Hoppa till innehåll på sidan

AI och tillämpning av GDPR

Avgörande för om GDPR är tillämplig är om det sker en behandling av personuppgifter. Här förklarar vi närmare vad begreppen omfattar.

Vad är en personuppgift?

Med personuppgifter avses uppgifter som direkt eller indirekt kan knytas till en identifierad eller identifierbar fysisk person. Exempel på personuppgifter är:

  • personnummer
  • namn
  • IP-adress
  • e-postadress
  • bilder där en person syns.

Uppgifter som i sig själva inte går att knyta till en person, men som tillsammans med andra uppgifter kan identifiera en person, är också personuppgifter. Det kan till exempel vara:

  • diarienummer
  • bostadsadress
  • registreringsnummer på en bil
  • krypterade eller pseudonymiserade personuppgifter.

Även information på en digital tjänst eller plattform, som till exempel inlägg och bilder på sociala medier, är personuppgifter om den kan kopplas till en person.

Vad är en behandling av personuppgifter?

Med personuppgiftsbehandling avses alla åtgärder som kan göras med personuppgifter, till exempel insamling, utlämning, läsning, bearbetning och lagring, och som är helt eller delvis automatiska.

Exempel på personuppgiftsbehandling

Exempel
  • Personuppgifter väljs ut och systematiseras för att ingå i ett dataset som ska användas för att träna en AI-modell genom maskininlärning.
  • Personuppgifter överförs eller lämnas ut till en annan verksamhet, till exempel när verksamheter som behöver stora mänger data för att utveckla AI delar personuppgifter med varandra.
  • Personuppgifter matas in i en generativ AI-tjänst.
  • En AI-modell förses med ett dataset som innehåller personuppgifter för att tränas genom maskininlärning.
  • En AI-tjänst används och förses med data som innehåller personuppgifter för att lösa en uppgift.
  • När personuppgifter lagras i en AI-modell.

 

Vad innebär det att GDPR är tillämplig?

GDPR innehåller särskilda skyldigheter för verksamheter som behandlar personuppgifter. De som behandlar personuppgifter måste alltså se till att behandlingen sker i enlighet med GDPR.

Verksamheter som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvarigas räkning.

Här kan du läsa mer om de olika funktionerna: Personuppgifts­ansvariga och personuppgifts­biträden

GDPR kräver bland annat att:

Läs mer om GDPR och AI

AI och grundläggande principer

AI och rättslig grund

AI och personuppgiftsansvar

Svarta lådan och rätten till information

Principen om korrekthet och diskriminerande algoritmer

Senast uppdaterad: 11 december 2024