Logga in

Glömt ditt lösenord?

AI och personuppgifter – vad är bra att tänka på innan du börjar använda AI?

dataskydd-AI-och-personuppgifter.jpg

AI är både på stark frammarsch och på mångas läppar just nu. Möjligheterna är stora men likaså fallgroparna. I denna analys berättar vår expert Gastón Fernández Palma om AI, AI-förordningen och några aspekter att beakta innan du kastar dig över utveckling och tillämpning av AI.

INLEDNING

I april 2021 presenterade EU-kommissionen ett förslag till en EU-förordning om artificiell intelligens (AI) som syftar till att fastställa en enhetlig rättslig ram för i synnerhet utveckling, saluföring och användning av artificiell intelligens. Europeiska unionens råd antog i december 2022 en gemensam ståndpunkt kring förordningen och Europaparlamentet förväntas anta sin formella ståndpunkt i juni 2023. Därefter kommer trepartsmöten mellan de nämnda aktörerna att inledas med förhoppning om att förordningen antas i slutet av 2023. Det finns således inte ett utan flera förslag för närvarande varför nedanstående text utgår från rådets ståndpunkt.

Oaktat avsaknaden av ett gemensamt och sammanhållet förslag väcker de olika förslagen en del frågor: Vad är AI? Hur fungerar det? Hur behöver vi förhålla oss till den kommande förordningen? Svaren är tyvärr inte lätta att ge.

Den mest grundläggande frågan är vad AI är. Rådets förslag till AI-förordning saknar en definition av AI men anger att med system med artificiell intelligens (AI-system) avses ett system som utformats för att arbeta med inslag av autonomi och som, på grundval av data och indata som tillhandahållits av maskin och/eller människa, drar slutsatser om hur en viss uppsättning mål ska uppnås med användning av metoder för maskininlärning och/eller logik- och kunskapsbaserade metoder och producerar systemgenererade utdata såsom innehåll, (system för generativ AI) förutsägelser, rekommendationer eller beslut som påverkar de miljöer som AI-systemet samverkar med.

Kommissionens förslag är något bredare och anger att med system med artificiell intelligens (AI-system) avses en programvara som utvecklats med en eller flera av de tekniker och metoder som finns i en bilaga till förordningen och som, för en viss uppsättning människodefinierade mål, kan generera utdata såsom innehåll, förutsägelser, rekommendationer eller beslut som påverkar de miljöer som de samverkar med. De tekniker och metoder som anges är bland annat metoder för maskininlärning, inklusive djupinlärning, logik- och kunskapsbaserade metoder, inklusive kunskapsrepresentation, induktiv (logisk) programmering, statistiska metoder samt sök- och optimeringsmetoder.

Dessa förklaringar synliggör att det finns ett stort behov för jurister att försöka förstå vissa tekniska termer. Om vi börjar med begreppet ”AI” och söker efter definitioner på internet får man bland annat upp följande definition:

”AI är en maskins förmåga att visa människoliknande drag, såsom resonerande, inlärning, planering och kreativitet. AI möjliggör för tekniska system att uppfatta sin omgivning, hantera vad de uppfattar och lösa problem, med syfte att uppnå ett specifikt mål. Datorn mottar information (redan förberedd eller insamlad genom sina egna sensorer, till exempel via en kamera), behandlar den och svarar. AI system är kapabla till att anpassa sitt beteende, till en viss grad, genom att analysera effekterna av tidigare åtgärder, och att arbeta självständigt.” (Se europaparl.europa.eu – ”Vad är artificiell intelligens och hur används det?”, uppdaterad den 29 mars 2021.)

