NPA 2021: Europeiska datatillsynsmannen vill förbjuda viss AI medan dataskyddsmyndigheter kämpar med klagomål

Författare:

|

Datum:

|

Nordic Privacy Arena (NPA) är en årlig konferens för personer som arbetar med dataskydd. Den 6:e upplagan av NPA hölls som ett halvdigitalt event den 27–28 september 2021. Konferensen innehöll inte mindre än 30 programpunkter om dataskydd och hade över 95 stycken digitala deltagare och drygt 220 stycken på plats på Münchenbryggeriet i Stockholm. Detta är den första av tre artiklar som belyser några av de föreläsningar och diskussioner som ägde rum.

Artificiell intelligens ur Europeiska datatillsynsmannens synvinkel

Leonardo Cervera Navas, direktör vid Europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS), var en av två huvudtalare som inledde dag 1. Han förklarade att EDPS har en dubbel roll: den övervakar EU:s institutioner och ger råd till EU om förslag till lagstiftning.

Under sin presentation som han gav via videolänk från flygplatsen i Malaga, fokuserade Cervera Navas främst på den föreslagna AI-förordningen för EU. Han redogjorde för ett gemensamt yttrande från EDPS och Europeiska Dataskyddstyrelsen som Forum för Dataskydd i somras rapporterade om här. Enligt Cervera Navas välkomnar EDPS i högsta grad denna förordning och anser att européerna bör omfamna AI-teknik i stället för att gömma sig för den. Å andra sidan varnade han också för de stora risker som är förknippade med vissa aspekter av AI-teknik.

Leonardo Cervera Navas förklarade att EDPS är mycket orolig för att offentliga myndigheter i grunden kommer att förändra sitt förhållande till medborgarna om de börjar använda igenkänning baserad på biometri och beteende på offentliga platser. Han varnade för att detta kan skapa ett Orwellianskt samhälle och att det inte kommer att vara möjligt att rulla tillbaka användningen av sådan teknik. Han uppmanade dataskyddsexperter att vara mycket aktiva och göra politikerna medvetna om dessa risker.

Leonardo Cervera Navas delade också med sig av att EDPS rekommenderar att man till en början förbjuder riskfyllda AI-lösningar och sedan gradvis lättar på dessa restriktioner. Dessutom anser EDPS att det är nödvändigt med ett proaktivt förhållningssätt till ny teknik. Han meddelade att TechSonar är ett projekt som EDPS nu lanserar för att förutse trender inom ny teknik och inleda en debatt som möjliggör en hållbar digital framtid.

Trendspaning genom dataskyddsmyndigheternas ögon

I en paneldiskussion med företrädare för flera dataskyddsmyndigheter var klagomål och resurser ett av ämnena som hamnade i fokus.

Dr. Andrea Jelinek, direktör (myndighetschef) för den österrikiska dataskyddsmyndigheten och ordförande i Europeiska Dataskyddsstyrelsen, European Data Protection Board (EDPB) var först ut. Hon nämnde att det kan vara svårt för dataskyddsmyndigheter att bemanna adekvat eftersom de inte i förväg vet om och till vilken dataskyddsmyndighet en organisation som Noyb kommer att lämna in en stor bunt med klagomål.

Paneldeltagarna var överens om att resurser och oförutsägbara ärendetillströmningar utgjorde en stor och gemensam utmaning för deras dataskyddsmyndigheter. Bjørn Erik Thon, generaldirektör vid norska dataskyddsmyndigheten, Datatilsynet, förklarade att en oacceptabel situation håller på att uppstå. Efter Schrems II-beslutet måste hans dataskyddsmyndighet utreda alla klagomål som rör tredjelandsöverföringar.  Denna påtvingade omfördelning av resurser hindrar Datatilsynet från att ta itu med mer brådskande ärenden, t.ex. att utreda allvarliga anmälningar om personuppgiftsincidenter. Thon varnade för att om detta problem inte åtgärdas kommer hans myndighet tvingas vidta drastiska åtgärder.

Dr. Andrea Jelinek fick en fråga om varför dataskyddsmyndigheterna fokuserar så mycket på tillsyn. Hon svarade att EDPB också arbetar med att ta fram mycket vägledning, men att det tar tid eftersom alla dataskyddsmyndigheter måste komma överens. Hon tillade att personuppgiftsansvariga måste komma ihåg att dataskyddsmyndigheterna inte är deras advokater och att det är de själva som är skyldiga att visa att de följer reglerna.

Slutligen uttryckte Dr. Jelinek förhoppningar om att medlemsstaternas regeringar kommer inse sitt delade ansvar. Genom EU:s lagstiftningsförfarande har de varit medlagstiftare till GDPR. Hon hoppades att de kommer se till att deras dataskyddsmyndigheter har tillräckliga resurser så dataskyddsförordningen fungerar som tänkt.