Vad innebär GDPR?
GDPR, som trädde i kraft i maj 2018, är EU:s allmänna dataskyddsförordning som reglerar hur personuppgifter får samlas in, behandlas och lagras. När en organisation vill använda någon typ av ny teknik som kan leda till en hög risk för individers rättigheter kan en konsekvensbedömning, Data Protection Impact Assessment (DPIA), enligt behöva göras. Riskerna med personuppgiftsbehandlingen behöver bedömas och hanteras samtidigt ska behandlingen kartläggas och beskrivas.
Vad innebär EU:s AI-förordning?
EU:s AI-förordning, eller AI Act, är en ny förordning som syftar till att reglera användningen av AI-teknologier inom EU. Förordningen introducerar ett riskbaserat ramverk där AI-system delas in i olika riskkategorier, från minimal risk till hög risk. De mest riskfyllda AI-systemen, som kan påverka människors grundläggande rättigheter eller säkerhet, omfattas av stränga krav på transparens, säkerhet och övervakning. En proaktiv riskbedömning, liknande den för GDPR, förekommer också i den nya AI-förordningen. En Fundamental Rights Impact Assessment (FRIA) utföras innan så kallade högrisk-AI-system tas i bruk. Denna skyldighet gäller för de flesta verksamheter som räknas som hög risk samt mer generellt för statliga myndigheter och andra aktörer som utför offentlig verksamhet och som driftsätter ett högrisk-AI-system.
Hur förhåller sig AI-förordningen till GDPR?
Relationen mellan AI-förordningen och GDPR blir allt oftare relevant eftersom personuppgifter vanligtvis behandlas vid användning av AI. En FRIA ska utvärdera AI-systemets effekt på grundläggande rättigheter. Risken för skada i förhållande till enskilda ska beskrivas och de åtgärder som vidtas ifall skadan realiseras ska redovisas. En DPIA har som bekant liknande syfte som en FRIA – att hantera dataskyddsrisker för att skydda individers fri- och rättigheter. Dessa två typer av riskbedömningar kan därför anses ha vissa överlappande moment. I nuläget anser många experter att AI-aspekterna kan fångas upp inom ramen för en DPIA men hur det faktiskt kommer att fungera i praktiken är ännu oklart. Det finns ännu inget besked om vilken svensk myndighet som kommer att få det övergripande ansvaret för AI-förordningen. Däremot är det inte långsökt att tänka sig att uppdraget årminstone delvis kommer landa hos Integritetsskyddsmyndigheten (IMY). De har vana och stor erfarenhet av att ge vägledning om juridik och komplicerad teknik. IMY är sedan 2018 tillsynsmyndighet för efterlevnad av GDPR.
Lär dig mer – missa inte webbinariet
Under webbinariet den 19 september går Johan Sundberg, Johan Thörn och Fredrik Eråker från edpLaw igenom de krav som AI-förordningen ställer på organisationer och hur reglerna kan följas i praktiken. Fokus kommer ligga på just relationen mellan GDPR och den nya förordningen vid hantering av personuppgifter.