Udvalget for Digitalisering og It 2023-24
DIU Alm.del
Offentligt
2810920_0001.png
15. november 2023
Vesterbrogade 32
1620 København V
Telefon 33 43 70 00
[email protected]
www.danskeadvokater.dk
Dok.nr. D-2023-040885
Henvendelse til Justitsministeriet på vegne af Danske Advokaters
Fagudvalg for Databeskyttelse
Danske Advokater og Danske Advokaters Fagudvalg for Databeskyttelse skal hermed
anbefale regeringen at udpege Datatilsynet som ansvarlig tilsynsmyndighed ved
implementering af den kommende forordning om regulering af kunstig intelligens
("AI-forordningen").
Mennesket i centrum af teknologien
AI-forordningens formål er at regulere en teknologi, der kan skabe løsninger til gavn
for mennesker. Disse løsninger kommer for manges vedkommende til at indeholde
personoplysninger samt data, der kan påvirke mennesker eller produkter, der
anvendes af mennesker. Der ligger derfor et stort ansvar i at sikre de kommende
løsningers samspil med GDPR .
Selvom AI-forordningen og GDPR tilsyneladende fokuserer på forskellige aspekter af
teknologien, er der et stort overlap mellem dem, da begge søger at finde en balance
mellem at fremme innovation og beskytte grundlæggende rettigheder og
frihedsrettigheder i en digital tidsalder.
Tilsynsmyndigheden bør derfor besidde ekspertise og ressourcer til at håndtere
opgaven og have forstand på de komplekse udfordringer og dynamikker, der opstår
ved kombinationen af digitale løsninger baseret på AI og personoplysninger.
Vi anbefaler derfor at udpege en tilsynsmyndighed, der kan fokusere på
gennemførelsen og effektiviteten af AI-forordningen i lyset af dette samspil. Vores
opfattelse er, at Datatilsynet vil være den bedst egnede myndighed til at løfte denne
opgave.
I det følgende vil vi uddybe baggrunden for vores anbefaling.
Samspillet mellem AI-forordningen og GDPR
AI-forordningen får ingen indflydelse på de gældende bestemmelser i GDPR.
Datatilsynet har således altid kompetence til at føre tilsyn med lovligheden af
behandling af personoplysninger som led i AI-løsninger, selv i tilfælde hvor AI-
forordningens tilsynsmyndighed skulle være en anden end Datatilsynet.
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 71: Spm. om at oversende de henvendelser, ministeren har modtaget fra Forbrugerrådet Tænk, Danske Advokater, Dataetisk Råd og Kommunernes Landsforening samt fra eventuelle øvrige organisationer
Lovlighed efter begge regelsæt
Den samme aktivitet vil således ofte være underlagt to forskellige regelsæt, og det vil
være uhensigtsmæssigt, at de håndhæves af to forskellige myndigheder.
Såfremt tilsynsmyndigheden for AI-forordningen er en anden end Datatilsynet, kan
både offentlige myndigheder og virksomheder ende i den situation, at en
tilsynsmyndighed under AI-forordningen har godkendt anvendelsen af en AI-
løsning, fx fordi en højrisiko behandling er lovlig efter oplistningen i bilaget til AI-
forordningen, men at Datatilsynet efterfølgende når frem til den modsatte
konklusion, fordi behandlingen ikke er lovlig efter GDPR.
I praksis vil det medføre en betydelig retsusikkerhed, der kan sammenlignes med den
usikkerhed, som finansielle virksomheder oplever vedrørende kapitel 9
(tavshedspligt) i lov om finansiel virksomhed eller den usikkerhed, som
hjemmesideejere oplever i forhold til anvendelse af cookiereglerne i samspil med
GDPR. Det kan resultere i unødvendige merudgifter i forbindelse med overholdelse
af de to regelsæt.
FRIA og DPIA
Ifølge AI-forordningen (Parlamentets forslag) skal brugere af højrisiko AI-løsninger
udarbejde en "Fundamental Rights Impact Assessment" (FRIA), som strukturelt og
indholdsmæssigt minder om en Data Protection Impact Assessment (DPIA) i
henhold til GDPR. Både en FRIA og en DPIA skal vurdere og analysere risikoen for
krænkelser af fundamentale rettigheder, frihedsrettigheder, herunder retten til
databeskyttelse.
