Kundens identitet erstattes her med et pseudonymisert nummer. Overføringen av personopplysningene fra brukerens enhet til Ruter skjer først når Ruter har kommet til det steget i utviklingsfasen at KI-modellen skal trenes ved hjelp av personopplysninger. Det er usikkert hvor lang tid det går mellom innsamling og lagring av opplysninger på brukerens lokale enhet og til brukeren får valget om å dele opplysningene med Ruter.
Personvernforordningen artikkel 13 krever at informasjon til den registrerte gis senest på tidspunktet for innsamlingen av personopplysningene. Dette løses ved at Ruter gir informasjon til den registrerte før innsamlingen starter. Det kan være nyanseforskjeller på hvilken informasjon Ruter må gi på tidspunktet for lokal innsamling og sentral innsamling. Vi kommer tilbake til dette og til særlige problemstillinger tilknyttet informert samtykke.
Artikkel 13 inneholder en lang liste over informasjon som skal gis til den registrerte. Vi vil her fokusere på leveranse 1.2, og de registrertes rett til informasjon ved utviklingen av den kunstige intelligensen. Mest sentralt er de mer komplekse delene av informasjonsplikten, det vil si hvordan Ruter behandler personopplysninger i forbindelse med utvikling av KI-modellen og for hvilke formål.
Informasjonsplikten, KI og profilering
Generell informasjon til de registrerte i utviklingsfasen
Ruters prosjekt er i forberedelsesfasen, og et viktig spørsmål er: Hvordan kan Ruter gi kundene den informasjonen de har rett til å få når ikke løsningen er ferdig utviklet?
Formålet med innsamlingen og lagringen av personopplysninger lokalt er – som nevnt innledningsvis – at personopplysninger senere skal kunne sendes til Ruter sentralt for utvikling av KI. Ruter skal altså:
- i forberedelsesfasen gi informasjon om at personopplysningene blir lagret frem til KI-modellen er klar
- i utviklingsfasen gi ny informasjon når personopplysningene sendes til Ruter sentralt og treningen på KI-modellen starter
I forberedelsesfasen er det enkelt å forstå hvordan Ruter vil samle inn personopplysninger og lagre disse lokalt på brukerens enhet. Denne fasen vil ikke involvere KI. Det er dermed enkelt å gi den registrerte informasjon om dette. Utfordringen er å oppfylle kravet til informasjon om den planlagte utviklingen av KI-modellen hos Ruter sentralt.
Vi har kommet frem til at punktlisten om den planlagte behandlingen av personopplysninger i «Om Ruters prosjekt» ovenfor er et godt utgangspunkt.
Informasjonsplikten må forstås i lys av den konkrete risikoen for de registrerte
Vi har diskutert hensynene bak åpenhetsprinsippet og hvordan disse påvirker hvilken informasjon Ruter må gi brukerne. Et av hensynene bak åpenhetsprinsippet er blant annet at den registrerte skal være i stand til å ivareta sine rettigheter etter personvernforordningen. Et annet viktig hensyn er at informasjon har en viktig kontrollfunksjon overfor den behandlingsansvarlige ved at de plikter å sette ord på hvordan de behandler personopplysninger overfor de som blir berørt av behandlingen.
Hvilken informasjon som er nødvendig for å ivareta disse hensynene er avhengig av hvor inngripende en behandling er i de registrertes rettigheter og friheter. KI-modeller som styrer hvilke ytelser man har krav på fra det offentlige, eller hvorvidt man skal ha tilgang til offentlige tjenester, er eksempler på inngripende behandling av personopplysninger. Da kreves mer detaljert informasjon til de registrerte enn ved behandlinger som har færre konsekvenser for den registrerte.
I sandkassen har vi diskutert at Ruters modell har få konsekvenser for de registrerte, og at Ruters bruk av KI ikke utgjør noen særlig risiko for de registrertes rettigheter og friheter. Samtidig er Ruter et offentlig eid selskap og eneleverandør av de kollektive tjenestene i sitt område. Vi har derfor også diskutert at Ruter er avhengig av å gi god informasjon og en god brukeropplevelse for å sikre tillit og at folk ønsker å bruke tjenestene deres. Dette gjelder særlig når selskapet skal ta i bruk ny teknologi.
