AI-compliance – GDPR og AI-forordningen

AI-compliance – GDPR og AI-forordningen

Compliance Legal Tech og AI EU-ret Persondata og cybersikkerhed
EU’s AI-forordning skærper reglerne for virksomheders brug af AI og supplerer GDPR med risikokategorier, dokumentationskrav og governance. Få overblik over DPIA, art. 22, transparens og samtykke samt praktiske skridt til efterlevelse. Bøder kan være betydelige.

EU’s AI-forordning er trådt i kraft og indfører et risikobaseret regelsæt for udvikling og brug af kunstig intelligens. Reglerne supplerer GDPR, som fortsat gælder, når AI behandler personoplysninger. Virksomheder bør tidligt vurdere, hvilken risikokategori deres anvendelser falder i, og sikre governance, dokumentation og gennemsigtighed, så både AI-forordningen og GDPR efterleves.

Risikoinddeling og krav

AI-forordningen klassificerer systemer efter risiko og knytter specifikke pligter til hver kategori. Visse anvendelser er forbudte, mens højrisiko-systemer udløser omfattende krav til bl.a. risikostyring, datakvalitet og menneskelig kontrol. General purpose-modeller pålægges teknisk dokumentation, cybersikkerhed og rapporteringspligter.

Klassifikationen bør afklares i designfasen. For højrisiko-brug kan der kræves et risk management system og en vurdering af grundlæggende rettigheder (FRIA). Valg og kvalitet af træningsdata skal dokumenteres og afspejle formålet.

For overskuelighed kan kategorierne skitseres således:

  • Forbudte systemer: f.eks. udnyttelse af sårbarheder, følelsesgenkendelse i arbejds- og uddannelseskontekster samt ansigtsgenkendelse i det offentlige rum, med snævre undtagelser.
  • Højrisiko AI: bl.a. biometri, uddannelse, kritisk infrastruktur, beskæftigelse, arbejdstagerforvaltning, retshåndhævelse og forsikringsvurdering; kræver risikostyring, datastyring og menneskelig indgriben.
  • Regulerede systemer med interaktion: krav om tydelig oplysning om, at brugeren interagerer med AI, og mærkning af AI-genereret indhold.
  • General purpose AI: krav om teknisk dokumentation, compliance-politikker og hændelsesrapportering.
  • Ikke-regulerede systemer: anbefalinger om interne politikker, fortrolighedshensyn og IP-afklaring.

GDPR-krav ved AI-behandling

Når AI behandler personoplysninger, skal der foreligge et gyldigt behandlingsgrundlag, og formålsbegrænsning, dataminimering, anonymisering eller pseudonymisering skal anvendes, hvor det er muligt. Ofte udløses en konsekvensanalyse (DPIA), og hvis rest-risikoen ikke kan nedbringes til et acceptabelt niveau, skal tilsynsmyndigheden høres før ibrugtagning.

GDPR fastslår retten til ikke at være genstand for afgørelser udelukkende baseret på automatiseret behandling, der har retsvirkning eller tilsvarende væsentlig betydning. Ved brug af AI i rekruttering, medarbejderprocesser eller kundeservice bør der derfor sikres meningsfuld menneskelig indgriben, passende træning af medarbejdere og klare procedurer for eskalation.

Transparens er central: den dataansvarlige skal oplyse formål, behandlingsgrundlag, om der indgår automatiserede afgørelser, samt give meningsfulde oplysninger om logikken og de forventede konsekvenser. Kommunikationsniveauet skal tilpasses målgruppen, herunder børn og andre sårbare personer.

Behandling af følsomme oplysninger, f.eks. biometri til adgangskontrol, vil ofte kræve gyldigt samtykke og et reelt alternativ til behandlingen. Datatilsynet har i en sag om ansigtsgenkendelse i et fitnesscenter vurderet, at samtykke forudsætter et alternativ, f.eks. adgang i bemandede tidsrum eller via telefonisk support. Læs afgørelsen hos Datatilsynet.

Praktiske skridt til compliance

Virksomheder, der udvikler eller anvender AI, bør etablere en tværfaglig governance-struktur og prioritere dokumentation fra dag ét. Det reducerer risikoen for omkostningsfulde redesigns og sikrer hurtig håndtering af afvigelser.