Ett annat exempel är följande:

”Inom AI-forskningen studerar och utformar man intelligenta maskiner, som uppfattar sin omgivning, analyserar den, lär sig, och är flexibel i vilka åtgärder den ska vidta för att nå sina mål på ett framgångsrikt sätt. I stället för att ge exakta instruktioner till maskinen om vad den ska göra så programmeras den till att förstå problem och lösa dem på egen hand. [AI har olika inriktningar.] En inriktning är snäv eller svag AI. Den har en tydligt avgränsad och specificerad uppgift att lösa. För att göra det matas datorn med en stor mängd data som den analyserar och lär sig känna igen mönster i utan att behöva programmeras om. Det används till exempel i sökmotorer, självkörande bilar eller för tolkning av röntgenbilder. En annan inriktning är generell eller stark AI. Den bygger på idén att en dator kan lära sig vad som helst, som vi människor, genom så kallad deep learning. Datorn kan matas med grundläggande information, men drar sen egna avancerade slutsatser. Generell AI brukar beskrivas som medveten om sig själv och som att den kan fatta egna beslut.” (Se mainexedsse.se, ”Vad betyder AI?”, hämtad den 9 juni 2023.)

En slutsats som kan dras från det ovanstående är att skapandet av AI (i vart fall i den initiala fasen) kräver mänsklig vilja och kunskap i form av programmering.

HUR SKAPAR MAN DÅ ETT AI-SYSTEM, DET VILL SÄGA HUR FUNGERAR DET?

AI-system består (så som jag har förstått det) av algoritmer som i sig är instruktioner om vad som ska utföras, med vad och i vilken ordning. Ett bra exempel på detta ges av Internetstiftelsen som bland annat skriver följande (se internetkunskap.se, ”Algoritmer”, hämtad den 9 juni 2023):

”För att förstå hur en algoritm fungerar kan du tänka på den som ett recept. De beskriver i vilken ordning ingredienser ska föras samman och hur de ska hanteras för att uppnå ett resultat. Precis som det behövs en människa för att konstruera och skriva ett recept behövs det människor för programmering.”

Ett exempel som nämns på samma webbplats är sociala medier som Facebook, Instagram och Snapchat där algoritmen bestämmer framför allt vilka inlägg den ska prioritera och i vilken ordning de ska visas i flödet. Det är också en algoritm som, utifrån den insamlade datan Facebook har om en person, avgör vilka annonser som visas i hens flöde.

MEN VILKA ÄR UTMANINGARNA?

Utmaningarna är flera och sträcker sig alltifrån upphovsrätt till cybersäkerhet. En utmaning uppstår bland annat av hur en algoritm och ett AI-system ska tas fram och framför allt av vilken data ett AI-system behöver ha tillgång till och behandla för att exempelvis kunna fatta ett beslut eller förutsäga ett utfall.

PERSONUPPGIFTSBEHANDLING OCH AI

Det är relativt lätt att anta att många av de utvecklingar som AI-tekniken både kan och kommer att leda till förutsätter tillgång till, lagring av samt övrig behandling av personuppgifter, det vill säga uppgifter som avser enskilda individer. Mer enkelt uttryckt behöver de som önskar använda AI använda sig av bland annat träningsdata, det vill säga data som används för att träna ett AI-system genom anpassning av dess inlärningsbara parametrar. Här är det viktigt att ha i åtanke att förslaget till AI-förordningen inte påverkar utan kompletterar den allmänna dataskyddsförordningen (EU:s förordning 2016/679, GDPR).

VAD BETYDER DÅ DETTA?

Kortfattat kan man säga följande. Om din verksamhet önskar använda sig av ett AI-system som i någon som helst form använder sig av personuppgifter behöver du även följa GDPR. Detta betyder bland annat att om du önskar använda dig av personuppgifter måste du i förväg (alltså innan du samlar in uppgifter) ha bestämt vad du ska använda personuppgifterna till, vilka personuppgifter som ska användas och att du har ett rättsligt stöd enligt GDPR för att få göra detta. Du behöver även i förväg informera den vars personuppgifter du kommer att använda. Falluckorna i denna del är många då exempelvis ett samtycke från en individ att få använda uppgifterna kan återtas med den konsekvensen att du måste radera uppgifterna.

