Bird & Bird sætter fokus på EU-Kommissionens udkast til regulering af AI med en artikelserie, der berører forskellige emner. Den første artikel omhandlede AI-systemer, der er af en sådan karakter, at de bliver ramt af et egentligt forbud. Denne artikel vil behandle de centrale spørgsmål vedrørende AI-forordningens forhold til GDPR.
GDPR har siden 25. maj 2018 sat en høj barre for regulering af beskyttelse af personoplysninger i EU. GDPR har et territorialt anvendelsesområde, der rækker ud over EU, og har derfor påvirket mange virksomheder i hele verden. GDPR har i vidt omfang sat den globale standard for beskyttelsen af personoplysninger, og forslaget til AI forordningen har potentialet til at gøre det samme for AI.
Ligheder
Bødestraf
Det høje bødeniveau i GDPR er spejlet i AI-forordningen, d.v.s. overtrædelser kan udløse bøder på op til 4 % af en koncerns samlede årige omsætning eller EUR 20 mio. Dog har EU-Kommissionen lagt op til at gange disse satse med 1,5 for visse overtrædelser (bl.a. for brug af forbudte AI-systemer), som kan udløse bøder på op til 6 % af den samlede årlige omsætning eller EUR 30 mio., alt efter hvilket beløb er størst.
Territorialt anvendelsesområde
I lighed med GDPR lægges der op til, at AI-forordningens anvendelsesområde skal baseres på et virkningsprincip (d.v.s. ud fra hvor AI-aktiviteten eller systemet har sin effekt uanset hvor den udføres). Forordningen vil således, hvis den vedtages i sin nuværende form, finde anvendelse på alle udbydere, der tilbyder AI-systemer på EU's indre marked, uanset om udbyderen er etableret inden for eller uden for EU. Derudover vil brugere af AI-systemer i EU samt udbydere og brugere af AI-systemer, der befinder sig i et tredjeland, men hvis output anvendes i EU, være omfattet.
Forholdet mellem GDPR og AI-forordningen
Data (inklusive personoplysninger) er nøgleingrediensen for udvikling og anvendelse af AI-systemer. AI-forordningen vil gælde side om side med GDPR, hvilket betyder, at alle regler og forpligtelser i GDPR skal efterleves fuldt ud ved anvendelsen af AI. I den forbindelse er der en række bestemmelser i GDPR, der i højere grad kan påvirke AI-systemer, herunder begrænse eller i det mindste komplicere brugen af personoplysninger i en AI kontekst.
Artikel 5 – Principper for behandling af personoplysninger
I henhold til artikel 5 skal alle personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde, indsamles til udtrykkeligt angivne og legitime formål, og må ikke viderebehandles på en måde, der er uforeneligt med disse formål (formålsbegrænsning) samt begrænses til, hvad der er nødvendigt i forhold til de formål hvortil de behandles (dataminimering). Herudover er der krav om, at personoplysningerne skal være korrekte og ajourførte (rigtighed) samt kun opbevares i den periode, der er nødvendig til de formål, hvortil oplysningerne behandles (opbevaringsbegrænsning)
Principperne om dataminimering, formålsbegrænsning, rigtighed og opbevaringsbegrænsning kan vise sig vanskelige at overholde, da kunstig intelligens oftest opererer med store mængder af data over længere perioder (Big Data), og hvor det ikke altid på forhånd er kendt, hvad alle dataene skal bruges til. Herudover er der udfordringer med at sikre, at disse data til enhver tid er ajourførte.
Data skal endvidere behandles på en gennemsigtig måde, så de registrerede ved præcist, hvordan deres oplysninger anvendes. Kravet opfyldes typisk ved at give klar og præcis information om behandlingen i en privacy notice, men vil i praksis ikke være opfyldt, hvis oplysningerne også bruges til andre formål, som den registrerede ikke har kunne forudse eller ikke ville kunne forvente de blev brugt til, og som derved ville anses for at være uforenelige med det formål, hvortil dataene oprindeligt blev indsamlet. Et eksempel herpå er profilering[1], der ofte bruger data oprindeligt indsamlet til andre formål, og hvor AI spiller en stor rolle.
Artikel 22 – Forbud mod automatiske individuelle afgørelser
Art. 22 er den eneste bestemmelse i GDPR, der i forvejen direkte regulerer brugen af kunstig intelligens. Reglen er derfor i høj grad relevant.
Art. 22(1) indeholder et generelt forbud mod brugen af automatiske individuelle afgørelser. Forbuddet har et begrænset anvendelsesområde, idet det kun er relevant, når en afgørelse:
Herudover finder forbuddet ikke anvendelse, hvis afgørelsen er: 1) nødvendig for opfyldelse eller indgåelse af en kontrakt, 2) hjemlet i EU-retten eller medlemsstaternes nationale ret, eller 3) baseret på den registreredes samtykke.
Forbuddet må alligevel forventes at påvirke og endda begrænse brugen af AI til at gennemføre automatiske afgørelser, idet brugen af kunstig intelligens øger sandsynligheden for, at afgørelsen udelukkende er baseret på automatisk behandling. Dette skyldes dels, at mennesker ikke nødvendigvis vil have adgang til al information brugt af AI-systemet, dels at det ikke altid vil være muligt at foretage en effektiv analyse af afgørelsen. Det kan på den baggrund være umuligt (eller kræve uforholdsmæssigt mange ressourcer) at sikre, at den automatiske afgørelse er genstand for menneskelig indgriben. Du kan læse mere om denne (og andre) problemstillinger her.
Artikel 13, 14 og 15 – Krav om transparens
En anden ting, der ofte diskuteres af de relevante stakeholders, er hvorvidt art. 13(2)(f), 14(2)(g) og 15(1)(h) reelt etablerer en ret for den registrerede til at kræve en individuel forklaring på logikken bag en automatisk afgørelse samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede. Hvis det på et tidspunkt bliver fastslået, at der er en sådan ret, vil det kræve uforholdsmæssigt store ressourcer for AI-baserede virksomheder at opfylde, ligesom der vil være en vanskelig afvejning i forhold til behovet for beskyttelse af forretningshemmeligheder.
Artikel 35 – Konsekvensanalyse (DPIA) for højrisikosystemer
Sidst men ikke mindst er artikel 35 særlig vigtig for brugen af det, som i udkastet er defineret som højrisikosystemer (AI-systemer der indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder). Efter bestemmelsen skal den dataansvarlige analysere en påtænkt behandlingsaktivitets konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Såfremt analysen viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger for at begrænse risikoen, skal den kompetente tilsynsmyndighed (i Danmark: Datatilsynet) høres forud for behandlingen. Konsekvensanalyser vil således i høj grad være relevante at tage i betragtning inden man tager højrisikosystemer i brug. Højrisikosystemerne, herunder forslagets krav til conformity assessments, vil være genstand for en separat artikel i denne serie.
EDBP udtaler sig om AI-forordningen
Den 18. juni 2021 blev der vedtaget en fællesudtalelse af EDPB (Det Europæiske Databeskyttelsesråd) og EDPS (Den Europæiske Tilsynsførende for Databeskyttelse) om EU-Kommissionens udkast. EDBP og EDPS byder udkastet velkommen, men påpeger, at der stadig er forhold, særligt i samspillet med GDPR, der skal arbejdes videre med. Derudover udtaler de, at generel brug af AI til entydig identifikation, social scoring og lignende skal forbydes i enhver henseende. Fællesudtalelsen kan findes her og om noget lægges der op til en skærpelse af regelsættet.
[1] Profilering er i GDPR artikel 4, nr. 4 defineret som enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende personens arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografiske position eller bevægelser.