Særlige kategorier av personopplysninger
En problemstilling vi har diskutert i sandkasseprosjektet er hvorvidt favorittsøk eller reisemønster til og fra samme adresse over tid kan utlede særlige kategorier av personopplysninger. Man kan for eksempel se for seg at en kunde med jevne mellomrom reiser til og fra et trossamfunn, helseinstitusjon eller en politisk organisasjon og at dette kan avsløre religiøs tilhørighet, helseopplysninger eller politisk tilhørighet.
Ruter er klare på at de ikke har til hensikt å behandle særlige kategorier av personopplysninger om kundene. Vi er likevel enige om at det kan skje at Ruter behandler slike opplysninger når de samler inn lokasjonsdata og reisesøk over tid.
I områder med mange holdeplasser, som for eksempel Jernbanetorget i Oslo, kreves det en mer nøyaktig GPS-posisjon for å gi riktige og relevante reiseforslag enn i områder med få holdeplasser. Som et dataminimeringstiltak vil Ruter redusere nøyaktigheten i områder med færre holdeplasser. Det kan for eksempel være hensiktsmessig utenfor sentrum, hvor det er lengre avstand mellom stopp og hvor hyppigheten av eneboliger gjør at det er lettere å identifisere brukeren basert på lokasjon. Hvis derimot brukeren befinner seg på Jernbanetorget, vil det være behov for full nøyaktighet for å vite hvilke stopp som er nærmest. I områdene hvor GPS-lokasjonen er nokså nøyaktig, er det større risiko for at opplysningene som samles inn avslører reiser til og fra for eksempel et trossamfunn eller en politisk organisasjon. Det samme gjelder i tilfeller der kunden selv søker opp spesifikke adresser.
På bildene over er holdeplassene markert for å vise avstand og de ulike behovene for nøyaktig posisjon.
Siden det er en risiko for at Ruter behandler særlige kategorier om kundene, skal kundene informeres om dette slik at de er bevisst på risikoen.
Innebærer Ruters tjeneste «profilering»?
Et sentralt spørsmål for Ruter har derfor vært om personaliserte reiseforslag vil utgjøre profilering i personvernforordningens forstand, og om dette utløser en ekstra informasjonsplikt overfor de registrerte.
Forordningens definisjon av profilering
«enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser»
(personvernforordningen artikkel 4)
I Ruters tjeneste skal selskapet bruke personopplysninger til å predikere reisemønster og gi personaliserte reiseforslag. Vår vurdering er at dette innebærer en automatisert behandling som bruker personopplysninger til å analysere og forutsi en fysisk persons adferd, plassering og bevegelse. Ruters bruk av KI utgjør dermed profilering etter personvernforordningen artikkel 4 nr. 4.
I sandkassen har vi diskutert hvorvidt det skjer profilering i utviklingsfasen, ettersom brukeren ikke mottar noen reiseforslag i denne fasen. Sammen har vi kommet frem til at Ruter kommer til å teste og validere modellen ved hjelp av personopplysninger i utviklingsfasen. Dermed skjer det også profilering i utviklingsfasen.
Informasjon om profilering som ikke omfattes av artikkel 22
«Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.»
(Personvernforordningen artikkel 22 nr. 1)
I sandkasseprosjektet har vi vurdert det slik at Ruters personaliserte reiseforslag ikke vil ha slik virkning for de registrerte. Ruters profilering omfattes derfor ikke av artikkel 22.
Det neste spørsmålet er hvilken informasjon Ruter likevel plikter å gi om profileringen. Profilering er behandling av personopplysninger, og må oppfylle de generelle kravene til informasjon i personvernforordningen artikkel 12 og 13. I tillegg har vi diskutert om det kan utledes av åpenhetsprinsippet, lest i lys av fortalen, at Ruter har en plikt til å informere om hvordan KI-modellen fungerer.
