Bryssel den 18 december – Europeiska dataskyddsstyrelsen (EDPB) har antagit ett yttrande* om användningen av personuppgifter för utveckling och införande av AI-modeller. I detta yttrande undersöks 1) när och hur AI-modeller kan betraktas som anonyma, 2) om och hur berättigat intresse kan användas som rättslig grund för att utveckla eller använda AI-modeller, och 3) vad som händer om en AI-modell utvecklas med hjälp av personuppgifter som behandlats olagligt. Den tar också hänsyn till användningen av uppgifter från första och tredje part.
Yttrandet begärdes av den irländska dataskyddsmyndigheten (DPA) i syfte att eftersträva en EU-omfattande harmonisering av lagstiftningen. För att samla in synpunkter till detta yttrande, som handlar om snabbrörlig teknik som har en viktig inverkan på samhället, anordnade EDPB ett evenemang för berörda parter och hade ett utbyte med EU:s AI-byrå.
EDPB:s ordförande Talus sade följande: ”AI-teknik kan medföra många möjligheter och fördelar för olika branscher och områden i livet. Vi måste se till att dessa innovationer görs etiskt, säkert och på ett sätt som gynnar alla. EDPB vill stödja ansvarsfull AI-innovation genom att säkerställa att personuppgifter skyddas och med full respekt för den allmänna dataskyddsförordningen.”
När det gäller anonymitet anges det i yttrandet att huruvida en AI-modell är anonym bör bedömas från fall till fall av dataskyddsmyndigheterna. För att en modell ska vara anonym bör det vara mycket osannolikt 1) att direkt eller indirekt identifiera personer vars uppgifter användes för att skapa modellen, och 2) att extrahera sådana personuppgifter från modellen genom frågor. Yttrandet innehåller en icke-föreskrivande och icke-uttömmande förteckning över metoder för att visa anonymitet.
När det gäller berättigat intresse innehåller yttrandet allmänna överväganden som dataskyddsmyndigheterna bör beakta när de bedömer om berättigat intresse är en lämplig rättslig grund för behandling av personuppgifter för utveckling och införande av AI-modeller.
Ett trestegstest hjälper till att bedöma användningen av berättigat intresse som rättslig grund. EDPB ger exempel på en konversationsagent som hjälper användarna och användningen av AI för att förbättra cybersäkerheten. Dessa tjänster kan vara till nytta för enskilda personer och kan förlita sig på ett berättigat intresse som rättslig grund, men endast om behandlingen visar sig vara absolut nödvändig och avvägningen mellan rättigheter respekteras.
Yttrandet innehåller också ett antal kriterier för att hjälpa dataskyddsmyndigheterna att bedöma om enskilda personer rimligen kan förvänta sig viss användning av deras personuppgifter. Dessa kriterier omfattar följande: huruvida personuppgifterna var allmänt tillgängliga eller inte, arten av förhållandet mellan den enskilde och den personuppgiftsansvarige, tjänstens art, det sammanhang i vilket personuppgifterna samlades in, källan från vilken uppgifterna samlades in, modellens potentiella vidare användning och huruvida enskilda personer faktiskt är medvetna om att deras personuppgifter är online.
Om avvägningstestet visar att behandlingen inte bör äga rum på grund av den negativa inverkan på enskilda personer kan riskreducerande åtgärder begränsa denna negativa inverkan. Yttrandet innehåller en icke uttömmande förteckning över exempel på sådana riskreducerande åtgärder, som kan vara av teknisk karaktär eller göra det lättare för enskilda att utöva sina rättigheter eller öka insynen.
Slutligen, när en AI-modell utvecklades med olagligt behandlade personuppgifter skulle detta kunna påverka lagligheten i dess införande, såvida inte modellen vederbörligen har anonymiserats.
Med tanke på omfattningen av den irländska dataskyddsmyndighetens begäran, den stora mångfalden av AI-modeller och deras snabba utveckling syftar yttrandet till att ge vägledning om olika faktorer som kan användas för att genomföra en analys från fall till fall.
Dessutom håller EDPB för närvarande på att utarbeta riktlinjer som omfattar mer specifika frågor, såsom webbskrapning.
Meddelande till redaktörer:
*Ett yttrande enligt artikel 64.2 behandlar en fråga med allmän räckvidd eller har verkan i mer än en medlemsstat.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.