IT-Politisk Forening vil anbefale, at dette lovforslag ikke fremsættes i Folketinget. Lovforslaget søger at skabe en hjemmel til enhver brug af personoplysninger, herunder følsomme personoplysninger, til udvikling og anvendelse af AI-modeller i den offentlige sektor. Store dele af GDPR bliver reelt sat ud af krav, herunder centrale krav som nødvendighed, proportionalitet, dataminimering og formålsbegrænsning.

Efter IT-Politisk Forenings vurdering, jf. uddybningen nedenfor, er denne fremgangsmåde ikke forenelig med GDPR og Charter om Grundlæggende Rettigheder.

Etablering af et generelt lovgrundlag for behandling af personoplysninger i AI-systemer

Lovforslagets § 3, stk. 1 søger at skabe en generel hjemmel for behandling af personoplysninger til udvikling og anvendelse af AI-systemer i den offentlige sektor. Ifølge lovforslagets bemærkninger skal den enkelte myndighed ikke længere foretage en selvstændig vurdering af, om den eksisterende relevante sektorlovgivning har den fornødne klarhed til at udgøre et supplerende retsgrundlag efter GDPR artikel 6, stk. 3.

Præmissen i lovforslaget synes at være, at fordi det magiske ord ”AI” indgår direkte i § 3, stk. 1, er der nu den fornødne klarhed til enhver behandling af personoplysninger til udvikling og anvendelse af AI-modeller.

Efter IT-Politisk Forenings vurdering er denne fremgangsmåde ikke forenelig med GDPR og Charter om Grundlæggende Rettigheder.

Ifølge EU-Domstolens retspraksis udgør enhver behandling af personoplysninger i den offentlige sektor et indgreb i den grundlæggende ret til databeskyttelse (artikel 8 i Charter om Grundlæggende Rettigheder). Artikel 52, stk. 1 i Charteret kræver, at indgreb i grundlæggende rettigheder skal være fastsat ved lov, respektere det væsentligste indhold af grundlæggende rettigheder, og overholde krav om nødvendighed og proportionalitet.

Den lovgivning, som indebærer en foranstaltning, der tillader et sådant indgreb, skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller mindstekrav, således at de personer, hvis personoplysninger er blevet overført, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan ske behandling af personoplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige, jf. eksempelvis C-175/20 præmis 55 og 83.

En lovbestemmelse, der som den foreslåede § 3, stk. 1, giver en hjemmel til enhver behandling af personoplysninger til udvikling og anvendelse af AI-modeller, kan umuligt opfylde disse krav.

Kravet om ”fastsat ved lov” handler ikke kun om klarhed (eksempelvis at AI er omtalt på en ”klar” måde i lovbestemmelsen), men også om at retsgrundlaget skal have den fornødne præcision, således at de berørte personer kan forudsige konsekvenserne af indgrebet i deres grundlæggende rettigheder. En lovgivning, der i én sætning nærmest tillader enhver behandling af personoplysninger uden nogen reel afgrænsning, kan ikke med nogen rimelighed opfylde kravet om præcision, og overholder således ikke de basale krav til at være fastsat ved lov.

Kravet om nødvendighed kan kun være opfyldt, hvis der ikke eksisterer en mindre indgribende foranstaltning, som tillader forfølgelse af det samme legitime mål. Behandling af personoplysninger i AI-modeller vil i mange situationer indebære særdeles alvorlige indgreb i retten til beskyttelse af personoplysninger. Det skyldes bl.a. den omfattende mængde af personoplysninger, som indgår i AI-modeller, muligheden for indgribende profilering, disse modellers manglende gennemskuelighed, og risikoen for diskrimination eller forstærkning af eksisterende biases i den offentlige forvaltning.

På den baggrund kan kravet om nødvendighed umuligt være opfyldt for enhver behandling af personoplysninger til AI-modeller, idet der i en række tilfælde vil eksistere mindre indgribende foranstaltninger end AI-modeller.

Under alle omstændigheder er der behov for en konkret vurdering af kravet om nødvendighed, men formålet med den foreslåede § 3, stk. 1 er netop, at offentlige myndigheder skal kunne udvikle og anvende AI-modeller uden sådanne konkrete vurderinger af først nødvendighed og efterfølgende proportionalitet.

En vurdering af lovforslagets § 3, stk. 1 i forhold til kravene i GDPR leder til de samme konklusioner. Når det retlige grundlag for behandlingen er GDPR artikel 6, stk. 1, litra e, skal grundlaget for behandlingen fremgå af medlemsstaternes nationale lov, jf. artikel 6, stk. 3. Betragtning 41 forudsætter, at dette retsgrundlag skal være klart og præcist, og anvendelse heraf skal være forudsigelig for personer, der er omfattet af dets anvendelsesområde, jf. retspraksis fra EU-Domstolen og Den Europæiske Menneskerettighedsdomstol.

GDPR artikel 6, stk, 1, litra e kræver endvidere, at behandlingen skal være nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse. Betragtning 39 anfører, at personoplysninger kun bør behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde.

Disse begrænsninger i adgangen til at behandle personoplysninger (nødvendighed) er særligt relevante i forhold til AI-modeller, som generelt indebærer en omfattende og ofte særdeles indgribende behandling af personoplysninger, og hvor der altid vil være behov for at overveje, om en mindre indgribende foranstaltning kan anvendes i stedet for AI-modeller.

