Hoppa till innehåll på sidan

AI och rättslig grund

När personuppgifter behandlas i samband med att AI utvecklas och används måste det finnas en så kallad rättslig grund för behandlingen. Utan en rättslig grund är behandlingen av personuppgifter inte laglig.

Det finns sex rättsliga grunder i dataskyddsförordningen, GDPR. Här beskriver vi de olika rättsliga grunderna och ger exempel på vilken rättslig grund som kan vara lämplig att tillämpa vid utveckling eller användning av AI. 

Innehåll på sidan

Vilken rättslig grund kan användas av vem?

Det skiljer sig åt vilken rättslig grund ni kan använda beroende på om ni driver en privat eller en offentlig verksamhet.

Rättslig grund för privat verksamhet

För privata verksamheter är det framför allt följande rättsliga grunder som kan tillämpas vid behandling av personuppgifter:

  • Samtycke
  • Avtal
  • Rättslig förpliktelse
  • Skydda grundläggande intressen
  • Intresseavvägning 

Rättslig grund för offentlig verksamhet

Myndigheter och andra inom offentlig verksamhet kan främst använda följande rättsliga grunder:

  • Avtal
  • Rättslig förpliktelse
  • Uppgift av allmänt intresse eller myndighetsutövning 

Ibland kan privata företag vara verksamma inom offentlig verksamhet, till exempel skolor eller hälso- och sjukvård som bedrivs i privat regi. De utför då en uppgift av allmänt intresse och ska stödja sig på samma rättsliga grunder som en myndighet.

Myndigheter får inte använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter.

Tillbaka till innehåll på sidan

Samtycke

Samtycke innebär att de personer vars uppgifter ska behandlas (de registrerade) samtycker till behandlingen. Det ställs dock ett antal krav på samtycket för att det ska vara giltigt. Kraven är att det ska vara:

  • Frivilligt
  • Jämlikt förhållande
  • Informerat
  • Möjligt att återkalla

En förutsättning för att samtycket ska vara giltigt är att det är frivilligt. Med frivilligt menas att den registrerade har ett genuint fritt val och kontroll över sina personuppgifter. Samtycket blir därför ogiltigt om någon har utsatts för påverkan. Den registrerade får inte drabbas av negativa konsekvenser om samtycke inte lämnas, och samtycket får inte vara en obligatorisk del av avtalsvillkor.

Samtycke kan inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvariga. Det gäller särskilt om den personuppgiftsansvarige är en myndighet. Det är heller inte lämpligt att använda samtycke i relationen mellan arbetsgivare och arbetstagare, det vill säga när den registrerade är arbetstagare hos den personuppgiftsansvariga.

Samtycket ska vara informerat, vilket innebär att den registrerade ska förstå vad samtycket gäller. Informationen ska tillhandahållas i en begriplig och lätttillgänglig form.

Den registrerade ska ha möjlighet att närsomhelst återkalla samtycket. Det ska vara lika lätt att återkalla samtycket som att lämna det. Det här är särskilt viktigt när det gäller barn.

 

Samtycke som rättslig grund för AI

Samtycke kan användas både vid utveckling och användning av AI. Även om samtycket lever upp till kraven i GDPR är det inte alltid den mest lämpliga rättsliga grunden att använda. Särskilt när det gäller utveckling av AI kan det vara administrativt betungande att hantera samtycken från ett stort antal registrerade och det kan också bli problematiskt om samtycket skulle återkallas.

Vid användning av AI finns det ofta bättre förutsättningar att använda samtycke som rättslig grund än vid utveckling, under förutsättning att kraven för ett giltigt samtycke är uppfyllda.

Tillbaka till innehåll på sidan

Avtal

Avtal innebär att den personuppgiftsansvariga har eller ska ingå ett avtal med den registrerade, och då får behandla de personuppgifter som är nödvändiga för att leva upp till avtalet. Till exempel kan en personuppgiftsbehandling ske med stöd av avtal vid behandling av kunduppgifter för att fakturera ett köp.

För att avtal ska kunna utgöra en rättslig grund krävs att personuppgiftsbehandlingen är nödvändig, antingen för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Den rättsliga grunden gäller alltså bara avtal som den registrerade har ingått eller planerar att ingå. Ett avtal med en annan verksamhet, det vill säga en tredje part, kan inte utgöra rättslig grund för behandling av personuppgifter.

