GDPR och AI är en kombination som fortfarande skapar huvudvärk hos de flesta dataskyddsombud. Den grundläggande utmaningen: AI-system bygger på att lära sig mönster från data, ofta persondata — och GDPR ställer strikta krav på ändamålsbegränsning, lagringsminimering och transparens som är svåra att förena med hur moderna ML-modeller faktiskt fungerar.
Det viktigaste att förstå är principen om ändamålsbegränsning. Om ni samlar in kunddata för att leverera en tjänst kan ni inte utan vidare använda samma data för att träna en modell, även om ni tänkt er att modellen ska förbättra just den tjänsten. Syftet med insamlingen måste vara tydligt formulerat i integritetspolicyn, och användningen av data för ML-träning kräver ofta en ny rättslig grund.
Transparens är en annan utmaning. GDPR ger individer rätt att få förklaringar till automatiserade beslut som påverkar dem. En black-box-modell som fattar kreditbeslut, medicinska rekommendationer eller personalurval uppfyller troligtvis inte detta krav utan ett förklaringslager ovanpå.
Vår rekommendation: genomför en Data Protection Impact Assessment (DPIA) tidigt i projektet — inte som dokumentationsövning utan som ett genuint designverktyg. De flesta compliance-problem vi ser hade kunnat undvikas med en halvdags workshop med rätt personer i rummet.