Lovligheten av å behandle personopplysninger i KI-løsningen
For at det skal være lovlig å behandle personopplysninger, må den behandlingsansvarlige alltid ha et rettslig grunnlag for behandlingen.
Personvernforordningen (artikkel 6 nr. 1 bokstav a til f) inneholder en uttømmende liste med seks alternative rettslige grunnlag for en lovlig behandling av personopplysninger.
Vurderinger av lovligheten av behandlingen av personopplysninger i Ruters KI-løsning, er ikke del av dette sandkasseprosjektet. Drøftelsene i rapporten legger derfor som en forutsetning at Ruter har et rettslig grunnlag for de aktuelle behandlingsaktivitetene.
Det rettslige grunnlaget Ruter velger, vil likevel påvirke hvilken informasjon de plikter å gi.
Ruter planlegger å benytte samtykke (artikkel 6 nr. 1 bokstav a) som rettslig grunnlag. Det gjelder både for bruk av personopplysninger til å lære opp KI-modellen, og for bruk av KI-modellen på personopplysninger i bruksfasen.
Ett av vilkårene for at et samtykke skal være gyldig, er at samtykket er informert. Dette kravet er det derfor naturlig å se nærmere på når vi vurderer hvilken informasjon Ruter må gi til kundene som velger å samtykke til behandling av sine personopplysninger.
I tillegg til å være informert, er det flere andre vilkår som må være oppfylt for at et samtykke skal være gyldig. I dette sandkasseprosjektet ser vi kun nærmere på kravene til et informert samtykke.
Samtykke som rettslig grunnlag
Personopplysninger kan behandles lovlig basert på et samtykke når samtykket er:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Les mer om hva hvert punkt innebærer.
Hvor lenge et samtykke varer kommer an på hva man har bedt om samtykke til. For å unngå tvil bør man spesifisere hvor lenge et samtykke er tiltenkt å vare når man ber om det. Med rimelige intervaller bør man også minne de registrerte om at de har gitt samtykke og at det kan trekkes tilbake.
Samtykke for særlige kategorier personopplysninger
Særlige kategorier personopplysninger kalles ofte sensitive personopplysninger. Dette er opplysninger som krever ekstra vern, slik som opplysninger om etnisk opprinnelse, religion, helseopplysninger, seksuell orientering med mer.
Behandling av særlige kategorier personopplysninger er i utgangspunktet forbudt. Unntak fra forbudet kan gjøres ved uttrykkelig samtykke. Les mer om hva som gjør et samtykke uttrykkelig i Personvernrådets retningslinjer om samtykke, punkt 4.
Unntak kan likevel ikke gjøres i tilfeller hvor det er fastsatt i lov eller forskrift at den registrerte ikke kan oppheve forbudet.