Avtal som rättslig grund för AI

Personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Avtal kan användas som rättslig grund vid både utveckling och användning av AI. I praktiken verkar det dock vara ovanligt att utveckla AI med stöd av den rättsliga grunden avtal, eftersom det då skulle krävas att en verksamhet har ett avtal med den registrerade som skulle göra det nödvändigt att behandla personuppgifter för att utveckla AI.

Om ett färdigtränat AI-verktyg används för att fullgöra ett avtal med den registrerade bör behandling av personuppgifter som sker när modellen används kunna ske med stöd av den rättsliga grunden avtal, om behandlingen är nödvändig för att fullgöra avtalet.

Tillbaka till innehåll på sidan

Rättslig förpliktelse

Rättslig förpliktelse innebär att det finns lagar eller regler som gör att ni som personuppgiftsansvarig måste behandla vissa personuppgifter i er verksamhet. Till exempel kan ni enligt lag vara skyldiga att lämna vissa personuppgifter till en myndighet eller en domstol.

Den personuppgiftsansvariga får med stöd av denna rättsliga grund endast genomföra behandlingar av personuppgifter som är nödvändiga för att kunna fullgöra den rättsliga förpliktelsen. I praktiken finns det förmodligen små möjligheter att behandla personuppgifter för att utveckla AI med stöd av den rättsliga grunden rättslig förpliktelse. 

Tillbaka till innehåll på sidan

Skydda grundläggande intressen

Skydda grundläggande intressen innebär att personuppgifter får behandlas om det är nödvändigt för att rädda liv. Den personuppgiftsansvariga får behandla personuppgifter om det är nödvändigt för att rädda den registrerades eller någon annans liv. Det handlar om tillfällen när den registrerade inte kan fatta ett eget beslut eller lämna samtycke på grund av att personen är medvetslös eller i liknande akuta situationer. Bestämmelsen används mycket sällan i praktiken och det är förmodligen varken möjligt att utveckla eller använda AI med stöd av denna rättsliga grund.

Tillbaka till innehåll på sidan

Intresseavvägning

Intresseavvägning innebär att personuppgifter får behandlas om verksamhetens intressen bedöms väga tyngre än de registrerades intresse. Intresseavvägning är den mest flexibla av de rättsliga grunderna, eftersom det inte krävs några särskilda omständigheter för att den ska kunna tillämpas.

Myndigheter får inte använda sig av intresseavvägning som rättslig grund när de utför sina uppgifter.

Intresseavvägning som rättslig grund för AI

Intresseavvägning kan användas både vid utveckling och användning av AI. Det ställs däremot ett antal krav på behandlingen för att den personuppgiftsansvarigea berättigade intresse ska anses väga tyngre än den registrerades.

För att behandlingen av personuppgifter ska få ske med stöd av intresseavvägning, måste den personuppgiftsansvariga göra en bedömning i tre steg:

  1. Finns det ett berättigat intresse hos den personuppgiftsansvariga eller hos en tredje part?
  2. Är behandlingen av personuppgifter nödvändig för det berättigade intresse som eftersträvas?
  3. Väger den registrerades intresse av skydd för sina personuppgifter tyngre än den personuppgiftsansvarigea berättigade intresse?

Med intresse avses alla intressen som en personuppgiftsansvarig eller samhället kan ha av behandlingen. Att intresset ska vara berättigat innebär att intresset ska vara godtagbart enligt lagstiftningen.

Ett exempel på berättigat intresse kan vara direktmarknadsföring och andra former av marknadsföring eller reklam, förhindrande av bedrägeri, missbruk eller penningtvätt, fysisk säkerhet, it-säkerhet och nätverkssäkerhet samt behandling för historiska, vetenskapliga eller statistiska ändamål.

Begreppet berättigat intresse är alltså brett och kan ta sikte på såväl den personuppgiftsansvarigas som en tredje parts intressen och omfatta både sociala och kommersiella intressen.

För att det ska vara fråga om ett berättigat intresse måste det vara:

  • lagenligt,
  • specifikt, det vill säga tillräckligt tydligt formulerat för att kunna vägas mot den registrerades intresse,
  • utgöra ett verkligt och faktiskt intresse, och inte vara spekulativt eller hypotetiskt. 

Behandlingen är inte nödvändig om det går att använda andra, mindre ingripande metoder för att tillgodose den personuppgiftsansvarigas berättigade intresse. Kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering. Det innebär att den personuppgiftsansvariga måste ha begränsat omfattningen av den aktuella personuppgiftsbehandlingen till vad som är nödvändigt för att kunna uppnå ändamålet med behandlingen. Endast om detta har gjorts kan behandlingen anses vara nödvändig.

