Hoppa till innehåll på sidan

Svarta lådan och rätten till information 

När det sker en behandling av personuppgifter har den registrerade, det vill säga den vars personuppgifter behandlas, ett antal rättigheter. En av rättigheterna är rätten till information. Eftersom det kan vara svårt att få inblick i och förklara hur en AI-modell fungerar kan det dock vara svårt för den personuppgiftsansvariga att leva upp till informationsplikten vid utveckling eller användning av AI.

Innehåll på sidan

Vilka rättigheter har den registrerade?

De registrerade har bland annat rätt att

  • få information om behandlingen av personuppgifter
  • få tillgång till sina personuppgifter
  • få felaktiga personuppgifter rättade
  • radera sina personuppgifter
  • begränsa behandlingen av personuppgifter, så att de endast behandlas för vissa syften
  • göra invändningar mot behandlingen.

Den personuppgiftsansvariga ska underlätta för den registrerade att utöva sina rättigheter, till exempel genom att göra det enkelt för de registrerade att kontakta den personuppgiftsansvariga.

Läs mer om de registrerades rättigheter

Rätten till information

En av rättigheterna är rätten till information, som innebär att den registrerade har rätt att få information om personuppgiftsbehandlingen både när uppgifterna samlas in och när den registrerade annars begär det.

Den registrerade har bland annat rätt att få information om

  • för vilka ändamål personuppgifterna kommer att behandlas
  • vilken den rättsliga grunden för behandlingen är
  • hur länge personuppgifterna kommer att lagras
  • vem som kommer ta del av personuppgifterna
  • kontaktuppgifterna till den personuppgiftsansvariga.

Att den registrerade får information om personuppgiftsbehandlingen är viktigt för att personen ska kunna utöva andra rättigheter enligt GDPR. 

Tillbaka till innehåll på sidan

Den svarta lådan och informationsplikten

Den metod som oftast används för att utveckla en AI-modell är djupinlärning. Metoden kan behandla stora mängder information som är omöjliga att överblicka för en fysisk person. Även hur parametrar och vikter förhåller sig till varandra, och hur en AI-modell därigenom producerar sina resultat, är mycket svårt för fysiska personer att kartlägga och förstå.

Många AI-modeller anses därför vara så kallade svarta lådor, där användaren endast känner till indata och utdata. Om en AI-modell används för att fatta beslut om personer kan det vara svårt att leva upp till informationskravet. Svårigheter med att förstå och förklara en AI-modell – även om den betraktas som en svart låda – befriar dock inte den personuppgiftsansvariga från skyldigheten att informera och tillgodose de registrerades rättigheter enligt GDPR.

Läs mer om djupinlärning i den tekniska delen av vägledningen

Tillbaka till innehåll på sidan

Automatiserat beslutsfattande

AI kan användas för att fatta beslut om personer, av mer eller mindre ingripande karaktär. Det kan då bli fråga om automatiserat, individuellt beslutsfattande, vilket är beslut om en registrerad som grundar sig på en automatiserad personuppgiftsbehandling och har rättsliga följder för den registrerade eller i betydande grad påverkar personen.

Automatiserat, individuellt beslutsfattande regleras särskilt i GDPR och är som huvudregel förbjudet, men det finns undantag. Om det är fråga om automatiserat beslutsfattande ställs högre krav på att informera de registrerade om hur beslutet har fattats. 

Vad är ett automatiserat individuellt beslutsfattande?

Automatiserat, individuellt beslutsfattande innebär att beslut fattas utan att en fysisk person är inblandad. Det är själva beslutsfattandet som ska ske genom automatiserad personuppgiftsbehandling för att det ska vara fråga om automatiserat, individuellt beslutsfattande. Om en AI-modell används som stöd i beslutsfattandet men det är en fysisk person som fattar själva beslutet är det inte fråga om ett sådant automatiskt, individuellt beslutsfattande som avses i GDPR.

