Principen om ändamålsbegränsning är grundbulten i dataskyddsförordningen (GDPR). Den ska säkerställa att personuppgifter behandlas på ett förutsebart sätt. Men i vissa fall konkurrerar principens syfte med tänkbara användningar av artificiell intelligens (AI) och AI-system. Denna artikel förklarar varför.
Särskilda, uttryckligt angivna och berättigade ändamål
Principen om ändamålsbegränsning kräver att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Principen innebär att ändamålen ska fastställas innan eller i samband med att personuppgifterna samlas in.
Kravet på särskilda ändamål, som är av central betydelse i GDPR, innebär att ändamålen ska vara tillräckligt tydliga och specifika för att kunna avgöra vilken typ av behandling som omfattas och inte omfattas av ändamålen. Ett ändamål som är vagt eller generellt, som till exempel “träna ett AI-system” eller ”använda ett AI-system”, uppfyller vanligtvis inte kravet på att ändamålet ska vara särskilt. Kravet på uttryckligt angivna ändamål innebär att ändamålen ska tydliggöras, förklaras eller uttryckas i någon begriplig form. Detta ska ske innan eller i samband med att personuppgifterna samlas in.
Kompatibilitetsbedömning
I vissa fall kan en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlats in, en så kallad ytterligare behandling, vara tillåten. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med art. 89.1 GDPR ska inte anses vara oförenlig med de ursprungliga ändamålen. En ytterligare behandling för andra ändamål kräver att det genomförs en så kallad kompatibilitetsbedömning.
Syftet med denna bedömning är att fastställa huruvida den ytterligare behandlingen är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Vid bedömningen ska bland annat följande beaktas: kopplingar mellan de ursprungliga ändamål och ändamålen med den ytterligare behandlingen, sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, eventuella konsekvenser för registrerade och förekomsten av lämpliga skyddsåtgärder som till exempel kryptering eller pseudonymisering.
Analys
Principen om ändamålsbegränsning begränsar möjligheterna att ta fram AI-system. Detta gäller exempelvis vid tillgång till data innehållandes personuppgifter för träning och validering under utvecklingsskedet i ett AI-system. Som utgångspunkt utgör kravet på att ändamålen ska fastställas och anges innan personuppgifterna samlas in ett hinder för att använda personuppgifter som samlats in för andra ändamål än framtagning av AI-systemet. Kravet på särskilda ändamål utgör ytterligare ett hinder i detta skede då det kan vara svårt att specificera ändamålet på det sättet som krävs.
Principen begränsar även möjligheterna att använda AI-system. Detta gäller särskilt när ett AI-system innehåller personuppgifter. Det kan vara svårt att fastställa och ange samtliga tänkbara ändamål som aktualiseras under användningsskedet av AI-systemet på det sätt och vid den tidpunkt som krävs. Detta gäller särskilt när ett AI-system kan användas för olika ändamål eller när AI-systemet ska distribueras.
Det är inte otänkbart att vissa användningar av AI-system kan vara kompatibla med de ändamålen för vilka de ursprungligen samlades in, men som utgångspunkt bör flesta användningar inte anses vara kompatibla. I vilken utsträckning en kompatibel ytterligare behandling kan vara aktuellt beror på det enskilda fallet och måste analyseras noggrant.
Nästa steg
Privata och offentliga verksamheter som tar fram eller använder AI-system, eller planerar att göra det framöver, rekommenderas att noga analysera för vilka ändamål personuppgifter behandlas eller kommer att behandlas i samband med detta. Vidare bör verksamheterna säkerställa att principen om ändamålsbegränsning och resterande krav i GDPR uppfylls. I förekommande fall bör analyserna genomföras i ett tidigt skede under utvecklingsprocessen eller med god framförhållning innan en upphandlingsprocess påbörjas. Ett sådant tillvägagångssätt bidrar till att säkerställa regelefterlevnad och undvika höga kostnader samt eventuella sanktionsavgifter.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik, dataskydd och AI för råd.