Datatilsynets undersøgelse
Datatilsynet har indledt en sag af egen drift om et forskningsprojekt i Region Hovedstaden og bedt om redegørelse for de databeskyttelsesretlige vurderinger forud for behandlingen. Tilsynets brev kan læses her: brev til Region Hovedstaden.
Myndigheden understreger, at en forudgående vurdering af lovlighed, behandlingsgrundlag og risici er afgørende. Formålet er både at sikre, at behandlingen opfylder GDPR’s krav, og at risikoen for de registreredes rettigheder nedbringes gennem passende tekniske og organisatoriske foranstaltninger.
Konsekvensanalyse og AI
Hvis en planlagt behandling sandsynligvis indebærer høj risiko, skal der gennemføres en konsekvensanalyse efter GDPR art. 35, særligt relevant ved behandling af helbredsoplysninger eller brug af nye teknologier som AI. Analysen skal belyse nødvendighed, proportionalitet og risikoreducerende tiltag.
For AI-behandlinger har Datatilsynet udgivet målrettet vejledning og en indholdsmæssigt udfyldt skabelon: vejledning om AI og skabelon til konsekvensanalyse ved AI.
Konsekvenser ved ulovlig behandling
Konstateres ulovlig behandling, skal den som udgangspunkt ophøre, og alle persondata samt afledte resultater – herunder trænte modeller – slettes. Af hensyn til driftsmæssig kontinuitet bør dataansvarlige derfor undgå at bygge løsninger på data indsamlet i strid med GDPR.
Praktisk bør den dataansvarlige involvere DPO, dokumentere vurderinger og overveje forudgående høring efter GDPR art. 36, hvis høj risiko ikke kan nedbringes. Yderligere vejledning findes her: konsekvensanalyse og kunstig intelligens.
