltså inte bara de olika ändamålens koppling som är avgörande för bedömningen om de kan anses vara förenliga med varandra, utan även de registrerades situation ska beaktas. I detta fall finns det en relativt stark koppling mellan ändamålen.

Några omständigheter talar emot att ändamålen kan anses vara förenliga, medan andra omständigheter talar för. Under sådana omständigheter borde det vara tillräckligt om det finns en medelstark koppling mellan ändamålen för att de ska anses vara förenliga med varandra. Det kan antas att det i detta fallet är fråga om åtminstone en medelstark koppling mellan ändamålen.

 

Tillbaka till innehåll på sidan

Principen om uppgiftsminimering

Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Principen är viktig för att säkerställa att behandlingen av personuppgifter begränsas till vad som är nödvändigt och inte blir för omfattande.

Att personuppgifterna ska vara relevanta innebär att endast just de uppgifter som behövs för det aktuella ändamålet ska behandlas. Att uppgifterna inte ska vara för omfattande innebär att bara det som är nödvändigt för att uppnå ändamålet ska behandlas.

Principen om uppgiftsminimering ställer även krav på proportionalitet. Det innebär att även om en behandling av personuppgifter är nödvändig för att uppnå ändamålet, måste integritetsintrånget som behandlingen innebär vara rimligt i förhållande till nyttan med ändamålet.

Utveckling av AI och uppgiftsminimering

Om en AI-modell tränas med data som utgör personuppgifter måste verksamheten särskilt beakta principen om uppgiftsminimering. När modellen tränas genom maskininlärning blir den som regel mer statistiskt korrekt ju mer data den tränas på. Det kan då många gånger vara en utmaning att leva upp till principen om uppgiftsminimering. Principen står dock inte alltid i motsats till behoven vid träning av modellen.

Fundera på vilka uppgifter som är relevanta

För att skapa en statistisk korrekt modell som till exempel inte diskriminerar vissa grupper, är det viktigt att AI-modellen tränas på relevanta, kvalitativa och icke-diskriminerande uppgifter. Att fundera på vilka uppgifter som verkligen är relevanta för ändamålet är alltså viktigt både för att minska risken för de som använder AI-modellen, men också för att modellen ska bli så statistiskt korrekt som möjligt.

Välj ut en mindre mängd data med hög relevans och kvalitet

Om träningen av AI-modellen sker genom övervakad inlärning är det även möjligt att avsiktligt förstärka de egenskaper i träningsdata som har betydelse för att modellens kategorisering av data ska ske som förväntat. Att välja ut en mindre mängd relevanta, kvalitativa och icke-diskriminerande träningsdata kan vara lämpligare än att använda stora mängder data av sämre kvalitet och relevans för att träna en AI-modell till att utföra en uppgift.

Börja med en mindre omfattning och öka succesivt

För att säkerställa att behandlingen lever upp till principen om uppgiftsminimering är det viktigt att verksamheter som behandlar stora mängder data gör en noggrann bedömning av vilka personuppgifter som behövs för ändamålet och i vilken omfattning. Då det kan vara svårt att på förhand veta hur AI-modellen kommer utvecklas, kan den personuppgiftsansvariga behöva börja behandla uppgifter i begränsad omfattning. Om det efterhand som modellen utvecklas visar sig behövas fler uppgifter kan behandlingen successivt utökas.

Följ hur AI-modellen utvecklas och gör regelbunda utvärderingar

Den personuppgiftsansvariga bör följa hur AI-modellen utvecklas och regelbundet utvärdera vilka personuppgifter som är nödvändiga för att modellen ska kunna tränas och utföra den tilltänkta uppgiften. Om den personuppgiftsansvariga samlar in personuppgifter från en annan verksamhet, bör den avvakta med insamlingen tills det är säkerställt att dessa uppgifter är relevanta och behövs för att träna AI-modellen.

Tillbaka till innehåll på sidan

 

Läs mer om GDPR och AI

AI och tillämpning av GDPR

AI och rättslig grund

AI och personuppgiftsansvar

Svarta lådan och rätten till information

Principen om korrekthet och diskriminerande algoritmer

Senast uppdaterad: 11 december 2024