Etter personvernforordningen artikkel 5 nr. 1 bokstav a, skal den behandlingsansvarlige sikre at personopplysninger behandles på en åpen og rettferdig måte.
«Prinsippene om rettferdig og åpen behandling krever at den registrerte informeres om at behandlingen skjer, samt om formålet med den. Den behandlingsansvarlige bør gi den registrerte eventuell ytterligere informasjon som er nødvendig for å sikre en rettferdig og åpen behandling, idet det tas hensyn til de særlige omstendighetene rundt behandlingen av personopplysningene og sammenhengen den skjer i. Den registrerte bør dessuten informeres om forekomsten av profilering og konsekvensene av dette.»
(Fortalepunkt 60 i personvernforordningen, vår utheving)
I følge Artikkel 29-gruppens retningslinjer om åpenhet (avsnitt 41) er et grunnleggende hensyn at den registrerte på forhånd skal kunne forstå omfanget og konsekvensene av behandlingen av sine personopplysninger.
Artikkel 29-gruppen har også uttalt seg om informasjon som skal gis ved profilering som faller utenom artikkel 22:
«It should be noted that, aside from the specific transparency requirements applicable to automated decision-making under Articles 13.2(f) and 14.2(g), the comments in these guidelines relating to the importance of informing data subjects as to the consequences of processing of their personal data, and the general principle that data subjects should not be taken by surprise by the processing of their personal data, equally apply to profiling generally (not just profiling which is captured by Article 22, as a type of processing.»
(avsnitt 41)
Det kan neppe utledes en rettslig plikt til å forklare den underliggende logikken bak profileringen i dette sandkasseprosjektet av en utvidet tolkning av personvernforordningen artikkel 13 og 14. Prinsippene om åpenhet og rettferdighet i artikkel 5 nr. 1 bokstav a tilsier likevel at Ruter må informere om den underliggende logikken i den grad det er nødvendig for at de registrerte skal kunne forstå hvordan Ruter behandler personopplysningene deres, slik at de kan utøve sine rettigheter. Dette er også i tråd med uttalelsene til Artikkel 29-gruppen om at behandlingen skal være forutberegnelig for den registrerte.
I sandkasseprosjektet har vi kommet til at Ruter skal gi de registrerte generell informasjon om at de blir profilert, og relevant informasjon om hvordan den underliggende logikken i profileringen fungerer. Ruter er også opptatt av å gi god informasjon om dette for å sikre tilfredshet og tillit hos kundene. Åpenhetskravet betyr ikke nødvendigvis at kildekoden må gjøres tilgjengelig, men forklaringen må gjøre den registrerte i stand til å forstå hvorfor en avgjørelse ble som den ble.
Forklaring av den underliggende logikken
I personvernforordningen brukes begrepet «den underliggende logikken». Med dette menes den generelle forklaringen av hvordan man kommer frem til et resultat. Begrepet omfatter ikke en forklaring av hvordan man kom frem til det spesifikke resultatet som gjelder for deg.
Ved forklaring av den underliggende logikken bør Ruter etterstrebe at informasjonen som gis er meningsfull, fremfor å bruke kompliserte forklaringsmodeller basert på avansert matematikk og statistikk. Det understrekes også i forordningens fortale at teknologisk kompleksitet gjør åpenhet ekstra viktig.
Se forordningens fortalepunkt 58 på lovdata.no.
Det mest sentrale er at de registrerte forstår hvordan Ruters tjeneste kommer frem til reiseforslag, hvordan de blir profilert og hvilke konsekvenser dette har. Som nevnt innledningsvis er Ruters planlagte tjeneste lite inngripende overfor de registrerte. Dette påvirker også hvor detaljert informasjon Ruter må gi de registrerte for at de skal kunne ivareta sine rettigheter og sikre åpenhet og forutberegnelighet.
