Får vi använda ChatGPT med personuppgifter enligt GDPR?
Ja, men bara med rätt avtal och konfiguration. ChatGPT Enterprise och Team har databehandlaravtal, EU-datahemvist och tränar inte på era data. Fri- och Plus-versionerna saknar detta och bör inte användas för personuppgifter i tjänsten.
GDPR kräver en rättslig grund, ett databehandlaravtal (DPA) och tillräckliga skyddsåtgärder när personuppgifter behandlas av ett AI-verktyg. OpenAI erbjuder DPA för Enterprise, Team och API — men inte för gratis- eller Plus-abonnemang.
För känsliga uppgifter (hälsa, fackligt medlemskap, etnicitet) krävs ytterligare skäl enligt artikel 9 och ofta en konsekvensbedömning (DPIA).
Praktisk checklista: (1) teckna DPA, (2) stäng av träning på era data, (3) välj EU-datahemvist när det finns, (4) uppdatera registret över personuppgiftsbehandlingar, (5) informera de registrerade, (6) begränsa åtkomst via SSO och rollstyrning.