Utviklingen innen generativ kunstig intelligens («generativ KI») har de siste årene åpnet nye muligheter også for juridiske tjenester. Språkmodeller kan for eksempel skreddersys til spesifikke formål ved å supplere den generelle modellen med relevant og kvalitetssikret informasjon, som den blir instruert til å vektlegge i de genererte svarene.

Juridisk ABC har utviklet LawAi, en juridisk generativ KI-løsning som skal svare på spørsmål innen norsk arbeidsrett og tilhørende fagområder. Den skal hjelpe arbeidsgivere og være en støtte i HR-arbeidet. I LawAi brukes en språkmodell som er tilpasset og instruert til å vektlegge Juridisk ABC sin egen database med juridiske kilder og dokumenter. Hensikten er å sikre relevante og korrekte svar og unngå feilaktig informasjon, såkalt «hallusinering».

Målet med sandkasseprosjektet har vært å utforske det rettslige grunnlaget i personvernforordningen for behandling av personopplysninger både i utvikling og bruk av en juridisk KI-løsning. Prosjektet har for det første undersøkt hvilke rettslige grunnlag i personvernforordningen som er aktuelle ved bruk av rettsavgjørelser som kildemateriale for å tilpasse LawAi. For det andre har prosjektet undersøkt hvilke rettslige grunnlag i personvernforordningen som er aktuelle for arbeidsgiveres bruk av LawAi som beslutningsstøtte i forbindelse med konkrete arbeidsrettslige spørsmål. Dette sandkasseprosjektet knytter seg dermed i hovedsak til prinsippet om lovlighet.

Les mer om personvernprinsippene.

Hovedpunkter

• Rettsavgjørelser inneholder ofte sensitive personopplysninger, som definert i artikkel 9 og 10 (se faktaboks under). Til tross for at rettsavgjørelser er en sentral rettskilde, mangler dagens lovverk hjemmel for å behandle slike personopplysninger ved utvikling, trening eller tilpassing av KI-tjenester. For elektronisk publisering av rettsavgjørelser kreves i dag eventuell tillatelse fra Datatilsynet etter overgangsreglene for behandling av personopplysninger. Hvorvidt vilkårene for dette er oppfylt, har ikke dette sandkasseprosjektet tatt stilling til.
• Under forutsetning om at det foreligger nødvendig hjemmel for å behandle personopplysninger som nevnt i artikkel 9 og 10, kan behandlingen av personopplysninger i rettsavgjørelser for tilpassing av LawAi – gitt omstendigheter og med tilstrekkelig rask og effektiv avidentisering – ha rettslig grunnlag i artikkel 6 nr. 1 bokstav f.
• Personvernforordningens artikler 6, 9, 10 og 22 gir handlingsrom for at arbeidsgivere under visse betingelser kan behandle arbeidstakeres personopplysninger gjennom bruk av LawAi som beslutningstøtte i arbeidsrettslige spørsmål. Lovlig bruk krever imidlertid at virksomhetene har egnede rutiner for hvordan og i hvilke situasjoner verktøyet skal brukes, og at brukerne har tilstrekkelig opplæring og kompetanse.

Veien videre

Arbeidet med sandkasseprosjektet har synliggjort at dagens regelverk ikke tilrettelegger for viderebruk av rettsavgjørelser for innovasjon innen KI og legal tech for øvrig. Slike avgjørelser er en helt sentral kilde for å kunne forstå ens rettsstilling, og begrenset tilgang til rettsavgjørelser for utvikling av juridiske tjenester, vil gå ut over kvaliteten på tjenestene.

Det bør settes i gang lovarbeid knyttet til elektronisk publisering av rettsavgjørelser som erstatter dagens overgangsregler for behandling av personopplysninger fra 2018. I et slik arbeid har lovgiver samtidig mulighet til å vurdere adgang til viderebruk av rettsavgjørelser for innovasjon og utvikling av tjenester innen legal tech. Et slikt arbeid kan sees i sammenheng med gjennomføringen av de relevante EU-regelverkene som behandles i NOU 2024: 14 Med lov skal data deles samt arbeidet med etterkontroll av personopplysningsloven.

I eventuelle nasjonale regler om tilgjengeliggjøring og viderebruk av rettsavgjørelser, må man vurdere personvernkonsekvensene og ivareta de registrertes grunnleggende rettigheter og interesser. Datatilsynet vurderer at en effektiv avidentifisering av rettsavgjørelser fra eller på vegne av det offentlige, vil være helt nødvendig for å kunne åpne for bredere bruk av rettsavgjørelser til innovasjon på en måte som ivaretar personvernet.

LawAi er et digitalt verktøy utviklet for å hjelpe ledere, HR-avdelinger og ansatte med personalansvar. Løsningen er spesialisert innen norsk arbeidsrett og tilhørende fagområder som personvernlovgivning og etterlevelse. Den gir rask tilgang til arbeidsrettslig ekspertise og ressurser i et komplekst juridisk landskap. LawAi er per i dag tatt i bruk av flere store og mellomstore virksomheter, i både privat og offentlig sektor.  

Gjennom Lovdata har LawAi tilgang til de mest relevante lovene og forskriftene innen arbeidsretten. Verktøyet kan blant annet svare konkret på spørsmål som gjelder arbeidsmiljøloven, ferieloven, statsansatteloven osv. LawAi kan brukes på mange forskjellige måter, fra håndtering av juridiske spørsmål i oppsigelses- eller varslingssaker til å utforme kurs om sykefraværsoppfølging.

Slike modeller kan brukes i en rekke KI-systemer, som dermed kan utføre ulike funksjoner, slik som dialoger, språkanalyse, innholdsstrukturering og språkoversettelser.

Språk lagres ikke som tekst i disse språkmodellene, men som numeriske representasjoner, ofte kalt vektorer. Dette er en effektiv måte å representere innkodede meninger og sammenhenger mellom språkelementer på. En språkmodell «forstår» altså ikke språk i tradisjonell forstand, men er en avansert modell for hvordan mennesker bruker språk. De har ingen iboende forståelse av meningsinnholdet i tekstene de produserer. Det er vi lesere som gir mening til de genererte tekstene.

De fleste språkmodeller er flerspråklige, det vil si trent på flere språk samtidig. Dette betyr at de har kartlagt sammenhenger mellom språkelementer på tvers av disse språkene. Dermed kan de bruke kilder fra de ulike språkene, og de vil kunne produsere svar og oversettelser på språkene de er trent på – riktignok med noe varierende kvalitet.

Språkmodeller er ofte så velartikulerte, at er det lett å oppfatte dem som kunnskapsmodeller. Men språkmodeller – som navnet antyder – er modeller for språk i seg selv, og hvordan språk brukes i praksis. De er i hovedsak ikke kunnskapsmodeller. De har ikke kunnskap om juss, kjemi, fysikk, filosofi og matematikk, utover det som (i mange tilfeller i betydelig grad) reflekteres gjennom innholdet i språket. Teknologien er imidlertid i rivende utvikling, og kombinasjoner av språk- og kunnskapsmodeller er under utprøving, og vil i økende grad også bli tilgjengelig for allmenn bruk. Dagens allment tilgjengelige språkmodeller har imidlertid ikke disse egenskapene.

Språk inneholder av sin natur informasjon. Gjennom tekstene de er trent på, har dermed dagens store språkmodeller svært mye (tilfeldig) informasjon om verden. I hovedsak er tekstene som brukes for trening av de generelle modellene ikke kvalitetssikret for riktighet, kun at de er tekst. Dette i motsetning til «klassiske» KI- og maskinlæringssystemer, som i hovedsak blir modellert og trent for spesifikke formål – ideelt sett med datasett som er kvalitetssikret for det aktuelle formålet. Språkmodeller har imidlertid den egenskapen at de kan brukes til mange uspesifiserte formål. De kalles derfor grunnmodeller.

En vesentlig utfordring med språkmodeller er det som kalles «hallusinering». Det betyr at modellen genererer tekst som er språklig korrekt, og at innholdet tilsynelatende fremstår troverdig, men som likevel ikke reflekterer fakta. Svarene språkmodeller genererer er statistiske representasjoner av tekst som kan være relevant eller riktig å produsere i gitt kontekst. De har bygget inn en viss tilfeldighet for å kunne gi varierte formuleringer av svar.

