Quick Answer
När ett AI-system behandlar personuppgifter gäller GDPR fullt ut – ni behöver rättslig grund, måste följa grundprinciperna och informera de registrerade. Ovanpå det lägger EU AI Act krav som styrs av systemets risknivå. För svenska företag innebär det att tänka igenom rättslig grund, känsliga data, datahemvist, riskklassning och leverantörsval innan AI tas i drift. Gäller GDPR för AI? Ja. GDPR är teknikneutral, vilket betyder att den gäller så snart personuppgifter behandlas – oavsett om det sker i ett kalkylark eller en avancerad LLM. Integritetsskyddsmyndigheten (IMY), den svenska tillsynsmyndigheten, har varit tydlig med att frågan inte är vilken teknik som används, utan vem som bestämmer ändamålet med behandlingen och för vems räkning den sker. Personuppgifter kan dyka upp på flera ställen i ett AI-system: i träningsdatan, i de uppgifter användarna matar in, och i det modellen genererar. Varje led behöver hanteras enligt dataskyddsreglerna.
Gratis pentest
Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.
AnsökNär ett AI-system behandlar personuppgifter gäller GDPR fullt ut – ni behöver rättslig grund, måste följa grundprinciperna och informera de registrerade. Ovanpå det lägger EU AI Act krav som styrs av systemets risknivå. För svenska företag innebär det att tänka igenom rättslig grund, känsliga data, datahemvist, riskklassning och leverantörsval innan AI tas i drift.
Gäller GDPR för AI?
Ja. GDPR är teknikneutral, vilket betyder att den gäller så snart personuppgifter behandlas – oavsett om det sker i ett kalkylark eller en avancerad LLM. Integritetsskyddsmyndigheten (IMY), den svenska tillsynsmyndigheten, har varit tydlig med att frågan inte är vilken teknik som används, utan vem som bestämmer ändamålet med behandlingen och för vems räkning den sker.
Personuppgifter kan dyka upp på flera ställen i ett AI-system: i träningsdatan, i de uppgifter användarna matar in, och i det modellen genererar. Varje led behöver hanteras enligt dataskyddsreglerna. Är ni osäkra på grunderna börjar ni lämpligen med vår introduktion till vad artificiell intelligens är.
Rättslig grund och GDPR:s grundprinciper
All behandling av personuppgifter kräver en rättslig grund – exempelvis avtal, rättslig förpliktelse, berättigat intresse eller samtycke. Innan ni låter ett AI-system behandla personuppgifter måste ni kunna peka på vilken grund ni stödjer er på och för vilket ändamål.
Utöver grunden gäller GDPR:s grundprinciper, som blir särskilt knepiga med AI:
- Ändamålsbegränsning – data som samlats in för ett syfte får inte fritt återanvändas för att träna en modell för något annat.
- Uppgiftsminimering – behandla bara de uppgifter som faktiskt behövs, vilket utmanar tendensen att mata modeller med så mycket data som möjligt.
- Transparens – de registrerade ska informeras om att och hur deras uppgifter används i AI.
- Korrekthet – generativ AI kan producera felaktiga uppgifter om personer, vilket är en dataskyddsrisk i sig.
- Lagringsminimering – uppgifter ska inte sparas längre än nödvändigt, vilket berör både träningsdata och loggar över användarnas inmatningar.
En särskild utmaning med AI är att de registrerades rättigheter – som rätten till rättelse och radering – kan vara svåra att tillgodose när uppgifter väl bakats in i en tränad modell. Det är ett skäl till att noga tänka igenom vilka personuppgifter som över huvud taget behöver ingå i träningen.
Behöver ni hjälp med cloud?
Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.
Känsliga personuppgifter och AI
Särskilda kategorier av personuppgifter – hälsa, etniskt ursprung, religiös övertygelse, sexuell läggning, fackligt medlemskap, biometriska och genetiska uppgifter – har starkare skydd och får som huvudregel inte behandlas utan att ett särskilt undantag är uppfyllt. Detta gäller även om uppgifterna hamnar i ett AI-system indirekt.
En praktisk risk är att känsliga uppgifter smyger sig in via fritext, till exempel när medarbetare klistrar in kundärenden i ett AI-verktyg. Inför tydliga regler för vad som får och inte får matas in i AI-system, och tekniska spärrar där det går.
Tänk också på att uppgifter som var för sig inte är känsliga kan bli det i kombination. Ett AI-system som korsanalyserar flera datakällor kan i praktiken avslöja hälsa eller åsikter även om ingen enskild källa innehåller sådana uppgifter. Den risken bör vägas in när ni bedömer ett användningsfall.
Datahemvist: var hamnar datan?
Många AI-tjänster är molnbaserade och kan innebära att data behandlas utanför EU/EES. GDPR ställer särskilda krav på sådana tredjelandsöverföringar. För svenska och nordiska företag – inte minst inom offentlig sektor och reglerade branscher – är datahemvist ofta en avgörande fråga.
