Se till att det finns rättslig grund och annat rättsligt stöd för användningen

AI är ett medel, inte ett ändamål

Varje behandling av personuppgifter ska ske för ett eller flera berättigade ändamål. Ändamålen behöver vara särskilda och uttryckligt angivna. Att använda AI är inte ett sådant ändamål i sig, utan ett medel för att behandla information. Den behandling av personuppgifter som sker vid användning av generativ AI kan däremot utföras för flera olika ändamål samtidigt.

Använd generativ AI för att tillgodose verksamhetens uppgifter

Utgångspunkten är uppdraget

För varje behandling av personuppgifter behöver det finnas en rättslig grund. Den rättsliga grunden för behandling av personuppgifter i offentlig förvaltning är normalt att verksamheten ska utföra en uppgift av allmänt intresse. Uppdrag som ges till myndigheter och andra offentliga organ är uppgifter av allmänt intresse. Sådana uppdrag kan till exempel ges genom lag eller förordning eller ett regeringsbeslut. I den mån generativ AI bidrar till att verksamheten utför sitt uppdrag, kan det finnas stöd för att behandla personuppgifter med sådan teknik.

Effektivitet är centralt

För att personuppgiftsbehandling ska få ske för en uppgift av allmänt intresse krävs att behandlingen är nödvändig för att utföra uppgiften. Kravet på nödvändighet kan vara uppfyllt om användning av generativ AI bidrar till att effektivisera verksamheten. Effektivitet är ett krav som gäller för stora delar av den offentliga förvaltningen, till exempel till följd av bestämmelser i myndighetsförordningen, förvaltningslagen och bestämmelser om ekonomisk förvaltning i kommunallagen.

Överväg hur riskfylld behandlingen är

För att den rättsliga grunden uppgift av allmänt intresse ska kunna användas krävs det att uppgiften av allmänt intresse har fastställts till exempel i en lag eller annan författning eller ett regeringsbeslut. Ju större riskerna är med den tilltänka behandlingen, desto högre krav ställs på detta rättsliga stöds tydlighet, precision och förutsebarhet.

Mindre riskfyllda behandlingar

Behandlingar med mindre risker, till exempel behandling av ett mindre antal icke-känsliga personuppgifter, kan ske med stöd av ett mer allmänt hållet rättsligt stöd. Det kan exempelvis vara fallet om generativ AI används för att sammanfatta innehållet i en publik rapport där personuppgifter endast förekommer i form av namn på rapportens författare och ansvariga beslutsfattare. I dessa fall kan det utgöra en effektivitetsvinst att sammanfatta rapporten med generativ AI och det krävs då inga närmare överväganden om den rättsliga grunden.

Mer riskfyllda behandlingar

För behandlingar som innebär större risker, till exempel behandling av stora mängder känsliga personuppgifter, ställs det högre krav på det rättsliga stödet ifråga om tydlighet, precision och förutsebarhet. I sådana fall kan det krävas en särskild reglering som gör det förutsebart att behandlingen kommer att ske.

Känsliga personuppgifter

Känsliga personuppgifter, till exempel uppgifter om hälsa, är endast tillåtna att behandla om det finns ett särskilt stöd för det. Det gäller även vid användning av generativa AI-system.

EU-domstolen har gjort en bred tolkning av vad som ska anses vara känsliga personuppgifter i relation till teknik som har möjlighet att behandla stora mängder information [1]. Vid användning av generativ AI kan det innebära att verksamheten behöver bedöma om det finns stöd för att behandla känsliga personuppgifter, även om avsikten inte är att behandla sådana uppgifter [2].

Exempel

I rapporten "Utlämnande av allmänna handlingar med hjälp av AI" analyserade IMY användningen av generativ AI hos en kommun för att underlätta hanteringen av begäranden av allmänna handlingar enligt offentlighetsprincipen, bland annat i form av en så kallad RAG-lösning (eng. retrieval-augmented generation). Det rättsliga stödet för att behandla vanliga personuppgifter och känsliga personuppgifter analyserades i rapporten. Två olika fall berördes: ett mer omfattande fall kallat helhetstjänsten och ett snävare fall kallat maskeringstjänsten.

Sammantaget bedömde IMY att mycket talade för att det fanns stöd för att behandla personuppgifter, inklusive känsliga uppgifter, i den snävare maskeringstjänsten. Däremot ansågs övervägande skäl tala emot att det fanns rättsligt stöd för behandlingen av personuppgifter i den mer omfattande helhetstjänsten. Det rättsliga stödet i de två fallen var i huvudsak detsamma. Avgörande för skillnaden i bedömningen var de olika risker som de två fallen medförde, vilket är ett exempel på att ju större riskerna är med den tilltänka behandlingen, desto högre krav ställs på det rättsliga stödet.

Rapporten Utlämnande av allmänna handlingar med hjälp av AI (pdf, imy.se) Länk till annan webbplats.

Dokument och länkar

• Rättslig grund (imy.se) Länk till annan webbplats.
• När får ni behandla känsliga personuppgifter? (imy.se) Länk till annan webbplats.

Källhänvisning

• [1] Se EU-domstolens dom 2023-07-04, Bundeskartellamt, C-252/21, ECLI:EU:C:2023:537, fråga 2 a särskilt p. 73. Se även EU-domstolens dom 2024-10-04, Lindenapotheke, C-21/23, ECLI:EU:C:2024:846, fråga 2 punkterna 86-88.
• [2] Se t.ex. Claudio Novelli et al., Computer Law & Security Review, Volume 55, November 2024, https://doi.org/10.1016/j.clsr.2024.106066, avsnitt 3.1.2 på s. 5 f.