Gå til innhold

Lov&Data

1/2025: Artikler
26/03/2025

Supplerende rettsgrunnlag for behandling av særlige kategorier av personopplysninger – En analyse av KI-forordningens artikkel 10 (5)

Av Håvard Sveier Ottemo, advokatfull­mektig, arbeider i Advokatfirmaet Wiersholms avdeling for teknologi, media, telekom og immaterialrett.

1. Innledning

Et robothode med tannhjul som stikker opp, digital illustrasjon.

Illustrasjon: Colourbox.com

Denne artikkelen belyser spørsmålet om kravene KI-forordningen setter til supplerende rettsgrunnlag for behandling av særlige kategorier av personopplysninger, er hensiktsmessig utformet med tanke på det eksisterende personvernregelverket.(1)Denne artikkelen er en komprimert utgave av min masteroppgave om tilsvarende tema. Det supplerende rettsgrunnlaget i KI-forordningen artikkel 59 vil ikke bli problematisert i denne artikkelen, men kan leses om i Ottemo (2024). Temaet er særlig relevant i lys av den voldsomme utviklingen som har funnet sted på både personvern- og KI-rettsfeltet de siste årene. Krysningspunktet, reguleringen og den medfølgende samhandlingen mellom disse forordningene er derfor av interesse.

Faren for uheldige regulatoriske overlapp i EU-retten, herunder mellom GDPR og KI-forordningen, er påpekt som et underliggende systematisk problem i Mario Draghis rapport om europeisk konkuranseevne. Han har i lys av dette tatt til orde for å finne og fjerne disse overlappene.(2) Europakommisjonen, «The future of European competitiveness Part B | In-depth analysis and recommendations», Europakommisjonen, 9. september 2024, s. 79 [Tilgjengelig: https://commission.europa.eu/document/download/ec1409c1-d4b4-4882-8bdd-3519f86bbb92_en?filename=The%20future%20of%20European%20competitiveness_%20In-depth%20analysis%20and%20recommendations_0.pdf] (lest 27.11.2024). Slike regulatoriske overlapp skaper utfordringer for europeiske virksomheter, uten at de nødvendigvis er formålstjenlige for å styrke borgernes fundamentale rettigheter i nevneverdig grad.

Slike regulatoriske overlapp skaper utfordringer for europeiske virksomheter, uten at de nødvendigvis er formålstjenlige for å styrke borgernes funda­mentale rettigheter i nevneverdig grad.

Det kan dermed være nyttig å sette enkelte lovbestemmelser under lupen for å se om KI-forordningen er utformet uten disse unødvendige overlappene. For å utforske dette vil artikkelen systematisk gjennomgå KI-forordningen artikkel 10 (5) i lys av kravene som stilles til supplerende rettsgrunnlag i GDPR artikkel 9 (2) bokstav g. Hva et supplerende rettsgrunnlag er, og hvilke krav som stilles til det, vil gjennomgås først.

2. GDPR artikkel 9 (2) bokstav g – Supplerende rettsgrunnlag

Utgangspunktet etter GDPR er at dersom man ønsker å behandle særlige kategorier av personopplysninger, trenger man et rettsgrunnlag i tillegg til et behandlingsgrunnlag etter GDPR artikkel 6.(3)Skullerud mfl. (2023), Artikkel 9. Behandling av særlige kategorier av personopplysninger, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A79/kommentar/] (lest 22.10.2024). Et slikt rettsgrunnlag må hjemles i et unntak etter GDPR artikkel 9 (2), ettersom særlige kategorier etter første ledd er forbudt å behandle.

Et av disse rettsgrunnlagene er GDPR artikkel 9 (2) bokstav g, som kan benyttes når:

«Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser»

Behandlingen må skje «på grunnlag av unionsretten eller [nasjonal] rett». En slik ytterligere behandlingshjemmel omtales som et supplerende rettsgrunnlag. At det supplerende rettsgrunnlaget må «sikre egnede og særlige tiltak» for å «verne den registrertes grunnleggende rettigheter og interesser», stiller krav til rettsgrunnlagets kvalitative innhold. At hjemmelen skal sikre «særlige tiltak» (EN: «specific measures») innebærer at den må gi mer informasjon om og konkretisere hvilke tiltak som skal til for å «verne den registrertes grunnleggende rettigheter og interesser».