Språkmodellene gir i praksis ofte gode og relevante svar, gitt at teksten den er trent på inneholder riktig informasjon. Dette er fordi de språklige sammenhengene i mange tilfeller også inneholder de relevante faktaene. Men de mangler altså kunnskapsmodeller for å vurdere om innholdet er riktig. Språkmodeller vil derfor kunne generere tekst som fremstår korrekt, men som ikke nødvendigvis er basert på fakta. Forskning har vist at dette blant annet kan skje om du stiller juridiske spørsmål til språkmodeller.

Les om denne forskningen i Journal of legal analysis (ekstern side, på engelsk)

Tilpassing av språkmodeller til spesifikke formål

Med ulike teknikker kan man riktignok få generelle språkmodeller til å fungere for spesifikke formål, og sørge for at den får kontinuerlig oppdatert informasjon. Retrieval-Augmented Generation (RAG) er en metode for å gjøre slike modeller mer effektive og oppdaterte. Formålet er å forbedre nøyaktigheten til tekstbaserte svar ved å «berike» spørsmål med utvalgt, kvalitetssikret og oppdatert informasjon, som er spesielt relevant for området man ønsker å spesialisere på. Dette systemet gjør språkmodeller mer faktabaserte og relevante, særlig når det gjelder nyere informasjon som språkmodellene i seg selv ikke nødvendigvis er trent på.

RAG består av tre hovedkomponenter

1. Retrieval (Gjenfinning)

   Modellen søker basert på spørsmålet etter informasjon i lokale databaser eller andre utvalgte kilder. Dette kan ligne på hvordan tradisjonelle søkemaskiner fungerer, men for RAG benyttes metoder for å finne relevant informasjon basert på kontekst i stedet for kun å basere seg på søkeord. Resultatene av disse søkene kan også brukes for å presentere direkte koblinger til den underliggende informasjonen, f.eks. artikler, maler og andre dokumenter i egne kilder.

2. Augmented (Forsterkning)

   Den innhentede informasjonen brukes til å forbedre språkmodellens svar ved at relevant uttrekk av denne tilfører mer kontekst til spørsmålet. Dette gjør at svarene blir mer presise og faktuelle, sammenlignet med tradisjonelle språkmodeller som kun baserer seg på forhåndstrente data.

3. Generation (Generering)

   Til slutt genereres et sammenhengende tekstsvar både med utgangspunkt i det formulerte spørsmålet og den ekstra innhentede informasjonen ved hjelp av språkmodellen.

I stedet for å bruke enkle nøkkelordsøk, benytter RAG seg altså av semantisk søk, som baserer seg på konteksten i spørsmålet mer enn selve ordene. Dette gjøres ved å kode spørsmålet og informasjonen i databasen som vektorer (numeriske representasjoner), altså den samme kodingen som brukes for treningen av språkmodellene. Dermed kan systemet finne informasjon som er relevant selv om de eksakte ordene ikke samsvarer. Dette gjør søkene mer fleksible og relevante for brukeren.

Fordeler med RAG

• Oppdatert kunnskap: I motsetning til språkmodeller som bare kan trekke fra treningsdata, kan RAG hente fersk informasjon fra eksterne kilder, noe som gir oppdaterte og mer nøyaktige svar.
• Fleksibilitet: Systemet kan tilpasse seg spørsmål formulert på ulike måter ved å forstå meningen, selv om ikke alle søkeord er tilstede.
• Nøyaktighet: Ved å kombinere søke- og genereringskapasiteten, reduserer RAG risikoen for feil eller "hallusinasjoner".

Konkrete bruksområder for RAG

RAG kan brukes i en rekke sammenhenger der det er behov for nøyaktig, oppdatert informasjon, som i forskning, journalistikk, eller kundeservice. Modellen kan også tilpasses til spesifikke domener, som medisinske eller juridiske applikasjoner, for å sikre at informasjonen som presenteres er både relevant og korrekt.

Språkmodeller som GPT representerer en viktig teknologisk innovasjon innen tekstgenerering, men har sine begrensninger når det gjelder oppdatert og faktabasert informasjon. RAG-systemet kombinerer fordelene ved generative modeller med nøyaktigheten fra tradisjonelle søkesystemer, noe som gjør det til et effektivt verktøy for å gi presise svar i komplekse eller dynamiske miljøer. Dette systemet er særlig nyttig i situasjoner der tilgang til oppdatert informasjon er kritisk, og det kan tilpasses til mange ulike sektorer og bruksområder.

Selv om RAG forbedrer språkmodellens evne til å gi korrekte svar, er det fortsatt noen utfordringer knyttet til implementering. Det kreves kontinuerlig overvåking av nøyaktighet samt filtrering av feilaktig informasjon. I tillegg er det tekniske utfordringer knyttet til skalering og ytelse når disse modellene brukes i stor skala. Prosessene med å søke, finne og videresende tilleggsinformasjon setter krav til ytelse på infrastrukturen for at brukeropplevelsen opprettholdes, dvs. at det ikke tar for lang tid å få svar også hvis antall brukere øker. Å løpende oppdatere og indeksere egen informasjon krever også datakraft i takt med informasjonsmengden.

Utgangspunktet for biblioteket er arbeidsrettslig materiale utformet av Juridisk ABC over lang tid, helt fra 2006. Innholdet har blitt evaluert og kvalitetssikret av jurister før det legges inn i databasen som LawAi henter informasjon fra (heretter omtalt som et «rettslig informasjonssystem»).

I tillegg gjøres det jevnlig oppdateringer i takt med lovendringer, ny rettspraksis eller lignende. På denne måten er faginnholdet kvalitetssikret av tjenesteyter.

Når brukeren stiller et arbeidsrettslig spørsmål til LawAi, vil tjenesten dermed hente ut tekster fra det rettslige informasjonssystemet som er relevante for det aktuelle spørsmålet, gjennom en form for RAG-teknologi. De relevante tekstene og dokumentene går deretter gjennom språkmodellen fra OpenAI, som utformer en respons basert på kildemateriale i rettslige informasjonssystemet. På denne måten vil LawAi gi svar på spørsmål basert på kvalitetssikrede kilder hentet fra LawAi sitt fagbibliotek.

I tillegg til å utforme et svar på spørsmålet, kan brukeren, der det er relevant, også få opp referanser og lenker til faginnholdet i det rettslige informasjonssystemet som svaret er basert på. Lenkene gir direkte anvisning til for eksempel bestemmelser i arbeidsmiljøloven, relevante maler eller kursmoduler. Bruken av kildemateriale i verktøyet på denne måten, vil i det følgende omtales som å «tilpasse» LawAi.

Den er også instruert til å avvise uetiske eller ulovlige forespørsler både gjennom språkmodellens egne tilpassinger samt Juridisk ABCs tilpassing.

LawAi er utviklet i samarbeid med Chronos, som leverer kunstig intelligente løsninger. LawAi kjører på en proprietær løsning fra Chronos, med OpenAI språkmodeller levert på Microsoft Azure-plattform. Driftsmiljø er innenfor EU, med servere primært i Norge og Sverige. Brukergrensesnitt er utviklet i samarbeid med Netlife, hvorav LawAi-applikasjonen og det rettslige informasjonssystem kjører på ulike virtuelle maskiner hos Digital Ocean i Nederland. 

Målet med prosjektet var å undersøke to sentrale spørsmål. Det ene gikk på å utforske adgangen til å bruke rettsavgjørelser i kildemateriale for å tilpasse KI-løsningen. Det andre handlet om adgangen for arbeidsgivere til å bruke KI-løsninger som beslutningsstøtte i konkrete arbeidsrettslige spørsmål. Prosjektet dekket dermed både utviklings- og bruksfasen for en generativ KI-løsning innen juridiske spørsmål.

Funnene kan ha nytte for både arbeidsgivere og utviklere av tjenester innen legal tech. Problemstillingene som ble utforsket i prosjektet kan også ha overføringsverdi for utvikling og bruk av generative KI-løsninger generelt.

Problemstillinger

Arbeidet i sandkassen har knyttet seg til to problemstillinger:

• Utforske hvilke rettslige grunnlag i personvernforordningen som er aktuelle for Juridisk ABC ved bruk av rettsavgjørelser for å tilpasse LawAi.
• Utforske hvilke rettslige grunnlag i personvernforordningen som er aktuelle for arbeidsgiveres bruk av LawAi som beslutningsstøtte i forbindelse med konkrete arbeidsrettslige spørsmål.

