EDPB: Nye retningslinjer for GDPR-compliance ved anvendelse af AI

Den Europæiske Databeskyttelsesmyndighed (EDPB) har offentliggjort et notat med nye retningslinjer, der fokuserer på brugen af persondata i udvikling og implementering af AI-modeller. Notatet fremhæver behovet for ansvarlig og GDPR-kompatibel anvendelse af kunstig intelligens, som udvikler sig hurtigt og påvirker samfundet bredt.
News
IT og Teknologi

EDPB har udarbejdet retningslinjer om, hvordan virksomheder kan bruge persondata til at udvikle og anvende kunstig intelligens, der overholder GDPR. Retningslinjerne fremhæver tre centrale områder. 

Anonymitet i AI-modeller 

Med hensyn til anonymitet bør myndighederne (i Danmark Datatilsynet) vurdere fra sag til sag, om en AI-model er anonym. For at en model kan være anonym bør det være meget usandsynligt 1) direkte eller indirekte at identificere personer, hvis data blev brugt til at oprette modellen, og 2) at udtrække sådanne personoplysninger fra modellen gennem forespørgsler.  

Retningslinjerne indeholder en ikke bindende og en ikkeudtømmende liste over metoder til påvisning af anonymitet. Der skal således stadig foretages grundige overvejelser til vurdering af, om anonymitet i den enkelte AI-løsning foreligger. 

Legitim interesse som retsgrundlag 

Retningslinjerne skitserer en tretrinsmodel, der hjælper virksomheder med at afgøre, hvornår legitim interesse kan fungere som retsgrundlag for behandling af persondata i AI-udvikling. EDPB fremhæver AI-løsninger til cybersikkerhed og forbedret brugervenlighed som eksempler. Behandlingen skal dog opfylde krav om nødvendighed og balancere rettigheder og interesser korrekt.  

Retningslinjerne tager heller ikke stilling til behandling af særlige kategorier af personoplysninger ved anvendelse af AI (f.eks. helbredsoplysninger, oplysninger som seksualitet, biometriske oplysninger, osv.).  

Retningslinjerne indeholder også en række kriterier, der skal hjælpe databeskyttelsesmyndighederne med at vurdere, om enkeltpersoner med rimelighed kan forvente visse anvendelser af deres personoplysninger.   

Ulovligt behandlet persondata 

Brug af ulovligt behandlet persondata i en AI-model skaber udfordringer for lovligheden af AI-modellens anvendelse. EDPB understreger, at virksomheder kan bevare lovligheden, hvis de anonymiserer data tilstrækkeligt. 

Du kan læse hele udtalelsen her 

LES’ kommentarer 

EDPB’s retningslinjer er relevante for virksomheder, der udvikler og anvender AI med persondata. Det giver retningslinjer for de overvejelser, som en virksomhed står overfor for at sikre korrekt håndtering af første- og tredjepartsdata. Retningslinjerne foreslår også konkrete tekniske løsninger, som beskytter individers rettigheder og fremmer transparens i AI-processer. Dette bekræfter, at GDPR understøtter innovation frem for at hindre den og skaber et fundament for ansvarlig og bæredygtig AI-udvikling. 

Virksomheder, der følger disse retningslinjer og implementerer tekniske og juridiske tiltag tidligt i processen, reducerer både risici og styrker tilliden fra kunder og samarbejdspartnere. 

Retningslinjerne er fortsat meget overordnede, og du skal som virksomhed stadig foretage en del overvejelser, inden du opsætter processer mv. Kontakt derfor IT-certificeret advokat Torsten Hylleberg, hvis du ønsker rådgivning om, hvordan I kan sikre, at jeres AI-modeller overholder GDPR. 

 

Contact
Torsten Hylleberg
partner
advokat
Daniel Benjamin Pedersen
advokatfuldmægtig

Related employees

Torsten is partner and highly specialized in GDPR, IT law and marketing law.

Torsten Hylleberg

Partner
Attorney
As an assistant attorney in our Corporate Commercial team, Daniel advises clients on corporate matters, including intellectual property rights such as design protection, trademarks, and more.

Daniel Benjamin Pedersen

Assistant Attorney

Related news

See all news
News

Is your company ready for the new NIS2 regulation?

A new bill has been submitted for hearing, aimed at strengthening the protection of Denmark's network and information systems against cyberattacks and other security threats. The bill is designed to implement the ambitious EU directive, NIS2, into Danish law, ensuring a consistent and high standard of cybersecurity across the EU.
IT and Technology
News

AI Expert: "AI is a threat to those who sit on their hands"

How can you, as a leader, use AI to drive growth and innovation in your company? We asked AI expert Thomas Terney for his insights. He believes that generative AI is a technology poised to change the way we communicate and work. He also offers advice on ensuring successful implementation of AI tools, which is crucial for staying competitive in a world where the spread of AI is happening at an unprecedented pace.
IT and Technology
News

Lund Elmer Sandager con­tri­bu­tes to the In­ter­na­tio­nal Com­pa­ra­ti­ve Legal Guide – Data Protection 2023

Lund Elmer Sandager has contributed with an enlightening chapter on Data Protection Laws and Regulations, which provides updated insights into the Danish legal Data Protection regulations in this prestigious, international guide.
IT and Technology
News

Are your contracts as adaptable as the rest of the company?

The corona pandemic has shown us how quickly and radically the world can change, and how incredibly important it is that companies can effectively adapt to new situations. It places great demands on the legal contracts, which must provide the necessary flexibility to the parties when new opportunities and risks arise.
IT and Technology
News

New EU Regulation on Artificial Intelligence is on its way

Back in April 2021, the European Commission presented a proposal on what could be the first targeted EU legislation in the field of Artificial Intelligence. This so-called AI (Artificial Intelligence) Regulation aim to ensure the EU citizens’ reliance in the use of AI systems.
IT and Technology
News

The Danish Financial Supervisory Authority extends the deadline for implementing Strong Customer Authentication by 18 months

However, the extension does not change that the rules on strong customer authentication will enter into force on September 14, 2019.
IT and Technology