Kravet om «særlige tiltak» innebærer derfor at rettsgrunnlaget må være mer tilpasset typesituasjonen enn de generelle tiltakene GDPR pålegger. De generelle kravene til behandlingen etter GDPR gjelder nemlig uansett,(4)Foruten GDPRs lovsystematikk, følger dette også av KI-forordningen fortalepunkt 140. og det supplerende rettsgrunnlaget hadde vært overflødig hvis det ikke tilføyde noe nytt. Har ikke det supplerende rettsgrunnlaget tiltak som er «egnede og særlige», så kan det dermed ikke gi grunnlag for behandling etter GDPR artikkel 9 (2) bokstav g.

3. KI-forordningen artikkel 10 (5)

KI-forordningen artikkel 10 tar for seg hvordan høyrisiko KI-systemer skal trenes på data. For at treningen av et høyrisiko KI-system skal anses lovlig etter KI-forordningen artikkel 10 (1), er det nødvendig å etterleve en rekke kvalitetskrav som oppstilles i resten av bestemmelsen. Et av disse er å luke ut «bias» – skjevheter – gjennom skjevhetsoppdagelse og -korreksjon etter KI-forordningen artikkel 10 (2) bokstav f og g.

KI-forordningen definerer ikke begrepet «bias», men ordlyden kan tilsi at det er tale om en underliggende forutinntatt mening, fordel eller ulempe som negativt eller positivt kan påvirke enkeltindivider eller grupper på urettferdig vis.(5)Tolkningen er inspirert av Bekkum (2024), s. 8–9. Slike skjevheter oppstår typisk på grunn av mangler og svakheter med datasettene brukt ved trening av et KI-system.(6)Ibid. s. 9.

KI-forordningen artikkel 10 (5) fastsetter at dersom det er «strictly necessary» for å sikre «bias detection and correction» i høyrisiko KI-systemer etter KI-forordningen artikkel 10 (2) bokstav f og g, kan leverandører(7)KI-forordningen artikkel 3 (3) i betydningen «deployer». av slike systemer «exceptionally» behandle særlige kategorier av personopplysninger, såfremt dette skjer med nødvendige garantier for fysiske personers grunnleggende rettigheter og friheter.(8)KI-forordningen artikkel 10 (5). Dette er da et supplerende rettsgrunnlag myntet på GDPR artikkel 9 (2) bokstav g.(9)Lagt eksplisitt til grunn i KI-forordningen fortalepunkt 70. Formålet med å gi KI-forordningen artikkel 10 (5) et slikt supplerende rettsgrunnlag er å gjøre det enklere å motkjempe diskriminering som følger av slike skjevheter i høyrisiko KI-systemer.(10)KI-forordningen fortalepunkt 70.

For å benytte seg av dette supplerende rettsgrunnlaget må leverandøren oppfylle en rekke særskilte vilkår, i tillegg til å etterleve kravene i GDPR.(11)Betydningen av at disse utskilles som egne selvstendige tilleggsvilkår problematiseres i Ottemo (2024). I det følgende vil disse særskilte vilkårene gjennomgås og analyseres for å se om de oppfyller kravene som stilles til supplerende rettsgrunnlag som nevnt i punkt 2 – altså, om de utgjør «egnede og særlige tiltak».

4. Gjennomgang av tiltakene etter artikkel 10 (5)

4.1. Nødvendighetsvilkåret

Det første tiltaket fastsettes i artikkel 10 (5) bokstav a, hvor det stilles krav om at:

«[T]he bias detection and correction cannot be effectively fulfilled by processing other data, including synthetic or anonymised data»

Tiltaket fremstår som overflødig. Det følger allerede av dataminimeringsprinsippet nedfelt i GDPR artikkel 5 (1) bokstav c at behandlingen skal være «begrenset til det som er nødvendig for formålene de behandles for».(12)Se også GDPR fortalepunkt 39. Dette legges til grunn i GDPR fortalepunkt 39, hvor det fremgår at «[p]ersonopplysninger bør [bare] behandles […] dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte».

