Hoppa till innehåll på sidan

AI och person­uppgifts­ansvar

När det sker en behandling av personuppgifter är det viktigt att det är tydligt vilken verksamhet som är ansvarig för behandlingen för att säkerställa skyddet för enskildas integritet. Den verksamhet som är ansvarig för behandlingen, den så kallade personuppgiftsansvariga, ska se till att behandlingen lever upp till kraven i GDPR.

Innehåll på sidan

Vem är personuppgiftsansvarig?

En personuppgiftsansvarig är en privat eller offentlig verksamhet, till exempel ett aktiebolag, en stiftelse, en förening eller en myndighet. En fysisk person kan vara personuppgiftsansvarig om det är dennes enskilda firma som behandlar personuppgifterna. Personuppgiftsansvar kan grunda sig på faktiska omständigheter eller lagstiftning.

Personuppgiftsansvar på grund av faktiska omständigheter

Personuppgiftsansvarig är den verksamhet som bestämmer ändamål och medel för en behandling av personuppgifter. Att bestämma ändamål och medel innebär att bestämma varför och hur behandlingen sker. Avgörande för denna bedömning är bland annat varför behandlingen utförs och vem som är initiativtagare till behandlingen. Personuppgiftansvaret ska bedömas utifrån de faktiska omständigheterna i varje fall.

Personuppgiftsansvar på grund av lagstiftning

Personuppgiftsansvaret kan regleras direkt i lag, genom att det framgår av lagstiftningen att en viss verksamhet är personuppgiftsansvarig för en viss personuppgiftsbehandling. Personuppgiftsansvaret kan även regleras indirekt i lag, genom att ändamålet med en behandling regleras i lagstiftningen. Den verksamhet som utför uppgiften för det ändamålet är därmed personuppgiftsansvarig för den behandling av personuppgifter som är nödvändig för att nå ändamålet.

Gemensamt personuppgiftsansvar

Om två eller flera verksamheter gemensamt bestämmer ändamål och medel för en viss behandling är de personuppgiftsansvariga tillsammans. De har då ett gemensamt personuppgiftsansvar och måste komma överens om vem som är ansvarig för att fullgöra de olika skyldigheterna i GDPR. All personuppgiftsbehandling där flera verksamheter är inblandade medför inte i sig ett gemensamt personuppgiftsansvar, utan det uppstår bara när flera verksamheter faktiskt bestämmer ändamål och medel för behandlingen tillsammans. Att bestämma ändamål tillsammans innebär att det är fråga om gemensamma ändamål.

Tillbaka till innehåll på sidan

Olika roller när behandlingen överlåts till en annan verksamhet

Den personuppgiftsansvariga kan överlåta personuppgiftsbehandlingen till en annan verksamhet. Den som behandlar personuppgifter för den personuppgiftsansvarigas räkning är då personuppgiftsbiträde. Att en behandling av personuppgifter utförs av ett personuppgiftsbiträde innebär inte att personuppgiftsansvaret överlåts, utan det är alltid den personuppgiftsansvariga som måste säkerställa och kunna visa att behandlingen sker i enlighet med GDPR.

Om det finns ett personuppgiftsbiträde krävs ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de instruktioner som biträdet har fått från den personuppgiftsansvariga.

Läs mer om vad ett personuppgiftsbiträdesavtal ska innehålla här

Vem är personuppgiftsbiträde?

Att en verksamhet har fått i uppdrag att utföra en uppgift som innebär att det är nödvändigt att behandla personuppgifter innebär inte i sig att verksamheten är personuppgiftsbiträde. Att utföra en uppgift är en omständighet som talar för att verksamheten är personuppgiftsansvarig, eftersom den då bestämmer att personuppgifter ska behandlas för ändamålet att utföra uppgiften.

Det är istället när just behandlingen av personuppgifter utförs för den personuppgiftsansvarigas räkning som en verksamhet är ett personuppgiftsbiträde. Det är då den personuppgiftsansvariga som har bestämt ändamål och medel, och personuppgiftsbiträdet har inget inflytande över detta.

En verksamhet anlitar en redovisningsbyrå

Exempel

Om till exempel en verksamhet anlitar en redovisningsbyrå för att hantera verksamhetens bokföring innebär det inte i sig att redovisningsbyrån är ett personuppgiftsbiträde.

Redovisningsbyråns uppgift är huvudsakligen att utföra sitt bokföringsuppdrag. Även om uppdraget innebär att personuppgifter behandlas är tjänsten inte specifikt inriktad på behandling av personuppgifter och uppdraget syftar inte till att just behandla personuppgifter för den verksamhetens räkning.

Redovisningsbyrån bestämmer själva över den personuppgiftsbehandling som krävs för att utföra och är därmed ansvarig för den personuppgiftsbehandling som sker inom ramen för uppdraget.