Ruters utfordring i forberedelsesfasen, hvor selskapet skal starte innsamlingen av personopplysninger, og etter hvert utviklingen, er at det ikke er helt klart hvilken underliggende logikk som skal brukes. Det kommer an på hvilke modeller som ender opp med å fungere best. Men det som er klart er at disse KI-modellen uansett kommer til å bruke lokasjon og reisesøk med tilhørende tidspunkt. Ruter må informere om at profileringen baserer seg på disse kategoriene av personopplysninger.
Se eksempler på hva som bør inkluderes i en forklaring på side 31 i Article 29 WPs retningslinjer om automatiserte, individuelle beslutninger og profilering (ekstern side).
Informasjon om overføring til tredjeland
Ruter ser på to alternative løsninger hvor den ene innebærer overføring til tredjeland. Valg av løsning vil være basert på hva Ruter kommer til i sin vurdering om overføring av personopplysninger til tredjeland. Vi har ikke tatt stilling til dette i sandkasseprosjektet. Selv om dataflyten ikke skulle innebære en overføring, er vi enige om at Ruter må gi informasjon om dataflyten til de registrerte og vurderingene selskapet har gjort rundt overføring til tredjeland.
Ettersom Ruter benytter seg av en skyleverandør i dette prosjektet, vil denne kunne regnes som en mottaker av personopplysninger etter personvernforordningen artikkel 4 nr. nr. 9. Ruter plikter å informere om mottakere av personopplysninger etter artikkel 13 nr. 1 bokstav e.
Informasjon om hvor og hvordan personopplysningene behandles er en forutsetning for at de registrerte skal kunne utøve sine rettigheter. Det er viktig informasjon som de registrerte må ha for å vurdere om de vil samtykke til bruken av personopplysninger.
Vi har diskutert at det er utfordrende å gi informasjon om dataflyten og vurderingene rundt overføring til tredjeland. Ruter må jobbe videre med dette, men vi er enige om at den forenklede forklaringen og illustrasjonene innledningsvis i rapporten er et godt utgangspunkt. Vi har også snakket om at det er viktig at denne informasjonen presenteres lagvis til kundene, slik at mengden med informasjon ikke blir for mye for leseren. Det er viktig å huske på at informasjonen må være lett forståelig for kunden.
Hvis Ruter kommer til at det skjer en overføring av personopplysninger ut av EØS, plikter de å gi informasjon om dette og om hvordan Ruter gjør dette lovlig i henhold til personvernforordningen kapittel V, jf. artikkel 13 nr. 1 bokstav f. De registrerte skal også informeres om hvor eventuelle nødvendige garantier er gjort tilgjengelig. Selv om Ruter skulle komme til at de ikke overfører personopplysninger ut av EØS, tilsier åpenhetsprinsippet at Ruter bør informere om hvorfor de har vurdert det slik, og at de derfor ikke trenger å oppfylle kravene i personvernforordningen kapittel V om slike overføringer.
Informasjonen kan for eksempel presenteres i lag under en overordnet overskrift «Vi overfører ikke dine personopplysninger ut av EØS, les mer om dette her».
Form – illustrasjoner, video, lagvis informasjon
Ruter planlegger å gi lagvis informasjon, og vurderer blant annet å bruke illustrasjoner for å forklare dataflyten og hvor personopplysninger overføres i løsningen.
Les mer om design ved programvareutvikling.
Vi er enige om at formen må tjene et formål, og at man for eksempel ikke skal ta i bruk illustrasjoner og video der dette ikke bidrar til å gjøre budskapet lett forståelig.
Vi har også diskutert at det på noen områder kan være hensiktsmessig å ha mer enn to lag med informasjon. Dette kan for eksempel gjøres når Ruter skal forklare mer kompliserte temaer som den underliggende logikken i modellen eller overføring til tredjeland. Samtidig er det viktig at man begrenser bruken av lag til det som er hensiktsmessig, slik at informasjonen fortsatt blir lett tilgjengelig og oversiktlig. For andre og enklere temaer som lagringstid eller kontaktinformasjon vil det ikke være hensiktsmessig med like mange lag.