Den behandlingsansvarlige må da begrense seg til å behandle de personopplysningene som er nødvendige for å oppnå formålene med behandlingen. Alternativt – dersom det ikke er nødvendig – ikke behandle noen personopplysninger.(13)EDPB – Retningslinje 04/2019, avsnitt 76. Å skille ut dette som et eget selvstendig tilleggsvilkår(14)Se Ottemo (2024) punkt 4.2.1 og 4.2.8 for mer om bakgrunnen og konsekvensen av utskillingen av disse vilkårene som tilleggsvilkår., som skal hensyntas utover det som følger av GDPR, utgjør dermed ikke et særlig tiltak.

4.2. Sikkerhets- og privatlivsbeskyttende tiltak

Det andre tiltaket fastsettes i artikkel 10 (5) bokstav b:

«[T]he special categories of personal data are subject to technical limitations on the re-use of the personal data, and state-of-the-art security and privacy-preserving measures, including pseudonymisation» (15)Se GDPR artikkel 4 (5) for definisjonen av pseudonymisering.

Lignende, etter GDPR artikkel 32 (1), skal den behandlingsansvarlige og databehandleren «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», idet det hensyntas «den tekniske utviklingen».

Den vide ordlyden «egnede tekniske og organisatoriske tiltak» hensyntatt «den tekniske utviklingen» (EN: «state of the art») i GDPR artikkel 32 (1) fanger opp KI-forordningens artikkel 10 (5) bokstav b «state-of-the-art security and privacy-preserving measures». Mens vilkårene i KI-forordningen er absolutte, har GDPR en risikobasert tilnærming, hvor hva som er «egnet» relativiseres ut ifra risikoen. Etter GDPR er det klart at det er den behandlingsansvarlige og databehandleren som selv må finne de tiltakene som er egnet for å avbøte risikoen.(16)Kuner mfl. (2020), s. 635.

EU-domstolen har påpekt at vurderingen av om et tiltak er egnet er todelt. Det er først nødvendig å «[…] identify the risks of a personal data breach caused by the processing concerned and their possible consequences for the rights and freedoms of natural persons», for så å «[…] ascertain whether the measures implemented by the controller are appropriate to those risks, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of that processing».(17)EU-domstolen, VB [C5] C 340/21, avsnitt 42.

Særlige kategorier av personopplysninger vil av sin sensitive art kreve en høyere grad av beskyttelse,(18)Skullerud mfl. (2023), Artikkel 32. Sikkerhet ved behandlingen, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A732/kommentar/] (lest 06.09.2024). og da særlig i konteksten trening av høyrisiko KI-systemer. Slike KI-systemer utgjør i utgangspunktet og per definisjon nettopp en stor risiko for individers fundamentale rettigheter.(19)Se KI-forordningen fortalepunkt 48. Det vil dermed stilles strenge krav etter GDPR før et sikkerhets- og privatlivsbeskyttende tiltak etter GDPR artikkel 32 (1) i en KI-forordning-artikkel 10 (5)-situasjon kan anses som «egnet».

Mens KI-forordningen ikke sier hva standarden er, henviser den likevel til hva som er «state-of-the-art» innenfor sikkerhets- og privatlivsbeskyttende tiltak. Dette fremstår intetsigende og gir lite veiledning. Hva som til enhver tid er det absolutte «state-of-the-art» av tiltak, vil variere og være vanskelig å stadfeste. Ordlyden oppsetter dermed et absolutt, men et innholdsmessig ukjent krav.

Etter GDPR artikkel 32 (1) skal hva som er «state of the art» tilsvarende hensyntas ved iverksetting av tiltak. Her spesifiseres det imidlertid at sikkerhetsnivået som oppnås ved dette skal være «egnet». Dette gir den behandlingsansvarlige og databehandlere et spillerom for hvilke tiltak som skal iverksettes.(20)Voigt og von dem Bussche (2024), s. 40–41. Som EDPB har påpekt, er «state of the art»-begrepet etter GDPR «[…] a dynamic concept that cannot be statically defined at a fixed point in time, but should be assessed continuously in the context of technological progress».(21)EDPB – Retningslinje 04/2019, avsnitt 20, riktig da som en kommentar angående GDPR artikkel 25 (1), men ordlyden er tilsvarende. Artikkel 32 (1) setter videre krav til tiltak som må iverksettes, ikke et resultat som må oppnås.(22)Kuner mfl. (2020), s. 637. EU-domstolen har stadfestet at «[…] the controller is obliged to mitigate the risks of personal data breaches and not prevent all breaches of those data».(23)EU-domstolen, MediaMarktSaturn [C5] C-687/21, avsnitt 39. «[S]tate of the art»-kravet etter GDPR skal altså kun hensyntas som ett av flere moment i en større dynamisk og sammensatt egnethetsvurdering.

KI-forordningen oppstiller på sin side dette som et absolutt vilkår. Det foreligger ingen vurdering av egnethet. Dette vilkåret vil da på grunn av dets innholdsmessige flytende – men absolutte – natur bli tilnærmet umulig for leverandøren å etterleve. Det overnevnte utsagnet fra EDPB illustrerer hvor høye krav det isolert sett stilles for å etterleve hva som er «state-of-the-art» etter KI-forordningen. Kravet i KI-forordningen står i motsetning til det tilsvarende, men relative og dermed mer etterlevbare kravet etter GDPR artikkel 32 (1).

KI-forordningen artikkel 10 (5) bokstav b fremstår ikke som særlig tilpasset eller tydelig på hvilke tiltak som skal iverksettes.(24)Som GDPR artikkel 9 (2) bokstav g krever av det supplerende rettsgrunnlaget, se punkt 2. De risikorelative kravene etter GDPR vil langt på vei stille tilsvarende strenge krav, men vil i motsetning være enklere å etterleve. Videre er pseudonymisering allerede særskilt nevnt som et tiltak som – dersom egnet – skal tas for å sikre «egnede tekniske og organisatoriske tiltak», jfr. GDPR artikkel 32 (1) bokstav a. Det er vanskelig å se hvordan hvordan KI-forordningen artikkel 10 (5) bokstav b bidrar ytterligere til å sikre behandlingen av personopplysningene utover det som allerede følger av GDPR. Tvert imot kan bestemmelsen bidra til å skape større usikkerhet knyttet til hvilke tiltak som er tilstrekkelige.

4.3. Konfidensialitetsvilkåret

Det tredje tiltaket fastsettes i artikkel 10 (5) bokstav c:

«[T]he special categories of personal data are subject to measures to ensure that the personal data processed are secured, protected, subject to suitable safeguards, including strict controls and documentation of the access, to avoid misuse and ensure that only authorised persons have access to those personal data with appropriate confidentiality obligations»

«[M]easures» som skal sikre at personopplysningene er «secured», «protected» og «subject to suitable safeguards», er allerede omfattet av ordlyden «egnede tekniske og organisatoriske tiltak» etter GDPR artikkel 32 (1). Tekniske og organisoriske tiltak som ikke tilfredsstiller disse vilkårene, kan etter den brede ordlyden vanskelig anses som «egnet».

Adgang til personopplysningene og konfidensialitet er allerede regulert eksplisitt i henholdsvis GDPR artikkel 32 (1) bokstav b og GDPR artikkel 32 (2). Tilsvarende kommer til uttrykk i GDPR artikkel 32 (4), ved at den behandlingsansvarlige og databehandleren skal forsikre seg om at fysiske personer med tilgang til personopplysningene «behandler […] [person]opplysninger bare etter instruks fra den behandlingsansvarlige».

