Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Går det att använda AI i en kommun eller annan myndighet på ett sätt som är förenligt med dataskyddsregelverket?

Juristens svar

AI är ett högaktuellt ämne på flera sätt, bland annat med tanke på nya och kommande regelverk, pågående projekt och nyligen publicerade vägledningar riktade till offentlig sektor. Det korta svaret på frågan är ja – det går att implementera AI på ett sätt som är förenligt med dataskyddsregelverket. Ett alternativ är att använda ett AI-system som inte behandlar personuppgifter alls. Men de flesta AI-tillämpningar inom offentlig sektor kommer att behandla personuppgifter i någon form.

Vad behöver vi då tänka på när vi vill använda ett AI-system som kommer att behandla personuppgifter?

En första utgångspunkt i allt informationssäkerhets- och dataskyddsarbete är att ha god kunskap om den information som ska behandlas i systemet. I detta avseende skiljer sig inte ett AI-system från något annat IT-baserat system. Många organisationer arbetar systematiskt med klassning av information, analys av rättsliga förutsättningar och riskanalyser utifrån klassningen och lagstiftning som informationen omfattas av. Detta behöver även göras vid användning av ett AI-system.

En andra utgångspunkt är att dataskyddsregelverket blir tillämpligt om systemet kommer att behandla personuppgifter. Utgå då ifrån de grundläggande principerna i artikel 5 i dataskyddsförordningen och vidta åtgärder för att till exempel minimera användningen av personuppgifter och säkerställ att behandlingen av personuppgifter sker på ett öppet sätt i förhållande till den enskilde. Det är viktigt att principerna efterlevs redan innan personuppgiftsbehandlingen påbörjas och att de därefter tillämpas kontinuerligt under hela systemets användning.

Precis som vid all annan behandling av personuppgifter behöver det anges ett tydligt ändamål med behandlingen och fastställas en laglig grund för behandlingen i systemet. Den lagliga grunden behöver ha ett tydligare stöd ju större risker det finns med behandlingen av personuppgifter i systemet.

Om användningen av AI-systemet medför att personuppgifter kommer att överföras eller göras tillgängliga för en leverantör behöver personuppgiftsansvaret mellan parterna fastställas. Om leverantören blir personuppgiftsbiträde till kommunen eller myndigheten behöver ett personuppgiftsbiträdesavtal i enlighet med artikel 28 i dataskyddsförordningen tecknas. Om uppgifterna omfattas av sekretess kan en överföring förhoppningsvis baseras på 10 kap 2 a § i offentlighets- och sekretesslagen (2009:400) och med tillämpning av lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter eller en avtalsreglerad sekretess och tystnadsplikt. Om uppgifterna förs över till ett land utanför EU, till exempel USA, behöver överföringen grunda sig på någon av artiklarna i kapitel V i dataskyddsförordningen.

De registrerades rättigheter enligt dataskyddsförordningen behöver säkerställas även vid användningen av AI-system. Organisationens integritetspolicy eller liknande dokument som informerar enskilda om behandlingen av deras personuppgifter kan till exempel behöva uppdateras.

Precis som vid användning av andra IT-system behöver det alltid göras en eller flera riskanalyser innan användningen av ett AI-system. Kravet på att det alltid ska göras en riskanalys framgår av artikel 5.1 f), artikel 24, artikel 28 och artikel 32 dataskyddsförordningen. Den personuppgiftsansvarige ska alltid se till att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Detta medför att en riskanalys avseende dataskydd alltid ska genomföras. I vissa fall kan det behöva göras en konsekvensbedömning avseende dataskydd enligt artikel 35. Det är i detta sammanhang även viktigt att beakta artikel 25 med inbyggt dataskydd och dataskydd som standard redan från början.

I vissa fall kan AI komma att omfatta automatiskt beslutsfattande vilket då behöver vara förenligt med dataskyddsförordningen och förvaltningslagen (2017:900). Om den personuppgiftsansvarige är en kommun eller en region, behöver användningen också vara förenlig med kommunallagen (2017:725).

Sammanfattningsvis är svaret på frågan ja – det är fullt möjligt att använda AI i offentlig verksamhet på ett sätt som är förenligt med dataskyddsförordningen. Dock kräver det ett noggrant analysarbete innan AI-systemet tas i bruk.

Publicerad 21 feb 2025

Anders Vedin

Rådgivare, jurist

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Regeringen har lämnat en proposition till riksdagen som ska utöka möjligheterna för polisen och andra brottsbekämpande myndigheter att använda kameror för att bekämpa brott.

21 feb 2025

Regeringen föreslår att ett nytt rättsmedel mot långsam hantering av klagomål hos IMY införs genom ändringar i dataskyddslagen och brottsdatalagen.  

27 jan 2025

Vår dataskyddsjurist och rådgivare Moa Lundgren reder ut vad som gäller.

27 jan 2025