Det retlige sammenspil mellem databeskyttelsesretten og AI

The legal interaction between the Data Protection Regulation and AI

Nielsen, Nanna Buus ; Sevelsted, Maria Nørgaard

4. semester

Erhvervsøkonomi-jura, Kandidat

2020

2020-05-18

Afhandlingen undersøger det retlige samspil mellem kunstig intelligens (AI) og databeskyttelsesretten med fokus på, om og hvordan AI kan anvendes som grundlag for behandling af personoplysninger under databeskyttelsesforordningen (GDPR). Med et juridisk udgangspunkt i GDPR analyseres de mest relevante principper og forpligtelser for den dataansvarlige, herunder lovlighed, rimelighed og gennemsigtighed, rigtighed, databeskyttelse gennem design samt konsekvensanalyser (art. 35). Afhandlingen belyser samtidig de tekniske træk ved især Machine Learning, Deep Learning og Big Data samt de praktiske udfordringer ved den såkaldte sorte boks, som kan underminere gennemsigtighed. Et centralt fokus er GDPR art. 22 om automatiske individuelle afgørelser, herunder profilering, hvor rækkevidde, indhold, undtagelser og krav om menneskelig indgriben drøftes, samt om bestemmelsen i praksis sætter grænser for brugen af AI. Etiske overvejelser behandles som et ikke-bindende, men vejledende supplement til retlige krav. Afhandlingen peger på, at manglende gennemsigtighed i AI‑modeller er en hovedudfordring for opfyldelse af oplysningspligt og ansvarlighed, men at GDPR ikke gør det umuligt at anvende AI til personoplysninger; det kræver dog nøje implementering af passende foranstaltninger, dokumentation og indbyggede garantier, og fraværet af fast praksis gør efterlevelse særlig krævende.

This thesis examines the legal interplay between artificial intelligence (AI) and data protection law, focusing on whether and how AI can serve as a basis for processing personal data under the General Data Protection Regulation (GDPR). Using a doctrinal analysis of GDPR, it considers the principles and obligations most relevant to AI—lawfulness, fairness and transparency, accuracy, privacy by design, and data protection impact assessments (Art. 35)—while outlining the technical features of Machine Learning, Deep Learning, and Big Data and the practical challenges of black‑box models that undermine transparency. A central focus is Article 22 on automated individual decision‑making, including profiling, exploring its scope, content, exceptions, and requirements for human intervention, as well as whether it limits the use of AI in practice. Ethical considerations are discussed as non‑binding yet helpful guidance that can supplement legal protections. The thesis finds that limited transparency in AI systems is a major obstacle to meeting information duties and accountability, but the GDPR does not make AI use for personal data impossible; rather, it demands careful design, documentation, and robust safeguards, and the lack of established practice currently makes compliance particularly challenging.

[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]

GDPR ; AI ; Databeskyttelsesforordningen ; Artificial Intelligence ; Kunstig Intelligens

Download
Vis denne rapport i AAU Studenterprojekter