Gælder GDPR, når vi udvikler eller bruger AI?

Ja. GDPR gælder parallelt med AI-forordningen. Behandling af personoplysninger skal have lovligt grundlag efter art. 6, og krav om oplysningspligt, DPIA og privacy by design består. AI-sandkasser giver kun et begrænset særgrundlag.

Kan en national datatilsynsmyndighed stoppe behandling uden for eget land?

Ja. Forbudsafgørelser kan have grænseoverskridende effekt via GDPR’s samarbejds- og håndhævelsesmekanismer. Praktisk kan store platforme blive pålagt at standse behandling i hele EØS.

Er pseudonymiserede data altid undtaget GDPR?

Nej. Pseudonymisering fjerner ikke altid persondatakarakteren. Retspraksis er under udvikling, og en central dom er anket; vurderingen afhænger af, om identifikation er rimeligt mulig.

Hvad bør virksomheder gøre mod ulovlig data scraping?

Kortlæg datakilder, vurder behandlingsgrundlag, begræns scraping i vilkår og teknisk, og gennemfør DPIA ved høj risiko. Overvåg tilsynspraksis og dokumentér foranstaltninger.

Schjødt

Privacy Corner

Legal Tech og AI EU-ret Persondata og cybersikkerhed

GDPR forbliver rygraden for AI-baseret behandling, selv når AI-forordningen træder i kraft. Norske tilsynsafgørelser med forbud mod behandling viser, at håndhævelsen kan få grænseoverskridende effekt. Virksomheder bør sikre lovligt grundlag, DPIA og styr på scraping.

Eva Jarbekk

Jeppe Songe-Møller

Inge Kristian Brodersen

Kaare M. Risung
Øyvind Eidissen
Anna Eide
Ane Rode
Oskar Engman
Paal-André Storesund
Katarina Foss-Solbrekk

GDPR som ramme for AI og snævre undtagelser i AI-forordningen

GDPR gælder sideløbende med den kommende AI-forordning, og behandling af personoplysninger i AI kræver et gyldigt behandlingsgrundlag. AI-sandkasser får et snævert særgrundlag, men fritager ikke for de almindelige GDPR-krav. Datatilsyn kan og vil standse igangværende behandling — også med grænseoverskridende effekt, som set i nylige forbudsafgørelser fra Norge.

Retsudviklingen er dynamisk: Afgørelsen om, at pseudonymiserede data ikke altid er personoplysninger, er anket, og flere tilsyn går efter ulovlig data scraping. Praktisk bør organisationer kortlægge datakilder, dokumentere art. 6‑grundlag, gennemføre DPIA, og indbygge databeskyttelse gennem design. Forvent skærpet håndhævelse og sanktioner samt nye regler i EU, men GDPR forbliver rammen for AI-baseret databehandling.

Læs hele artiklen hos Schjødt →

Søgeord