Överväg om automatiserat beslutsfattande och överföring till tredje land förekommer
Vid användning av generativ AI kan bestämmelser i dataskyddsförordningen om automatiserat beslutsfattande och överföring av personuppgifter till tredjeland aktualiseras. För att myndigheter ska kunna använda generativ AI för automatiserat beslutsfattande behöver förvaltningslagens krav på proportionalitet, objektivitet och legalitet följas. Om användningen av AI innebär att personuppgifter förs över till ett land utanför EU/EES måste särskilda villkor enligt dataskyddsförordningen vara uppfyllda.
Innehållet på den här sidan kommer från Integritetsskyddsmyndigheten (IMY)
Automatiserat beslutsfattande
Generativ AI kan användas för att fatta beslut om enskilda. Det finns bestämmelser i dataskyddsförordningen som reglerar i vilka situationer automatiserat beslutsfattande är tillåtet. Bestämmelserna är dock endast tillämpliga på beslut som har rättsliga följder för eller i betydande grad påverkar den enskilde, till exempel vid myndighetsutövning.
Vad är automatiserat beslutsfattande?
Automatiserat beslutsfattande innebär att beslut fattas utan mänsklig inblandning. För att något ska anses vara ett automatiserat beslutsfattande enligt dataskyddsförordningen måste själva beslutsfattandet ske genom automatiserad behandling av personuppgifter. Om generativ AI används som stöd i beslutsfattandet men det är en människa som fattar själva beslutet, är det inte fråga om ett automatiserat beslutsfattande enligt dataskyddsförordningen. Om en människa i praktiken förlitar sig på det underlag som ett AI-system genererar på ett avgörande sätt, kan det dock betraktas som ett automatiserat beslutsfattande enligt dataskyddsförordningen även om det formella beslutet fattas av personen ifråga [1].
Är automatiserat beslutsfattande tillåtet?
Huvudregeln i dataskyddsförordningen är att automatiserat beslutsfattande är förbjudet. Det finns dock ett antal undantag från förbudet. Ett undantag är att det finns reglering som tillåter automatiserat beslutsfattande och att denna reglering innehåller lämpliga skyddsåtgärder. Regeringen har bedömt att den svenska regleringen i förvaltningslagen, kommunallagen och viss speciallagstiftning ger förutsättningar för automatiserat beslutsfattande enligt dataskyddsförordningen [2].
För att generativ AI ska kunna ligga till grund för automatiserat beslutsfattande inom myndigheter krävs att förvaltningslagens krav på proportionalitet, objektivitet och legalitet följs. Det behöver därför säkerställas att beslutsfattandet följer gällande regler, är förutsebart och att ovidkommande hänsyn inte tas. Detta innebär att det bland annat måste säkerställas att partiskhet, så kallad bias, och hallucinationer inte påverkar enskilda på ett negativt sätt. Om detta inte kan säkerställas i tillräcklig utsträckning behöver andra lösningar väljas, till exempel ett regelbaserat system.
Överföring av personuppgifter till tredjeland
Användning av generativ AI kan många gånger innebära att personuppgifter överförs till en extern tjänsteleverantör. Överförs personuppgifterna då till ett land utanför EU/EES, det vill säga ett tredjeland, är överföringen endast tillåten om särskilda förutsättningar i dataskyddsförordningen är uppfyllda. För överföringar av personuppgifter till USA kan det finnas sådana förutsättningar om leverantören omfattas av det så kallade EU-U.S. Data Privacy Framework. En verksamhet som överväger att använda generativ AI som inbegriper överföring av personuppgifter till ett tredjeland behöver kontrollera om det finns förutsättningar för det.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: