Verksamhet
Dataskydd Innovationsportalen Vägledning om GDPR och AI GDPR och AI AI och tillämpning av GDPRAI och tillämpning av GDPR
Vad är en personuppgift?
Med personuppgifter avses uppgifter som direkt eller indirekt kan knytas till en identifierad eller identifierbar fysisk person. Exempel på personuppgifter är:
- personnummer
- namn
- IP-adress
- e-postadress
- bilder där en person syns.
Uppgifter som i sig själva inte går att knyta till en person, men som tillsammans med andra uppgifter kan identifiera en person, är också personuppgifter. Det kan till exempel vara:
- diarienummer
- bostadsadress
- registreringsnummer på en bil
- krypterade eller pseudonymiserade personuppgifter.
Även information på en digital tjänst eller plattform, som till exempel inlägg och bilder på sociala medier, är personuppgifter om den kan kopplas till en person.
Vad är en behandling av personuppgifter?
Med personuppgiftsbehandling avses alla åtgärder som kan göras med personuppgifter, till exempel insamling, utlämning, läsning, bearbetning och lagring, och som är helt eller delvis automatiska.
Exempel på personuppgiftsbehandling
Exempel- Personuppgifter väljs ut och systematiseras för att ingå i ett dataset som ska användas för att träna en AI-modell genom maskininlärning.
- Personuppgifter överförs eller lämnas ut till en annan verksamhet, till exempel när verksamheter som behöver stora mänger data för att utveckla AI delar personuppgifter med varandra.
- Personuppgifter matas in i en generativ AI-tjänst.
- En AI-modell förses med ett dataset som innehåller personuppgifter för att tränas genom maskininlärning.
- En AI-tjänst används och förses med data som innehåller personuppgifter för att lösa en uppgift.
- När personuppgifter lagras i en AI-modell.
Vad innebär det att GDPR är tillämplig?
GDPR innehåller särskilda skyldigheter för verksamheter som behandlar personuppgifter. De som behandlar personuppgifter måste alltså se till att behandlingen sker i enlighet med GDPR.
Verksamheter som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvarigas räkning.
Här kan du läsa mer om de olika funktionerna: Personuppgiftsansvariga och personuppgiftsbiträden
GDPR kräver bland annat att:
- Det finns rättslig grund för behandlingen
- De grundläggande principerna följs
- De registrerades rättigheter iakttas
- Behandlingen har lämplig säkerhet
- En konsekvensbedömning görs
Läs mer om GDPR och AI
AI och grundläggande principer
AI och rättslig grund
AI och personuppgiftsansvar
Svarta lådan och rätten till information
Principen om korrekthet och diskriminerande algoritmer