Nya riktlinjer från EDPS för generativ AI och personuppgifter

Så ska EU-organ hantera personuppgifter vid användning av generativ AI

Europeiska datatillsynsmannen, EDPS, har publicerat nya riktlinjer för hur EU:s institutioner, organ, byråer och kontor ska hantera personuppgifter vid användning av generativ AI. Syftet är att ge praktiskt stöd för att säkerställa att användningen av generativa AI-system följer förordning (EU) 2018/1725, som reglerar dataskydd för EU:s institutioner och organ.

Riktlinjerna lyfter centrala dataskyddsprinciper som behovet av en rättslig grund för behandling av personuppgifter, dataminimering, korrekta uppgifter och bedömningen av när en konsekvensbedömning avseende dataskydd behöver göras. Målet är att hjälpa EU-organ att använda generativ AI på ett sätt som skyddar individers rättigheter och är förenligt med gällande dataskyddsregler.

EDPS betonar samtidigt att riktlinjerna är utformade för att kunna användas i många olika situationer och att de därför inte innehåller detaljerade tekniska lösningar. I stället ger de ett ramverk som kan anpassas i takt med att AI-tekniken utvecklas och nya frågor uppstår. EDPS beskriver också dokumentet som ett första steg, med ambitionen att successivt uppdatera och fördjupa vägledningen framöver.

En viktig del i sammanhanget är att dessa riktlinjer har tagits fram inom ramen för EDPS roll som dataskyddsmyndighet för EU:s institutioner. EDPS har uttryckligen klargjort att vägledningen inte har utfärdats inom myndighetens nya roll enligt AI Act, och att en separat strategi för den rollen tas fram. Riktlinjerna är därför inriktade på personuppgifter, integritet och dataskydd, inte på AI-lagens tillsynsfrågor i sig.

För organisationer som följer utvecklingen inom AI och dataskydd visar EDPS riktlinjer hur viktigt det är att bygga in integritetsfrågorna tidigt i arbetet med generativ AI. Det gäller särskilt i miljöer där stora mängder data behandlas och där ansvarsfull användning av AI blir avgörande för både regelefterlevnad och förtroende.