Hvem har ansvaret for å følge personvernreglene?
Behandlingsansvar
Personvernforordningen benytter begrepene behandlingsansvarlig i artikkel 4 nr. 7, databehandler i artikkel 4 nr. 8 og felles behandlingsansvarlige i artikkel 26 for å plassere ansvaret for å følge reglene. Av ansvarlighetsprinsippet går det frem, at hovedansvaret for å sikre at behandlingen av personopplysninger er i tråd med personvernforordningen ligger hos den behandlingsansvarlige.
En behandlingsansvarlig er den som fastsetter formålene med og midlene for behandlingen av personopplysninger, mens en databehandler behandler personopplysninger på vegne av den behandlingsansvarlige. Felles behandlingsansvar inntrer hvor partene i fellesskap fastsetter formålene med og midlene for behandlingen av personopplysninger.
Vurderinger av de ulike rollene i bruksfasen
Et spørsmål som kom opp tidlig i sandkasseprosjektet var hvordan ansvarsfordelingen mellom Secure Practice og deres kunder skal være. Bakgrunnen for spørsmålet var at Secure Practice selv kom inn i prosjektet med et ønske om å unngå at kunden (altså arbeidsgiver) får innsyn i individuelle risikoprofiler for ansatte, som et personverntiltak for å ivareta arbeidstaker. Secure Practice var likevel i tvil om dette var mulig å garantere i praksis, selv om de kunne gjøre tekniske tiltak i løsningen for å unngå at kunden uten videre fikk innsyn i slike data.
I øvrige tjenester har Secure Practice sett på sin egen rolle som databehandler og utformet ordinære databehandleravtaler med kunden. Kunden er da behandlingsansvarlig og bestemmer hvordan personopplysningene skal brukes. I en rolle som databehandler har Secure Practice plikt til å utlevere alle personopplysninger kunden ønsker å få tilgang til. En iboende risiko ved en slik ansvarsfordeling i den nye tjenesten, er at Secure Practice ikke kan la være å utlevere personopplysninger om enkelte arbeidstakere til arbeidsgiverne, selv ved mistanke om at opplysningene skal brukes til andre formål (for eksempel for å påvirke lønnsnivå eller bonusutbetaling).
I dialog med Secure Practice utforsket Datatilsynet konsekvensene av ulike ansvarsfordelinger, og en alternativ løsning med felles behandlingsansvar ble foreslått. Secure Practice ønsker å holde igjen personopplysninger fra kundene deres. Ved å holde igjen personopplysninger ovenfor sine kunder har de en avgjørende innflytelse over behandlingen av disse personopplysningene som går lengre enn deres rolle som databehandler. Det vil si at Secure Practice og kunden i fellesskap fastsetter formålene og midlene for behandlingen av arbeidstakers personopplysninger.
Personvernrådet viser i sin veileder til et skille mellom “essensielle” og “ikke-essensielle” midler. I avsnitt 40 i veilederen knyttes “essensielle” midler til de valg som er overlatt til den behandlingsansvarlige. Som det fremgår av veilederen er det en nær tilknytning mellom hva som er “essensielle midler” og til spørsmålet om hvorvidt behandlingen er lovlig, nødvendig og forholdsmessig. “Ikke-essensielle” midler knytter seg til den praktiske implementeringen, som eksempelvis sikkerhetstiltak.
Å minimere arbeidsgivers adgang til arbeidstakers personopplysninger, kan vurderes som et tiltak for å minske personvernulempene. I vurderingen av det rettslige grunnlaget, og dermed om verktøyet er lovlig eller ikke, er personvernulempene relevante.
Praksis fra EU-domstolen viser at parter kan bli felles behandlingsansvarlige, selv om behandlingen av personopplysninger ikke er jevnt fordelt mellom partene eller kunden ikke har tilgang til personopplysningene som behandles. Dette kan være tilfellet hvor tjenesten behandler personopplysningene for sine egne formål, og denne behandlingen bare kan utføres fordi kunden tilrettelegger for en slik behandling ved å velge tjenesten.
Slik tjenesten er skissert i sandkasseprosjektet vil Secure Practice' behandling av personopplysninger bare være mulig fordi kunden benytter seg av tjenesten. Secure Practice behandler disse personopplysningene ved å hindre at kunden får utlevert personopplysningene om hver enkelt ansatt. Ved å tilbakeholde personopplysninger fra kunden oppstår det dermed et felles behandlingsansvar mellom Secure Practice og deres kunder.
EU-domstolen om behandlingsansvar
EU-domstolen har i dom av 29. juli 2019 (Fashion ID C-40/17, avsnitt 80) argumentert med at sammenfallende interesser taler for et felles behandlingsansvar:
"As to the purposes of those operations involving the processing of personal data, it appears that Fashion ID’s embedding of the Facebook ‘Like’ button on its website allows it to optimise the publicity of its goods by making them more visible on the social network Facebook when a visitor to its website clicks on that button. The reason why Fashion ID seems to have consented, at least implicitly, to the collection and disclosure by transmission of the personal data of visitors to its website by embedding such a plugin on that website is in order to benefit from the commercial advantage consisting in increased publicity for its goods; those processing operations are performed in the economic interests of both Fashion ID and Facebook Ireland, for whom the fact that it can use those data for its own commercial purposes is the consideration for the benefit to Fashion ID."
