0. Introduktion och GDPR

När det kommer till juridik och lagar för artificiell intelligens får vi i Sverige i första hand titta på europeisk lagstiftning. Vi kan använda svensk lagstiftning också, men den handlar mer om hur vi använder tekniken i olika sammanhang.

Europeisk lagstiftning

• GDPR (General Data Protection Regulation, Dataskyddsförordningen på svenska)
• Artificial Intelligence Act

Svensk lagstiftning

• Dataskyddslagen
• Diskrimineringslagen
• Brottsbalken
  • Dataintrång
  • Olovlig identitetsanvändning
  • Olaga integritetsintrång
• Upphovsrättslagen
• Kamerabevakningslagen

Den svenska lagstiftningen nämns i specifika fall där den är direkt relevant. I den här lektionen fokuserar vi på GDPR.

Varför finns det två regelverk i EU?

När det talas om AI och juridik är det ofta två regelverk som dyker upp: GDPR och AI Act. De har olika syften och kompletterar varandra.

GDPR (Regulation (EU) 2016/679)

Fokuserar på personuppgifter. Frågan är: “Får vi behandla den här datan, och hur måste det ske?”

AI Act (Regulation (EU) 2024/1689)

Fokuserar på AI-systemens risknivå och användning. Frågan är: “Får vi använda den här AI-lösningen, och vilka krav gäller?”

Kort sagt:

• GDPR skyddar människors data och rättigheter.
• AI Act styr hur AI får utvecklas och användas beroende på risk.

GDPR - General Data Protection Regulation

GDPR antogs 2016 i EU och började tillämpas fullt ut 2018. Den reglerar hur personuppgifter får användas och lagras.

Fullständig lagstiftning

EU:s lagstiftning är tillgänglig fritt. Vill du läsa in dig på GDPR i detalj, hittar du den fullständiga lagtexten här:

• EUR-Lex
• Svensk översättning

För information på svenska kan du läsa:

• Integritetsskyddsmyndighetens vägledning

Artikel 5 - Principer

Den första artikeln vi fokuserar på är den femte, som definierar lagstiftningens principer. I korthet finns det 7 principer:

Personlig information ska …

• … hanteras med laglighet, korrekthet och öppenhet.
• … samlas in enbart med tydligt syfte och ändamål.
• … användas i så liten utsträckning som möjligt (“dataminimering”).
• … alltid hållas korrekt (felaktig information ska tas bort så snart som möjligt).
• … lagras i så liten utsträckning som möjligt (“lagringsminimering”).
• … förvaras och användas på ett säkert sätt.

Den sjunde principen syftar på ansvarsskyldighet: den som lagrar och använder personuppgifter ansvarar för att övriga principer följs.

Artikel 5 och AI

Redan i principerna ser vi tydligt att GDPR och AI har mindre att göra med personlig användning och mer med hur AI-system tränas och används i organisationer.

Artikel 6 - Rättslig grund

Personuppgiftsbehandling kräver rättslig grund. Det innebär att inte vem som helst kan samla in personuppgifter, utan det måste finnas rättsliga skäl, exempelvis:

• rättslig förpliktelse (lagar och regler kräver personuppgifter)
• avtal
• myndighetsuppgifter eller om uppgifterna är av allmänt intresse
• personen har lämnat samtycke (fungerar, men det måste vara frivilligt, tydligt och möjligt att ångra)

I korta drag måste det alltså finnas en tydlig och rättslig anledning till att använda sig av personuppgifter.

Artikel 9 - Särskilda kategorier av personuppgifter

Vissa kategorier av personuppgifter klassificeras som extra känsliga och de har därför ett extra starkt skydd i lagstiftningen. Det handlar om uppgifter som exempelvis berör:

• Etniskt ursprung
• Politiska åsikter
• Religiös övertygelse
• Genetiska eller biometriska uppgifter
• Hälsouppgifter
• Uppgifter som sexuell läggning eller sexualliv

Det här får tydliga konsekvenser inom exempelvis skola och vård som hanteras exempelvis hälsouppgifter. Det är därför områden där AI-tekniken är ännu känsligare att använda sig av.

Artikel 13 & 14 - Rätten till information

Artikel 13 tydliggör att den som har lämnat in personuppgifter tydligt ska informeras om vad dessa uppgifter används till och vilken rättslig grund som finns. De ska också få information om exakt vad som samlas in och hur länge dessa uppgifter kommer lagras. Vidare ska de också veta vem som dataskyddsombud, och vem de kan kontakta.

Artikel 14 är en påbyggnad och handlar om samma sak, med skillnaden om personen inte har lämnat uppgifterna själv. Det spelar således ingen roll om du lämnat uppgifterna frivilligt eller om de samlats in utan din kunskap, du har samma rätt till information.

Rätten till information och AI

Den här punkten blir extra känslig när vi funderar kring hur AI-modeller tränas på insamlad information. Om dina personuppgifter skulle finnas i träningsdatan har du troligtvis inte fått information om det.

Alternativt har de funnits gömt i någon av alla de villkor du accepterar när vi använder olika gratistjänster som Google, Facebook, TikTok etc.

Artikel 22 - Automatiserat beslutsfattande

Den sista artikeln vi tittar på i detalj är Artikel 22, och som också är den som tydligast har en koppling till AI-tekniken.

I korta drag syftar den till att varje medborgare har rätt att inte bli föremål för automatiserade beslut utifrån de personuppgifter de har lämnat ifrån sig. Det betyder att en människa måste vara delaktig i beslutet för att det ska följa lagstiftningen.

Artikel 22 och AI

Denna artikel är skriven före den snabba utvecklingen av AI (skriven 2016), men har lyckats ge europeiska medborgare ett starkt skydd kring hur deras personuppgifter får användas i AI-system.

Huvudregeln är att viktiga beslut om en person inte ska tas helt automatiskt. En människa ska kunna granska beslutet och den som berörs ska kunna säga emot.

Det här ger faktiskt ett starkt skydd för europeiska medborgare!

Fler artiklar

Hela lagstiftningen innehåller 99 artiklar, många av dessa är dock ren formalia eller handlar om giltighet osv. Lagstiftningen har dock varit en av de mest framträdande europeiska lagstiftningarna under nästan 10 års tid, även före det att AI-tekniken tog sina stora kliv framåt. Det kan därför vara av eget intresse att faktiskt läsa in sig på lagstiftningen och vilka rättigheter du faktiskt har som europeisk medborgare.

Rätten till radering

En av de absolut vanligaste användningsområden för enskilda medborgare är artikel 17 och rätten till radering. Exempelvis när en person avslutat ett konto hos ett amerikanskt företag så kommer de ofta fortfarande behålla dina uppgifter. Med hjälp av GDPR har du som europeisk medborgare alltid rätten att få dina uppgifter raderade.

Det har vanligtvis använts vid avslutande av konton hos ex. Facebook eller Discord som allmänt känt lagrar stora mängder personuppgifter (inklusive alla meddelanden någon har skickat).