Läs mer om principen om uppgiftsminimering

Om den personuppgiftsansvariga har bedömt att det är fråga om ett berättigat intresse och att behandlingen är nödvändig för ändamålet med behandlingen, är det sista steget att göra en avvägning mellan den personuppgiftsansvarigas och den registrerades intressen.

Intresseavvägningen ska göras genom en helhetsbedömning i varje enskilt fall. Den personuppgiftsansvarigas intresse ska vara berättigat, medan det är tillräckligt att den registrerade har ett intresse. Det innebär att den registrerades intressen och rättigheter har ett bredare skydd än den personuppgiftsansvarigas.

I bedömningen ska det vägas in vad den registrerade rimligen kan förvänta sig av den personuppgiftsansvariga i den specifika situationen. Om den registrerade inte rimligen kan förvänta sig att dennes personuppgifter behandlas på det aktuella sättet talar det för att den registrerades intressen väger tyngre än den personuppgiftsansvarigas berättigade intresse.

Andra omständigheter som har betydelse för bedömningen är följande:

  • Vilken typ av intresse den personuppgiftsansvariga anför, till exempel grundläggande rättighet, allmänintresse eller annan typ av intresse.
  • Om den personuppgiftsansvariga, tredje man eller en vidare krets skulle lida skada om personuppgifterna inte behandlas.
  • Vilken typ av personuppgifter som behandlas.
  • Vilken ställning den personuppgiftsansvariga har, inklusive i förhållande till den registrerade (till exempel anställda/arbetstagare).
  • Vilken ställning den registrerade har, till exempel om det gäller ett barn.
  • Vilken ställning den personuppgiftsansvariga har, till exempel om ett företag har en dominerande ställning på marknaden.
  • Hur uppgifterna behandlas, till exempel om det handlar om storskalig behandling, datautvinning och profilering, information till ett stort antal personer eller publicering. Träning av en språkmodell kan till exempel utgöra ett större integritetsintrång än träning av en statistisk modell.
  • Om det finns grundläggande rättigheter och intressen hos den registrerade som kan komma att påverkas.
  • Vilka negativa konsekvenser behandlingen kan få för den registrerade jämfört med de fördelar som behandlingen kan förväntas ge.

 

Tillbaka till innehåll på sidan

Intresseavvägning kan inte användas som rättslig grund

Exempel

En privat verksamhet begär med stöd av offentlighetsprincipen ut ett stort antal rättade prov från en gymnasieskola i syfte att utveckla en AI-modell som kan rätta prov. Detta AI-baserade hjälpmedel ska verksamheten sedan sälja till skolor.

Bedömningen av om verksamhetens berättigade intresse väger tyngre än de registrerades sker i tre steg. I det här fallet är de registrerade de elever vars rättade prov har begärts ut av verksamheten.

Steg 1: Bedöma berättigat intresse

Första steget i bedömningen är att fastställa om verksamheten har ett berättigat intresse. Verksamhetens intresse av att utveckla och sälja en AI-modell som kan rätta elevers prov är ett kommersiellt intresse, vilket kan vara berättigat.

För att det ska vara fråga om ett berättigat intresse måste detta vidare vara lagenligt, specifikt och utgöra ett verkligt och faktiskt intresse, vilket verksamhetens intresse verkar vara. Mycket talar för att verksamhetens intresse av att utveckla och sälja en AI-modell kan anses vara berättigat.

Steg 2: Bedöma nödvändighet

Om det fastställts att det är fråga om ett berättigat intresse är nästa steg att bedöma om behandlingen är nödvändig för att uppnå ändamålet. För att behandlingen ska anses vara nödvändig måste den personuppgiftsansvariga ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering.

Verksamheten har begärt ut ett stort antal rättade prov från gymnasieskolan, och det finns inget som tyder på att verksamheten har gjort en analys av vilka uppgifter som verkligen behövs för att träna AI-modellen. Verksamheten har inte heller inlett insamlingen med att begära ut en mindre omfattning, för att sedan begära ut fler uppgifter om det visar sig att det behövs fler uppgifter för att träna modellen. Det verkar alltså inte som att verksamheten har vidtagit åtgärder för att säkerställa att behandlingen är förenlig med principen om uppgiftsminimering.

