Hoppa till innehåll
[ Guide ]

GDPR och AI i praktiken

Så håller ni GDPR-linjen när modellen är svart låda — laglig grund, DPIA, radering och överföring till tredje land.

AI-system utmanar GDPR på tre punkter: syftesbegränsning, dataminimering och den registrerades rättigheter. Många organisationer försöker lösa det genom att förbjuda AI — men det gör bara att användningen flyttar in i skugg-IT. Den här guiden visar den lagliga vägen framåt, med konkreta formuleringar för DPIA, registerförteckning och överföringsbedömning.

Snabbfakta

Målgrupp
DPO, juridik, informationssäkerhet
Lästid
11 min
Uppdaterad
Juli 2026
Nivå
Tillämpning

## De tre svåra frågorna

1. **Vad är den lagliga grunden?** Berättigat intresse är den vanligaste — men kräver dokumenterad intresseavvägning där ni väger nyttan mot integritetspåverkan. 2. **Hur uppfyller ni radering (Art. 17)?** Om personuppgifter hamnat i ett träningsdataset — hur radera dem? Svar: undvik att låta persondata bli träningsdata från början. 3. **Hur hanterar ni överföring till tredje land?** De flesta AI-leverantörer sitter i USA. Standard Contractual Clauses + Transfer Impact Assessment är minimum.

## DPIA — när krävs den?

Enligt IMY krävs Data Protection Impact Assessment när AI används för:

- Automatiserat beslutsfattande med rättslig verkan - Storskalig behandling av känsliga uppgifter - Systematisk övervakning - Ny teknik med hög risk för individens rättigheter

Praktiskt: räkna med att göra DPIA för alla AI-system som rör kund-, patient- eller anställdsdata.

## Praktisk checklista

- [ ] Uppdaterad registerförteckning som listar AI-behandlingar separat - [ ] Laglig grund dokumenterad per behandling - [ ] DPIA för högriskbehandlingar - [ ] DPA med leverantör som förbjuder träning på er data - [ ] Transfer Impact Assessment för överföring utanför EU/EES - [ ] Rutin för de registrerades rättigheter — kan ni svara inom en månad? - [ ] Retention-policy — hur länge lagras prompts, svar och loggar? - [ ] Anonymiserings- eller pseudonymiseringsrutin före modellanrop

## Vad ni ska säga i personuppgiftspolicyn

Många organisationer glömmer att uppdatera integritetspolicyn när de börjar använda AI. Minimum: nämn (1) att AI-baserade verktyg används, (2) vilka kategorier av data som behandlas, (3) att data inte används för att träna publika modeller, (4) hur individen kan invända.

## Om leverantören är amerikansk

EU-U.S. Data Privacy Framework (DPF) gör överföring lagligare, men ni ska ändå:

- Kontrollera att leverantören är DPF-certifierad (dpaf-lista finns publikt) - Genomföra Transfer Impact Assessment - Sätta rimliga tekniska skyddsåtgärder (kryptering, pseudonymisering)

## Vanliga misstag som kostar

- **Prompt-loggning i klartext med kundnamn** — bygg maskning på klientsidan. - **Ingen retention-policy för konversationshistorik** — GDPR kräver att data raderas när syftet uppnåtts. - **DPIA görs efter driftsättning** — då är det inte längre en riskbedömning, det är dokumentation.

Vanliga frågor

Snabba svar om den här nyheten

Räcker det med DPA för att laglig?
Nej. DPA reglerar förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde. Ni behöver också laglig grund, uppfylla informationsplikten och göra DPIA vid hög risk.
Får vi använda kunddata som exempel i prompts?
Endast om ni har laglig grund och dokumenterat detta. Pseudonymisera alltid när det går — byt ut namn, personnummer och kontaktuppgifter mot generiska värden.
Hur långt bakåt ska vi retroaktivt granska AI-användning?
IMY förväntar sig att ni har koll på pågående behandlingar. Retroaktiv granskning är sällan meningsfull om ni ändå inför nya rutiner — fokusera på att stänga kranen framåt.