Stadig flere virksomheter tar i bruk kunstig intelligens (AI) i HR-prosesser som rekruttering, opplæring og medarbeideroppfølging. Selv om AI kan bidra til blant annet effektivisering og forbedret beslutningstaking, oppstår flere viktige juridiske problemstillinger knyttet til personvern. Er du sikker på at din virksomhet følger regelverket?
Kan din virksomhets bruk av AI være i strid med GDPR?
I dagens arbeidsliv ser vi en økende bruk av kunstig intelligens (AI) i HR-prosesser som blant annet rekruttering, opplæring, ivaretakelse av ansatte mv. En utfordring kan imidlertid være utilstrekkelig oversikt over rettslig regulering på området. EUs personvernforordning (GDPR) oppstiller et forbud mot avgjørelser som utelukkende er basert på automatisert behandling – herunder profilering – som har rettsvirkning eller tilsvarende betydelig påvirkning for vedkommende. Dette kan for eksempel være en beslutning om ansettelse, forfremmelse, lønnsendringer mv.
Mer skjulte AI-baserte handlinger kan imidlertid også falle inn under bestemmelsen. Dette kan eksempelvis være automatisert rangering eller sortering av søknader, der det er rimelig å anta at resultatene vil påvirke den videre rekrutteringsprosessen. Med andre ord: Virksomheter som bruker AI bare som «et første filter», kan dermed risikere å fatte en ulovlig avgjørelse i GDPRs forstand.
Men hvor mye skal egentlig til for at din virksomhet har fattet en utelukkende automatisert avgjørelse?
Terskelen for hva som er en «utelukkende automatisert» avgjørelse, kan være lavere enn du tror. Til tross for at det kan høres ut slik ut, er ikke all menneskelige innblanding tilstrekkelig for at behandlingen skal være lovlig. GDPR kan synes å forutsette at det foreligger reell menneskelig kontroll. Dette kan blant annet innebære krav om at involveringen må ha en faktisk innvirkning på resultatet, at vedkommende har foretatt en tilstrekkelig selvstendig vurdering, og har myndighet og kompetanse til å endre avgjørelsen. Hvis beslutningen i praksis blir tatt av AI og kun formelt godkjent av et menneske, vil det derfor være risiko for AI-bruken er i strid med GDPR.
Hva kan gå galt?
Bruk av AI i strid med GDPR kan få store konsekvenser for din virksomhet. Dette kan innebære blant annet bøter på opptil 20 millioner euro eller opptil 4 % av den samlede globale årsomsetningen, avhengig av hva som er høyest. Brudd på personvernlovgivningen kan i tillegg til dette skade omdømmet til din virksomhet. Det kan derfor lønne seg å fatte noen tiltak før man implementerer et AI-system, slik at man sikrer etterlevelse av regelverket.
Hvordan kan din virksomhet sikre etterlevelse?
Det er flere tiltak virksomheten din kan iverksette for å sikre at AI-bruken er i tråd med GDPR. Dette kan blant annet være å:
Les mer: 5 fakta du bør vite om KI-loven
AI åpner for store muligheter, men også et betydelig ansvar. Selv om AI har et stort potensial, er det viktig at virksomheter bruker teknologien ansvarlig og i tråd med gjeldende regelverk. EU har nylig vedtatt en forordning som direkte regulerer kunstig intelligens (AI Act). AI-systemer brukt i blant annet HR-prosesser, defineres i denne forordningen som høyrisiko.
Vil du vite om du blir omfattet av forordningen? Da kan du lese mer her:
Derfor er KI-loven viktig for deg
Hvordan kan du forberede deg?
Kan din virksomhets bruk av AI være i strid med GDPR?
I dagens arbeidsliv ser vi en økende bruk av kunstig intelligens (AI) i HR-prosesser som blant annet rekruttering, opplæring, ivaretakelse av ansatte mv. En utfordring kan imidlertid være utilstrekkelig oversikt over rettslig regulering på området. EUs personvernforordning (GDPR) oppstiller et forbud mot avgjørelser som utelukkende er basert på automatisert behandling – herunder profilering – som har rettsvirkning eller tilsvarende betydelig påvirkning for vedkommende. Dette kan for eksempel være en beslutning om ansettelse, forfremmelse, lønnsendringer mv.
Mer skjulte AI-baserte handlinger kan imidlertid også falle inn under bestemmelsen. Dette kan eksempelvis være automatisert rangering eller sortering av søknader, der det er rimelig å anta at resultatene vil påvirke den videre rekrutteringsprosessen. Med andre ord: Virksomheter som bruker AI bare som «et første filter», kan dermed risikere å fatte en ulovlig avgjørelse i GDPRs forstand.
Men hvor mye skal egentlig til for at din virksomhet har fattet en utelukkende automatisert avgjørelse?
Terskelen for hva som er en «utelukkende automatisert» avgjørelse, kan være lavere enn du tror. Til tross for at det kan høres ut slik ut, er ikke all menneskelige innblanding tilstrekkelig for at behandlingen skal være lovlig. GDPR kan synes å forutsette at det foreligger reell menneskelig kontroll. Dette kan blant annet innebære krav om at involveringen må ha en faktisk innvirkning på resultatet, at vedkommende har foretatt en tilstrekkelig selvstendig vurdering, og har myndighet og kompetanse til å endre avgjørelsen. Hvis beslutningen i praksis blir tatt av AI og kun formelt godkjent av et menneske, vil det derfor være risiko for AI-bruken er i strid med GDPR.
Hva kan gå galt?
Bruk av AI i strid med GDPR kan få store konsekvenser for din virksomhet. Dette kan innebære blant annet bøter på opptil 20 millioner euro eller opptil 4 % av den samlede globale årsomsetningen, avhengig av hva som er høyest. Brudd på personvernlovgivningen kan i tillegg til dette skade omdømmet til din virksomhet. Det kan derfor lønne seg å fatte noen tiltak før man implementerer et AI-system, slik at man sikrer etterlevelse av regelverket.
Hvordan kan din virksomhet sikre etterlevelse?
Det er flere tiltak virksomheten din kan iverksette for å sikre at AI-bruken er i tråd med GDPR. Dette kan blant annet være å:
- Gjennomføre risiko- og personvernkonsekvensvurderinger (DPIA) før du tar i bruk AI-systemet.
- Gi tydelig informasjon om eventuell automatisert behandling til de personene det behandles personopplysninger om.
- Foreta jevnlige kontroller av AI-systemene virksomheten benytter seg av.
- Sikre at de ansatte har fått tilstrekkelig opplæring i forsvarlig bruk av virksomhetens AI-systemer. Bruk av AI kan medføre risiko for de registrertes rettigheter. Det er derfor særlig viktig å sikre opplæring i hvilke fallgruver som finnes ved bruk av AI-systemer. Dette er også et krav i EUs nylig vedtatte AI Act, som snart inkorporeres i norsk rett gjennom KI-loven.
Les mer: 5 fakta du bør vite om KI-loven
AI åpner for store muligheter, men også et betydelig ansvar. Selv om AI har et stort potensial, er det viktig at virksomheter bruker teknologien ansvarlig og i tråd med gjeldende regelverk. EU har nylig vedtatt en forordning som direkte regulerer kunstig intelligens (AI Act). AI-systemer brukt i blant annet HR-prosesser, defineres i denne forordningen som høyrisiko.
Vil du vite om du blir omfattet av forordningen? Da kan du lese mer her:
Derfor er KI-loven viktig for deg
Hvordan kan du forberede deg?
Del artikkelen eller meld deg på nyhetsbrev!
Meld meg på nyhetsbrev