Aprils uppdateringar från FEDMA
April blev en intensiv månad för EU:s digitala lagstiftningsarbete. Samtidigt som AI Omnibus och Digital Omnibus tog viktiga steg framåt, kom också nya signaler från tillsynsmyndigheter och andra aktörer om hur dataskydd, innovation och AI ska hanteras i praktiken. Nedan följer några av månadens viktigaste uppdateringar från FEDMA:s arbete och från utvecklingen i omvärlden.
EDPB beställer studie om data brokers
EDPB har publicerat en studie om den belgiska marknaden för data brokers. Studien är inte ett officiellt ställningstagande från EDPB, men den kan ändå få betydelse för framtida tillsyn och policyutveckling.
FEDMA kommer tillsammans med andra branschorganisationer att svara på delar av studien som bedöms vara ofullständiga eller missvisande. Frågan är viktig eftersom synen på data brokers kan påverka hur datadrivna affärsmodeller bedöms framöver.
Kommissionen förbereder vägledning om ansvar i AI-värdekedjan
Den 3 april lanserade EU-kommissionen en upphandling för en studie som ska stödja genomförandet av AI Act. Syftet är att ta fram underlag till kommande riktlinjer om ansvarsfördelning i AI-värdekedjan.
Det är en tydlig signal om att fokus nu allt mer flyttas från lagtext till praktisk tillämpning. För företag som utvecklar, integrerar eller använder AI blir frågor om ansvar, roller och efterlevnad därför allt viktigare.
Storbritannien förtydligar reglerna för automatiserade beslut
Den brittiska dataskyddsmyndigheten ICO har uppdaterat sin vägledning om automatiserat beslutsfattande. Vägledningen klargör när automatiserad behandling, inklusive profilering och AI-baserade system, omfattas av UK GDPR:s särskilda skyddsregler.
Samtidigt lyfter ICO risker som bristande transparens, bias och oproportionerlig påverkan på sårbara grupper. Det är en utveckling som är relevant även ur ett EU-perspektiv, eftersom den visar hur tillsynsmyndigheter konkretiserar kraven på ansvar i AI-drivna beslutssystem.
Irland och Sydkorea visar två intressanta tillsynsperspektiv
Under april hade FEDMA också dialog med både den irländska och den sydkoreanska dataskyddsmyndigheten. Irlands DPA signalerade viss öppenhet för undantag från samtyckeskrav i vissa låg-riskaktiviteter och lyfte värdet av tidig dialog med företag som utvecklar ny teknik.
Sydkoreas DPA visade samtidigt upp en mer handlingsinriktad modell, där företag kan få konkreta behandlingsupplägg prövade i förväg genom en så kallad no-action letter-process. Det är ett intressant exempel på hur innovation och rättssäkerhet kan utvecklas parallellt.
Alla artiklar