Udover at tage højde for retten til databeskyttelse skal begge typer
konsekvensanalyser inddrage vurderingen af den fundamentale ret til ikke at blive
diskrimineret på grund af køn, race, farve, etnisk eller social oprindelse, genetiske
karakteristika, sprog, religion mv. De to typer konsekvensanalyser vil dermed have et
betydeligt overlap i indholdet, og Fagudvalget for Databeskyttelse mener, at det vil
være uhensigtsmæssigt, hvis de skulle underkastes to forskellige tilsynsmyndigheder.
Dette ville resultere i en unødvendig byrde og kompleksitet. Hvis det blot er
Datatilsynet, der udpeges, vil Datatilsynet besidde kompetencer til at vurdere begge
typer konsekvensanalyser.
Datatilsynets kompetencer og organisatoriske placering
Datatilsynet har allerede betydelig erfaring med bl.a. nævnte DPIA'er og består af
dygtige og erfarne medarbejdere, der har dybdegående kendskab til komplekse
problemstillinger angående personoplysninger og digital regulering generelt samt
teknisk indsigt.
Myndigheden er efter vores indtryk både veletableret og anerkendt i markedet og
arbejder allerede indgående med AI-området, hvor tilsynet bl.a. har udgivet flere
vejledninger om AI, og Datatilsynet er som bekendt ledende skribent på EDPB's
kommende vejledning om kunstig intelligens.
Videre er det vores indtryk, at Datatilsynet nyder udbredt tillid i befolkningen,
hvilket også kan underbygge og styrke den offentlige tillid til brugen af AI-løsninger.
Datatilsynet vil således både hurtigt og omkostningseffektivt kunne udvikle de
nødvendige kompetencer til at virke som tilsynsmyndighed for AI-forordningen.
2/4
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 71: Spm. om at oversende de henvendelser, ministeren har modtaget fra Forbrugerrådet Tænk, Danske Advokater, Dataetisk Råd og Kommunernes Landsforening samt fra eventuelle øvrige organisationer
Uafhængigheden hos tilsynsmyndigheden er tillige sikret, da det ikke har nogen
betydning i praksis, at Datatilsynet ressortmæssigt hører under Justitsministeriet. At
lægge tilsynsmyndigheden hos Datatilsynet, som hører under Justitsministeriet, som
er et højt profileret ministerium, vil også sende et signal om, at AI-området har en
høj prioritet for regeringen og give mulighed for at handle hurtigere, hvis det er
nødvendigt af hensyn til national sikkerhed eller andre væsentlige samfundsmæssige
hensyn.
Samspil mellem myndigheder i Danmark
Ensartet sagsbehandling
Såfremt Datatilsynet udpeges som tilsynsmyndighed, kan det efter vores opfattelse
bidrage til at sikre en mere konsistent sagsbehandling, idet risikoen ved inkonsistent
sagsbehandling øges jo flere myndigheder, der beskæftiger sig med samme område.
Endvidere sikres et mindre ressource- og økonomitræk i forhold til at oplære
medarbejdere i parallelle myndigheder.
Ved at samle tilsynet af begge reguleringer under samme myndighed kan risikoen for
potentielle konflikter i håndhævelsen og fortolkningen af reglerne således undgås,
både til gavn for virksomheder, myndigheder og de personer, hvis oplysninger
registreres i løsningerne.
EU-Domstolen har i sag C-252/21 (Meta) afgjort, at hvis konkurrencemyndigheder
skal afgøre konkurrenceretlige sager, der involverer databeskyttelsesretlige aspekter,
skal dette ske under loyalt samarbejde med den nationale tilsynsmyndighed inden
for databeskyttelsesområdet - også selvom afgørelsen ikke vil præjudicere
tilsynsmyndighedens senere afgørelse om spørgsmålet. Det samme vil gælde, hvis en
anden tilsynsmyndighed efter AI-forordningen måtte ønske at vurdere
databeskyttelsesretlige spørgsmål som led i tilsynet med AI-forordningen.