För att det ska vara fråga om automatiserat, individuellt beslutsfattande i den mening som avses i GDPR krävs också att beslutsfattandet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar personen. Vad som menas med ”rättsliga följder” definieras inte i GDPR. Beslut som i betydande grad påverkar enskilda kan till exempel vara ett beslut om avslag på en kreditansökan online som sker genom en helt automatiserad process.

Tillbaka till innehåll på sidan

Är automatiserat individuellt beslutsfattande tillåtet?

Huvudregeln är att automatiserade beslut är förbjudna. Det finns dock undantag. Automatiserat, individuellt beslutsfattande kan vara tillåtet om

  • det är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvariga
  • det är tillåtet enligt lag som fastställer lämpliga skyddsåtgärder
  • den registrerade har gett sitt uttryckliga samtycke.

Det framgår inte av GDPR vad som krävs för att samtycket ska vara uttryckligt, men formuleringen talar för att det krävs en uttrycklig viljeförklaring från den registrerade.

Vad måste den personuppgiftsansvariga informera om?

Vid all behandling av personuppgifter har den personuppgiftsansvariga en omfattande skyldighet att lämna information till den registrerade om personuppgiftsbehandlingen.

Om det är fråga om ett automatiserat, individuellt beslutsfattande har den registrerade dessutom rätt att få information om att det sker ett automatiserat individuellt beslutsfattande, och en förklaring till det automatiserade beslut som fattas. Den personuppgiftsansvariga ska då lämna meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av personuppgiftsbehandlingen.

Om en AI-modell har använts för att fatta ett automatiserat, individuellt beslut måste den personuppgiftsansvariga lämna så mycket information att den registrerade får en förklaring till hur AI-modellen har kommit fram till ett visst resultat och vad den registrerade behöver göra för att beslutet ska ändras. Det behöver inte innebära att den svarta lådan måste öppnas, men att beslutet ska förklaras så att den registrerade kan iaktta sina rättigheter.

Tillbaka till innehåll på sidan

 

Checklista

Hur kan vi göra för att leva upp till informationsskyldigheten?

  • 1

    Undvik automatiserade beslut

    Använd en AI-modell som ett verktyg och stöd i arbetet, och undvik att låta AI-modellen fatta beslut som påverkar de registrerade på egen hand, så kallade automatiserade beslut. 

  • 2

    Beakta de registrerades rättigheter både vid utveckling och användning

    Beakta de registrerades rättigheter redan när AI-modellen utformas och tränas, och vidta tekniska och organisatoriska åtgärder för att kunna iaktta rättigheterna när AI-modellen används.

  • 3

    Följ utvecklingen av AI-modellen noggrant

    Följ träningen och utvecklingen av AI-modellen noggrant för att i så stor utsträckning som möjligt få inblick i och förståelse för hur resultatet produceras.

  • 4

    Testa och dokumentera hur indata påverkar resultatet

    Testa AI-modellen noggrant och dokumentera hur olika indata påverkar resultatet, och hur de registrerade kan ändra eller påverka det resultat AI-modellen producerar.

  • 5

    Dokumentera era slutsatser

    Dokumentera noggrant alla iakttagelser och slutsatser.

Förklarbar AI

Förklarbar AI är ett forskningsområde som handlar om att göra de beslut eller åtgärder som fattas av ett AI-system begripliga för människor som använder eller utvecklar systemet. Intresset för förklarande AI verkar vara på uppgång, och en del länder går mot att kräva förklarbarhet av AI-system. 

Förklarbar AI

Förklarbar AI är ett forskningsområde som handlar om att göra de beslut eller åtgärder som fattas av ett AI-system begripliga för människor som använder eller utvecklar systemet. Intresset för förklarande AI verkar vara på uppgång, och en del länder går mot att kräva förklarbarhet av AI-system. 

 

Läs mer om GDPR och AI

AI och tillämpning av GDPR

AI och grundläggande principer

AI och rättslig grund

AI och personuppgiftsansvar

Principen om korrekthet och diskriminerande algoritmer

Senast uppdaterad: 11 december 2024