Ansvarsroller enligt GDPR vid finjustering av AI-applikationer
Svenska företag ligger i framkant när det gäller att utveckla egna AI-lösningar. Samtidigt upplever många att det är svårt att förstå dataskyddsförordningen (GDPR), vilket kan bromsa både utveckling och användning av AI. Tydliga roller enligt GDPR är viktiga, både för att följa lagen och för att skapa bra samarbeten mellan leverantörer och kunder.
IMY har under våren 2026 genomfört ett pilotprojekt med företaget Eggsplain för att klargöra ansvarsfrågorna. Fokus har legat på situationer där en leverantör använder en förtränad AI-modell och finjusterar den, antingen för egen produktutveckling, på uppdrag av en kund eller i ett gemensamt utvecklingsarbete med kunden.
Ansvaret beror på vad företaget gör med personuppgifterna och varför de behandlas. Om ett företag finjusterar en AI-modell på eget initiativ, som en del av sin egen produktutveckling, är företaget personuppgiftsansvarig. Det betyder att företaget själv måste se till att följa GDPR och skydda personuppgifterna. Om företaget däremot finjusterar AI på uppdrag av en kund och följer kundens instruktioner, är kunden personuppgiftsansvarig och företaget blir personuppgiftsbiträde. Då måste företaget följa kundens regler för hur personuppgifterna får användas.
Ibland arbetar leverantören och kunden tillsammans med att bestämma hur personuppgifterna ska behandlas. Då kan båda parter ha ett gemensamt ansvar för personuppgifterna. Det är viktigt att förstå vem som har ansvar för att skydda människors integritet. Tydliga regler gör det också lättare för företag att samarbeta och våga satsa på AI.
