EDPB har udsendt vejledning om brug af personoplysninger i AI, med fokus på tre hovedspor: vurdering af anonymitet i modeller, brug af legitim interesse som retsgrundlag og håndtering af ulovligt behandlede data. Vejledningen peger på eksempler som cybersikkerhed og forbedret brugervenlighed, men præciserer, at nødvendighed og korrekt afvejning af interesser er afgørende. EDPB tager ikke stilling til behandling af særlige kategorier af oplysninger i denne sammenhæng.
Anonymitet i AI-modeller
En AI-model kan kun anses som anonym, hvis det er meget usandsynligt både at identificere de personer, hvis data indgik i modellen, og at udtrække personoplysninger via forespørgsler. Myndighederne foretager en konkret vurdering i hvert enkelt tilfælde.
EDPB beskriver ikke-bindende metoder til at teste anonymitet. Praktisk kræver det systematiske tests mod dataudtræk, modelinversion og andre angreb, kombineret med stærk datastyring, outputkontroller og løbende overvågning.
Legitim interesse og ulovlige data
Tretrinsmodellen for legitim interesse omfatter identifikation af formål, stram nødvendighedsvurdering og balancering mod den registreredes rettigheder og rimelige forventninger. En DPIA, dataminimering og gennemsigtig information styrker retsgrundlaget.
Hvis træningsdata er ulovligt behandlet, kan lovlighed i visse tilfælde bevares gennem tilstrækkelig anonymisering af data før anvendelse. Tidlig integration af tekniske og juridiske tiltag, herunder privacy by design og dokumentation, reducerer risiko og øger tilliden. Læs EDPB’s udtalelse her.
