Hoppa till innehåll på sidan

AI och tillämpning av GDPR

Dataskyddsförordningen, GDPR, tillämpas när personuppgifter behandlas. När verksamheter utvecklar och använder AI-system uppstår flera aktiviteter som omfattas av GDPR. Verksamheter måste klargöra sin roll, som personuppgiftsansvarig eller biträde, för att säkerställa rätt ansvar vid hanteringen. GDPR ställer krav på ändamål, rättslig grund och skydd av personuppgifter i alla steg av AI-processen.

Aktiviteter som aktualiserar tillämpning av GDPR

Följande aktiviteter är exempel på sådan behandling av personuppgifter som kan aktualiseras i samband med utveckling och användning av AI.  

  • Träningsdata samlas in genom olika metoder, exempelvis genom webbskrapning där stora mängder data samlas in automatiskt från olika webbsidor.
  • Träningsdata samlas in genom mer specifika urval av data, som domänspecifika eller organisationsspecifika data, i syfte att till exempel göra en generell AI-modell bättre på en eller flera specifika uppgifter.
  • Träningsdata  läses in, väljs ut och systematiseras i syfte att ingå i ett dataset  för träning av en AI-modell.
  • Träningsdata valideras och maskeras, det vill säga pseudonymiseras eller anonymiseras.
  • Träningsdata överförs eller lämnas ut till annan verksamhet för träning av en AI-modell.
  • Träningsdata märks upp i syfte att senare kunna verifiera utfallet av träning med träningsdatan.
  • Träningsdata läses in och konverteras, exempelvis genom tokenisering eller annan metod, i samband med träning och testning av en AI-modell.
  • Loggning och övervakning sker i samband med användning av ett AI-system.
  • Data matas in, hämtas eller genereras i samband med att en slutanvändare använder ett driftsatt AI-system.

Vad är personuppgifter?

GDPR:s syfte och tillämpningsområde


Roller och ansvar under GDPR

Verksamheter ansvarar i olika omfattning och på olika sätt för personuppgiftsbehandling, beroende på vilken funktion verksamheten fyller i förhållande till en specifik personuppgiftsbehandling. Därför är det viktigt att verksamheten tänker igenom sin faktiska funktion i förhållande till behandlingen, eftersom funktionen påverkar ansvaret under GDPR.

Verksamheter som behandlar personuppgifter är antingen ensamt personuppgiftsansvariga, gemensamt personuppgiftsansvariga tillsammans med andra eller personuppgiftsbiträden. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvarigas räkning.

Vem är personuppgiftsansvarig?

En personuppgiftsansvarig är en privat eller offentlig verksamhet, till exempel ett aktiebolag, en stiftelse, en förening eller en myndighet. En fysisk person kan vara personuppgiftsansvarig om det är dennes enskilda firma som behandlar personuppgifterna. Personuppgiftsansvar kan grunda sig på faktiska omständigheter eller lagstiftning.

Personuppgiftsansvar på grund av faktiska omständigheter

Personuppgiftsansvarig är den verksamhet som bestämmer ändamål och medel för en behandling av personuppgifter. Att bestämma ändamål och medel innebär att bestämma varför och hur behandlingen sker. Avgörande för denna bedömning är bland annat varför behandlingen utförs och vem som är initiativtagare till behandlingen. Personuppgiftansvaret ska bedömas utifrån de faktiska omständigheterna i varje fall.

Personuppgiftsansvar på grund av lagstiftning

Personuppgiftsansvaret kan ibland regleras direkt i lag, genom att det framgår av lagstiftningen att en viss verksamhet är personuppgiftsansvarig för en viss personuppgiftsbehandling. Personuppgiftsansvaret kan även regleras indirekt i lag, genom att ändamålet med en behandling regleras i lagstiftningen. Den verksamhet som utför uppgiften för det ändamålet är därmed personuppgiftsansvarig för den behandling av personuppgifter som är nödvändig för att nå ändamålet.  

En myndighet upphandlar ett färdigutvecklat AI-system

Exempel

En myndighet planerar att använda AI som stöd i handläggningen för en specifik typ av bidrag. Myndigheten upphandlar ett färdigutvecklat AI-system som bedöms vara lämpligt för den aktuella uppgiften.

Leverantören av AI-systemet har inte utvecklat det för ett specifikt ändamål, utan ändamålet med användningen av AI-systemet bestämts ensidigt av myndigheten. Myndigheten utför vissa mindre justeringar av systemet för att anpassa det till den specifika uppgiften och det specifika ändamålet. Leverantören av AI-systemet har lämnat vissa garantier om dess funktionalitet och hur behandlingen av personuppgifter går till.

