AI og GDPR - hva har vi lov til? Eva Jarbekk 2018

Like dokumenter
AI og GDPR - i finans og i øvrig.. Eva Jarbekk 2018

Personvernforordningen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Kappløpet om kundedataene

Automatiserte avgjørelser og profilering

REKRUTTERING OG GDPR

Agenda. 1. Hvilke regler gjelder ved markedsføring. 2. Typetilfelle: Annonsering på nettsteder og i sosiale medier

GDPR og test. Advokat Eva Jarbekk

Stordata og offentlige tjenester personvernutfordringer?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

EUs personvernforordning- Betydningen av den registrertes samtykke

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

AI, Big Data, Machine Learning og GDPR. Simen Sommerfeldt til IKT-Norges kurs om GDPR for annonsør- og mediebransjen oktober 2017

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Finans Norges bransjenormer. PwC 1

GDPR Prosjektgjennomføring Sjekkliste

Nye personvernregler (GDPR)

GDPR og Big Data. Simen Sommerfeldt til Tekna fagkveld september 2017

GDPR krav til innhenting av samtykke

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Bruk av produksjonsdata til testing

Nytt personvernregelverk på 1-2-3

Plassering og bevegelse

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

GDPR og samtykke. DSOP, 29. august 2017

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Kampanje Event EU GDPR Advokat Rune Opdahl

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Big Data, kommersialisering og eierskap til informasjon

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvernperspektivet og oppbevaring av intervjumateriale

GDPR - viktige prinsipper og rettigheter

PERSONVERN I C-ITS

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Dette bør du vite om GDPR og markedsundersøkelser

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Neural Network. Sensors Sorter

Nye personvernregler

Adressemekling. Innhold INNLEDNING AKTØRENE

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Vanlige spørsmål om GDPR og helseforskning

Ny personvernlovgivning er på vei

GDPR HVA ER VIKTIG FOR HR- DATA

Slope-Intercept Formula

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Krav til behandlingsgrunnlag for behandling av personopplysninger. DR1010 Mona Naomi Lintvedt

Smarte bygg og personvern

Personvernforordningen

GDPR - PERSONVERN. Advokat Sunniva Berntsen

HONSEL process monitoring

REK-vurderinger etter GDPR

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Ny personvernforordning trer i kraft i mai 2018

P(ersonal) C(omputer) Gunnar Misund. Høgskolen i Østfold. Avdeling for Informasjonsteknologi

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Christian Jonasson, NTNU. Viktige elementer for å lykkes med en søknad om helsedata

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Databehandleravtale for NLF-medlemmer

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Nye personvernregler Gullik Gundersen juridisk rådgiver

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Q2 Results July 17, Hans Stråberg President and CEO. Fredrik Rystedt CFO

GDPR Nye personvernregler i 2018

DecisionMaker Frequent error codes (valid from version 7.x and up)

GDPR Automatiser prosessen med Sesam

Personopplysningsloven (GDPR) 5. desember 2017

Exercise 1: Phase Splitter DC Operation

FIRST LEGO League. Härnösand 2012

Personvernerklæring. Nordix Data AS Gjeldende fra

Bostøttesamling

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Oppgave 1a Definer følgende begreper: Nøkkel, supernøkkel og funksjonell avhengighet.

Ny personvernlovgivning er på vei

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Nye personvernregler fra mai 2018

GDPR General Data Protection Regulativ

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Digital Transformasjon

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Transkript:

AI og GDPR - hva har vi lov til? Eva Jarbekk 2018

GRUNNLAGSDATA FOR AI Advokatfirmaet Schjødt AS

MULIGE KILDER Kundehistorikk, alle aspekter Ansatthistorikk Internett, nettaviser Offentlige kilder Facebook Strømforbruk

AI OG GRUNNLEGGENDE PERSONVERNKRAV Advokatfirmaet Schjødt AS AI er ofte en behandling av PO AI må ha behandlingsgrunnlag og møte de grunnleggende prinsippene i GDPR Avtale Samtykke Lov Berettiget interesse (lite praktisk..) Forenlige formål?

AI OG PRINSIPPET OM RETTFERDIGHET Advokatfirmaet Schjødt AS Er grunnlagsdata rettferdige? Er det bias i grunnlagsdata som videreføres? Er grunnlagsdata riktige? In credit scoring, for example, customers with a long history of maintaining loans without delinquency are generally determined to be of low risk. But what if the mortgages these customers have been maintaining were for years supported by substantial tax benefits that are set to expire? https://www.mckinsey.com/business-functions/risk/our-insights/controlling-machine-learning-algorithms-and-their-biases

AI OG PRINSIPPET OM FORMÅLSBEGRENSNING PO skal ikke brukes til andre formål enn de er innsamlet for Hvis ikke: Forenlige formål? Berettiget interesse? Avtale, samtykke? Eksempel: Handlinger på FB inngår i algoritme som avgjør om man får huslån har den registrerte forstått og samtykket til det?

AI OG PRINSIPPET OM DATAMINIMERING Advokatfirmaet Schjødt AS Dataminimering, proporsjonalitet, nødvendighet Må adresseres i DPIA/konsekvensanalyse og privacy by design for AI

AI OG PRINSIPPET OM ÅPENHET/TRANSPARENS DT i sin veileder: Hvordan kom modellen frem til resultatet, hvordan er opplysninger vektet og vurdert Hva må endres for å få annet resultat Hvor lett det er å oppfylle, kan avhenge av typen AI Algoritme dyp læring/nevrale nett DT: «Fordi informasjonen skal være forståelig for den registrerte, er det ikke alltid nødvendig å gi en omfattende forklaring av algoritmen, eller å legge frem selve algoritmen.»