Dertil kommer, at GDPR i artikel 5 har konkrete krav om bl.a. formålsbegrænsning og dataminimering, som enhver behandling af personoplysninger skal overholde. Alle disse bestemmelser i GDPR bliver imidlertid fuldstændig tilsidesat af lovforslagets § 3, stk. 1, som søger at skabe en generel hjemmel til behandling af personoplysninger i AI-modeller uden en konkret vurdering af, om denne behandling overholder GDPR (eller Charteret).

Anvendelse af personoplysninger til nye formål

Af de specielle bemærkninger til § 3 (side 57) fremgår det, at offentlige myndigheder kan behandle personoplysninger, som myndigheden har indsamlet til et formål, f.eks. konkret sagsbehandling, til et andet formål, navnlig udvikling af et AI-system, uden at skulle foretage en nærmere vurdering af, om der er tale om forenelige formål. Det begrundes af Digitaliseringsministeriet med, at der i henhold til GDPR artikel 6, stk. 4, vil være tale om viderebehandling på baggrund af national ret.

GDPR tillader imidlertid ikke enhver viderebehandling til et nyt formål uden en nærmere vurdering, da det fuldstændigt ville ophæve kravet i GDPR artikel 5, stk. 1, litra b om, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål. Denne formålsbegrænsning fremgår desuden direkte af artikel 8, stk. 2 i Charter om Grundlæggende Rettigheder. Kravet om formålsbegrænsning gælder også for offentlige myndigheder.

Når GDPR artikel 6, stk. 4 omtaler viderehandling til et nyt formål på baggrund af national ret, er det forudsat, at denne lovbestemmelse i national ret udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1. Denne formulering i GDPR artikel 6, stk. 4 understreger, at viderebehandling af personoplysninger til et nyt formål udgør et indgreb i den grundlæggende ret til databeskyttelse, og at dette indgreb skal opfylde krav om bl.a. nødvendighed og proportionalitet (GDPR artikel 23, stk. 1 udmønter i den henseende kravene i Charterets artikel 52, stk. 1 for et indgreb i retten til databeskyttelse).

Lovforslaget kan således ikke, via bemærkningerne til § 3, tillade enhver viderebehandling til et nyt formål uden en konkret vurdering af, om formålene er forenelige.

Følsomme personoplysninger (GDPR artikel 9)

GDPR artikel 9, stk. 1 forbyder behandling af følsomme personoplysninger, medmindre den dataansvarlige kan påberåbe sig en af undtagelserne i artikel 9, stk. 2. Det er langt fra givet, at der i alle situationer, hvor følsomme personoplysninger behandles eller navnlig viderebehandles til et nyt formål, herunder udvikling og anvendelse AI-modeller, kan identificeres en gyldig undtagelse i artikel 9, stk. 2. Det gælder også, hvis den dataansvarlige er en offentlig myndighed.

Lovforslagets § 3, stk. 2 synes imidlertid at være baseret på den præmis, at følsomme personoplysninger altid kan behandles til udvikling og anvendelse af AI-modeller, idet bestemmelsen alene kræver, at vedkommende minister på eget ressort skal fastsætte specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og interesser i forbindelse med behandling af følsomme personoplysninger, hvis sådanne foranstaltninger er påkrævet i henhold til databeskyttelsesreglerne.

Den underliggende antagelse synes at være, at undtagelsen i GDPR artikel 9, stk. 2, litra g generelt kan anvendes i forhold til behandling af følsomme personoplysninger i AI-modeller. Kravet i litra g er imidlertid, at behandlingen skal være nødvendig af hensyn til væsentlige samfundsinteresser, hvilket er et langt strengere nødvendighedskrav end GDPR artikel 6, stk. 1, litra e (nødvendig for udførelse af en opgave i samfundets interesse).

Det kan således ikke med nogen rimelighed antages, at enhver behandling af følsomme personoplysninger til udvikling og anvendelse af AI-modeller er nødvendig af hensyn til væsentlige samfundsinteresser.

Digitaliseringsministeriets anfører i de almindelige bemærkning pkt. 3 (side 35), at de gode muligheder forbundet med anvendelsen af AI-systemer i sagsbehandlingen, både i forhold til de anvendte ressourcer og i forhold til at øge kvaliteten, gør behandlingen nødvendig af hensyn til formål af væsentlig samfundsmæssig betydning. Der er nærmest tale om, at Digitaliseringsministeriet ophøjer AI til at være en væsentlig samfundsinteresse i sig selv.

Dette argument er for det første baseret på en udokumenteret påstand om, at AI-modeller fører til en mere effektiv anvendelse af ressourcer eller forbedret kvalitet af sagsbehandlingen. For det andet kan økonomiske argumenter om eksempelvis besparelser ikke i sig selv opfylde kravet om nødvendighed, og slet ikke nødvendighed af hensyn til væsentlige samfundsinteresser, hvis der er mulighed for at opfylde formålet med en mindre indgribende foranstaltning end AI-modeller (i dette tilfælde endda baseret på følsomme personoplysninger), uagtet at dette alternativ måske er mere udgiftskrævende for den offentlige myndighed.