Begge problemstillingene gjelder kravet om rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 samt de særlige kravene for behandling av personopplysninger som nevnt i artikkel 9 og eventuelt artikkel 10. I forbindelse med den siste problemstillingen, ble også artikkel 22 vurdert.

I tillegg ville prosjektet synliggjøre eventuelle hindre for innovasjon innen legal tech og KI i rettssamfunnet som ble identifisert i løpet av prosjektet. Disse betraktningene fremgår avslutningsvis i rapporten.

Avgrensninger for sandkasseprosjektet

Prosjektet avgrenset mot alle andre relevante plikter etter personvernregelverket, for eksempel knyttet til rettferdighetsprinsippet og å motvirke bias. Både utvikling og bruk av KI-tjenester vil, avhengig av hvilke behandlinger av personopplysninger som planlegges, kreve at det gjennomføres en vurdering av personvernkonsekvenser (DPIA).

Se personvernforordningen artikkel 35 på lovdata.no

Det planlegges at KI-forordningen skal gjennomføres i norsk rett, og denne reguleringen vil pålegge nye plikter. Denne rapporten avgrenser også mot å ta opp eventuelle relevante forpliktelser som vil følge av KI-forordningen når denne er gjennomført.

I motsetning til andre kilder som er kan brukes for å tilpasse en juridisk KI-løsning, slik for eksempel lover, forskrifter, forarbeider, rundskriv, veiledninger og maler, inneholder dommer og kjennelser ofte omfattende mengder personopplysninger – herunder personopplysninger som kan være svært sensitive for de som er involvert. Dette gjelder blant annet for rettsavgjørelser fra arbeidsrett og tilgrensende felt, som er det aktuelle rettsområdet for dette prosjektet.

Den første problemstillingen i sandkasseprosjektet er i hvilken grad rettsavgjørelser som dommer og kjennelser kan brukes for å tilpasse LawAi. Problemstillingen gjelder kravet om rettslig grunnlag i personvernforordningen artikkel 6 nr. 1, samt de særlige kravene for behandling av personopplysninger som nevnt i artikkel 9 og 10. Dersom rettslig grunnlag forutsetter at det iverksettes tiltak for å begrense personvernulempene, skal slike mulige tiltak vurderes.

Tilgang til rettsavgjørelser og domstolenes behandling av personopplysninger

Domstolenes egen behandling av personopplysninger er i stor grad unntatt personopplysningsloven og personvernforordningen gjennom det såkalte rettspleieunntaket i personopplysningsloven § 2 annet ledd bokstav b, som unntar behandling for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).

Dommers offentlighet reguleres av domstolloven § 124. Rettsmøtene er offentlige og forhandlingene og rettsavgjørelsene kan gjengis offentlig, hvis ikke annet er bestemt i lov eller av retten i medhold av lov. Det er likevel en rekke unntak fra dette, blant annet i § 129 og § 130.

I sivile saker har enhver i henhold til tvisteloven § 14-2 som hovedregel rett til å kreve innsyn i rettsavgjørelser og andre rettsbøker. En tilsvarende hovedregel er gitt i straffesaker i straffeprosessloven § 28, men gjelder i utgangspunktet bare for dommer og enkelte typer kjennelser, og ikke alle avgjørelser. Innsynskravet kan imidlertid alltid avslås hvis avgjørelsen er eldre enn fem år eller den som krever utskrift bare identifiserer avgjørelsen ved siktedes navn.

Domstolene kan legge ut rettsavgjørelser på åpne nettsider for allmennheten og på lukkede nettsider for pressen, jf. forskrift om offentlighet i rettspleien § 11. Det følger imidlertid flere begrensninger i bestemmelsen, blant annet dersom det foreligger forbud mot å gi utskrift. I tillegg er det krav om anonymisering av siktede hvor siktelsen ikke er alminnelig kjent, anonymisering av fornærmede med mindre identifisering er ubetenkelig, og at rettsavgjørelser i sivile saker som berører forhold av svært sensitiv karakter bare kan legges ut i anonymisert form.

Forhold av svært sensitiv karakter kan blant annet inkludere medisinske opplysninger eller opplysninger om seksuelle forhold.[1] Uanonymiserte rettsavgjørelser skal fjernes fra åpne og lukkede nettsider innen tre måneder, men unntak kan gjøres for avgjørelser i sivile saker som ikke berører forhold av særlig sensitiv karakter.

Av domstolene er det kun Høyesterett som regelmessig publiserer sine rettsavgjørelser i avidentifisert form på sine åpne nettsider.[2] De publiserte avgjørelsene omfatter i dag avgjørelser tilbake til år 2000. Utover dette er det ikke andre domstoler som normalt publiserer avidentifiserte avgjørelser på åpne nettsider, og eventuelle viderebrukere av slike rettsavgjørelser må få tilgang til rettsavgjørelsene gjennom å be om innsyn hos domstolene.

Begrepet «anonymisering» knyttet til rettsavgjørelser i rettspleielovene og forskriften forstås ikke på samme måte som begrepet «anonymisering» tilknyttet personvernregelverket, og det praktiseres ikke like strengt. I praksis bytter domstolene ut navn, fødselsdato, boligadresse og enkelte andre opplysninger som er nødvendig for å redusere risiko for identifisering med bokstaver eller lignende. Selv om en avgjørelse er anonymisert i tråd med hvordan forskrift om offentlighet i rettspleien praktiseres, vil imidlertid opplysningene i dommene normalt fortsatt indirekte kunne knyttes til enkeltpersoner, jf. personvernforordningen artikkel 2 nr. 1. De vil dermed inneholde personopplysninger.

I det følgende vil vi derfor omtale anonymiseringen som domstolene gjør av rettsavgjørelser som en form for «avidentifisering». Der vi bruker begrepet «anonymisering» i fortsettelsen, vil dette være i anonymisering personvernforordningens forstand.

Private rettssubjekter som Stiftelsen Lovdata, Gyldendal Norsk Forlag AS og DIBKunnskap AS har avtaler med domstolene, og publiserer utvalg av rettsavgjørelser i avidentifisert form på sine nettsider. Lovdata publiserer for eksempel alle avgjørelser fra Høyesterett og et utvalg avgjørelser fra lagmannsrettene og tingrettene. I rettspraksis er det slått fast at slike databaser med avidentifiserte rettsavgjørelser har databasevern etter åndsverkloven § 24, jf. HR-2019-1725-A. Viderebruk av rettsavgjørelser fra slike databaser er dermed begrenset av eneretten i åndsverkloven § 24.

Se Lovdatas side for publisering av rettsavgjørelser (ekstern side)

Når det gjelder Lovdata, Rettsdata og DIBKunnskaps behandling av personopplysninger i rettsavgjørelser, har disse aktørene konsesjon fra Datatilsynet etter gammel personopplysningslov § 33 til å behandle personopplysninger som nevnt i artikkel 9 og 10 for formålet om elektronisk publisering av rettsavgjørelser. Konsesjonene er videreført med hjemmel i overgangsregler om behandling av personopplysninger (FOR-2018-06-15-877) § 6 bokstav c for elektronisk publisering av rettsavgjørelser.

De planlagte behandlingsaktivitetene

Juridisk ABC er selv behandlingsansvarlig for behandlingen av personopplysninger i forbindelse med bruk av rettsavgjørelser for å tilpasse LawAi.

For å bruke rettsavgjørelsene til å tilpasse LawAi, må Juridisk ABC først laste ned rettsavgjørelsene fra domstolenes nettsider eller be om å få avgjørelsene oversendt. Det forutsettes at domstolene har vurdert hva det kan gis innsyn i henhold til rettspleielovene.

Rettsavgjørelsene som lastes ned eller mottas vil lagres sikkert og lokalt, hvor et begrenset antall ansatte som har signert taushetserklæring og fått særskilt opplæring i informasjonssikkerhet, har tilgang.

Deretter vil rettsavgjørelsene avidentifiseres i henhold til Juridisk ABCs retningslinjer. Dette arbeidet vil gjøres manuelt, og filene med de fullstendige rettsavgjørelsene vil deretter slettes umiddelbart.

De avidentifiserte rettsavgjørelsene vil deretter indekseres og vektoriseres, og lagres som en del av faginnholdet i det rettslige informasjonssystemet til Juridisk ABC. Gjennom en form for RAG-teknologi vil et kildeutvalg bli utført basert på forespørslene tilsendt til LawAi, hvor relevante utdrag fra det rettslige informasjonssystemet vil bli sendt til språkmodellen sammen med den enkelte forespørselen for generering av et svar. Slike utdrag, sammendrag eller referanser til rettsavgjørelsene vil kunne fremgå i svarene brukerne får av LawAi. Rettsavgjørelsene inngår dermed i kildegrunnlaget til svar generert av LawAi med formålet om å gi mer korrekte og kvalitetssikrede svar.