Praktiskt innebär det att ni bör veta var leverantören lagrar och behandlar data, om det finns alternativ med datahemvist inom EU eller Sverige, och vilka garantier som gäller. Att välja lösningar med europeisk datahemvist är ofta det enklaste sättet att minska komplexiteten i tredjelandsfrågan. Opsio hjälper företag att bygga AI på molnplattformar med kontroll över datahemvist och drift.
EU AI Act och riskklassning
EU AI Act kompletterar GDPR och reglerar AI-system utifrån risk. Förenklat delas system in i fyra nivåer:
| Risknivå | Innebörd | Exempel |
|---|---|---|
| Oacceptabel risk | Förbjudet | Social poängsättning, viss manipulativ AI |
| Hög risk | Omfattande krav | AI för rekrytering, kreditbeslut, vissa offentliga tjänster |
| Begränsad risk | Transparenskrav | Chattbotar – användaren ska veta att den interagerar med AI |
| Minimal risk | Inga särskilda krav | De flesta vardagliga AI-verktyg |
För högrisksystem ställs krav på bland annat riskhantering, datakvalitet, dokumentation, mänsklig tillsyn och transparens. Ett tidigt steg är därför att klassa varje planerat AI-användningsfall, eftersom klassningen avgör hur mycket arbete regelefterlevnaden kräver.
Det är också viktigt att förstå skillnaden i ansvar mellan att vara leverantör (den som utvecklar systemet) och den som tar i bruk det. De flesta företag är det senare och har då ett mer begränsat, men inte obefintligt, ansvar – framför allt att använda systemet enligt instruktionerna, säkerställa mänsklig tillsyn och bevaka att det fungerar som avsett. Köper ni in ett AI-system bör ni därför veta vilken roll ni tar på er.
Att välja AI-leverantör med GDPR i åtanke
När ni köper en AI-tjänst som behandlar personuppgifter blir leverantören oftast personuppgiftsbiträde, och ni behöver ett personuppgiftsbiträdesavtal. Frågor att ställa innan ni skriver på:
- Var lagras och behandlas data, och erbjuds datahemvist inom EU?
- Används våra data för att träna leverantörens modeller? Om så, kan vi välja bort det?
- Vilka säkerhetsåtgärder, certifieringar och rutiner för incidenter finns?
- Hur stöder leverantören våra skyldigheter, till exempel registrerades rättigheter och radering?
- Finns dokumentation som hjälper oss möta EU AI Act för högrisksystem?
Praktiska råd för att komma igång
- Kartlägg datan. Vet vilka personuppgifter som flödar in i och ut ur era AI-system.
- Gör en konsekvensbedömning (DPIA) för behandlingar med hög risk för de registrerade – ofta ett krav, inte ett val.
- Sätt tydliga användningsregler för vad medarbetare får mata in i AI-verktyg.
- Bygg in dataskydd från start – privacy by design är enklare och billigare än att rätta i efterhand.
- Dokumentera rättslig grund, riskklassning och beslut, så att ni kan visa efterlevnad.
Dataskydd ska vara en del av AI-arbetet från början. Hur ni väver in det i en bredare plan beskriver vi i vår guide till AI-strategi för företag.
Vanliga frågor om AI och GDPR
Får vi mata in kunddata i ett publikt AI-verktyg?
Var försiktiga. Att klistra in personuppgifter i ett publikt verktyg kan innebära en otillåten överföring och förlust av kontroll över datan, särskilt om den används för att träna leverantörens modeller. Använd företagsanpassade tjänster med tydliga villkor och, helst, datahemvist inom EU.
Räcker GDPR-efterlevnad för att uppfylla EU AI Act?
Nej. GDPR och EU AI Act är två separata regelverk som kompletterar varandra. GDPR skyddar personuppgifter; EU AI Act reglerar AI-system utifrån risk, även när inga personuppgifter behandlas. Högrisksystem behöver uppfylla båda.
Vad är IMY:s roll när det gäller AI?
Integritetsskyddsmyndigheten är Sveriges tillsynsmyndighet för dataskydd och utövar tillsyn över hur personuppgifter behandlas, inklusive i AI-sammanhang. IMY har publicerat vägledning om hur GDPR tillämpas vid utveckling och användning av AI, vilket är en bra utgångspunkt för svenska företag.
Måste vi göra en konsekvensbedömning (DPIA) för AI?
Ofta ja. När en behandling sannolikt medför hög risk för de registrerades rättigheter – vilket många AI-tillämpningar gör – kräver GDPR en konsekvensbedömning innan behandlingen påbörjas. Den hjälper er också att identifiera och åtgärda risker tidigt.
Written By
Group COO & CISO
Fredrik är koncernens COO och CISO på Opsio. Han fokuserar på operationell excellens, styrning och informationssäkerhet och arbetar nära leverans- och ledningsteamen för att samordna teknik, risk och affärsresultat i komplexa IT-miljöer. Han leder Opsios säkerhetspraktik, inklusive SOC-tjänster, penetrationstester och compliance-ramverk.
Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.