Der må forventes et intensivt samspil mellem de to reguleringer, og det vil derfor
samlet set øge effektiviteten betydeligt, hvis samme myndighed har begge
reguleringer, som følge af databeskyttelsesrettens rolle i AI generelt. En udpegning af
en anden tilsynsmyndighed end Datatilsynet indebærer en betydelig risiko for, at
ressourcer skal gå til et omfattende koordinationsarbejde mellem de to myndigheder,
da behandling af personoplysninger uundgåeligt vil fylde en del i AI-løsninger.
Internationalt samarbejde
I Frankrig har regeringen udpeget det franske datatilsyn, CNIL, og i EU-regi har man
udpeget EDPS som tilsynsmyndigheder under AI-forordningen. Ved udpegningen af
Datatilsynet som tilsynsmyndighed vil det dermed lette det internationale
samarbejde på tværs af grænser i EU-regi og internationalt, forudsat at andre EU-
lande prioriterer tilsvarende.
Hensynet til de registrerede, myndigheder og virksomheder
Konsistent sagsbehandling
I overensstemmelse med sikring af konsistent sagsbehandling og for at lette
adgangen for borgere til at udøve deres rettigheder vil det være hensigtsmæssigt, at
registrerede alene behøver at indgive en klage over behandling af personoplysninger
(i AI-løsninger) til én tilsynsmyndighed frem for flere. Det vil være mere overskueligt
og gøre det lettere for borgerne at udøve deres rettigheder, at de ikke skal finde rundt
i forskellige tilsynsmyndigheder alt afhængig af, hvilken bestemmelse i hvilken
forordning de vil indgive klage over som følge af mistanke eller vide om, at en AI-
løsning har misbrugt personoplysninger om dem. Det er der vel nærmest ingen
3/4
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 71: Spm. om at oversende de henvendelser, ministeren har modtaget fra Forbrugerrådet Tænk, Danske Advokater, Dataetisk Råd og Kommunernes Landsforening samt fra eventuelle øvrige organisationer
borgere, der ville kunne overskue og heller ikke med rimelighed kan forventes at
skulle kunne overskue.
Ressourceforbruget vil også blive mindsket ved, at en borgers sag alene skal
behandles hos én tilsynsmyndighed frem for flere.
Konsekvenser i begyndelsen af AI-forordningens virkningsperiode
Ved implementering af AI-forordningen vil myndigheder og virksomheder særligt i
starten have behov for at rette henvendelse med spørgsmål om overholdelsen af og
samspillet mellem de to regelsæt. Danske Advokater og Fagudvalget for
Databeskyttelse mener, at det vil være en fordel, både tidsmæssigt og
kvalitetsmæssigt, hvis samme myndighed svarer på spørgsmål relateret til de to
reguleringer samlet.
Ud fra Datatilsynets praksis tegner der sig et overordnet billede af, at tilsynet udviser
en konsistent, rimelig og pragmatisk tilgang til håndhævelse af GDPR, hvilket vil
være til stor gavn for AI-området, særligt i starten af AI-forordningens
virkningsperiode.
***
På baggrund af ovenstående økonomiske, ressource- samt kvalitetsmæssige hensyn
samt hensynet til borgerne anbefaler Danske Advokater og Fagudvalget for
Databeskyttelse under Danske Advokater derfor Justitsministeriet at udpege
Datatilsynet som tilsynsmyndighed for AI-forordningen.
Vi står til rådighed, hvis Justitsministeriet ønsker en uddybning af ovenstående.
Med venlig hilsen
Benedikte Havskov Hansen
Vicedirektør, Danske Advokater
Michael Hopp
Medformand, Fagudvalget for Databeskyttelse hos Danske Advokater
Advokat og partner, Plesner
Karsten Holt
Medformand, Fagudvalget for Databeskyttelse hos Danske Advokater
Advokat og partner, Advodan
Birgitte Toxværd
Medlem, Fagudvalget for Databeskyttelse hos Danske Advokater
Advokat og partner, Kromann Reumert
4/4