GDPR och AI i praktiken
Så håller ni GDPR-linjen när modellen är svart låda — laglig grund, DPIA, radering och överföring till tredje land.
AI-system utmanar GDPR på tre punkter: syftesbegränsning, dataminimering och den registrerades rättigheter. Många organisationer försöker lösa det genom att förbjuda AI — men det gör bara att användningen flyttar in i skugg-IT. Den här guiden visar den lagliga vägen framåt, med konkreta formuleringar för DPIA, registerförteckning och överföringsbedömning.
Snabbfakta
- Målgrupp
- DPO, juridik, informationssäkerhet
- Lästid
- 11 min
- Uppdaterad
- Juli 2026
- Nivå
- Tillämpning
## De tre svåra frågorna
1. **Vad är den lagliga grunden?** Berättigat intresse är den vanligaste — men kräver dokumenterad intresseavvägning där ni väger nyttan mot integritetspåverkan. 2. **Hur uppfyller ni radering (Art. 17)?** Om personuppgifter hamnat i ett träningsdataset — hur radera dem? Svar: undvik att låta persondata bli träningsdata från början. 3. **Hur hanterar ni överföring till tredje land?** De flesta AI-leverantörer sitter i USA. Standard Contractual Clauses + Transfer Impact Assessment är minimum.
## DPIA — när krävs den?
Enligt IMY krävs Data Protection Impact Assessment när AI används för:
- Automatiserat beslutsfattande med rättslig verkan - Storskalig behandling av känsliga uppgifter - Systematisk övervakning - Ny teknik med hög risk för individens rättigheter
Praktiskt: räkna med att göra DPIA för alla AI-system som rör kund-, patient- eller anställdsdata.
## Praktisk checklista
- [ ] Uppdaterad registerförteckning som listar AI-behandlingar separat - [ ] Laglig grund dokumenterad per behandling - [ ] DPIA för högriskbehandlingar - [ ] DPA med leverantör som förbjuder träning på er data - [ ] Transfer Impact Assessment för överföring utanför EU/EES - [ ] Rutin för de registrerades rättigheter — kan ni svara inom en månad? - [ ] Retention-policy — hur länge lagras prompts, svar och loggar? - [ ] Anonymiserings- eller pseudonymiseringsrutin före modellanrop
## Vad ni ska säga i personuppgiftspolicyn
Många organisationer glömmer att uppdatera integritetspolicyn när de börjar använda AI. Minimum: nämn (1) att AI-baserade verktyg används, (2) vilka kategorier av data som behandlas, (3) att data inte används för att träna publika modeller, (4) hur individen kan invända.
## Om leverantören är amerikansk
EU-U.S. Data Privacy Framework (DPF) gör överföring lagligare, men ni ska ändå:
- Kontrollera att leverantören är DPF-certifierad (dpaf-lista finns publikt) - Genomföra Transfer Impact Assessment - Sätta rimliga tekniska skyddsåtgärder (kryptering, pseudonymisering)
## Vanliga misstag som kostar
- **Prompt-loggning i klartext med kundnamn** — bygg maskning på klientsidan. - **Ingen retention-policy för konversationshistorik** — GDPR kräver att data raderas när syftet uppnåtts. - **DPIA görs efter driftsättning** — då är det inte längre en riskbedömning, det är dokumentation.