 

Tillbaka till innehåll på sidan

Personuppgiftsbiträdet har viss handlingsfrihet

Personuppgiftsbiträdet har viss handlingsfrihet. När det gäller ändamålet med behandlingen, kan det endast bestämmas av den personuppgiftsansvariga. När det gäller medel för behandlingen är det den personuppgiftsansvariga som måste besluta om väsentliga medel med behandlingen. Personuppgiftsbiträdet har däremot visst utrymme att besluta om medel som inte kan anses vara väsentliga.

Med väsentliga medel menas medel som är nära kopplade till behandlingens ändamål och omfattning, till exempel vilken typ av personuppgifter som behandlas, i vilken omfattning och hur länge behandlingen pågår. Medel som däremot inte kan anses vara väsentliga är mer praktiska aspekter av behandlingen, till exempel valet av en viss typ av maskin- eller programvara eller detaljerade säkerhetsåtgärder.

Samma verksamhet kan vara personuppgiftsbiträde och personuppgiftsansvarig

Samma verksamhet kan fungera som personuppgiftsansvarig för en viss behandling och som personuppgiftsbiträde för en annan samtidigt.

Personuppgiftsbiträdet kan endast utföra samma behandling som den personuppgiftsansvariga, för dennes räkning. Det innebär till exempel att om en verksamhet samkör uppgifter som samlats in från flera andra verksamheter är den förstnämnda verksamheten personuppgiftsansvarig för behandlingen. De andra verksamheterna kan inte samköra uppgifterna utan bara utföra behandlingar av personuppgifter gällande den egna verksamheten. 

Tillbaka till innehåll på sidan

En myndighet upphandlar ett färdigutvecklat AI-system

Exempel

En myndighet planerar att använda AI som stöd i handläggningen för en specifik typ av bidrag. Myndigheten upphandlar ett färdigutvecklat AI-system som bedöms vara lämpligt för den aktuella uppgiften.

Leverantören av AI-systemet har inte utvecklat det för ett specifikt ändamål, utan ändamålet med användningen av AI-systemet bestämts ensidigt av myndigheten. Myndigheten utför vissa mindre justeringar av systemet för att anpassa det till den specifika uppgiften och det specifika ändamålet. Leverantören av AI-systemet har lämnat vissa garantier om dess funktionalitet och hur behandlingen av personuppgifter går till.

Då myndigheten bestämmer ändamålet för användningen av AI-systemet, är myndigheten personuppgiftsansvarig för den behandling av personuppgifter som sker vid användningen. Myndigheten är skyldig att välja ett AI-system som gör det möjligt för myndigheten att säkerställa att behandlingen sker i enlighet med GDPR. 

En myndighet anlitar en extern part för att utveckla en AI-modell

Exempel

En myndighet planerar att upphandla utvecklingen av ett nytt AI-system i syfte att använda den som stöd i handläggningen för en specifik typ av bidrag. Myndigheten anlitar ett företag för att utveckla AI-systemet och tillhörande AI-modeller åt myndigheten.

Ändamålet bestämts ensidigt av myndigheten, och företaget får instruktioner om vilka funktioner systemet ska ha och vilka personuppgifter som modellerna i AI-systemet ska tränas på. Myndigheten bestämmer även hur personuppgifterna ska behandlas, såsom i vilken omfattning, under hur lång tid och vem som ska ha åtkomst till dem. Utifrån myndighetens instruktioner genomför företaget behandlingen av personuppgifter och tar fram tekniska lösningar.

Då myndigheten bestämmer ändamål och medel med den personuppgiftsbehandling som sker vid utvecklingen av AI-systemet är myndigheten personuppgiftsansvarig för all personuppgiftsbehandling som sker under utvecklingen. Omständigheterna talar för att företaget som utvecklar AI-systemet behandlar personuppgifter för myndighetens räkning, vilket innebär att företaget är personuppgiftsbiträde för personuppgiftsbehandlingen. 

Två verksamheter utvecklar ett AI-system tillsammans

Exempel

Två verksamheter planerar att tillsammans utveckla ett AI-system för ett gemensamt ändamål. För det ändamålet ska en AI-modell tränas med personuppgifter från de båda verksamheterna. Verksamheterna gör en gemensam analys av vilka uppgifter som ska användas för att träna AI-modellen, i vilken omfattning personuppgifterna ska behandlas och hur länge personuppgifterna ska lagras. En av verksamheterna kommer att genomföra träningen av AI-modellen och ha tillgång till de personuppgifter som modellen ska tränas på.

Det krävs inte att de båda verksamheterna utför personsuppgiftsbehandlingen för att ett gemensamt ansvar ska uppstå, utan det är tillräckligt att de påverkar behandlingen eller har ett väsentligt inflytande över den. De båda verksamheterna har ett gemensamt ändamål och bestämmer tillsammans att de ska genomföra en viss personuppgiftsbehandling för det ändamålet. Det talar för att de är gemensamt personuppgiftsansvariga för den behandling som genomförs för att uppnå ändamålet. 

 

Läs mer om GDPR och AI

AI och tillämpning av GDPR

AI och grundläggande principer

AI och rättslig grund

Svarta lådan och rätten till information

Senast uppdaterad: 21 november 2024
Sidans etiketter Dataskydd, Utveckling och innovation, AI