HUR FÖRHÅLLER SIG DETTA TILL DEN NYA AI-FÖRORDNINGEN?

Syftet med denna text är inte att ta upp alla tänkbara utmaningar som kan uppstå under resan, utan snarare att sätta AI och dess utveckling i sin kontext ur främst ett dataskyddsperspektiv. I denna del kan det bland annat konstateras att AI-förordningen anger vilka AI-system/användningar som är tillåtna, vilka sådana som är förbundna med en hög risk och hur man ska agera om man vill utveckla nya AI-system.

VAD SKA JAG TÄNKA PÅ?

Det finns många viktiga parametrar att ha i åtanke inför utveckling och användning av AI. Nedan följer några exempel:

  • Hoppa inte på AI-tåget utan att noga utreda, bedöma och definiera varför ni ska använda AI, till vad och varför. AI får inte bli ett ändamål i sig utan ett medel för att nå ett ändamål.
  • När ni har beslutat er för att använda AI så ta mycket tidigt in kompetens från olika områden för att analysera, planera och besluta vad ni ska göra och hur ni ska göra det. Olika frågor kommer att behöva utredas och hanteras såsom etik, teknik, juridik och säkerhet.
  • Om ni konstaterar att ni kommer att använda er av personuppgifter så börja inte med att använda er av data utan att mycket noga klargöra om och hur ni behöver uppfylla GDPR och kompletterande dataskyddslagstiftning. Det finns inget som hindrar att ni redan nu börjar att planera och samla in information som ni kommer att använda i framtiden, men det är viktigt att först snegla på AI-förordningen och anslutande kommande regler för att framtidssäkra ert arbete.

VAD KAN HÄNDA OM JAG INTE FÖLJER GDPR I DENNA DEL?

Det är alltid svårt att sia om sannolikhet och konsekvens i betydelsen risk för tillsyn. Brott mot GDPR kan dock exempelvis leda till skadeståndsansvar, ekonomiska sanktioner och ett föreläggande om förbud mot fortsatt behandling av personuppgifter kombinerat med ett föreläggande om radering av personuppgifter. Utöver detta finns det även andra viktiga parametrar att ha i åtanke – renomméskadorna av att ha behandlat känsliga och starkt personliga uppgifter om individer på ett felaktigt sätt kan bli mycket stora. Och sist men inte minst är det alltid viktigt att framtidsäkra och framtidsspana över användningen.

Sammanfattningsvis vill jag säga följande:

AI har enorm potential och är här för att stanna, men det kräver noggrann planering, etiska överväganden och rättssäkerhet för att fullt ut kunna utnyttja dess fördelar.

Av Gastón Fernández Palma, Compliance officer, Cirio Advokatbyrå.
Ursprungligen publicerad I JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 18 aug 2023

Gastón Fernández Palma

Compliance officer, Cirio Advokatbyrå

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Dataskyddsförordningen GDPR ur ett skolperspektiv

Dataskyddsförordningen GDPR ur ett skolperspektiv

Öppna data-lagen och dess legala krav

Öppna data-lagen och dess legala krav

Aktuellt inom dataskyddsområdet – rättspraxis och andra viktiga nyheter

Aktuellt inom dataskyddsområdet – rättspraxis och andra viktiga nyheter

Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Kraftig ökning av cyberangrepp under förra året

IT och dataskydd

Antalet försök till cyberangrepp ökade kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster under 2023. Det framgår av MSB:s årsredovisning av it-incidentrapporter. 

8 apr 2024

Dömde kammarrätten rätt i MedHelp-målet?

IT och dataskydd

Vår expert Monika Wendleby går i den här analysen igenom avgörandet utifrån olika EU-rättskällor.

8 apr 2024

Värdet av spårbarhet ur GDPR-synvinkel

IT och dataskydd

I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

12 mar 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46