Særlige problemstillinger tilknyttet krav til informasjon ved innhenting av samtykke
Ved innhenting av opplysninger til utvikling av KI-løsningen, vil Ruter bruke samtykke som rettslig grunnlag. Informasjonen til brukerne må derfor være utformet slik at samtykket blir informert. Hvis Ruter benytter et annet rettslig grunnlag for innsamlingen som skjer lokalt på brukernes enheter i forberedelsesfasen, vil ikke disse særskilte kravene til informasjon tre inn før samtykket til utvikling av KI-modellen hentes inn.
Personvernforordningen stiller ikke krav til i hvilken form informasjonen skal gis. Det vil si at informasjonen kan presenteres på ulike måter, blant annet gjennom video- eller lydopptak. Når samtykke avgis i en skriftlig erklæring, krever personvernforordningens artikkel 7 nr. 2 at:
«[…] anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra […] andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk.»
Disse kravene til form og språk har nær sammenheng med åpenhetsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav a. Forespørselen om samtykke må være adskilt fra annen informasjon og må være kortfattet og tydelig. Den kan ikke bakes inn i generelle avtalevilkår, og det skal være klart at kunden samtykker. Språket skal være forståelig for en vanlig kunde. Man skal ikke måtte kjenne til vanskelige fremmedord for å kunne lese teksten.
Ruter jobber med ulike forslag til hvordan man på best mulig måte kan informere kunden i ulike nivåer, og innhente samtykke i appen, som vist i eksemplene under. Dette kan brukertestes, slik at man får best mulig innsikt i hvordan kundene oppfatter budskapet og innholdet i samtykket.
Eksempler på hvordan Ruters samtykkeforespørsler generelt kan se ut i Ruter-appen:
Ruter planlegger å innhente samtykke gjennom en knapp/avhukningsboks, som vises på samme side som informasjonen til de registrerte i første lag. Informasjonssiden vil komme opp ved en oppdatering av appen. I tillegg har man mulighet til å varsle kunden om at det foreligger en oppdatering. Det første laget med informasjon må både oppfylle minimumskravene til informasjon i personvernforordningen artikkel 12 og 13, og minimumskravene for et informert samtykke.
I sandkasseprosjektet ble Datatilsynet og Ruter enige om at det er viktig å gi en enkel, men tilstrekkelig detaljert forklaring for at samtykket skal være informert. Det er avgjørende for at de registrerte skal forstå hva de samtykker til. Utvikling av KI kan være vanskelig å forstå. Man må derfor balansere hensynet til å gi en god nok forklaring, og hensynet til at det skal være enkelt å forstå informasjonen.
Ruter har et tilbud som skal nå alle kunder. Informasjonen må derfor henvende seg til et bredt spekter av personer, og man kan ikke forvente at kundene har full forståelse for hva en KI-modell er. For å forstå hva man samtykker til, må man få en form for forklaring.
I tillegg til informasjon om selve KI-modellen, er det viktig at brukerne forstår hvordan personopplysningene deres vil behandles i periodene med lagring og forflytting. Ruter vurderer å lage illustrasjoner for å gi en kortfattet og enkel beskrivelse av den tekniske flyten av opplysninger, se som eksempel illustrasjonen innledningsvis i rapporten. En forståelig beskrivelse av flyten av personopplysninger er viktig for at de registrerte skal kunne vurdere om dette er noe de ønsker å samtykke til. På den måten vil de registrerte for eksempel være i stand til å selv vurdere om de mener at personopplysningene blir beskyttet på en tillitsvekkende måte.
De særlige vilkårene for barns samtykke etter personvernforordningen artikkel 8 og personopplysningsloven § 5 får ikke anvendelse, ettersom Ruter har satt aldersgrense til 15 år for å bruke Ruter-appen. Likevel må Ruter se hen til at en 15-åring for eksempel vil kunne ha andre behov for tilpasning av informasjonen enn en 80-åring.
En måte å forsikre seg om at brukerne faktisk forstår informasjonen, er å gjennomføre representative kundeundersøkelser. Dette planlegger Ruter å gjøre.