En operationel tilgang kan følge disse trin:

  1. Kortlæg AI-brug og datastrømme, herunder formål, datatyper, modtagere og overførsler.
  2. Fastlæg behandlingsgrundlag, anvend dataminimering, og vurder behov for anonymisering eller pseudonymisering.
  3. Udfør DPIA og eventuel FRIA, etabler risikostyring og kvalitetskrav til træningsdata.
  4. Udarbejd politikker for transparens, menneskelig indgriben, logning, teknisk dokumentation og sikkerhed.
  5. Etabler løbende monitorering, hændelsesrapportering og medarbejdertræning.

Sanktioner og håndhævelse

GDPR giver tilsynsmyndighederne adgang til påbud, kritik og bøder op til 20 mio. EUR eller 4 procent af global koncernomsætning, alt efter overtrædelsens karakter og omfang.

AI-forordningen opererer med bøder i intervallet 2–7 procent af omsætningen eller op til 35 mio. EUR. Sanktionens størrelse afhænger bl.a. af kategori, compliance-indsats og risikoens alvor. Tidlig klassificering, solid dokumentation og klare processer er derfor afgørende for at begrænse eksponeringen.

Læs hele artiklen hos CLEMENS →
Søgeord
GDPR, Samtykke, Databehandleraftale, Træningsdata, AI forordningen, General Purpose AI, Gennemsigtighed, Hændelsesrapportering, Risikostyring, Complianceprogram, Datatilsynet, DPIA, GDPR art 6, Konsekvensanalyse, Governance, Dataansvarlig, Pseudonymisering, Anonymisering, Profilering, Dataminimering, Cybersikkerhed, Formålsbegrænsning, GDPR art 22, GDPR art 5, Tilsynsmyndighed, Højrisiko AI, Teknisk dokumentation, AI Act, Automatiserede afgørelser, Dokumentationspligt, Administrative bøder, Datasæt kvalitet, Forbudte AI systemer, Biometriske data, Ansigtsgenkendelse, FRIA, Fundamental rights impact assessment, Mærkning af AI indhold, Reelt alternativ, Ophavsret EU

Relaterede artikler

Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn
Lund Elmer Sandager

Nylig dom markerer en skærpet praksis for brugen af miljø- og bæredygtighedsudsagn

En dom idømmer en dansk virksomhed en betydelig bøde for udokumenterede bæredygtighedspåstande. Afgørelsen skærper praksis for grøn markedsføring og anvender en omsætningsbaseret bødemodel. Samtidig implementeres EU-direktiv 2024/825 med klare forbud mod generiske miljøudsagn uden dokumentation.
Datatilsynet har ført tilsyn med ejendomsadministratorer
Datatilsynet

Datatilsynet har ført tilsyn med ejendomsadministratorer

Datatilsynet afslutter planlagte tilsyn hos fem ejendomsadministratorer om håndtering af registreredes rettigheder. Gennemgang af interne processer og konkrete sager om indsigt og sletning viser overordnet tilfredsstillende efterlevelse. Et notat samler generelle observationer og bemærkninger.
Nordic Defence & Cybersecurity Newsletter: The European Defence Industry Programme: Council Gives Final Approval
Moalem Weitemeyer

Nordic Defence & Cybersecurity Newsletter: The European Defence Industry Programme: Council Gives Final Approval

Rådet har endeligt vedtaget EDIP, som etablerer fælles EU-rammer for forsvarsanskaffelser, finansiering og forsyningssikkerhed. Skærpede krav til etablering, kontrol og leverandørkæder kombineres med høje støtteprocenter og mulighed for prioriterede ordrer under kriser.
EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles
Erhvervsstyrelsen

EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles

Europa-Parlamentet har vedtaget en omnibuspakke, der forenkler CSRD og koordinerer med CSDDD. Betydeligt færre danske virksomheder bliver omfattet, og kravene bliver mere talbaserede. Reglerne gælder fra 2027, men regeringen vil fritage tidligere. Erhvervsstyrelsen opdaterer vejledningen.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Jura360
Deltidssælger med fuldtidsløn – vil du være vores 4. kollega hos Jura360?
Jura360
Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Erhvervsministeriet
Kontorchef med ansvar for tilsynet med pensionskasser
Erhvervsministeriet
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Kollega søges til Erhvervsministeriets kontor for finansielle juridiske forhold
Erhvervsministeriet
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →