Tech Blog

AI Act och GDPR: Dubbla riskbedömningar?

När en organisation avser att använda någon typ av ny teknik som kan leda till en hög risk för individers rättigheter kan en konsekvensbedömning, data protection impact assessment (DPIA), enligt artikel 35 GDPR behöva göras. Riskerna med personuppgiftsbehandlingen behöver bedömas och hanteras, och behandlingen ska kartläggas och beskrivas. Om risken bedöms vara fortsatt hög behöver även förhandssamråd med Integritetsskyddsmyndigheten begäras innan behandlingen kan inledas.

En liknande typ av proaktiv riskbedömning förekommer också i den nya AI-förordningen. Enligt artikel 27 p. 1 ska en fundamental rights impact assessment (FRIA) utföras innan så kallade högrisk-AI-system tas i bruk. Denna skyldighet gäller exempelvis för de flesta verksamheter som räknas som hög risk och räknas upp bilaga 3 till AI Act, samt mer generellt för statliga myndigheter och andra aktörer som utför offentlig verksamhet som driftsätter ett högrisk-AI-system.

En FRIA ska utvärdera AI-systemets effekt på grundläggande rättigheter. Risken för skada i förhållande till enskilda ska beskrivas och de åtgärder som vidtas ifall skadan realiseras ska redovisas. En DPIA har liknande syfte som en FRIA – att hantera dataskyddsrisker för att skydda individers fri- och rättigheter. Dessa två typer av riskbedömningar skulle därför kunna få vissa överlappande moment.

Enligt artikel 27 p 4 gäller dock att i den utsträckning som skyldigheterna enligt p 1 täcks av en konsekvensbedömning, kan dessa skyldigheter genomföras i anslutning till en sådan konsekvensbedömning. AI-aspekterna kan alltså fångas upp inom ramen för en DPIA. Vår bedömning är därför att det i framtiden kommer vara en lämplig best practice att försöka fånga de risker som kan uppkomma vid AI-användning i en gemensam mer omfattande bedömning än vad som är fallet vid en DPIA eller FRIA var för sig.

Delphis jurister följer rättsutvecklingen på AI-området och arbetar frekvent med AI-juridiska frågor. Du kan läsa mer om AI och dataskydd här eller lyssna på Delphipoddens avsnitt Samtal om AI och hur AI påverkar juristrollen här.

 

Denna artikel är skriven av Senior Associate/Advokat Linus Larsén och Associate Rebecka Undén