Behandlingen kan därmed inte anses nödvändig för det berättigade intresset. Då det andra steget i bedömningen inte är uppfyllt ska den personuppgiftsansvariga inte gå vidare till det tredje steget i bedömningen. Den rättsliga grunden intresseavvägning är inte tillämplig.

Steg 3: Intresseavvägning

Om verksamheten däremot hade säkerställt att behandlingen är förenlig med principen om uppgiftsminimering och behandlingen alltså hade ansetts nödvändig för att uppnå det berättigade intresset, skulle avvägningen mellan den personuppgiftsansvarigas berättigade intresse och de registrerades intresse behöva göras.

Den personuppgiftsansvarigas berättigade intresse utgör inte någon grundläggande rättighet eller allmänintresse, och den personuppgiftsansvariga riskerar inte lida skada om intresset inte kan tillgodoses. Behandlingen sker i stor omfattning och majoriteten av de registrerade är barn. De registrerade kan inte antas förvänta sig att deras rättade prov ska lämnas ut till en verksamhet som ska använda uppgifterna för att ta fram en AI-modell som i sin tur ska säljas till skolor, det vill säga för ett kommersiellt syfte.

Sammantaget verkar den personuppgiftsansvarigas berättigade intresse inte väga tyngre än de registrerades intresse. Den rättsliga grunden intresseavvägning kan därmed inte ligga till grund för behandlingen av personuppgifter för att utveckla AI-modellen.

Intresseavvägning kan användas som rättslig grund

Exempel

En resebyrå vill lansera en ny resebokningstjänst som ska föreslå resor för byråns kunder, och vill därför träna en AI-modell till att kunna utföra den uppgiften.

Förslagen ska grunda sig på kundens egen resehistorik och modellen ska tränas på uppgifter om resenärers genomförda resor. Personuppgifterna som AI-modellen ska tränas på innehåller inga direkta identifierare som namn eller kontaktuppgifter.

För att säkerställa att personuppgiftsbehandlingen lever upp till principen om uppgiftsminimering ska resebyrån inledningsvis träna modellen på endast en begränsad mängd uppgifter, och sedan öka omfattningen endast om det under träningsfasen visar sig vara nödvändigt för att modellen ska kunna uppnå tillräckligt höga prestanda.

Bedömningen av om verksamhetens berättigade intresse väger tyngre än de registrerades sker i tre steg. I det här fallet är det resebyråns kunder vars personuppgifter är tänkta att användas för att träna AI-modellen.

Steg 1: Bedöma berättigat intresse

Första steget i bedömningen är att fastställa om verksamheten har ett berättigat intresse. Verksamhetens intresse av att utveckla en AI-modell som föreslår resor för kunder utifrån deras preferenser är ett kommersiellt intresse, vilket kan vara berättigat. För att det ska vara fråga om ett berättigat intresse måste detta vidare vara lagenligt, specifikt och utgöra ett verkligt och faktiskt intresse, vilket verksamhetens intresse verkar vara. Mycket talar för att resebyråns intresse av att utveckla en AI-modell kan anses vara berättigat.

Steg 2: Bedöma nödvändighet

Om det fastställts att det är fråga om ett berättigat intresse är nästa steg att bedöma om behandlingen är nödvändig för att uppnå ändamålet. För att behandlingen ska anses vara nödvändig måste den personuppgiftsansvarige ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering.

Verksamheten har inlett träningen av modellen genom att behandla personuppgifter i en begränsad omfattning, för att sedan öka omfattningen om det visar sig att det behövs för att modellen ska fungera ändamålsenligt. Resebyrån verkar alltså ha säkerställt att behandlingen är förenlig med principen om uppgiftsminimering, och att behandlingen därmed kan anses nödvändig för det berättigade intresset.

Steg 3: Intresseavvägning

Om behandlingen anses nödvändig för att uppnå det berättigade intresset är nästa steg att göra avvägningen mellan den personuppgiftsansvariges berättigade intresse och de registrerades intresse.

Den personuppgiftsansvariges berättigade intresse utgör inte någon grundläggande rättighet eller allmänintresse, och den personuppgiftsansvarige riskerar inte lida skada om intresset inte kan tillgodoses. AI-modellen kan antas ha positiva konsekvenser för de registrerade, genom att de får inspiration och information om resor som kan passa dem.

