IT-rätt, AI och GDPR – Vad har hänt under sommaren?

IT-rätt, AI och GDPR – Vad har hänt under sommaren?

Sommaren börjar lida mot sitt slut och mycket har hänt under sommarmånaderna. Vi ser fram emot en fartfylld och spännande höst och har i samband med att vi är åter på kontoret sammanställt de viktigaste uppdateringarna som skett under sommaren på IT-området. Spännande läsning!

Artificiell Intelligens (AI)

AI-förordningen (AI Act) har äntligen trätt i kraft den 1 augusti 2024 och kommer nu successivt att börja tillämpas på AI-system och AI-modeller för allmänna ändamål.[1] AI-förordningen syftar till att skapa harmoniserade regler för att säkerställa tillförlitlig AI utifrån ett produktsäkerhets- och riskbaserat förhållningssätt. Den slutliga versionen finns publicerad i EU:s officiella tidning.

På AI-området i Sverige har DIGG och IMY getts i uppdrag av regeringen att ta fram vägledande riktlinjer om användningen av generativ AI i den offentliga förvaltningen i förhållande till bl.a. ett etiskt och säkerhetsperspektiv.[2] Riktlinjerna syftar till att ge stöd och vägledning för anställda och personer i ledningsfunktioner vid användning och utnyttjande av AI för att främja tillit, transparens och förtroende samt för att införa kompetenshöjande insatser för mindre aktörer. Uppdraget ska redovisas senast i början på nästa år den 20 januari 2025.

Samverkansprogrammet eSam har även publicerat en rapport om ”Stärkt förmåga till AI i samverkan”.[3] Rapporten syftar till att redovisa behovet av användningen och utvecklingen av AI hos eSams medlemmar och vilka specifika förmågor som bör förstärkas för att kunna främja detta.

Dataskydd

På dataskyddsområdet har organisation Noyb (None of your business), med Max Shrems i spetsen, överklagat ett beslut från Förvaltningsrätten om IMY:s hantering av klagomål.[4] Noyb åberopar i sin överklagan att IMY endast vidarebefordrar klagomål till företaget som brustit i sin personuppgiftsbehandling, utan att utreda klagomålet vidare, och att de vidare bilägger ett dokument med instruktioner för hur beslutet kan överklagas. Förvaltningsrättens dom kommer efter att Högsta Förvaltningsdomstolen (HFD) tidigare under 2023 avgjort två mål om IMY:s klagomålshantering, som gällde IMY:s beslut om att inte utreda ett klagomål vidare[5] och IMY:s beslut om att avsluta och lägga ner ett tillsynsärende som påbörjades till följd av en individs klagomål.[6] HFD hänvisade i båda målen till art. 78.1 i GDPR om effektivt rättsmedel och bedömde att meddelade beslut från IMY som tillsynsmyndighet, som innebär att IMY inte kommer att agera i enlighet med vad som begärts i klagomålet, ska anses vara rättsligt bindande beslut som kan överklagas.

Meta har behövt pausa sin AI-träning på sina EU-användares data efter uppmaning från irländska Data Protection Commission (DPC) och UK Information Commissioner’s Office.[7] Meta har försökt använda “berättigat intresse” som rättslig grund för behandlingen. Tidigare i år lade Meta till i sin Integritetspolicy rätten till att använda publikt innehåll på Instagram och Facebook för att träna sin AI och gjorde det väldigt besvärligt för användare att invända. Det krävdes bl.a. att användare klickade sig igenom flertalet steg innan de kom till ett formulär där det var möjligt att fylla i att de invände mot behandlingen. Användarna behövde där argumentera för sin invändning, varpå det sedan var upp till Meta om förfrågan beviljades eller inte.

X, f.d. Twitter, har även blivit ombedd att omedelbart upphöra med sin personuppgiftsbehandling av EU-användares data för träning av sin AI ”Grok”.[8] Till skillnad från Meta, hade X inte informerat sina användare om behandlingen i förväg. DPC skickade till följd av detta in en ansökan till the High Court, i enlighet med sektion 134 i the Data Protection Act 2018, för att skyndsamt pausa behandlingen, för att skydda de registrerades fri- och rättigheter under tiden som DPC undersöker frågan vidare.

Cookies

Google har valt att avsluta utfasningen av tredje-parts cookies efter uppmaningar från reklam- och marknadsföringsaktörer, samt the UK Competition and Markets Authority med hänsyn till frågor om konkurrens på internet.[9] Den tidigare planen var att helt fasa ut tredje-parts cookies från Chrome webbläsare till början av 2024 men Google har valt att stoppa initiativet för tillfället. Målet är dock att fortsätta leta efter, och utveckla, dataskyddsförmånliga alternativ som hindrar spårning av webbplatsbesökare och som främjar friare valmöjligheter för användarna. Tredje-parts cookies tillåter andra webbplatser att spåra användare och deras aktiviteter samt preferenser över flera olika webbsidor för riktad marknadsföring genom att placera cookies på användares webbläsare. Dataskyddsalternativ till tredje-parts cookies kan inkludera Federated Learning of Cohorts och Topics.

IT-incident

Till sist en nyhet som nog inte undkom många är Crowdstrike-incidenten som inträffade den 19 juli där en felaktig kod i den senaste uppdateringen av Crowdstrikes system ledde till att flertalet organisationers IT-miljöer kraschade och att 8,5 miljoner datorer och servrar världen över slogs ut.[10] Incidenten påverkade allt från banker och internationella flygbolag till svenska trafikbolag och andra organisationer som använde Microsoft Windows. Incidenten är nu åtgärdad och fastställs inte ha varit en cyberattack utan orsakades av en defekt i Falcon-innehållsuppdatering för Windows.

Christina Wikström                                             Karin Tilly                                                         Anton Karlsson
Advokat & Managing Partner                        Biträdande jurist                                          Senior biträdande jurist
christina@wikstrompartners.se                   karin@wikstrompartners.se                 anton@wikstrompartners.se
+46 70 691 68 00                                                  +46 70 148 50 60                                        +46 70 148 00 09

 

[1] https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX%3A32024R1689&qid=1723551334746.

[2] https://www.regeringen.se/regeringsuppdrag/2024/08/uppdrag-till-myndigheten-for-digital-forvaltning-och-integritetsskyddsmyndigheten-att-ta-fram-riktlinjer-for-anvandningen-av-generativ-artificiell-intelligens-inom-den-offentliga-forvaltningen/.

[3] https://www.esamverka.se/download/18.494db7261900c5885b41e93/1718717466677/ES2024-08%20Rapport%20St%C3%A4rkt%20f%C3%B6rm%C3%A5ga%20till%20AI%20i%20samverkan.pdf.

[4] https://noyb.eu/en/noyb-takes-swedish-dpa-court-refusing-properly-deal-complaints.

[5] Mål nr 6193-22.

[6] Mål nr 3691-22.

[7]  https://www.dataprotection.ie/en/news-media/latest-news/dpcs-engagement-meta-ai.

[8] https://www.dataprotection.ie/en/news-media/press-releases/dpc-welcomes-xs-agreement-suspend-its-processing-personal-data-purpose-training-ai-tool-grok#training%20AI & https://noyb.eu/en/twitters-ai-plans-hit-9-more-gdpr-complaints.

[9] https://iapp.org/news/a/google-ends-third-party-cookie-phaseout-plans.

[10] https://www.reuters.com/technology/cybersecurity/crowdstrike-update-that-caused-global-outage-likely-skipped-checks-experts-say-2024-07-20/.