Beakta dataskyddsregelverket som utgångspunkt

Vad avses med dataskyddsregelverket?

Med dataskyddsregelverket avses här regler som rör behandling av personuppgifter. Dessa regler är framför allt EU:s dataskyddsförordning, vanligen kallad GDPR, och kompletterande nationell lagstiftning. Exempel på sådan kompletterande nationell lagstiftning är den så kallade dataskyddslagen och sektorspecifik reglering av personuppgiftsbehandling, så kallade registerförfattningar. Mer information om dataskyddsregelverket finns på IMY:s webbplats, se till exempel nedan under dokument och länkar.

Dataskyddsregelverket ska beaktas om personuppgifter behandlas

En stor del av den offentliga förvaltningens användning av generativ AI kan antas innebära att personuppgifter behandlas. Det sker till exempel en behandling av personuppgifter när generativ AI förses med data som innehåller personuppgifter. Om personuppgifter behandlas vid användning av generativ AI innebär det att dataskyddsregelverket ska beaktas.

Dataskyddsregelverket bör som utgångspunkt beaktas även vid annan användning

Även i situationer där verksamheter inte avser att behandla personuppgifter med generativ AI kan dataskyddsregelverket behöva beaktas vid användningen. Detta eftersom en grundmodell (även kallad AI-modell för allmänna ändamål eller AI-modell) som finns i generativa AI-system ofta har personuppgifter inlärda sedan utvecklingen av modellen. Sådana personuppgifter kan behandlas till exempel genom att en medarbetare avsiktligt eller oavsiktligt instruera AI-systemet på ett sätt som får det att ange personuppgifter som finns inlärda. Det kan också ske genom att en extern part attackerar systemet och då får fram personuppgifter som finns inlärda.

Som utgångspunkt kan därför verksamheter inom offentlig förvaltning utgå från att dataskyddsregelverket bör beaktas vid användning av generativ AI. I vissa fall kan dock åtgärder ha vidtagits för att säkerställa anonymisering av AI-system, vilket innebär att dataskyddsregelverket inte är tillämpligt. För att åstadkomma anonymisering krävs att risken är försumbar för att såväl användare av systemet som externa parter kan få ut personuppgifter ur AI-systemet [1].

Dataskyddsrättsliga frågeställningar som behöver besvaras

Verksamheter som avser att använda generativ AI behöver sålunda ofta se till att användningen är förenlig med dataskyddsregelverket. Frågor som då behöver besvaras är bland annat följande.

• Är användningen förenlig med de grundläggande dataskyddsrättsliga principerna?
• Vem är personuppgiftsansvarig? Finns det personuppgiftsbiträden?
• Finns det rättslig grund och annat rättsligt stöd för behandlingen av personuppgifter?
• Sker det automatiserat beslutsfattande eller överföring av personuppgifter till tredje land vid användningen och finns i så fall förutsättningar för det?
• Hur ska enskildas rättigheter tillgodoses vid användningen?
• Hur ska lämplig säkerhet uppnås vid användningen?
• Vilka risker från ett dataskyddsperspektiv medför användningen av generativ AI? Vilka åtgärder kan vidtas för att begränsa riskerna?

I de relaterade riktlinjer som anges nedan finns vägledning kring de här frågorna. I ett särskilt avsnitt ges närmare vägledning för användningen av generativ AI som är allmänt tillgänglig via internet och för generativ AI som kan finnas integrerad i befintliga kontors- och företagsprogramvaror.

Dokument och länkar

• Det här gäller enligt dataskydds­förordningen (imy.se) Länk till annan webbplats.
• Så hänger lagarna ihop (imy.se) Länk till annan webbplats.

Relaterade riktlinjer

• Använd generativ AI enligt de dataskyddsrättsliga principerna
• Klargör rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde
• Se till att det finns rättslig grund och annat rättsligt stöd för användningen
• Säkerställ enskildas rättigheter vid användning av generativ AI
• Bedöm riskerna med användningen och säkerställ lämplig säkerhet
• Särskilt om användning av allmänt tillgänglig och integrerad generativ AI

Källhänvisning

[1] Se Europeiska dataskyddsstyrelsen (EDPB) Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, antaget den 17 december 2024, avsnitt 3.1 – 3.2, särskilt p. 31 och 43 (pdf, europa.eu) Länk till annan webbplats.