Tiltakene som pålegges etter artikkel 10 (5) bokstav c kan da vanskelig anses som hverken egnet eller særlig etter GDPR artikkel 9 (2) bokstav g.

4.4. Overføringsforbudet

Det fjerde tiltaket fastsettes i artikkel 10 (5) bokstav d:

«[T]he special categories of personal data are not to be transmitted, transferred or otherwise accessed by other parties»

Reguleringen av overføring av personopplysninger til andre parter utrykkes «relativt» i flere av bestemmelsene i GDPR, særlig gjennom reguleringer tilknyttet konfidensialitet og utilsiktet tilgang. GDPR oppsetter imidlertid ikke noen harde forbud mot å dele særlige kategorier av personopplysninger til tredjeparter.

Mens kravene til konfidensialitet kan – for å være «egnet» –(25)Se GDPR artikkel 32 (1) bokstav b. kreve at informasjonen ikke under noen omstendigheter skal oversendes til andre parter, er imidlertid dette sjeldent aktuelt. Et slikt forbud kan ikke oppstilles som et absolutt krav ved all bruk av KI etter GDPR. GDPR har ikke noe utgangspunkt om at særlige kategorier aldri kan deles til tredjeparter. GDPR vil imidlertid kreve flere og bedre tekniske og organisatoriske tiltak for å ivareta sikkerheten og bøte på risikoen assosiert med å oversende særlige kategorier av personopplysninger, kontra alminnelige personopplysninger. Dersom dette, samt et rettsgrunnlag etter GDPR artikkel 9 (2) foreligger, er oversending, overføring og annen tilgjengeliggjøring i utgangspunktet tillatt og i samsvar med GDPR.

Videre, og betydelig mer problematisk, er det usikkert om KI-forordningen med delingsforbudet har ment å forby bruken av databehandlere. Disse vil etter ordlyden omfattes av «other parties». I GDPR er «tredjepart[er]» (EN: «third party») legaldefinert som enhver annen enn databehandlere, m.m.(26)Se GDPR artikkel 4 (10). Dersom KI-forordningens ordlyd ikke er ment å ekskludere databehandlere, er det uforståelig at EU-lovgiver velger en annen terminologi enn den som allerede er legaldefinert på personvernrettsfeltet. Å benytte seg av andre etablerte legaldefinisjoner i andre EU-rettsakter er en lovgivningsteknikk som hyppig brukes av EU for å sikre uniform forståelse på tvers av rettsaktene. Se f.eks. legaldefinisjonen av særlige kategorier av personopplysninger og personopplysninger i henholdsvis KI-forordningen artikkel 3 (37) og (50).

Et slikt forbud vil da utelukke at noen behandler særlige kategorier av personopplysninger på leverandørens vegne for å bidra med å motkjempe og korrigere skjevheter i KI-systemene. Databehandlere som over tid bygger opp inngående kompetanse i å effektivt motkjempe skjevheter i KI-systemer, kan da ikke tilby sine tjenester til utviklere av KI-systemer. Leverandørene vil da bli tvunget til å løse dette uten databehandlere. Databehandlertjenester utgjør på generelt grunnlag ofte sentrale funksjoner i behandlingen av personopplysninger, for eksempel lagringstjenester. Den behandlingsansvarlige vil da bryte med KI-forordningen dersom den benytter seg av disse tredjemannstjenestene. Å kategorisk utelukke databehandlere ved skjevhetskorrigering og -oppdagelse av KI-systemer er lite hensiktsmessig, og vil gjøre det uforholdsmessig vanskelig for leverandører å luke ut skjevheter fra sine systemer.

Det er påfallende at KI-forordningen skal stenge for en såpass sentral del av databehandlingssfæren som databehandlere utgjør uten å drøfte problemstillingen i fortalen eller under lovgivningsprosessen. Både bestemmelsens ordlyd, valget av ordlyden «in addition» i KI-forordningen artikkel 10 (5),(27)Betydningen av denne ordlyden blir ytterligere problematisert i Ottemo (2024). samt ordlyden «without prejudice» i KI-forordningen artikkel 2 (7),(28)Ibid. åpner derimot for at KI-forordningen nettopp kan avvike løsningen etter GDPR og særregulere disse tilfellene. KI-forordningen artikkel 10 (5) bokstav d fremstår som lite gjennomtenkt, og som en dårligere løsning enn det som allerede følger av GDPR.

4.5. Sletting av personopplysninger

Det femte tiltaket fastsettes i artikkel 10 (5) bokstav e:

«[T]he special categories of personal data are deleted once the bias has been corrected or the personal data has reached the end of its retention period, whichever comes first»

At personopplysningene skal slettes «once the bias has been corrected» kan utledes allerede fra grunnprinsippene i GDPR: Personopplysninger skal ikke lagres «i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for», jfr. GDPR artikkel 5 (1) bokstav e. Det samme følger av GDPR artikkel 17 (1) bokstav a: den registrerte har rett til å få sine personopplysninger slettet dersom personopplysninger ikke lenger er «nødvendige for formålet som de ble samlet inn eller behandlet for». Er skjevheten korrigert, er formålet for behandlingen av personopplysningene oppnådd. At personopplysningene etter KI-forordningen slettes når de har nådd «the end of its retention period», følger og defineres allerede av lagringsbegrensningsprinsippet etter overnevnte GDPR artikkel 5 (1) bokstav e.

Det er imidlertid interessant at artikkel 10 (5) bokstav e ikke tar stilling til slettingsplikten og dens betydning for oppdagelse av skjevheter. Det er vanskelig for en leverandør å vite om alle skjevheter i et KI-system faktisk er oppdaget og korrigert. Dette gjør at det kan være uheldig for leverandører å korrigere skjevheter løpende, og at leverandøren heller venter til at eventuelle skjevheter har samlet seg opp. De særlige kategoriene av personopplysninger må nemlig etter ordlyden slettes «once the bias has been corrected».(29)Min kursivering. De må slettes allerede ved første skjevhetskorrigering. De kan som en konsekvens ikke benyttes til å finne andre potensielle uoppdagede skjevheter – eksisterende eller fremtidige. Mens dette trolig ikke har vært lovgivers intensjon,(30)Rettskildene er tause angående problemstillingen. så gir den uklare ordlyden et uheldig tolkningsrom.

4.6. Begrunnelse i behandlingsprotokollene

Det sjette og siste tiltaket fastsettes i artikkel 10 (5) bokstav f:

“[T]he records of processing activities pursuant to Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680 include the reasons why the processing of special categories of personal data was strictly necessary to detect and correct biases, and why that objective could not be achieved by processing other data.”

Dette er nytt ved KI-forordningen og har ikke en direkte tilsvarende regulering etter GDPR. Et krav om å rettferdiggjøre behandlingen i behandlingsprotokolen foreligger ikke etter GDPR artikkel 30 eller GDPR for øvrig.

GDPR krever imidlertid at en behandlingsansvarlig som planlegger å foreta behandlingsaktiviteter som «medføre[r] en høy risiko for fysiske personers rettigheter og friheter», skal foreta en vurdering av personvernkonsekvensene, jfr. GDPR artikkel 35 (1). En slik personvernkonsekvensvurdering (DPIA(31)«Data Protection Impact Assessment» på engelsk.) skal minst inneholde «en vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene», jfr. GDPR artikkel 35 (7) bokstav b. Det ligger i høyrisiko KIs natur at de utgjør en «høy risiko for fysiske personers rettigheter og friheter».(32)Se KI-forordningen fortalepunkt 48. At det behandles sensitive personopplysninger, herunder særlige kategorier av personopplysninger, er i seg selv et moment i vurderingen av hvorvidt det skal utføres en DPIA.(33)Artikkel 29-gruppen – Retningslinje (2017), s. 9. I en slik personvernkonsekvensvurdering er det naturlig å vurdere både hvorvidt en trenger å behandle særlige kategorier av personopplysninger, og for hvor lang tid.(34)Skullerud mfl. (2023), Artikkel 35. Vurdering av personvernkonsekvenser, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A735/kommentar/] (lest 09.09.2024). At en ikke skal behandle flere – eller mer sensitive –(35)Se Kuner mfl. (2020), s. 317, dataminimeringsprinsippet omfatter ikke bare personopplysningskvantitet, men også kvalitet. personopplysninger enn hva som er nødvendig, følger som tidligere nevnt av dataminimeringsprinsippet, jfr. GDPR artikkel 5 (1) bokstav c.

Selv om det altså ikke stilles krav om at den behandlingsansvarlige fører nødvendighetsvurderingen inn i behandlingsprotokollene etter GDPR, vil GDPR uansett pålegge den behandlingsansvarlige å foreta en tilsvarende vurdering om behandlingsaktivitetens nødvendighet gjennom DPIA-en. Vurderingene vil da ha store overlapp. KI-forordningen kunne dermed ha unngått unødvendig dobbeltarbeid ved å minimum stadfeste at personvernkonsekvensvurderingen alltid skal foretas, eller ved å bestemme at denne skal inkluderes i behandlingsprotokollene. Å oppstille dette som et nytt selvstendig krav – med tilhørende selvstendig vurdering – fremstår unødvendig.

5. Avsluttende refleksjoner

Mens KI-forordningen ikke er ment å medføre forandringer til det eksisterende personvernregelverket,(36)Men med unntak, se Ottemo (2024). foreligger det uheldige formuleringer og krav som negativt påvirker reguleringen av behandlingen av særlige kategorier av personopplysninger. Mens KI-forordningen naturlig nok har hatt sitt regulatoriske fokus på kunstig intelligens, er det likevel ugunstig at EU-lovgiver ikke i større grad har hensyntatt de personvernmessige aspektene på en bedre og mer systematisk måte. Særlig når disse har ligget såpass latent.

Når EU-lovgiver utformer en bestemmelse som direkte henspiller på eksisterende reguleringer i GDPR, er det bemerkelsesverdig at reguleringen ikke skjer på en mer oversiktlig, håndhevbar og harmoniserende måte. Især når artikkel 10 (5) regulerer et såpass viktig formål som å legge til rette for mottiltak mot skjevheter i høyrisiko KI-systemer.

Som redegjort for i punkt 4, foreligger det store overlapp og usikkerheter tilknyttet forpliktelsene som stilles av KI-forordningen artikkel 10 (5), og deres samspill med de eksisterende forpliktelsene som stilles etter GDPR. Det er tvilsomt hvorvidt disse utgjør «egnede og særlige» tiltak. Det er etter min mening ikke gitt at det supplerende rettsgrunnlaget i KI-forordningen artikkel 10 (5), i lys av hjemmelskravet etter GDPR artikkel 9 (2) bokstav g, ville stått seg ved en rettslig overprøving.

6. Kilder

6.1. Bøker

  1. Kuner mfl. (2020)
    Christopher Kuner mfl., The EU General Data Protection Regulation (GDPR) A Commentary, 1. utgave, Oxford University Press 2020.

  2. Voigt og von dem Bussche (2024)
    Paul Voigt og Axel vom dem Bussche, The EU General Data Protection Regulation (GDPR): A Practical Guide, 2. utgave, Springer 2024.

Artikler

  1. Bekkum (2024)
    Marvin van Bekkum, «Using sensitive data to debias AI systems: Article 10(5) of the EU AI Act», Cornell University. Tilgjengelig: https://doi.org/10.48550/arXiv.2410.14501 (lest 27.11.2024).

  2. Ottemo (2024)
    Håvard Sveier Ottemo, «Krysningspunktet mellom KI-forordningen og GDPR | KI-forordningens regulering av supplerende rettsgrunnlag for behandling av særlige kategorier av personopplysninger etter personvernforordningen», Universitet i Bergen, 2024. Tilgjengelig: https://hdl.handle.net/11250/3177525 (lest 12.02.2025)

6.2. Lovkommentarer

  1. Skullerud mfl. (2023)
    Åste Marie Bergseng Skullerud mfl., Personvernforordningen (GDPR) – Kommentarutgave, i Juridika, 2018, ajourført 1. april 2023.