ANNET OM GRUNNLAGSDATA Opphavsrett? Fritt bruke alt som er lagt ut på nettet? Neppe! Ulikt syn i USA og i Europa på opphavsrett, Europa er strengere Forretningshemmeligheter?

ARTIKKEL 22 PROFILERING OG AUTOMATISERTE BESLUTNINGER WP29 S VEILEDER

HOVEDREGEL OM AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Med mindre: er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte er basert på den registrertes uttrykkelige samtykke - ustabilt det er lovhjemmel

PROFILERING/AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Ingen menneskelig inngripen overhodet Relevant inngripen: Mennesket gjør en «selvstendig vurdering av opplysningene som ligger til grunn, og har myndighet til å overprøve beslutningen» Innebærer at beslutningsstøttesystemer som hjelper mennesker med å fatte beslutninger, ikke omfattes

PROFILERING/AUTOMATISERTE AVGJØRELSER Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende Fortalepunkt 71: Automatisk avslag om kreditt på nett E-rekruttering

RELEVANT PÅVIRKNING? WP29: Innreiseforbud til et land Automatisk avslag på lån Strøm kuttes fordi regning ikke er betalt Leie bysykkel på ferie utenlands i 2 timer Kjøpe TV på kreditt Få huslån

HOVEDLEVERANSE OG TILLEGGSAKTIVITETER Samtykke for tillegg Samtykke for tillegg Samtykke for tillegg Berettiget interesse for tillegg «strictly necessary» for AVTALEN Samtykke for tillegg Samtykke for tillegg Konsekvens? Definisjon av avtale blir viktig for å åpne for AI

FLERE GRUNNKRAV ARTIKKEL 22 NR 2 Advokatfirmaet Schjødt AS Når samtykke eller avtale er grunnlag for AI/profilering: skal den behandlingsansvarlige gjennomføre egnede tiltak for å verne den registrertes rettigheter og friheter og berettigede interesser, i det minste retten til menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å bestride avgjørelsen» Gjelder ikke når lov er hjemmelen

ÅPENHET, TRANSPARENS UBEHAGELIG? Advokatfirmaet Schjødt AS Å fortelle om formål? Greit. Også markedsføring og effektivitetsmåling Informere den registrerte på forhånd Gi meningsfull informasjon om involvert logikk Forklare betydningen og konsekvensene Forklare hvilke prosesser som gjennomføres, ikke bare formål Ulike prosesser? Nja. Hvorfor?

Transparens på hvilke prosesser som kjøres, for eksempel: Profilering av foretatte kjøp Analyse av epost-åpning for markedsføring, når på døgnet? Hvordan beveger kunden seg rundt i butikken? Hvor går kunden fysisk videre når vedkommende forlater butikken? Kobler oppførsel på internettsider med annen informasjon Målinger av ansatte

With regard to the substantive information which may be included in the first layer of the privacy statement/ notice, WP29 s position is that this should always contain information on the processing which has the most impact on the data subject and processing which could surprise the data subject. Advokatfirmaet Schjødt AS

KAN REGLENE «UNNGÅS» VED Å ANONYMISERE? Advokatfirmaet Schjødt AS

Omfattet: Personopplysninger Omfattet: Pseudonymisering, Hashing, kryptering, K-anonymitet, mange ulike teknikker Omfattes ikke: Anonymisering Anonymisering kan oppnås ved å kombinere teknikker

DATATILSYNET/WP29 - VEILEDER Advokatfirmaet Schjødt AS

Sørg for at metodene som brukes dekker alle 3 kolonnene; Ingen mulighet til å skille ut individ Ingen koble sammen datasett knyttet til ett individ Ingen mulighet til å utlede info om et individ Ofte nødvendig å slå sammen data om flere individer ikke alltid ønsket pga minsker nytten

EN ANNEN VEI RUNDT» ARTIKKEL 22? AI SOM IKKE I BET YDELIG GRAD PÅVIRKER INDIVIDET? Det er likevel en «behandling» av grunnlagsdataene Alle lovgrunnlagene i artikkel 6 kan brukes Fordeler/ulemper Om allmennhetens interesse

Privacy Framework «Privacy by Design» I. Masking (Pseudonymization) II. Aggregation (Anonymization) III. Prediction (Extrapolation) In-memory hashing of identifiers Sensitive, raw network data never stored Hash-value is recycled every «24» hours reduce risk of inference based on trip data Data is aggregated up to a significant level of people (e.g. 20) All locations with less than this level are removed Estimation from # active subscribers to # people (based on market share, observation length, etc.) Users only granted access to extrapolated data 12

11 Art. 6 GDPR: Lawfulness of processing

ARTIKKEL 6,1 OG 6,3 NÅ.. e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse Grunnlaget for behandlingen nevnt i bokstav e) skal fastsettes i [..] nasjonal rett

TA HENSYN TIL ART 6,3 Advokatfirmaet Schjødt AS Hva blir viktig? Avtalevilkår for AI både innenfor og utenfor art 22 Berettiget interesse «flagges» tidlig Forenlige formål «flagges» tidlig Tillate bruk av anonymiserte data i databehandleravtaler? Tenk personvern i et strategisk perspektiv

Eva Jarbekk evja@schjodt.no M: +47 900 51 011 Advokatfirmaet Schjødt AS

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding