3 Bruk av personopplysninger til testing og utvikling – rettslige rammer

3.1 Grunnloven og EMK

Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8 verner om borgernes rett til respekt for sitt privatliv. Det følger av lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2 at EMK gjelder som norsk lov. Ved motstrid går konvensjonen foran bestemmelser i annen lovgivning, jf. § 3. Grunnloven § 102 første ledd første punktum slår fast at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.

EMK artikkel 8 lyder:

• 1. Everyone has the right to respect for his private and family life, his home and his correspondence.

• 2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Den europeiske menneskerettsdomstolen (EMD) har i flere avgjørelser fastslått at EMK artikkel 8 også innebærer en rett til vern av personopplysninger, se for eksempel Leander mot Sverige, 26. mars 1987 (sak nr. 9248/81).

At opplysninger som er innhentet for et formål viderebehandles til andre formål enn de er innhentet for, herunder testing og utvikling, vil kunne utgjøre et inngrep i rettighetene som vernes av Grunnloven § 102 og EMK artikkel 8. Det samme gjelder det å lagre opplysninger utelukkende for å bruke dem til testing og utvikling. For at et inngrep i retten til privatliv etter EMK artikkel 8 skal være lovlig, må det være foreskrevet ved lov, forfølge et eller flere nærmere angitte legitime formål og være nødvendig i et demokratisk samfunn av hensyn til de aktuelle formålene, jf. artikkel 8 nr. 2.

3.2 Personvernforordningen

Personvernforordningen, (EU) 2016/679 (heretter GDPR), gjelder som norsk lov, jf. personopplysningsloven § 1. Personopplysningsloven gjelder etter § 2 første ledd for all behandling av personopplysninger, med mindre annet er bestemt i eller i medhold av lov.

Personopplysningsloven og GDPR gjelder dermed i utgangspunktet for alt av politiets virksomhet, herunder forvaltningsoppgaver som grensekontroll, med mindre annet er bestemt. Politiregisterloven er et eksempel på en lov som gjør unntak fra dette utgangspunktet, jf. nærmere omtale i punkt 6.1.

GDPR kommer i sin helhet til anvendelse for bruk av personopplysninger for testing og utvikling innenfor forordningens virkeområde, jf. artikkel 2 og personopplysningsloven § 2. Her nevnes bare enkelte artikler som særlig har betydning for behovet for regulering av behandling av personopplysninger til testing og utvikling.

Prinsippet om formålsbegrensning i GDPR artikkel 5 nr. 1 bokstav b innebærer at personopplysninger ikke kan viderebehandles på en måte som er «uforenlig» med det opprinnelige formålet. Etter bokstav c skal personopplysninger være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for (prinsippet om dataminimering).

Det kreves i utgangspunktet ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen for å viderebehandle opplysninger, så lenge det nye formålet anses forenlig med det opprinnelige innsamlingsformålet, jf. artikkel 6 nr. 4 og fortalepunkt nr. 50. Er derimot det nye formålet uforenlig med formålet opplysningene ble innhentet for, må viderebehandlingen ha grunnlag i samtykke eller lov, jf. Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen punkt 6.6.

At testing og utvikling i konteksten av GDPR kan være et annet, men ikke nødvendigvis uforenlig, formål enn det opplysningene opprinnelig behandles for, er lagt til grunn i EU-domstolens praksis, se C-77/21, 20. oktober 2022, avsnitt 45:

[…] Article 5(1)(b) of Regulation 2016/679 must be interpreted as meaning that the principle of ‘purpose limitation’, laid down in that provision, does not preclude the recording and storage by the controller, in a database created for the purposes of carrying out tests and correcting errors, of personal data previously collected and stored in another database, where such further processing is compatible with the specific purposes for which the personal data were initially collected, which must be determined in the light of the criteria in Article 6(4) of that regulation.

3.3 Personverndirektivet

Direktiv (EU) 2016/680 (heretter LED) regulerer rettshåndhevende myndigheters behandling av personopplysninger til kriminalitetsbekjempende formål mv. Direktivet er gjennomført i politiregisterloven og politiregisterforskriften hva gjelder politiets og påtalemyndighetens behandling av opplysninger. Direktivets regler er på en del punkter sammenfallende med reglene i GDPR, men med tilpasninger på grunn av særlige behov som gjør seg gjeldende ved kriminalitetsbekjempelse.

LED har i motsetning til GDPR ingen eksplisitte regler om viderebehandling til forenlige formål. Ifølge LED artikkel 4 nr. 1 bokstav b skal medlemsstatene fastsette at personopplysninger skal innsamles til uttrykkelig angitte og legitime formål og ikke behandles på en måte som er uforenlig med disse. Videre fremgår det av LED artikkel 4 nr. 2 at viderebehandling til andre formål som nevnt i artikkel 1 nr. 1 enn det formålet personopplysningene er innsamlet til, er tillatt i den grad a) dette følger av EU-retten eller nasjonal rett og b) behandlingen er nødvendig og forholdsmessig i forhold til det andre formålet etter EU-retten eller nasjonal rett. Etter artikkel 4 nr. 3 kan behandling som foretas av den samme eller en annen behandlingsansvarlig omfatte arkivering i samfunnets interesse eller til vitenskapelig, statistisk eller historisk bruk for formålene i artikkel 1 nr. 1, med forbehold om tilstrekkelige tiltak for å sikre de registrertes rettigheter og friheter.

