Bruxelles, den 17. juli – På sit seneste plenarmøde vedtog Det Europæiske Databeskyttelsesråd en erklæring om databeskyttelsesmyndighedernes rolle inden for rammerne af forordningen om kunstig intelligens (AI-forordningen).
Ifølge Databeskyttelsesrådet har databeskyttelsesmyndighederne allerede erfaring og ekspertise med hensyn til AI's indvirkning på de grundlæggende rettigheder, navnlig retten til beskyttelse af personoplysninger, og bør derfor udpeges som markedsovervågningsmyndigheder i en række tilfælde. Dette vil sikre bedre koordinering mellem forskellige regulerende myndigheder, øge retssikkerheden for alle interessenter og styrke tilsynet med og håndhævelsen af både forordningen om kunstig intelligens og EU's databeskyttelseslovgivning.
I henhold til forordningen om kunstig intelligens skal medlemsstaterne udpege markedsovervågningsmyndigheder på nationalt plan inden den 2. august 2025 med henblik på at føre tilsyn med anvendelsen og gennemførelsen af forordningen om kunstig intelligens.
Databeskyttelsesrådet anbefaler i sin erklæring, at:
- Som allerede anført i forordningen om kunstig intelligens bør databeskyttelsesmyndighederne udpeges som markedsovervågningsmyndigheder for højrisiko-AI-systemer, der anvendes til retshåndhævelse, grænseforvaltning, retspleje og demokratiske processer.
- Medlemsstaterne bør overveje også at udpege databeskyttelsesmyndigheder som markedsovervågningsmyndigheder for andre højrisiko-AI-systemer under hensyntagen til den nationale databeskyttelsesmyndigheds synspunkter, navnlig når disse højrisiko-AI-systemer befinder sig i sektorer, der sandsynligvis vil påvirke fysiske personers rettigheder og frihedsrettigheder med hensyn til behandling af personoplysninger.
- Mener, at databeskyttelsesmyndighederne, når de er udpeget som markedsovervågningsmyndigheder, bør udpeges som centrale kontaktpunkter for offentligheden og modparter på medlemsstats- og EU-plan;
- Der bør fastlægges klare procedurer for samarbejdet mellem markedsovervågningsmyndighederne og de andre regulerende myndigheder, der har til opgave at føre tilsyn med AI-systemer, herunder databeskyttelsesmyndighederne. Desuden bør der etableres et passende samarbejde mellem EU's AI-kontor og databeskyttelsesmyndighederne/EDPB.
Databeskyttelsesrådets næstformand, Irene Loizidou Nicolaidou, udtaler: "DPA'er bør spille en fremtrædende rolle i håndhævelsen af forordningen om kunstig intelligens, da de fleste AI-systemer omfatter behandling af personoplysninger. Jeg er overbevist om, at databeskyttelsesmyndighederne er egnede til denne rolle på grund af deres fulde uafhængighed og dybe forståelse af risiciene ved kunstig intelligens for de grundlæggende rettigheder på grundlag af deres eksisterende erfaringer."
Dernæst vedtog Databeskyttelsesrådet to dokumenter med ofte stillede spørgsmål (FAQ) vedrørende EU-USA-databeskyttelsesrammen (DPF), der havde til formål at skabe større klarhed om, hvordan databeskyttelsesrammen fungerer.
Spørgsmål og svar for enkeltpersoner indeholder oplysninger om, hvordan databeskyttelsesrammen fungerer: hvordan man kan drage fordel heraf, hvordan man indgiver en klage, og hvordan denne klage vil blive behandlet.
På samme måde forklarer FAQ for virksomheder, hvilke amerikanske virksomheder der er berettiget til at deltage i DPF: hvad du skal gøre, før du overfører personoplysninger til en virksomhed i USA, som er DPF-certificeret, og hvor du kan finde yderligere vejledning.
Endelig vedtog Databeskyttelsesrådet en udtalelse om godkendelse af EuroPriSe-kriteriumkataloget for databehandleres certificering af behandlingsaktiviteter, hvilket resulterede i en europæisk databeskyttelsesmærkning.* Europæiske databeskyttelsesmærkninger er vigtige værktøjer, der bidrager til overholdelse af GDPR.
I september 2022 vedtog Databeskyttelsesrådet en udtalelse om EuroPriSe-certificeringskriterierne, som gjorde det muligt at anerkende dem i Tyskland som certificeringskriterier for databehandleres behandlingsaktiviteter. Efter en ajourføring af ordningen godkendes kriterierne i denne nye udtalelse som gældende i hele EU/EØS og som en europæisk databeskyttelsesmærkning.
GDPR-certificering bidrager til påvisning af overholdelsesbestræbelser og til øget gennemsigtighed og tillid. Det giver mulighed for bedre vurdering af den grad af beskyttelse, der tilbydes af produkter, tjenester, processer eller systemer, der anvendes af organisationer, der behandler personoplysninger.
Bemærkning til redaktører:
*Den europæiske databeskyttelsesmærkning EuroPrise vil blive føjet til registret over certificeringsmekanismer og databeskyttelsesmærkninger i overensstemmelse med artikel 42, stk. 8, i GDPR.
Udtalelsen om godkendelse af EuroPriSe-certificeringsordningen som europæisk databeskyttelsesmærkning, der blev vedtaget på Databeskyttelsesrådets plenarmøde, er underlagt den nødvendige juridiske, sproglige og formatmæssige kontrol og vil blive gjort tilgængelig på Databeskyttelsesrådets websted, når den er afsluttet.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.