Allt fler verksamheter använder verktyg som baseras på artificiell intelligens (AI) för att ta fram uppgifter om personer. Det kan till exempel vara fråga om AI-baserade kreditbedömningar av personer eller analyser av personers hälsa. Utgångspunkten är att sådana genererade uppgifter utgör personuppgifter i dataskyddsförordningens (GDPR) mening. Men innebär detta att personuppgiftsansvariga har en skyldighet att informera den registrerade om att sådana uppgifter behandlas?
Denna fråga tas upp i EU-domstolens mål C‑169/23 som handlade om en myndighets utfärdande av immunitetsintyg som användes för att bekräfta man vaccinerat sig mot covid-19. Myndigheten genererade vissa uppgifter i intyget som bland annat serienummer och QR-kod.
En av frågorna i målet var huruvida myndigheten var skyldig att informera de registrerade om sin behandling av dessa genererade personuppgifter i enlighet med artikel 14 GDPR, eller om myndihgeten omfattades av undantaget i artikel 14.5 (c) GDPR. Artikel 14 GDPR reglerar vilken information den personuppgiftsansvarige är skyldig att lämna när personuppgifterna inte samlats in från den registrerade. I artikel 14.5 (c) GDPR finns ett undantag från denna skyldighet som gäller om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs enligt lag och ytterligare villkor är uppfyllda.
EU-domstolen konstaterade att det undantag som föreskrivs i denna bestämmelse utan åtskillnad avser alla personuppgifter som den personuppgiftsansvarige inte har samlat in direkt från den registrerade. Enligt EU-domstolen gäller detta oavsett om dessa uppgifter har erhållits av den personuppgiftsansvarige från en annan person än den registrerade, eller om uppgifterna har genererats av den personuppgiftsansvarige själv i samband med att denne utövat sitt uppdrag.
Svaret på frågan om en personuppgiftsansvarig måste informera om personuppgifter som genererats med hjälp av AI-verktyg är således beroende på omständigheterna. Om behandlingen omfattas av undantaget i artikel 14.5 (c) GDPR kan det finns ett utrymme för att komma fram till bedömningen att skyldigheten inte gäller. I fall detta undantag eller något undantag inte är tillämplig är utgångspunkten däremot att den personuppgiftsansvarige har en skyldighet att informera den registrerade.