Säkerställ enskildas rättigheter vid användning av generativ AI
Verksamheter behöver vidta åtgärder för att säkerställa enskildas rättigheter enligt dataskyddsförordningen vid användning av generativ AI. Verksamheten behöver till exempel överväga om det krävs uppdateringar av verksamhetens integritetspolicy eller liknande dokument som informerar enskilda om behandlingen av deras personuppgifter. Vidare bör verksamheten sträva efter att använda generativ AI med inbyggt skydd för enskildas rättigheter.
Innehållet på den här sidan kommer från Integritetsskyddsmyndigheten (IMY)
Inledning
Enligt dataskyddsförordningen ska en verksamhet på eget initiativ lämna viss information till enskilda om verksamhetens behandling av personuppgifter. Detta brukar kallas för rätten till information. Enskilda har också vissa rättigheter som de kan utöva på eget initiativ, till exempel rätten till tillgång, rättelse och radering.
På IMY:s webbplats finns allmän vägledande information om dessa så kallade registrerades rättigheter, till exempel om de tidsfrister som gäller för att besvara en begäran från en enskild. På IMY:s webbplats finns även mer specifik vägledande information om till exempel svarta lådan och rätten till information, där bland annat information om automatiserat beslutsfattande berörs.
- De registrerades rättigheter (imy.se)
Länk till annan webbplats. - Svarta lådan och rätten till information (imy.se) Länk till annan webbplats.
Personuppgifter i indata och utdata
Nedan finns riktlinjer för personuppgifter i indata till och utdata från generativa AI-system. Indata avser främst instruktioner och kontext som tillförs AI-systemet. Med utdata avses främst det som AI-systemet genererar, det vill säga resultatet.
Exempel angående rätten till information
Enligt rätten till information ska verksamheten informera enskilda om bland annat vilka mottagare eller kategorier av mottagare som får tillgång till deras personuppgifter. Om en verksamhet exempelvis använder generativ AI med en RAG-lösning (eng. retrieval-augmented generation) som innefattar behandling av personuppgifter, kan det innebära att uppgifterna överförs till en extern leverantör. Denna leverantör behandlar då personuppgifterna för verksamhetens räkning och agerar som personuppgiftsbiträde i detta avseende. I sådana fall är leverantören en sådan typ av mottagare som verksamheten är skyldig att informera enskilda om.
Rätten till information innebär också att enskilda ska informeras om bland annat överföringar av personuppgifter till ett tredjeland, det vill säga ett land utanför EU/EES, och det rättsliga stödet för överföringen. Det kan bli aktuellt vid användning av generativ AI.
Dessa krav på tydlig information kan innebära att en verksamhet som använder generativ AI behöver se över och uppdatera sina integritetspolicyer och liknande dokument med information till enskilda om hur deras personuppgifter behandlas vid användningen av generativ AI.
Exempel för rätten till tillgång
Rätten till tillgång innebär att enskilda som huvudregel har rätt att på begäran få veta om en verksamhet behandlar personuppgifter som rör dem. Om så är fallet har de också rätt att få en kopia av dessa uppgifter samt information om hur de används. Denna rätt omfattar i regel också de personuppgifter som används som indata och som genereras som utdata av ett generativt AI-system.
Det finns dock undantag från rätten till tillgång som kan vara tillämpliga på både indata och utdata. Rätten till tillgång gäller inte personuppgifter som inte får lämnas ut till den enskilde på grund av sekretess eller tystnadsplikt. Undantag gäller också för personuppgifter i löpande text som ännu inte fått sin slutliga utformning vid tidpunkten för begäran, samt för personuppgifter som finns i minnesanteckningar eller liknande handlingar. Undantagen för löpande text och minnesanteckningar gäller dock endast om handlingarna inte har lämnats ut till en tredje part. I detta sammanhang räknas personuppgiftsbiträden inte som tredje part.
Det är möjligt att prompter som innehåller personuppgifter kan betraktas som löpande text som ännu inte fått sin slutliga utformning eller som en minnesanteckning. Detta skulle innebära att prompten kan undantas från rätten till tillgång, förutsatt att den inte har lämnats ut till en tredje part. Utdata som genereras baserat på prompten kan på samma sätt betraktas som löpande text eller en minnesanteckning. Om utdata däremot diarieförs eller expedieras omfattas de i regel av rätten till tillgång, men kan ändå vara undantagen om informationen är föremål för sekretess eller tystnadsplikt.
Personuppgifter som kan finnas i AI-modeller
Det kan vara utmanande att tillgodose enskildas rättigheter
Generativa AI-system kan ha personuppgifter inlärda från utvecklingen av grundmodellen. Det kan röra sig om uppgifter om väldigt många personer. Det är i dagsläget närmast omöjligt för en verksamhet som använder ett generativt AI-system att kunna avgöra vilkas personuppgifter som har behandlats i samband med utvecklingen av grundmodellen och som eventuellt finns inlärda i modellen. Detta gör det utmanande för verksamheter som planerar att använda generativ AI att kunna tillgodose enskildas rättigheter enligt dataskyddsförordningen. Mot denna bakgrund ges följande vägledande riktlinjer.
Rätten till information
Ge allmän information om hur generativ AI används i verksamheten
Verksamheter behöver inte på eget initiativ lämna information om sin användning av ett generativt AI-system till alla enskilda vars personuppgifter kan ha använts som träningsdata för att utveckla systemets grundmodell. Detta skulle nämligen medföra en oproportionerlig ansträngning enligt dataskyddsförordningens bestämmelser. Istället bör verksamheten tillhandahålla information för allmänheten om vilka generativa AI-system eller grundmodeller som används, exempelvis genom att inkludera sådan information i en integritetspolicy eller AI-policy som är allmänt tillgänglig.
Rätten till tillgång, rättelse och radering
Välj AI-system med inbyggt dataskydd som standard
Verksamheter bör prioritera att använda generativa AI-system som gör det möjligt att tillgodose en begäran om utövande av enskildas rättigheter enligt dataskyddsförordningen. Vid valet av AI-system bör verksamheten beakta den senaste tekniska utvecklingen på området, genomförandekostnaderna och de risker som kan uppstå för personuppgifter i samband med användning av AI-systemet.
Underlätta utövandet av enskildas rättigheter och förklara ett eventuellt avslag
Om en verksamhet bedömer att den inte kan tillgodose en begäran från en enskild om utövande av sina rättigheter enligt dataskyddsförordningen, bör verksamheten ändå sträva efter att underlätta för den enskilde. Det kan till exempel göras genom att hänvisa till lämpliga kanaler för en motsvarande begäran hos leverantören av det AI-system som verksamheten använder. Verksamheten bör även förklara skälen till varför en begäran inte kan tillgodoses, men verksamheten är inte skyldig att besvara begäranden som är uppenbart ogrundade eller orimliga.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: