Juridisk: Generelt om politiets behandling av personopplysninger til utvikling av KI
Utvikling av KI består av flere stadier, herunder faser for utvikling, bruk og etterlæring:
Den juridiske fremstillingen vil fokusere på politiets behandling av personopplysninger i det første stadiet, utviklingsstadiet. I dette stadiet kan man se for seg to ulike situasjoner hvor personopplysninger behandles av politiet til utvikling av kunstig intelligens, hvor man i den ene sitasjonen gjør dette med forskningsformål. Utvikling kan altså skje som forskning, hvilket betyr at «forskning» og «utvikling» ikke nødvendigvis er gjensidig utelukkende begreper. Rapporten vil i hovedsak fokusere på behandling av personopplysninger til forskning på utvikling av kunstig intelligens i PrevBOT-prosjektet (situasjon 2 i tabellen).
Vi vil likevel begynne med en generell introduksjon til det juridiske landskapet som gjelder i politisektoren, i forsøk på å gi noen innledende avklaringer for situasjon 1 i tabellen. For det første er det viktig å avklare hvilket regelverk som kommer til anvendelse, dvs. politiregisterloven eller personvernforordningen. For det andre, siden det er tale om å bruke etterforskingsdata/straffesaksdata i utviklingen av den kunstige intelligensen, oppstår det spørsmål om loven gir adgang til slik behandling utover det opprinnelige formålet.
Å finne riktig regelverk
Personvernforordningen er inkorporert i norsk rett gjennom personopplysningsloven, hvilket betyr at forordningen skal gjelde som norsk rett. Hovedregelen er at all behandling av personopplysninger er regulert av personopplysningsloven. Dette gjelder med mindre personvernforordningen selv gjør unntak fra dens virkeområde. Personopplysningsloven § 2 regulerer lovens saklige virkeområde og angir, at personvernforordningen i tilfelle konflikt går foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.
Politiets behandling av personopplysninger er i hovedsak regulert av politiregisterloven, som implementerer politidirektivet (LED), supplert av politiregisterforskriften. Personvernforordningens regler gjelder ikke på området som dekkes av politidirektivet jf. personvernforordningens artikkel 2 nr. 2 bokstav d og politidirektivet artikkel 1 nr. 1. Med andre ord er lovgivers intensjon at behandlingen av personopplysninger havner innenfor enten det ene eller det andre regelverket.
Når en skal vurdere politiets behandling av personopplysninger til utvikling av kunstig intelligens, må man altså se hen til virkeområdet til de to aktuelle lovene – faller behandlingen innenfor personopplysningsloven/personvernforordningen eller politiregisterloven?
I denne vurderingen vil vi begynne med å se på unntaket fra personvernforordningens virkeområde i dens artikkel 2 nr. 2 bokstav d. Unntaket angir at forordningen ikke får anvendelse på politiets behandling av personopplysninger som utføres:
«(…) med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet».
Dersom politiet behandler personopplysninger til andre formål enn disse, blir dermed behandlingen regulert av personvernforordningen. Det er altså formålet med behandlingen som bestemmer hvilket regelverk som kommer til anvendelse ved politiets behandling av personopplysninger.
Det er liten tvil om at utvikling av verktøy basert på kunstig intelligens vil kunne hjelpe politiet med å utføre sitt samfunnsoppdrag, og dermed bedre kunne utnytte sine ressurser i sin kriminalitetsbekjempelse. Samtidig er unntakene som opplistet i personvernforordningen artikkel 2 nr. 2 bokstav d, etter sin ordlyd, rettet mot mer tradisjonelle og utpregede «politioppgaver». EU-domstolen har også uttalt at unntaket i artikkel 2 nr. 2 bokstav d i personvernforordningen skal tolkes «strengt».
Slik Datatilsynet vurderer det, retter unntakene i forordningen artikkel 2 nr. 2 bokstav d seg mot politiets kriminalitetsbekjempende virksomhet. I og med at unntakene skal tolkes strengt, er det vanskelig å innfortolke utvikling av verktøy basert på kunstig intelligens i disse unntakene. Tolkningen anses også å være i tråd med politiregisterlovens definisjon av «politimessige formål» jf. § 2 nr. 13, som omfatter politiets kriminalitetsbekjempende virksomhet, herunder etterforskning, forebyggende arbeid og ordenstjeneste, og politiets service- og bistandsfunksjon samt føring av vaktjournaler. Det antas at heller ikke denne definisjonen omfatter teknologiutvikling som sådan, selv om formålet er å utvikle et verktøy som skal benyttes i kriminalitetsbekjempelsen.
Systematikken i lovverket har også betydning for tolkingen. Forordningen gir et sterkere vern for den registrertes rettigheter enn politiregisterloven. I henhold til alminnelige personvernprinsipper er informasjon og innsyn sentrale rettigheter for den registrerte, nedfelt i forordningen artikkel 13, 14 og 15. De nevnte rettighetene står ikke like sterkt når personopplysninger behandles i kriminalitetsbekjempelsen, på grunn av de spesielle hensynene som gjør seg gjeldende på området.
Etter Datatilsynets syn vil derfor bruk av personopplysninger til utvikling av kunstig intelligens i politisektoren i alminnelighet reguleres av personvernforordningen, fordi slik behandling neppe vil falle inn under unntaket i personvernforordningens saklige virkeområde i artikkel 2 nr. 2 bokstav d.
Om viderebehandling av personopplysninger til nytt formål
Dersom personopplysninger har blitt innhentet av politiet til «politimessige formål» i tråd med politiregisterloven, og politiet ønsker å viderebehandle opplysningene til utvikling av kunstig intelligens, som nettopp er et annet formål enn «politimessige formål», oppstår spørsmålet om hvilke forutsetninger som må være på plass for å kunne foreta denne behandlingen. Som illustrert ovenfor, vil dette i alminnelighet avgjøres av reglene i personvernforordningen.
Den som utleverer/tilgjengeliggjør personopplysninger må,
- ha adgang til å utlevere personopplysningene. Det kan foreligge forbud i lovgivningen som gjør at personopplysningene ikke kan utleveres til behandling for et annet formål. Eksempelvis så oppgir politiregisterforskriften kapittel 8 og 9 begrensninger og vilkår for henholdsvis tilgang og utlevering av opplysninger.
- ha et behandlingsgrunnlag for å kunne utlevere personopplysninger,
- foreta en forenelighetsvurdering av formålene. Siden personopplysningene opprinnelig ble innsamlet for politimessige formål, blir spørsmålet om bruk av opplysningene for å utvikle et verktøy basert på kunstig intelligens, som skal brukes i kriminalitetsbekjempelsen, er et formål som er forenlig med det opprinnelige innsamlingsformålet, jf. artikkel 6 nr. 4. I henhold til bestemmelsen skal det foretas en vurdering som blant annet tar hensyn til momentene som angis i bokstavene a til e. Dette innebærer at bestemmelsen i visse tilfeller åpner for at personopplysninger kan viderebehandles for et nytt formål.
Den som skal viderebehandle personopplysningene til nytt formål, må ha et behandlingsgrunnlag. Dersom det er samme behandlingsansvarlig som både utleverer/tilgjengeliggjør og viderebehandler personopplysningene til nytt formål, så er det denne som foretar alle overnevnte vurderinger.