Þróun og innleiðing
Efnisyfirlit
Sá sem hyggst búa til gervigreindarlausn sem notar persónuupplýsingar ber skyldur samkvæmt persónuverndarlögum. Hið sama gildir um þann sem hyggst bjóða öðrum þannig lausn til notkunar eða endurnýta gervigreindarlausn sem er þegar til staðar í nýjum tilgangi.
Sá sem býður upp á tæknilausn sem byggir á gervigreind gæti talist ábyrgðaraðili eða vinnsluaðili samkvæmt persónuverndarlögum. Sé það raunin þarf að tryggja að viðkomandi uppfylli allar viðeigandi skyldur samkvæmt persónuverndarlögum við þróun og notkun lausnarinnar.
Tilgangur og þörf
Hugleiða þarf tilgang og markmið vinnslunnar og hvort aðrar lausnir eða tæknilegar leiðir, án gervigreindar, geti náð sama markmiði. Slíkir valkostir geta verið áhættuminni eða átt betur við.
Ef til staðar er samningur (vinnslusamningur) um miðlun gagna við önnur fyrirtæki sem heimilar notkun persónuupplýsinga þeirra til þjálfunar líkans og til að deila því eða veita leyfi til notkunar þess, verður að tryggja að vinnsluheimild sé til staðar. Auk þess þarf að tryggja að vinnslan sé sanngjörn og gagnsæ og að gögn séu lágmörkuð.
Notkun persónuupplýsinga við þróun gervigreindarlíkans
Ef verið er að búa til gervigreindarlíkan og notuð eru gögn sem eru aðgengileg almenningi skal hafa í huga að persónuupplýsingar sem eru opinberlega aðgengilegar geta fallið engu að síður undir gildissvið persónuverndarlaga.
Ef verið er að þjálfa gervigreindarlíkan með persónuupplýsingum sem var safnað áður en þróun líkansins hófst þarf einnig að meta hvort fyrirhugaður tilgangur falli innan þeirrar vinnsluheimildar sem var grundvöllur söfnunarinnar.
Þegar metin er nauðsyn þess að safna persónuupplýsingum til að þjálfa gervigreindarlíkan verður að taka mið af þeim tilgangi sem einstaklingar höfðu í huga þegar þeir gerðu persónuupplýsingar sínar opinberlega aðgengilegar. Líta ber til sanngjarnra væntinga þeirra um hvernig megi nota upplýsingarnar, umfram það að aðrir skoði eða lesi þær.
Gæta þarf gagnsæis gagnvart einstaklingum og upplýsa um hvaða vinnsla er framkvæmd, hvernig hún fer fram og hvernig þeir geta nýtt réttindi sín samkvæmt persónuverndarlögum. Þar á meðal eru rétturinn til aðgangs, leiðréttingar og eyðingar. Geta til að virða þessi réttindi með virkum hætti þarf að vera til staðar frá því að byrjað er að þróa gervigreindarvöru eða -líkan.
Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, einkum þegar niðurstöður vinnslu með gervigreind kunna að hafa áhrif á réttindi og frelsi hinna skráðu. Þetta er í samræmi við ábyrgðarskyldu persónuverndarlaga.
Meta þarf afleiðingar og áhrif þess ef ákveðið er að deila líkönunum sem búin eru til eða gerð aðgengileg öðrum sem lausn til notkunar. Í því samhengi þarf að meta hvernig það hefur áhrif á skyldur samkvæmt persónuverndarlögunum, skyldur annarra og hvernig réttindi hinna skráðu eru virt og tryggð.
Uppfylla þarf meginregluna um takmörkun geymslutíma að því er varðar allar persónuupplýsingar sem eru unnar til að þróa gervigreindarlausn eða -líkan.
Tryggja þarf öryggi gervigreindarlausnar eða -líkans og allra persónuupplýsinga sem því tengjast – með hliðsjón af notkun þeirra, bæði heimilli og óheimilli; mögulegum ófyrirséðum afleiðingum; illgjarnri notkun eða samskiptum; áhrifum sem kunna að verða víðtækari en upphafleg hönnun gerði ráð fyrir; og öllum innbyggðum takmörkunum lausnarinnar.
Mat á áhrifum á persónuvernd
Þegar persónuupplýsingar eru notaðar skal meta alla áhættu sem tengist hönnun, þróun og áframhaldandi notkun gervigreindarlíkansins eða -lausnarinnar. Þetta getur krafist þess að framkvæmt sé mat á áhrifum á persónuvernd, einkum þegar tæknin eða vinnslan er ný fyrir ábyrgðaraðilanum, þegar verið er að sameina gagnasöfn, eða þegar ábyrgðaraðilinn hyggst nota persónuupplýsingar um börn eða aðra viðkvæma hópa í samfélaginu. Þrátt fyrir að mat á áhrifum á persónuvernd sé ekki ávallt skylt getur verið góð venja að framkvæma slíkt mat í öllum tilvikum.