Er anonymisering av rettsavgjørelser mulig i personvernforordningens forstand?

Personopplysningsloven og personvernforordningen gjelder for behandling av personopplysninger, og ikke for anonyme opplysninger. Dersom rettsavgjørelser i teorien kunne anonymiseres, ville dermed bare personvernregelverket gjelde for behandlingen av personopplysninger frem til anonymisering var gjennomført.

Personopplysninger defineres i personvernforordningen artikkel 2 nr. 1 som:

Det følger av fortalepunkt 26 at «[n]år det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte.»

En dom vil i mange tilfeller inneholde så store mengder personopplysninger at anonymisering i personvernforordningens forstand ikke er praktisk. Selv etter en grundig avidentifisering, vil de gjenværende opplysningene i rettsavgjørelsen ofte kunne kobles med annen informasjon en person for eksempel kan lese i media, selv allerede innehar eller for øvrig kan innhente, og det vil være mulig å finne ut hvem opplysningene gjelder. Ny teknologi, slik som fremveksten KI-verktøy, kan også gjøre det lettere å koble opplysninger. Dersom man har domsreferansen, eller kan få tak i denne, vil denne referansen ofte kunne brukes for å få tak i mer informasjon ved å be om innsyn i dommen fra domstolene. For det tilfelle at anonymisering i personvernforordningens forstand etter omstendighetene er mulig i det enkelte tilfellet, er det i alle tilfeller neppe praktisk for formålene til dette prosjektet, ettersom det ofte vil innebære å fjerne så store mengder opplysninger fra rettsavgjørelsene at de vil miste mye av sin verdi som materiale for å tilpasse LawAi.

Anonymisering i personvernforordningens forstand er derfor ikke aktuelt for rettsavgjørelsene i dette prosjektet, og personvernforordningens vil komme til anvendelse for alle behandlingsaktivitetene knyttet til rettsavgjørelsene.

Hvilke personopplysninger behandles?

Rettsavgjørelser kan inneholde store mengder personopplysninger om partene i saken og andre involverte i sakskompleksene. I mange tilfeller vil dette også omfatte personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Rettsavgjørelser på arbeidsrettfeltet vil i en del tilfeller inneholde helseopplysninger, og de kan også inneholde opplysninger om seksuelle forhold, fagforeningsmedlemskap eller andre særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9. I noen tilfeller vil det også behandles personopplysninger som nevnt i artikkel 10.

Det kan stilles spørsmål ved om det er mulig å fjerne alle opplysninger som direkte eller indirekte kan utlede personopplysninger som nevnt i artikkel 9 og 10, for å unngå at behandlingen faller inn under disse bestemmelsene. Som redegjort for over knyttet til anonymisering, vil dette neppe være mulig i de fleste tilfeller. En slik omfattende prosess vil videre påvirke datakvaliteten og forringe rettsavgjørelsenes verdi som materiale for å tilpasse KI-løsninger på juridiske problemstillinger, slik som LawAi; for eksempel dersom man fjerner alle opplysninger som kan utlede personopplysninger om religion fra rettsavgjørelsen i en avgjørelse som omhandler diskriminering på bakgrunn av religion.

Videre, all den tid domstolene som hovedregel ikke selv avidentifiserer rettsavgjørelsene, og Juridisk ABC må gjøre dette selv, behandler selskapet i alle tilfeller artikkel 9- og 10-opplysninger i rettsavgjørelsene frem til en slik prosess er gjennomført. Juridisk ABC må dermed oppfylle vilkårene for å behandle slike personopplysninger.

Vilkårene for å behandle personopplysninger som nevnt i artikkel 9 og 10

Behandling av personopplysninger som nevnt i artikkel 9 og 10 er underlagt strengere vilkår for å være lovlig. Disse vilkårene kommer i tillegg til kravet om rettslig grunnlag i artikkel 6 nr. 1

For artikkel 9-opplysninger må et av vilkårene i artikkel 9 nr. 2 være oppfylt for at behandlingen skal være lovlig. For artikkel 10-opplysninger er det fastsatt i personopplysningsloven § 11 at slike opplysninger også kan behandles dersom et av unntakene i artikkel 9 nr. 2 bokstav a eller c til f er oppfylt.

Et unntak som må vurderes er om behandlingen av personopplysninger ved bruk av rettsavgjørelser for tilpassingen av LawAi er «nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav», jf. artikkel 9 nr. 2 bokstav f.

Bestemmelsen må sees i lys av retten til en rettferdig rettergang i EMK artikkel 6.[3] Som det følger av Skullerud m.fl. sin kommentarutgave, så er det er ikke noe krav i bestemmelsen om at det må være den behandlingsansvarlige som har et rettskrav, og bestemmelsen kan omfatte advokaters og rettshjelperes behandling av personopplysninger for å kunne gi juridisk rådgivning og bistå i rettslige prosesser. Skullerud m.fl. skriver imidlertid videre:

Annen juridisk litteratur har også vist til at bestemmelsen må tolkes restriktivt og at anvendelsen krever at det foreligger konkrete intensjoner om å gjøre gjeldende et rettskrav i nær fremtid, eller fra perspektivet om å forsvare et rettskrav, eksistensen av et krav eller en rettslig prosess.[4] Bestemmelsen gjelder ikke for behandling av særlige kategorier av personopplysninger uten at det foreligger noen indikasjon om at et bestemt krav eller tvist er nærliggende.

Datatilsynet har også tolket denne bestemmelsen strengt i praksis. Behandlingen må være nødvendig for det enkelte tilfellet, og i ansettelsesforhold har for eksempel Datatilsynet i tidligere saker vurdert at det må være holdepunkter eller en viss sannsynlighet for at det vil oppstå en konkret tvist. Enhver hypotetisk tvist er ikke tilstrekkelig.

For Juridisk ABC foreligger det ikke noen konkret tvist som bakgrunn for behandlingen av rettsavgjørelsene. Selv om rettsavgjørelsene senere kan brukes av selskapets kunder for å få svar på arbeidsrettslige spørsmål hvor det potensielt foreligger en konkret tvist, vurderer Datatilsynet at unntaket i artikkel 9 nr. 2 bokstav f ikke kommer til anvendelse for Juridisk ABCs behandling av personopplysninger ved bruk rettsavgjørelser for tilpassing av LawAi.

Det foreligger heller ikke noen lovhjemmel i særlovgivning knyttet til behandling av rettsavgjørelser som er aktuell å vurdere.

Adgang til å søke om tillatelse til Datatilsynet om tillatelse til å behandle personopplysninger som nevnt i artikkel 9 og 10

Personopplysningsloven § 7 første ledd er gitt med hjemmel i personvernforordningen artikkel 9 nr. 2 bokstav g, og i tråd med denne kan Datatilsynet i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 og artikkel 10 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal i så fall fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Om vilkåret «i særlige tilfeller» følger det av forarbeidene:

Denne generelle adgangen i § 7 er dermed svært snever og ikke aktuell for de planlagte behandlingene til Juridisk ABC.

Overgangsregler om behandling av personopplysninger § 6 fjerde ledd jf. første ledd bokstav c, som er gitt i medhold av artikkel 9 nr. 2 bokstav g og personopplysningsloven § 7 andre ledd, åpner imidlertid for å gi nye tillatelser til å behandle personopplysninger som nevnt i artikkel 9 nr. 1 og artikkel 10 for formålet om «elektronisk publisering av rettsavgjørelser». Bestemmelsen viderefører også eksisterende tillatelser for dette formålet, slik Lovdata, Rettsdata og DIBKunnskap har.

Juridisk ABC selv har tatt opp en slik mulighet, og selskapet vurderer å sende inn en slik søknad til Datatilsynet. Vurderingen av en slik søknad er imidlertid ikke en del av dette sandkasseprosjektet, som er et veiledningsprosjekt. Hvorvidt vilkårene for å gi tillatelse etter overgangsregler om behandling av personopplysninger § 6 bokstav c er oppfylt for Juridisk ABCs planlagte behandlinger må vurderes gjennom saksbehandling av en eventuell søknad om tillatelse fra selskapet.

Rettslig grunnlag i artikkel 6 nr. 1

Selv om behandlingen av personopplysninger knyttet til bruk rettsavgjørelsene for tilpassing av LawAi i skrivende stund ikke vil oppfylle noen av unntaksvilkårene for behandling av personopplysninger som nevnt i artikkel 9 og 10 der slike opplysninger behandles, vil rapporten likevel kommentere kravet til rettslig grunnlag i artikkel 6 nr. 1. Vi kan imidlertid ikke gi en generell konklusjon på om slikt rettslig grunnlag foreligger, og hvorvidt det foreligger rettslig grunnlag må vurderes konkret.

Av de alternative rettslige grunnlagene i artikkel 6 nr. 1, er det kun artikkel 6 nr. 1 bokstav f som er aktuell for behandlingen av personopplysninger ved bruk av rettsavgjørelser for tilpassing av LawAi.

Det må dermed vurderes om behandlingen av personopplysninger ved bruk av rettsavgjørelsene for tilpassing av LawAi er nødvendig for et formål knyttet til en berettiget interesse som forfølges av Juridisk ABC eller tredjeparter. Videre må det vurderes om den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger.

Berettiget interesse

Den mest sentrale interessen bak de aktuelle behandlingene er Juridisk ABCs interesse i å videreutvikle LawAi, som de leverer til sine kunder mot betaling, og behandlingen av personopplysningene i rettsavgjørelsene for tilpassing av LawAi er et formål som er knyttet til denne interessen. EU-domstolen har lagt til grunn at et bredt spekter av interesser kan anses å være berettigede, og en slik forretningsmessig og økonomisk interesse oppfyller dette vilkåret.[5] Kundene til LawAi har også en viss interesse i at tjenestene de bruker skal bli mer treffsikre, slik at de kan i større grad kan forutse sin rettsstilling og ta bedre informerte avgjørelser i arbeidsrettslige spørsmål.

Nødvendighetskravet

Deretter må man vurdere nødvendighetskravet, som skal tolkes strengt. Spørsmålet er om behandlingen av personopplysningene i rettsavgjørelsene for tilpassing av LawAi er nødvendig for formålet, eller om samme formålet med rimelighet kan oppnås like effektivt gjennom metoder eller midler som er mindre inngripende for personvernet.[6]

Man kan ikke utvikle en KI-løsning som skal svare på arbeidsrettslige spørsmål, og oppnå like gode svar, uten å bruke en helt sentral rettskilde som rettsavgjørelser. Spørsmålet er om man kan, og eventuelt må, iverksette tiltak for å gjøre behandling mindre inngripende. Avidentifisering er her et viktig tiltak, ettersom anonymisering normalt ikke er mulig. Det er Datatilsynets vurdering at formålet med rimelighet kan oppnås like effektivt dersom rettsavgjørelsene er avidentifisert, og slik avidentifisering er dermed en forutsetning for at nødvendighetsvilkåret er oppfylt. Datatilsynet går nærmere inn på avidentifisering og graden av dette i interesseavveiningen nedenfor.

Dersom det hadde vært mulig å innhente allerede avidentifiserte rettsavgjørelser, ville dette vært en metode for å kunne nå formålet like effektivt på en måte som er mindre inngripende for personvernet, ettersom man da ikke hadde trengt å innhente og midlertidig lagre de mer fullstendige rettsavgjørelsene frem til avidentifisering. Som vi har redegjort for over i punktet om tilgang til rettsavgjørelser, er imidlertid ikke dette per i dag mulig for Juridisk ABC for alle typer rettsavgjørelser.

Interesseavveiningen

For det tredje må det vurderes om de berettigede interessene bak behandlingen veier tyngre enn inngrepet den innebærer for de registrertes interesser eller grunnleggende rettigheter og friheter. Her må det blant annet tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige, jf. fortalepunkt 47. De registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysninger behandles for formål eller under omstendigheter som den registrerte ikke med rimelighet ville forvente.[7]

En forutsetning i denne vurderingen er at rettsavgjørelsene effektivt avidentifiseres før de lagres som en del av det rettslige informasjonssystemet brukt av LawAi, og at de fullstendige rettsavgjørelsene raskt slettes. Uten avidentifisering vurderer Datatilsynet som nevnt at behandlingen ikke oppfyller nødvendighetsvilkåret, men for øvrig også at hensynet til personvern for de registrerte i alle tilfeller vil veie tyngre. Hva som er nødvendig å avidentifisere må vurderes konkret ut ifra hvilke opplysninger som bidrar til risiko for identifisering av de registrerte. I tillegg til personnavn, vil dette blant annet ofte gjelde:

• detaljerte stedsnavn, adresser og navn på bygninger, sjøfartøy og lignende;
• navn på arbeidsgivere eller arbeidssteder med færre ansatte;
• selskapsnavn på mindre selskap og enkeltpersonforetak.

Rettsavgjørelser inneholder ofte omfattende mengder og potensielt sensitive personopplysninger for de involverte i sakskompleksene. At private rettssubjekter som de registrerte ikke har noe forhold til, systematisk innhenter rettsavgjørelser på et rettsområde som arbeidsrett for formålet om å utvikle tjenester, kan dermed oppleves som inngripende for de registrerte – selv ved rask og effektiv avidentifisering.

Selv etter at rettsavgjørelsene avidentifiseres, vil det i de fleste tilfeller likevel være mulig å finne tilbake til de personopplysningene gjelder – enten gjennom å kombinere med andre opplysninger eller ved å be om innsyn i rettsavgjørelsene fra domstoladministrasjonen basert på domsreferansen. Datatilsynet vurderer imidlertid at det, forutsatt en effektiv avidentifisering, normalt vil kreve en viss innsats for å identifisere de registrerte på bakgrunn av informasjon som blir vist i svarene på forespørslene i LawAi. Personvernkonsekvensene ved at de avidentifiserte rettsavgjørelsene lagres som faginnhold i det rettslige informasjonssystemet, og ved at relevante utdrag av rettsavgjørelsene og henvisninger til disse fremgår i svar på forespørsler i LawAi, knytter seg særlig til å skape mer oppmerksomhet rundt avgjørelsene og opplysninger i dem, slik at brukerne av tjenesten eventuelt kan bruke sin lovbestemte rett til innsyn i avgjørelsene fra domstolene for å få tak i mer informasjon.

Tilgang til rettsavgjørelser er en viktig samfunnsinteresse i en rettsstat og et demokratisk samfunn.[8] Dette illustreres av lovgivningen knyttet til offentligheten av rettsavgjørelsene som redegjort for over, og det er også lagt til grunn av lovgiver gjennom adgangen til å gi tillatelser i overgangsregler om behandling av personopplysninger § 6 bokstav c. Rettsavgjørelser er en sentral rettskilde for å kunne forutse sin rettsstilling, og samfunnet har interesse av innovasjon og tjenester som kan bidra til dette. LawAi er imidlertid forretningsmessig begrunnet, slik at de samfunnsmessige interessene i behandlingen ikke kan tillegges for stor vekt i interesseavveiningen.

De registrerte har ikke noe forhold til Juridisk ABC, og behandlingen vil dermed kunne komme overraskende på dem. Samtidig har alle anledning til å be om innsyn i rettsavgjørelser med begrensningene som følger av rettspleielovene. At avidentifiserte rettsavgjørelser brukes for formål knyttet til å svare på rettslige spørsmål, må med rimelighet forventes. Dette må til en viss grad også gjelde for utvikling av forretningsmessige KI-løsninger for slike formål. Datatilsynet påpeker også på generelt grunnlag at det i større grad må forventes bred bruk av rettsavgjørelser desto høyere opp i rettssystemet en rettsavgjørelse stammer fra, ettersom rettskildeverdien dermed er høyere. I de tilfellene hvor det kan innhentes rettsavgjørelser som allerede er underlagt en form for avidentifisering, slik som rettsavgjørelsene Høyesterett selv publiserer, vil inngrepet i personvernet til de registrerte også være mindre.

Samlet vurderer Datatilsynet at behandlingen av personopplysninger i rettsavgjørelser for tilpassing av LawAi, avhengig av omstendighetene og med effektiv avidentifisering, vil kunne bestå interesseavveiningen i artikkel 6 nr. 1 bokstav f. Lovlig behandling forutsetter imidlertid at et av unntaksvilkårene for behandling av personopplysninger som nevnt i artikkel 9 og 10 er oppfylt der slike opplysninger behandles, noe som i skrivende stund ikke er tilfelle.

Den andre problemstillingen i prosjektet gjelder arbeidsgiveres behandling av personopplysninger gjennom bruken av LawAi. Problemstillingen gjelder kravet om rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 samt de særlige kravene for behandling av personopplysninger som nevnt i artikkel 9 og 10. I tillegg vil vi gjennomgå artikkel 22 og grensene denne bestemmelsen oppstiller.

De planlagte behandlingsaktivitetene

For mange forespørsler til LawAi vil det normalt ikke behandles personopplysninger om de ansatte. For eksempel dersom man bare stiller generelle spørsmål om regelverket i arbeidsmiljøloven eller tilgrensede områder, eller ber LawAi utforme kurs for slike temaer.

Per i dag anbefaler og oppfordrer Juridisk ABC at brukerne ikke legger inn sensitive personopplysninger i forespørslene til LawAi, samt at de tilbyr opplæring i hvordan en kan sikre personvern ved bruk av KI-tjenesten. Juridiske problemstillinger kan imidlertid kreve at personopplysninger blir oppgitt i en forespørsel for å sikre korrekt svar på bakgrunn av gjeldende lovverk, og det er i den sammenheng ikke lagt inn noe hinder for at brukerne kan gjøre dette. Som standard lagrer ikke LawAi forespørslene for videre bruk utenfor den enkelte dialogen med brukeren, og inngåelsen av personopplysningene som kildegrunnlag for generering av et svar er derfor begrenset til den enkelte dialogen hvor personopplysningene først ble angitt i forespørselen.

Juridisk ABC ser imidlertid for seg fremtidige bruksområder for LawAi hvor det kan opplastes dokumenter for assistert saksbehandling som beslutningsstøtte i arbeidsrettslige spørsmål. Opplastningen av egne dokumenter vil derimot ikke inngå i det rettslige informasjonssystemet, og vil kun være lagret på brukerens avgrensede område for hver enkelt dialog. Personopplysninger som kan forekomme i opplastede dokumenter vil derfor kun bli brukt som kildegrunnlag for forespørsler i den dialogen som dokumentene har blitt lastet opp i.  

I slike sammenhenger er det arbeidsgiverne – kundene til Juridisk ABC – som er behandlingsansvarlige for behandling av personopplysninger om ansatte i forbindelse med bruken av LawAi. Kundene inngår en databehandleravtale med Juridisk ABC.

Det legges til grunn for vurderingene i det følgende at personopplysningene ikke utleveres til andre enn de som har et databehandlerforhold til arbeidsgiverne, og at behandlingene skjer innenfor rammene av disse databehandleravtalene. Behandlingsansvarlig er uansett ansvarlig for å vurdere verktøy man tar i bruk og dataflyten i dem, og dersom personopplysninger utleveres til andre behandlingsansvarlige må det også foreligge rettslig grunnlag for slik utlevering.

Rettslig grunnlag i artikkel 6 nr. 1 i arbeidsforhold

Arbeidsgivere behandler personopplysninger knyttet til sine ansatte i en rekke ulike sammenhenger.

Enkelte av disse behandlingene er nødvendige for å gjennomføre arbeidsavtalen med den registrerte og har dermed hjemmel i artikkel 6 nr. 1 bokstav b.

Behandling av personopplysninger i medhold av samtykke etter artikkel 6 nr. 1 bokstav a er normalt ikke lovlig i et arbeidstaker-arbeidsgiver forhold, ettersom maktskjevheten medfører at samtykke som hovedregel ikke anses å være gitt «frivillig», jf. artikkel 4 nr. 11.

Enkelte behandlinger av personopplysninger er nødvendig for rettslige forpliktelser som arbeidsgiver er pålagt gjennom arbeidsmiljølovgivningen eller annet regelverk, jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

For øvrig må normalt behandlingen av personopplysninger ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Behandlingen av personopplysningene er lovlig dersom de behandles for et formål knyttet til en berettiget interesse som forfølges av arbeidsgiveren eller tredjeparter, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger.

Arbeidsgiveres behandling av særlige kategorier av personopplysninger

Behandling av særlige kategorier av personopplysninger må oppfylle et av unntaksvilkårene i personvernforordningen artikkel 9 nr. 2 for å være lovlig. Dette kravet kommer i tillegg til at behandlingen må ha et rettslig grunnlag i artikkel 6 nr. 1. Det vil i en del sammenhenger være aktuelt for arbeidsgivere å behandle slike kategorier av personopplysninger om ansatte, spesielt helseopplysninger og opplysninger om fagforeningstilknytning.

Etter artikkel 9 nr. 2 bokstav b gjelder ikke forbudet mot behandling av slike kategorier av personopplysninger dersom behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett. Dette gjelder i den grad dette er tillatt i nasjonal rett eller tariffavtaler i samsvar med nasjonal rett, og i personopplysningsloven § 6 er det fastsatt at slike personopplysninger kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. Dette gjelder også for artikkel 10-opplysninger i henhold til personopplysningsloven § 11.

Personopplysningsloven § 6 gir imidlertid ikke i seg selv supplerende rettslig grunnlag for å behandle artikkel 9 og 10-opplysninger, og arbeidsgiver må identifisere en konkret arbeidsrettslig plikt eller rettighet som behandlingen av slike personopplysninger er nødvendig for.

Artikkel 9- og 10-opplysninger kan også behandles dersom de er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav. Vi viser til gjennomgangen av dette unntaket i forrige kapittel og at det i ansettelsesforhold må være holdepunkter eller en viss sannsynlighet for at det vil oppstå en konkret tvist for at dette unntaket kommer til anvendelse.

Nødvendighetskravet og bruk av KI-verktøy

I nødvendighetsvurderingen, som tolkes strengt, er spørsmålet om behandlingen er nødvendig for formålet, eller om samme formålet med rimelighet kan oppnås like effektivt gjennom metoder eller midler som er mindre inngripende for personvernet.[1] Det er imidlertid ikke krav om at alle sider av behandlingen er absolutt påkrevd. Vilkåret må sees i sammenheng med dataminimeringsprisnippet i artikkel 5 nr. 1 bokstav c og at personopplysninger som behandles skal være adekvate, relevante og begrenset til det som er nødvendig for formålene. [2] Dataminimeringsprinsippet gir utrykk et forholdsmessighetsprinsipp.[3]

Bruken av et KI-verktøy kan etter omstendighetene bidra til at formålet oppnås mer effektivt enn gjennom alternativene. Det å bruke en KI-løsning som et hjelpemiddel og eventuell beslutningstøtte, for eksempel i forbindelse med et spørsmål knyttet til arbeidsrett, innebærer videre ikke nødvendigvis i seg selv at behandlingen av personopplysninger blir mer inngripende for den registrerte. Hvorvidt bruken av en KI-løsning er mer inngripende enn alternativene vil naturligvis avhenge av alternativene og de konkrete omstendighetene ved behandlingen. På generelt grunnlag vil forhold som kan øke risikoen for dette for eksempel være dersom behandlingen innebærer bredere tilgangskrets til personopplysningene, at det behandles flere personopplysninger, at personopplysningene utleveres til andre behandlingsansvarlige, eller dersom behandling innebærer profilering av de registrerte. Artikkel 22, som vi redegjør for under, setter noen absolutte grenser for profilering og automatiserte avgjørelser, men profilering kan være inngripende også utover anvendelsen av dette forbudet.[4]

I nødvendighetskravet ligger det også et krav om at behandlingen faktisk må være egnet for å oppnå formålet, og arbeidsgiver er som behandlingsansvarlig den som har ansvar for å vurdere dette. I dette ligger det at den behandlingsansvarlige må være bevisst på hvilke gjøremål verktøyet faktisk egnet til å brukes til. Hvorvidt et KI-verktøy er egnet for å oppnå et formål vil også være avhengig av kunnskap, bevissthet og opplæring hos de som bruker verktøyet.

For å kunne sikre at nødvendighetskravet vurderes og etterleves knyttet til ulike formål, behandlinger og rettslige grunnlag, er det blant annet viktig at den behandlingsansvarlige har egnede rutiner og opplæringstiltak i hvilke situasjoner verktøy kan brukes og hvilke personopplysninger som eventuelt brukes i verktøyet.

Retten til å ikke være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende

Etter personvernforordningen artikkel 22 nr. 1 har den registrerte rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende. I henhold til personvernforordningen artikkel 4 nr. 4, innebærer profilering alle former for automatisert behandling av personopplysninger der målet er å vurdere personlige aspekter ved en fysisk person, blant annet å analysere eller forutsi aspekter knyttet til den registrertes arbeidsprestasjoner, helse, økonomiske situasjon, pålitelighet, atferd og bevegelser.

EU-domstolen har i C-634/21 fastslått at denne bestemmelsen innebærer et forbud mot avgjørelser utelukkende basert på automatisert behandling som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte, med mindre et av unntakene i artikkel 22 nr. 2 er oppfylt. Ingen av disse unntakene i artikkel 22 nr. 2 er imidlertid normalt relevante for arbeidsgiveres behandling av arbeidstakeres personopplysninger.

Mange former for avgjørelser i arbeidslivssaker har rettsvirkning for eller påvirker på tilsvarende måte de registrerte i betydelig grad. I slike tilfeller vil dermed avgjørelser som utelukkende er basert på automatisert behandling være forbudt.

Vurderingen av hva som utgjør en avgjørelse i henholdt til artikkel 22 skal tolkes vidt.[5] Normalt vil bruk av KI-verktøy innebære at det foretas en utelukkende automatisert behandling. I vurderingen av hvorvidt en avgjørelse utelukkende basert på automatisert behandling har rettsvirkning for eller påvirker på tilsvarende måte i betydelig grad de registrerte, må det vurderes om det er et menneske som tar den endelige vurderingen. Den menneskelige involveringen i avgjørelsen må være reell, og den utelukkende automatiserte vurderingen, for eksempel fra en KI-løsning, kan ikke spille en avgjørende rolle for utfallet.[6] Det er dermed i utgangspunktet en høy terskel for hva som omfattes av dette forbudet, men vurderinger kan rammes dersom beslutningstaker i realiteten lener seg blindt på KI-løsningen.

Desto mindre gjennomsiktig og forklarbar KI-løsningens vurderinger er for mennesket som skal ta beslutningen, jo vanskeligere er det å overprøve KI-løsningens vurderinger, og dermed er det større risiko for at KI-løsningens vurdering får en avgjørende rolle. For at overprøvingen av KI-løsningens avgjørelse skal være reell, er det også viktig at de som står for den menneskelige involveringen har den nødvendige kunnskapen og myndigheten til å gjøre dette.[7] Selv om forklarbare svar fra KI-løsningen er viktig, vil likevel ofte den største faktoren i hvorvidt bruken av KI-løsningen omfattes av forbudet i artikkel 22 ikke være KI-løsningen i seg selv, men hvordan løsningen brukes. For avgjørelser som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte, må KI-løsningen være et beslutningsstøtteverktøy, og ikke et beslutningsverktøy. Den behandlingsansvarlige er ansvarlig for å påvise at behandlingen er i tråd med personvernforordningens krav, og det må utarbeides rutiner for bruk av slike verktøy.[8]

Eksempler på brukstilfeller

Hvilke rettslige grunnlag i artikkel 6, og eventuelle unntak for artikkel 9- og 10-opplysninger, som er aktuelle for arbeidsgivere å vurdere for behandlingen av personopplysninger gjennom bruken av LawAi, må vurderes konkret av arbeidsgiver i det enkelte tilfelle. Vi vil imidlertid gi litt nærmere veiledning om handlingsrommet og grensene personvernregelverket oppstiller gjennom eksempler på brukstilfeller nedenfor. Eksemplene er kun ment til illustrasjon.

I tråd med rammene for dette sandkasseprosjektet, tas det i eksemplene kun stilling til personvernforordningen artikkel 6 nr. 1, 9, 10 og 22 for arbeidsgivernes behandling av personopplysninger. Det forutsettes at behandlingsansvarlig har sikret at alle øvrige krav i relevante regelverk er etterlevd, og det er viktig at det utarbeides rutiner for bruk av slike verktøy. Det tas også forbehold om at flere av eksemplene gjelder fremtidig funksjonalitet knyttet til opplasting av dokumenter, og output fra LawAi derfor ikke er testet i prosjektet.

Bruksscenario 1: Krav på feriedager og feriepenger

En ansatt begynte i jobben i fjor sommer, og jobbet i perioder deltid. Vedkommende spør HR-avdelingen hvor mange feriedager vedkommende kan ta ut uten å trekkes i lønn, og dermed også hvor mange feriedager arbeidsgiver kan kreve at arbeidstakeren tar ut.

For å få et konkret svar fra LawAi knyttet til situasjonen til den ansatte, vil det være nødvendig å legge inn enkelte personopplysninger i forespørselen. HR-avdelingen får deretter et svar hvor beregninger av antallet feriedager den ansatte har opptjent ut ifra relevant regelverk vil fremkomme, samt kildehenvisninger til regelverket tatt i bruk av LawAi for å gjøre beregningene. Basert på dette svaret vil den ansvarlige i HR-avdelingen kunne gjøre en egen vurdering av hva den ansatte har krav på. Bruk av LawAi i en slik situasjon vil oppfylle kravet om rettslig grunnlag i artikkel 6 nr. 1 bokstav f. Inngrepet i den ansattes personvern er begrenset og nødvendig for formålet, og det behandles heller ikke særlige kategorier av personopplysninger. Svaret fra LawAi er heller ikke avgjørende for den ansattes rettigheter i henhold til artikkel 22 fordi den menneskelige involveringen i avgjørelsen er reell.

Bruksscenario 2: Krav på feriedager for ansatt som fyller 60 år

En annen ansatt, som fyller 60 år i år, begynte også i jobben i fjor. Denne ansatte ønsker å ta ut så mye ferie som mulig, uavhengig av om vedkommende må trekkes i lønn, og spør derfor HR-avdelingen hvor mange feriedager vedkommende har rett til å ta ut.

Den ansatte i HR-avdelingen legger inn enkelte begrensede personopplysninger om den ansatte og arbeidsforholdet, og får et konkret svar fra LawAi. Denne ansatte i HR-avdelingen har imidlertid ikke selv kjennskap til detaljene i ferieloven, og vet heller ikke at ansatte som fyller 60 år har krav på flere feriedager. Den ansatte i HR-avdelingen legger derfor heller ikke opplysningene om at den ansattes alder inn i forespørselen til LawAi, og får dermed heller ikke den korrekte informasjon om antall feriedager i svaret fra tjenesten. Den ansatte dobbeltsjekker heller ikke selv kildene som LawAi sitt svar bygger på og henviser til, og stoler blindt på svaret fra tjenesten. En slik situasjon illustrerer at for at et KI-verktøy skal være egnet, og dermed nødvendig, for å oppnå et formål, kreves det tilstrekkelig kompetanse og rutiner for dem som bruker verktøyet. Dersom den ansattes beslutning basert på svaret til LawAi i denne situasjonen også i praksis blir utslagsgivende for den ansattes rett til feriepenger, vil behandlingen av personopplysninger gjennom bruken av LawAi også rammes av forbudet i artikkel 22.

Bruksscenario 3: Sykefravær og oppfølging

En ansatt er langtidssykemeldt og har vært borte fra jobb i lang tid. Arbeidsgiveren ønsker å laste opp oppfølgingsplanen og annet begrenset og relevant dokumentasjon i et avgrenset område for den enkelte brukeren i LawAi-applikasjonen, og instruere LawAi om å komme med forslag til videre oppfølgingstiltak. Den ansatte i HR-avdelingen med ansvar for oppfølgingen av den sykemeldte, vurderer deretter ytterligere oppfølgingstiltak på bakgrunn av forslaget fra LawAi og andre kilder. Ingen andre enn den ansatte i HR-avdelingen vil få tilgang til personopplysningene i dokumentene som lastes opp, og bruken av LawAi som beslutningsstøtte i denne situasjonen vurderes ikke som mer inngripende for personvernet til den registrerte enn alternativene. En slik behandling vurderes dermed å ha rettslig grunnlag i artikkel 6 nr. 1 bokstav c ved å være nødvendig for at arbeidsgiver skal følge sine lovpålagte plikter til oppfølging av sykemeldte. På bakgrunn av disse lovpålagte pliktene, kan behandlingen av nødvendige og relevante helseopplysninger også ha grunnlag i artikkel 9 nr. 2 bokstav b og personopplysningsloven § 6.

Bruksscenario 4: Krav på sykepenger

En sommervikar på arbeidsplassen blir sykemeldt. Vikaren har jobbet med varierende hyppighet den siste tiden, og har også hatt noe ulønnet ferie. Det oppstår spørsmål om vedkommende har krav på sykepenger fra arbeidsgiver – og i så fall hvor mye.

Den ansatte som skal ta avgjørelsen om retten til sykepenger legger inn de relevante opplysningene om sommervikaren i LawAi, og ber LawAi vurdere hva sommervikaren eventuelt har krav på av sykepenger. Den ansatte har ikke selv særlig kunnskap til regelverket i en slik situasjon, og i stedet for å sjekke kildene i svaret fra LawAi, legger vedkommende i stedet svaret fra LawAi ukritisk til grunn og tar en tilsvarende avgjørelse knyttet til den ansattes rett til sykepenger. I et slikt tilfelle hvor den ansatte stoler blindt på LawAi uten å gjøre en egen vurdering, er ikke den menneskelige involveringen i avgjørelsen er ikke reell. Behandlingen av sommervikarens personopplysninger gjennom LawAi er dermed i strid med forbudet i personvernforordningen artikkel 22 nr. 1. Det er viktig at den behandlingsansvarlige har rutiner for bruk, og at brukerne har den nødvendige opplæringen eller faglige kompetansen til å overprøve LawAis vurderinger.

Bruksscenario 5: Varslingssak

En ansatt har varslet om seksuell trakassering fra en annen ansatt. Arbeidsgiver undersøker varselet, innhenter informasjon og kartlegger situasjonen innenfor lovens rammer og i tråd med virksomhets rutiner. En ansvarlige for oppfølgingen av varselet hos arbeidsgiver ønsker å laste opp den innhentede informasjonen i sitt avgrensede område i LawAi, og be om at det lages et utkast til rapport, med strukturering av faktum og sakens rettslige sider samt mulige tiltak for å ivareta plikten til et forsvarlig arbeidsmiljø – særlig for varsler. Utkastet og dokumentene vil deretter gjennomgås, og utkastet ferdigstilles av de ansatte med ansvar for oppfølgingen av varselet. Arbeidsgiver vurderer at en slik strukturering av informasjonen er nødvendig for å oppfylle de rettslige forpliktelsene som arbeidsgiver er pålagt i forbindelse med oppfølging av varsler i arbeidsmiljølovens kapittel 2 A, ettersom behandlingen ikke ansens som mer inngripende enn alternative midler for å oppnå formålet i denne situasjonen. Behandlingen av nødvendige særlige kategorier av personopplysninger i denne forbindelse, herunder eventuelle opplysninger om seksuelle forhold knyttet til trakasseringen og arbeidstakernes fagforeningstilknytning i forbindelse med bistand fra tillitsvalgte, vurderes å være nødvendig i henhold til pliktene i arbeidsmiljøloven til å følge opp varselet, og dermed oppfylle unntaket i personvernforordningen artikkel 9 nr. 2 bokstav b, jf. personopplysningsloven § 6.

Arbeidsgivers undersøkelser av varselet avdekket og konkluderte med kritikkverdige forhold. Den ansvarlige hos arbeidsgiver forespør deretter LawAi om de rettslige vilkårene for oppsigelse av den omvarslede er oppfylt med bakgrunn av funnene i den endelige rapporten. En slik behandling av personopplysninger vil normalt ikke kunne bygge på en rettslig forpliktelse den behandlingsansvarlige er pålagt, men kan imidlertid ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f om berettiget interesse og artikkel 9 nr. 2 bokstav f knyttet til å gjøre gjeldende et rettskrav. De ansvarlige i virksomheten gjør deretter en overprøving av hvorvidt vilkårene er til stede basert på rettskildene, og vurderer ulike fremgangsmåter og reaksjoner, inkludert hvorvidt de eventuelt ønsker å gå videre med drøftelsesmøte. Vurderingen fra LawAi får dermed ikke en avgjørende rolle i avgjørelsen knyttet til den ansattes ansettelsesforhold, og den menneskelige involveringen er reell i henhold til artikkel 22.

For å kunne utvikle KI-løsninger som beslutningsstøtte for rettslige spørsmål, er det nødvendig at de viktige rettskildene inngår i treningsmateriale eller på annen måte brukes til å tilpasse eller justere KI-løsningene for å gi bedre svar.

Som vi har redegjort for i denne sluttrapporten, inneholder rettsavgjørelser ofte personopplysninger som nevnt i artikkel 9 og 10. Det er imidlertid ingen av unntakene i artikkel 9 nr. 2 som umiddelbart er anvendelige for bruk av rettsavgjørelser som inneholder slike personopplysninger for formål om å trene, tilpasse eller for øvrig utvikle KI-løsninger.

I den grad tillatelser etter overgangsreglene for behandling av personopplysninger er aktuelle for denne typen behandling av personopplysninger, var overgangsreglene uansett ment til å være midlertidige inntil nye lover er på plass.[1] Det er ikke en ønskelig situasjon at Datatilsynet fortsatt skal gi tillatelser for behandling av personopplysninger for slike formål over seks år etter at personvernforordningen trådte i kraft. Flere av de øvrige formålene det per i dag er gitt eller kan gis tillatelser for i medhold av overgangsreglene, har i dag pågående lovarbeid for en permanent ordning gjennom en demokratisk prosess. Slikt lovarbeid bør også igangsettes for tillatelser til elektronisk publisering av rettsavgjørelser, hvor lovgiver samtidig har mulighet til å se på viderebruk av rettsavgjørelser dersom det er ønskelig at slike data skal kunne brukes for innovasjon og utvikling av tjenester innen legal tech. Et slikt arbeid kan sees i sammenheng med gjennomføringen av de relevante EU-regelverkene som behandles i 2024: 14 Med lov skal data deles, Ny lovgivning om viderebruk av offentlige data samt arbeidet med etterkontroll av personopplysningsloven – hvor overgangsreglene er et tema.

I eventuelle nasjonale regler om tilgjengeliggjøring og bruk av rettsavgjørelser må personvernkonsekvensene vurderes, og det må sikres egnede og særlige tiltak for å verne de registrertes grunnleggende rettigheter og interesser.

De databasene som per i dag eksisterer med avidentifiserte rettsavgjørelser er i det vesentlige vernet av åndsverkloven. Datatilsynet vurderer at en effektiv avidentifisering av rettsavgjørelser fra det offentlige, eller i det minste utført av private rettssubjekt på vegne av det offentlige, vil være helt nødvendig for at det skal kunne åpnes for bredere bruk av rettsavgjørelser for innovasjon på en personvernvennlig måte. Dersom aktører som ønsker å bruke rettsavgjørelser for å utvikle KI-løsninger eller andre juridiske tjenester må innhente rettsavgjørelser fra domstolsadministrasjonen som kun er skjermet i henhold til det rettspleielovene krever, og deretter avidentifisere disse selv, vil dette innebære utstrakt og inngripende spredning av direkte identifiserbare personopplysninger uten at dette er nødvendig for formålet. Direkte identifiserende opplysninger, og andre opplysninger som gjør risikoen for identifisering stor, har sjeldent betydning for rettskildeverdien til avgjørelsene.[2] Gjennom arbeidet i dette prosjektet vurderer vi at dette også i stor grad gjelder for deres anvendelighet for innovasjon og utvikling av løsninger.

Datatilsynet uttrykte allerede i 2005 i brev til Domstolsadministrasjonen at avidentifisering av dommer bør skje så nær kilden som mulig.[3] I arbeidsgruppen som ble satt ned av domstolsadministrasjonen i 2020 for Allmenn offentliggjøring av rettsavgjørelser, ble det anbefalt å etablere en plattform for domstolsdata. Det ble da anbefalt at slik tilgjengeliggjøring måtte ha grunnlag i lov, og at avidentifisering måtte være et krav. Slik tilgjengeliggjøring av rettsavgjørelser i avidentifisert form fra det offentlige skjer i dag i både Danmark og Sverige.[4] Arbeidsgruppen uttalte også at det er behov for en særskilt regulering når det gjelder rettsinformasjonssystemene og viderebruk av rettsavgjørelsene som ledd i legal tech.[5] Per nå er vi ikke kjent med at arbeidsgruppens anbefalinger er fulgt opp med lovgivning eller andre tiltak. Aktører som Teknologirådet har for øvrig også anbefalt tiltak for å legge til rette for at norske rettsavgjørelser skal kunne brukes til å trene norske språkmodeller.[6]