Många företag tvekar inför AI-satsningar på grund av osäkerhet kring dataskyddsreglerna. Nu presenterar Integritetsskyddsmyndigheten (IMY) en ny rapport som ska göra det tydligare vilket ansvar leverantörer och kunder har när AI-modeller utvecklas, anpassas och används.
Frågan om vem som bär ansvaret för personuppgifter i AI-system har blivit allt viktigare i takt med att svenska företag utvecklar egna AI-lösningar och integrerar generativ AI i verksamheten.
Nu publicerar Integritetsskyddsmyndigheten (IMY) en rapport som syftar till att ge praktisk vägledning kring rollfördelningen enligt GDPR. Rapporten fokuserar särskilt på situationer där leverantörer använder och finjusterar förtränade AI-modeller med hjälp av personuppgifter.
Enligt IMY är den avgörande frågan inte vilken teknik som används, utan vem som bestämmer syftet med behandlingen av personuppgifterna och för vems räkning den sker.
För många verksamheter har osäkerheten kring dataskydd blivit ett hinder för AI-användning.
Samtidigt som organisationer ser stora möjligheter med AI för effektivisering, automatisering och beslutsstöd ökar kraven på att kunna visa att personuppgifter hanteras i enlighet med GDPR.
Otydliga ansvarsroller kan skapa risker både för leverantörer och kunder. Det kan också leda till osäkerhet kring ansvarsfördelning vid incidenter, tillsynsärenden eller klagomål från registrerade personer.
Mot den bakgrunden har IMY tillsammans med startupbolaget Eggsplain genomfört ett pilotprojekt för att analysera hur rollerna enligt GDPR ska bedömas i olika AI-scenarier.
Rapporten analyserar situationer där en leverantör finjusterar en AI-modell med personuppgifter, antingen som en del av den egna produktutvecklingen, på uppdrag av en kund eller i samarbete med kunden.
En central slutsats är att samma företag kan ha olika roller beroende på hur behandlingen genomförs.
– En viktig slutsats är att leverantörens roll beror på varför och för vems räkning personuppgifter behandlas. Om leverantören finjusterar en AI-modell med personuppgifter på eget initiativ, som en del av sin produktutveckling, är utgångspunkten att leverantören är personuppgiftsansvarig. Om finjusteringen i stället sker på uppdrag av en specifik kund och enligt kundens instruktioner, innebär det normalt att leverantören är personuppgiftsbiträde, säger David Suh, projektledare vid IMY.
För säkerhetsansvariga, dataskyddsombud och AI-projektledare innebär detta att ansvarsfrågan måste analyseras redan i planeringsfasen av ett AI-projekt.
Rapporten kommer i ett läge där många organisationer arbetar med att införa AI samtidigt som kraven från GDPR, NIS2 och andra regelverk skärps.
För verksamheter som hanterar känsliga personuppgifter kan felaktiga bedömningar av ansvarsfördelningen få betydande konsekvenser, både juridiskt och säkerhetsmässigt.
IMY hoppas att vägledningen ska göra det enklare för företag att förstå sina skyldigheter och skapa tydligare avtal mellan leverantörer och kunder.
– Vi ser att många företag vill göra rätt och respektera sina kunder, sina användare och dataskyddsregelverket. När AI-applikationer innehåller personers information behöver leverantörer förstå sin roll och sitt ansvar. Med den här vägledningen vill vi ge praktiskt stöd och bidra till tydligare förväntningar mellan leverantörer och kunder, säger David Suh.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