Träning av AI-modeller kräver ofta mycket data. Resebyrån har vidtagit åtgärder för att begränsa behandlingen av personuppgifter så mycket som möjligt. Det är inte ovanligt att resebokningstjänster använder kunders resehistorik för att ta fram anpassade erbjudanden till sina kunder, och kunderna kan därmed antas förvänta sig att deras resehistorik används för att generera förslag på andra resor.

Sammantaget verkar de registrerades intresse inte väga tyngre än den personuppgiftsansvariges berättigade intresse. Mycket talar därmed för att den rättsliga grunden intresseavvägning kan ligga till grund för behandlingen av personuppgifter för att utveckla den aktuella AI-modellen. 

 

Tillbaka till innehåll på sidan

Uppgift av allmänt intresse och myndighetsutövning

Uppgift av allmänt intresse eller myndighetsutövning innebär att det är tillåtet att behandla personuppgifter om det är nödvändigt för att utföra en uppgift av allmänt intresse. Den här rättsliga grunden används framför allt av myndigheter, men också av privata företag inom vård och skola.

Vad är en uppgift av allmänt intresse?

Alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter är i regel uppgifter av allmänt intresse. Begreppet uppgifter av allmänt intresse omfattar dock inte bara uttryckliga åligganden eller uppdrag. Allmänintresset rör också hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.

Myndighetens uppgift ska ha stöd i lag

Utöver den rättsliga grunden i GDPR måste även den uppgift av allmänt intresse som behandlingen är nödvändig för regleras i lag eller annan författning. Det innebär att det måste finnas en kompletterande bestämmelse som behandlingen kan grundas på.

För att en personuppgiftsbehandling ska kunna stödjas på den kompletterande bestämmelsen måste den vara tydlig, precis och förutsägbar. Ju mer integritetsinskränkande behandlingen är, till exempel genom att den sker i stor omfattning, desto högre krav ställs på bestämmelsens tydlighet, precision och förutsägbarhet.

Uppgift av allmänt intresse eller myndighetsutövning som rättslig grund för AI

Den rättsliga grunden att utföra en uppgift av allmänt intresse eller myndighetsutövning kan användas både vid utveckling och användning av AI. Det skiljer sig dock åt vilken typ av kompletterande bestämmelser som kan tillämpas för utveckling respektive användning av AI.

Statiska AI-modeller

För statiska AI-modeller sker utveckling och användning av modellen i separata stadier. I användningsstadiet sker ingen fortsatt träning eller utveckling av modellen. Vid utveckling av AI sker träningen av modellen ofta genom behandling av historiska personuppgifter.

Om en myndighet till exempel utvecklar en AI-modell som ska användas vid handläggning av en viss ärendetyp, kommer modellen ofta att tränas på personuppgifter i avslutade ärenden. De registrerade har då inte ett pågående ärende hos myndigheten och behandlingen är därmed inte nödvändig för att handlägga ett ärende. Det innebär att behandling av personuppgifter för att utveckla AI inte kan ske med stöd av bestämmelser som gäller handläggning av ärenden. Behandlingen sker istället ofta med stöd av bestämmelser om verksamhetsutveckling.

När AI-modellen används som ett stöd i verksamheten kan den förses med uppgifter i ett pågående ärende för att handlägga ett ärende avseende den registrerade. Personuppgiftsbehandlingen kan då ofta stödjas på en kompletterande bestämmelse som rör ärendehandläggning.

Läs mer om statiska AI-modeller: Träning av AI – data, metoder och resultat

Dynamiska AI-modeller

För dynamiska modeller sker utveckling och användning inte i separata faser utan modellen utvecklas efterhand som den används. Det kan då vara svårare att bedöma för vilket ändamål som personuppgifter behandlas och vilka kompletterande bestämmelser som behandlingen kan grundas på.

Vid användning av modellen är det avgörande dock om personuppgiftsbehandlingen är nödvändig för handläggningen av ett ärende. Att modellen samtidigt utvecklas och förbättras kontinuerligt hindrar inte att det fortfarande kan anses vara nödvändigt att behandla uppgifterna för ärendehandläggningen.

Läs mer om dynamiska AI-modeller: Träning av AI – data, metoder och resultat

Tillbaka till innehåll på sidan

 

Läs mer om GDPR och AI

AI och tillämpning av GDPR

AI och grundläggande principer

AI och personuppgiftsansvar

Svarta lådan och rätten till information

Senast uppdaterad: 21 november 2024