Etter LED artikkel 9 nr. 1 kommer GDPR til anvendelse når opplysninger som omfattes av direktivet behandles for andre formål enn de som er nevnt i artikkel 1 nr. 1, det vil si behandling av personopplysninger «med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige reaksjoner, herunder hindre trusler mot og verne om offentlig sikkerhet».

Testing og utvikling er ikke nevnt i direktivet. Det er likevel flere artikler som forutsetter at rettshåndhevende myndigheter vil kunne ta i bruk nye teknologiske løsninger, se for eksempel artikkel 27 om vurderinger av personvernkonsekvenser ved bruk av ny teknologi. Tiltak som kan bidra til å redusere personvernkonsekvensene av ny teknologi kan bygges inn i utviklingsfasen, og grundig testing kan bidra til å identifisere uheldige eller utilsiktede konsekvenser som kan avhjelpes før systemet tas i bruk.

Også krav til informasjonssikkerhet og den behandlingsansvarliges kontroll innebærer at systemer må kunne testes og videreutvikles for å sikre at kravene etterleves, uten at dette sies eksplisitt.

3.4 Internasjonalt regelverk om kunstig intelligens mv.

EUs forordning om kunstig intelligens (EU) 2024/1689 (heretter KI-forordningen) gir regler for markedsplassering og bruk av KI-systemer. Forordningen skal gjelde i EU fra 2. august 2026, med enkelte unntak, jf. artikkel 113. Forordningen er ennå ikke inntatt i EØS-avtalen. Digitaliserings- og forvaltningsdepartementet sendte 30. juni 2025 på høring forslag om gjennomføring av KI-forordningen i norsk rett, med høringsfrist 30. september 2025.

Her beskrives bare enkelte artikler i forordningen som kan ha betydning for politiets testing og utvikling av informasjonssystemer.

Forordningen artikkel 3 nr. 1 definerer et KI-system på følgende måte:

a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments.

Systemer som utelukkende følger forhåndsprogrammerte regler, for eksempel automatisert saksbehandling som fullt ut er regelstyrt og systemer som ikke opererer med noen form for autonomi og ikke tilpasser seg etter at det er tatt i bruk, faller derfor utenfor forordningens virkeområde.

KI-forordningen regulerer ikke bruk av kunstig intelligens som utelukkende benyttes i forbindelse med nasjonal sikkerhet, jf. artikkel 2 nr. 3. Forordningen legger derfor ikke begrensninger for PSTs bruk av kunstig intelligens innenfor dette området. Systemer som brukes for flere formål, for eksempel også til rettshåndhevelse, omfattes derimot av forordningen, jf. fortalepunkt 24. Det er dermed ikke nødvendigvis systemet i seg selv, men hvordan det brukes, som avgjør om KI-forordningen kommer til anvendelse eller ikke.

KI-forordningens virkeområde avgrenser mot forskning, testing og utvikling av systemer før de bringes i omsetning eller tas i bruk, jf. artikkel 2 nr. 8. Slike aktiviteter skal utføres i samsvar med gjeldende unionsrett. Forordningen legger likevel føringer for testing og utvikling av systemer som skal bringes i omsetning eller tas i bruk, særlig for systemer som defineres som høyrisikosystemer. Høyrisikosystemer er blant annet systemer for biometrisk fjernidentifisering, med unntak av systemer for biometrisk verifisering hvis eneste formål er å bekrefte at en bestemt fysisk person er den som han eller hun utgir seg for å være, jf. vedlegg III nr. 1 bokstav a. En rekke former for systemer regnes også som høyrisiko dersom de brukes av rettshåndhevende myndigheter, blant annet systemer som skal vurdere risikoen for at en person vil bli utsatt for eller begå straffbare handlinger, og systemer for profilering, jf. vedlegget nr. 6. Også systemer som benyttes i forbindelse med grensekontroll vil kunne være høyrisikosystemer, blant annet systemer som skal brukes til å vurdere om en person utgjør en risiko eller for å oppdage, gjenkjenne eller identifisere fysiske personer, ut over verifisering av reisedokumenter, jf. vedlegget nr. 7.

Artikkel 9 nr. 6 krever at høyrisikosystemer skal testes for å sikre at de fungerer konsekvent for sine tiltenkte formål, og det følger av nr. 8 at testing skal skje gjennom utviklingsfasen og under alle omstendigheter før systemet bringes i omsetning eller tas i bruk. Artikkel 10 regulerer data og dataforvaltning i høyrisikosystemer, og inneholder blant annet regler om trenings-, validerings- og testdatasett som inneholder særlige kategorier av personopplysninger. Slike opplysninger kan behandles dersom det er strengt nødvendig for å påvise og korrigere skjevheter, og gitt at nærmere vilkår er oppfylt, jf. artikkel 10 nr. 5.

Europarådskonvensjonen om kunstig intelligens (KI-konvensjonen) ble vedtatt 17. mai 2024. Norge undertegnet konvensjonen 5. september 2024. Konvensjonen er mer overordnet enn KI-forordningen, og stiller verken strengere eller mer detaljerte krav til testing og utvikling enn det som følger av forordningen.