Klargör rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde

Den verksamhet som använder generativ AI för att utföra sitt uppdrag är personuppgiftsansvarig för personuppgiftsbehandlingen. En leverantör av ett AI-system som behandlar personuppgifter för verksamhetens räkning kan vara personuppgiftsbiträde. I sådana fall krävs ett personuppgiftsbiträdesavtal mellan den ansvarige och biträdet.

Innehållet på den här sidan kommer från Integritetsskyddsmyndigheten (IMY)

Personuppgiftsansvar

För att säkerställa ett effektivt skydd av personuppgifter finns det alltid en eller flera personuppgiftsansvariga, det vill säga den som ansvarar för efterlevnaden av dataskyddsregelverket. Det är den som bestämmer ändamål och medel för behandlingen av personuppgifter, det vill säga hur och varför personuppgifterna behandlas, som är personuppgiftsansvarig. I offentlig förvaltning är det normalt en myndighet som är personuppgiftsansvarig.

Om en verksamhet behandlar personuppgifter för en personuppgiftsansvarigs räkning kallas den verksamheten för personuppgiftsbiträde. Dataskyddsförordningen ställer krav på att det finns ett personuppgiftsbiträdesavtal mellan den ansvarige och biträdet.

Verksamheten är personuppgiftsansvarig för sin användning av generativ AI

Den verksamhet inom offentlig förvaltning som använder generativ AI för att utföra sitt uppdrag är som utgångspunkt personuppgiftsansvarig för den personuppgiftsbehandling som sker i samband med användningen. Med detta ansvar följer en skyldighet att välja generativa AI-system som gör det möjligt för verksamheten att säkerställa att behandlingen sker i enlighet med dataskyddsförordningen.

Leverantörer av AI-systemet är som utgångspunkt personuppgiftsbiträde

Om en verksamhet anlitar en leverantör för att tillhandahålla ett AI-system för en viss uppgift, är leverantören personuppgiftsbiträde för den personuppgiftsbehandling som leverantören utför för verksamhetens räkning. En förutsättning för att leverantören inte också ska anses vara personuppgiftsansvarig är att den inte har något eget ändamål med behandlingen av personuppgifter, till exempel att använda uppgifterna för att vidareutveckla AI-systemets grundmodell. Enbart leverantörens intresse av att sälja ett AI-system är inte ett ändamål som i sig medför ett personuppgiftansvar.

Ansvar för oförutsedda behandlingar

Det kan vara svårt att förutse hur ett generativt AI-system kan komma att fungera i praktiken. En verksamhet är dock som utgångspunkt ansvarig för den behandling av personuppgifter som sker med generativ AI även när personuppgifter behandlas på ett oförutsett sätt. Undantag kan gälla för funktioner som verksamheten uttryckligen har motsatt sig och där tydliga instruktioner har getts till leverantören om att sådana funktioner inte ska ingå i AI-systemet. Det är därför viktigt att överväga vilka begränsningar som bör byggas in i systemet.

Dokument och länkar

Personuppgiftsansvariga och personuppgiftsbiträden (imy.se) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: