AI og GDPR - hva har vi lov til? Eva Jarbekk 2018
GRUNNLAGSDATA FOR AI Advokatfirmaet Schjødt AS
MULIGE KILDER Kundehistorikk, alle aspekter Ansatthistorikk Internett, nettaviser Offentlige kilder Facebook Strømforbruk
AI OG GRUNNLEGGENDE PERSONVERNKRAV Advokatfirmaet Schjødt AS AI er ofte en behandling av PO AI må ha behandlingsgrunnlag og møte de grunnleggende prinsippene i GDPR Avtale Samtykke Lov Berettiget interesse (lite praktisk..) Forenlige formål?
AI OG PRINSIPPET OM RETTFERDIGHET Advokatfirmaet Schjødt AS Er grunnlagsdata rettferdige? Er det bias i grunnlagsdata som videreføres? Er grunnlagsdata riktige? In credit scoring, for example, customers with a long history of maintaining loans without delinquency are generally determined to be of low risk. But what if the mortgages these customers have been maintaining were for years supported by substantial tax benefits that are set to expire? https://www.mckinsey.com/business-functions/risk/our-insights/controlling-machine-learning-algorithms-and-their-biases
AI OG PRINSIPPET OM FORMÅLSBEGRENSNING PO skal ikke brukes til andre formål enn de er innsamlet for Hvis ikke: Forenlige formål? Berettiget interesse? Avtale, samtykke? Eksempel: Handlinger på FB inngår i algoritme som avgjør om man får huslån har den registrerte forstått og samtykket til det?
AI OG PRINSIPPET OM DATAMINIMERING Advokatfirmaet Schjødt AS Dataminimering, proporsjonalitet, nødvendighet Må adresseres i DPIA/konsekvensanalyse og privacy by design for AI
AI OG PRINSIPPET OM ÅPENHET/TRANSPARENS DT i sin veileder: Hvordan kom modellen frem til resultatet, hvordan er opplysninger vektet og vurdert Hva må endres for å få annet resultat Hvor lett det er å oppfylle, kan avhenge av typen AI Algoritme dyp læring/nevrale nett DT: «Fordi informasjonen skal være forståelig for den registrerte, er det ikke alltid nødvendig å gi en omfattende forklaring av algoritmen, eller å legge frem selve algoritmen.»
ANNET OM GRUNNLAGSDATA Opphavsrett? Fritt bruke alt som er lagt ut på nettet? Neppe! Ulikt syn i USA og i Europa på opphavsrett, Europa er strengere Forretningshemmeligheter?
ARTIKKEL 22 PROFILERING OG AUTOMATISERTE BESLUTNINGER WP29 S VEILEDER
HOVEDREGEL OM AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Med mindre: er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte er basert på den registrertes uttrykkelige samtykke - ustabilt det er lovhjemmel
PROFILERING/AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Ingen menneskelig inngripen overhodet Relevant inngripen: Mennesket gjør en «selvstendig vurdering av opplysningene som ligger til grunn, og har myndighet til å overprøve beslutningen» Innebærer at beslutningsstøttesystemer som hjelper mennesker med å fatte beslutninger, ikke omfattes
PROFILERING/AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Fortalepunkt 71: Automatisk avslag om kreditt på nett E-rekruttering
RELEVANT PÅVIRKNING? WP29: Innreiseforbud til et land Automatisk avslag på lån Strøm kuttes fordi regning ikke er betalt Leie bysykkel på ferie utenlands i 2 timer Kjøpe TV på kreditt Få huslån
HOVEDLEVERANSE OG TILLEGGSAKTIVITETER Samtykke for tillegg Samtykke for tillegg Samtykke for tillegg Berettiget interesse for tillegg «strictly necessary» for AVTALEN Samtykke for tillegg Samtykke for tillegg Konsekvens? Definisjon av avtale blir viktig for å åpne for AI
FLERE GRUNNKRAV ARTIKKEL 22 NR 2 Advokatfirmaet Schjødt AS Når samtykke eller avtale er grunnlag for AI/profilering: skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen» Gjelder ikke når lov er hjemmelen
ÅPENHET, TRANSPARENS UBEHAGELIG? Advokatfirmaet Schjødt AS Å fortelle om formål? Greit. Også markedsføring og effektivitetsmåling Informere den registrerte på forhånd Gi meningsfull informasjon om involvert logikk Forklare betydningen og konsekvensene Forklare hvilke prosesser som gjennomføres, ikke bare formål Ulike prosesser? Nja. Hvorfor?
Transparens på hvilke prosesser som kjøres, for eksempel: Profilering av foretatte kjøp Analyse av epost-åpning for markedsføring, når på døgnet? Hvordan beveger kunden seg rundt i butikken? Hvor går kunden fysisk videre når vedkommende forlater butikken? Kobler oppførsel på internettsider med annen informasjon Målinger av ansatte
With regard to the substantive information which may be included in the first layer of the privacy statement/ notice, WP29 s position is that this should always contain information on the processing which has the most impact on the data subject and processing which could surprise the data subject. Advokatfirmaet Schjødt AS
KAN REGLENE «UNNGÅS» VED Å ANONYMISERE? Advokatfirmaet Schjødt AS
Omfattet: Personopplysninger Omfattet: Pseudonymisering, Hashing, kryptering, K-anonymitet, mange ulike teknikker Omfattes ikke: Anonymisering Anonymisering kan oppnås ved å kombinere teknikker
DATATILSYNET/WP29 - VEILEDER Advokatfirmaet Schjødt AS
Sørg for at metodene som brukes dekker alle 3 kolonnene; Ingen mulighet til å skille ut individ Ingen koble sammen datasett knyttet til ett individ Ingen mulighet til å utlede info om et individ Ofte nødvendig å slå sammen data om flere individer ikke alltid ønsket pga minsker nytten
EN ANNEN VEI RUNDT» ARTIKKEL 22? AI SOM IKKE I BET YDELIG GRAD PÅVIRKER INDIVIDET? Det er likevel en «behandling» av grunnlagsdataene Alle lovgrunnlagene i artikkel 6 kan brukes Fordeler/ulemper Om allmennhetens interesse
Privacy Framework «Privacy by Design» I. Masking (Pseudonymization) II. Aggregation (Anonymization) III. Prediction (Extrapolation) In-memory hashing of identifiers Sensitive, raw network data never stored Hash-value is recycled every «24» hours reduce risk of inference based on trip data Data is aggregated up to a significant level of people (e.g. 20) All locations with less than this level are removed Estimation from # active subscribers to # people (based on market share, observation length, etc.) Users only granted access to extrapolated data 12
11 Art. 6 GDPR: Lawfulness of processing
ARTIKKEL 6,1 OG 6,3 NÅ.. e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse Grunnlaget for behandlingen nevnt i bokstav e) skal fastsettes i [..] nasjonal rett
TA HENSYN TIL ART 6,3 Advokatfirmaet Schjødt AS Hva blir viktig? Avtalevilkår for AI både innenfor og utenfor art 22 Berettiget interesse «flagges» tidlig Forenlige formål «flagges» tidlig Tillate bruk av anonymiserte data i databehandleravtaler? Tenk personvern i et strategisk perspektiv
Eva Jarbekk evja@schjodt.no M: +47 900 51 011 Advokatfirmaet Schjødt AS