Noter

  1. Denne artikkelen er en komprimert utgave av min masteroppgave om tilsvarende tema. Det supplerende rettsgrunnlaget i KI-forordningen artikkel 59 vil ikke bli problematisert i denne artikkelen, men kan leses om i Ottemo (2024).
  2. Europakommisjonen, «The future of European competitiveness Part B | In-depth analysis and recommendations», Europakommisjonen, 9. september 2024, s. 79 [Tilgjengelig: https://commission.europa.eu/document/download/ec1409c1-d4b4-4882-8bdd-3519f86bbb92_en?filename=The%20future%20of%20European%20competitiveness_%20In-depth%20analysis%20and%20recommendations_0.pdf] (lest 27.11.2024).
  3. Skullerud mfl. (2023), Artikkel 9. Behandling av særlige kategorier av personopplysninger, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A79/kommentar/] (lest 22.10.2024).
  4. Foruten GDPRs lovsystematikk, følger dette også av KI-forordningen fortalepunkt 140.
  5. Tolkningen er inspirert av Bekkum (2024), s. 8–9.
  6. Ibid. s. 9.
  7. KI-forordningen artikkel 3 (3) i betydningen «deployer».
  8. KI-forordningen artikkel 10 (5).
  9. Lagt eksplisitt til grunn i KI-forordningen fortalepunkt 70.
  10. KI-forordningen fortalepunkt 70.
  11. Betydningen av at disse utskilles som egne selvstendige tilleggsvilkår problematiseres i Ottemo (2024).
  12. Se også GDPR fortalepunkt 39.
  13. EDPB – Retningslinje 04/2019, avsnitt 76.
  14. Se Ottemo (2024) punkt 4.2.1 og 4.2.8 for mer om bakgrunnen og konsekvensen av utskillingen av disse vilkårene som tilleggsvilkår.
  15. Se GDPR artikkel 4 (5) for definisjonen av pseudonymisering.
  16. Kuner mfl. (2020), s. 635.
  17. EU-domstolen, VB [C5] C 340/21, avsnitt 42.
  18. Skullerud mfl. (2023), Artikkel 32. Sikkerhet ved behandlingen, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A732/kommentar/] (lest 06.09.2024).
  19. Se KI-forordningen fortalepunkt 48.
  20. Voigt og von dem Bussche (2024), s. 40–41.
  21. EDPB – Retningslinje 04/2019, avsnitt 20, riktig da som en kommentar angående GDPR artikkel 25 (1), men ordlyden er tilsvarende.
  22. Kuner mfl. (2020), s. 637.
  23. EU-domstolen, MediaMarktSaturn [C5] C-687/21, avsnitt 39.
  24. Som GDPR artikkel 9 (2) bokstav g krever av det supplerende rettsgrunnlaget, se punkt 2.
  25. Se GDPR artikkel 32 (1) bokstav b.
  26. Se GDPR artikkel 4 (10).
  27. Betydningen av denne ordlyden blir ytterligere problematisert i Ottemo (2024).
  28. Ibid.
  29. Min kursivering.
  30. Rettskildene er tause angående problemstillingen.
  31. «Data Protection Impact Assessment» på engelsk.
  32. Se KI-forordningen fortalepunkt 48.
  33. Artikkel 29-gruppen – Retningslinje (2017), s. 9.
  34. Skullerud mfl. (2023), Artikkel 35. Vurdering av personvernkonsekvenser, Juridika [Tilgjengelig: https://juridika.no/no/lov/2016-04-27-679/%C2%A735/kommentar/] (lest 09.09.2024).
  35. Se Kuner mfl. (2020), s. 317, dataminimeringsprinsippet omfatter ikke bare personopplysningskvantitet, men også kvalitet.
  36. Men med unntak, se Ottemo (2024).
Håvard Sveier Ottemo
Portrett av Havard Ottemo