(Våre understrekinger)
Formålet ved å organisere behandlingen som et felles behandlingsansvar er å sikre at ansvarsfordelingen gjenspeiler den faktiske rollen som Secure Practice påtar seg i de enkelte behandlingssituasjonene. Det innebærer at det ikke er noen endring for de prosessene hvor Secure Practice rent faktisk opptrer som en databehandler og behandler personopplysninger på kundens vegne. Der behandlingen ikke utelukkende blir gjort på kundens vegne, stiller personvernforordningen imidlertid krav til at partene identifiserer dette.
Secure Practice og den enkelte kunde må kartlegge prosessene hvor de i fellesskap fastsetter formålene med og midlene for behandlingen, slik at de på en åpen måte fastsetter ansvaret seg imellom. En åpen fastsettelse av ansvar mellom Secure Practice og deres kunder er ment å forhindre ansvarspulverisering mellom virksomhetene når arbeidstakere ønsker å benytte seg av sine rettigheter etter personvernforordningen.
Fastsettelsen av ansvar kan gjennomføres i en kontrakt eller et annet dokument mellom kunden og Secure Practice. Uavhengig av hvordan dette blir gjort mellom Secure Practice og kunden må det kommuniseres utad, slik at arbeidstakere er kjent med hvor de kan be om innsyn i sine personopplysninger og benytte seg av sine rettigheter etter personvernforordningen.
Kunstig intelligens i tre faser
Vi deler ofte opp kunstig intelligens i tre faser: utvikling, bruk og etterlæring. Personvernspørsmål oppstår i alle fasene.
Utviklingsfasen
Noen ganger brukes maskinlæring for å få innsikt i store datamengder, innsikt som i neste omgang kan brukes til å utvikle nye løsninger. Secure Practice har for eksempel gjort analyse av e-post for å finne hvilke egenskaper som er særskilt gjeldende for mistenkelig e-post. Slike funn kunne i neste omgang gjøres om til kunstig intelligens for deteksjon av skadelig e-post, gjennom konkrete mønstre som utviklerne legger inn i programvaren.
Bruksfasen
Maskinlæring kan også brukes til å oppdage nye sammenhenger i sanntid, uten at det må være mennesker involvert i prosessen. Her vil altså graden av automatikk være høy, i motsetning til utviklingsfasen, selv om det for øvrig kan være mye likt. Secure Practice bruker allerede maskinlæring i sanntid i MailRisk-tjenesten sin, uten at mennesker er involvert, for å identifisere og klassifisere helt nye svindelkampanjer og cyberangrep som ikke spamfiltre har klart å stoppe.
Etterlæringsfasen
Ligner mer på utviklingsfasen igjen, men gjerne med mer data tilgjengelig, og ikke minst data om resultatene etter at systemet fikk gjort jobben sin. Etterlæring kan være avgjørende for å verifisere eller forbedre korrektheten i en maskinlæringsmodell. Særlig gjelder dette forhold som forandrer seg over tid, slik som svindelmetoder brukt i skadelig e-post. Etterlæring er også aktuelt for komplekse forhold, slik som sikkerhetsatferd blant virksomhetens ansatte.
Secure Practice har ikke brukt personopplysninger i utviklingsfasen av tjenesten som prosjektet gjelder. Derfor har dette prosjektet valgt å fokusere på bruksfasen, som illustrerer de særskilte utfordringene på arbeidsplassen tydeligst. Vi har også kort omtalt etterlæring enkelte steder, for å illustrere at maskinlæring er en kontinuerlig prosess.
Vurderinger av de ulike rollene i etterlæringsfasen
Bruken av personopplysninger til etterlæring for å forbedre egne produkter er, i motsetning til den øvrige behandlingen, primært av interesse for Secure Practice, selv om også deres kunder kan være tjent med resultatet av en slik etterlæring.
Det er Secure Practice som fastsetter formålene med og midlene for denne behandlingen. Etterlæringen kunne imidlertid ikke blitt gjennomført uten personopplysningene som benyttes ellers i tjenesten.
For å sikre at Secure Practice alene har behandlingsansvar for etterlæringsfasen, bør det etableres kontroller i brukergrensesnittet, slik at kunden kan hindre bruken av personopplysninger til dette formålet. Et slikt skille sikrer at det ikke blir utydelig når Secure Practice opptrer som behandlingsansvarlig og selskapet opptrer som databehandler. Videre bør informasjon om behandlingen klart presenteres ovenfor kunder som ønsker å benytte seg av denne funksjonaliteten.