Då myndigheten bestämmer ändamålet för användningen och justeringarna av AI-systemet, är myndigheten personuppgiftsansvarig för den behandling av personuppgifter som sker vid användningen och justeringen. Myndigheten är skyldig att välja ett AI-system som gör det möjligt för myndigheten att säkerställa att behandlingen sker i enlighet med GDPR.

 

Olika roller när behandlingen utförs av annan verksamhet

Den personuppgiftsansvariga kan låta personuppgiftsbehandlingen utföras av annan verksamhet. Den som behandlar personuppgifter för den personuppgiftsansvarigas räkning är då personuppgiftsbiträde. Att en behandling av personuppgifter utförs av ett personuppgiftsbiträde innebär inte att personuppgiftsansvaret överlåts, utan det är alltid den personuppgiftsansvariga som måste säkerställa och kunna visa att behandlingen sker i enlighet med GDPR.

Om det finns ett personuppgiftsbiträde krävs ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de instruktioner som biträdet har fått från den personuppgiftsansvariga. 

Personuppgiftsbiträdesavtal

När gäller gemensamt personuppgiftsansvar? 

Om två eller flera verksamheter gemensamt bestämmer ändamål och medel för en viss behandling är de personuppgiftsansvariga tillsammans. De har då ett gemensamt personuppgiftsansvar och måste komma överens om vem som är ansvarig för att fullgöra de olika skyldigheterna i GDPR. All personuppgiftsbehandling där flera verksamheter är inblandade medför inte i sig ett gemensamt personuppgiftsansvar, utan det uppstår bara när flera verksamheter faktiskt bestämmer ändamål och medel för behandlingen tillsammans. Att bestämma ändamål tillsammans innebär att det är fråga om gemensamma ändamål.

Två verksamheter utvecklar ett AI-system tillsammans

Exempel

Två verksamheter planerar att tillsammans utveckla ett AI-system för ett gemensamt ändamål. För det ändamålet ska en AI-modell tränas med personuppgifter från de båda verksamheterna. Verksamheterna gör en gemensam analys av vilka uppgifter som ska användas för att träna AI-modellen, i vilken omfattning personuppgifterna ska behandlas och hur länge personuppgifterna ska lagras. En av verksamheterna kommer att genomföra träningen av AI-modellen och ha tillgång till de personuppgifter som modellen ska tränas på.

Det krävs inte att de båda verksamheterna utför personsuppgiftsbehandlingen för att ett gemensamt ansvar ska uppstå, utan det är tillräckligt att de påverkar behandlingen eller har ett väsentligt inflytande över den. De båda verksamheterna har ett gemensamt ändamål och bestämmer tillsammans att de ska genomföra en viss personuppgiftsbehandling för det ändamålet. Det talar för att de är gemensamt personuppgiftsansvariga för den behandling som genomförs för att uppnå ändamålet.

Vem är personuppgiftsbiträde?

Att en verksamhet har fått i uppdrag att utföra en uppgift som innebär att det är nödvändigt att behandla personuppgifter innebär inte i sig att verksamheten är personuppgiftsbiträde. Att utföra en uppgift är en omständighet som talar för att verksamheten är personuppgiftsansvarig, eftersom den då bestämmer att personuppgifter ska behandlas för ändamålet att utföra uppgiften.

Det är istället när just behandlingen av personuppgifter utförs för den personuppgiftsansvarigas räkning som en verksamhet är ett personuppgiftsbiträde. Det är då den personuppgiftsansvariga som har bestämt ändamål och medel, och personuppgiftsbiträdet har inget inflytande över detta.

Personuppgiftsbiträdet har viss handlingsfrihet

Personuppgiftsbiträdet har viss handlingsfrihet. När det gäller ändamålet med behandlingen, kan det endast bestämmas av den personuppgiftsansvariga. När det gäller medel för behandlingen är det den personuppgiftsansvariga som måste besluta om väsentliga medel med behandlingen. Personuppgiftsbiträdet har däremot visst utrymme att besluta om medel som inte kan anses vara väsentliga.

Med väsentliga medel menas medel som är nära kopplade till behandlingens ändamål och omfattning, till exempel vilken typ av personuppgifter som behandlas, i vilken omfattning och hur länge behandlingen pågår. Medel som däremot inte kan anses vara väsentliga är mer praktiska aspekter av behandlingen, till exempel valet av en viss typ av maskin- eller programvara eller detaljerade säkerhetsåtgärder.

Samma verksamhet kan vara personuppgiftsbiträde och personuppgiftsansvarig

Samma verksamhet kan fungera som personuppgiftsansvarig för en viss behandling och som personuppgiftsbiträde för en annan samtidigt.

Personuppgiftsbiträdet kan endast utföra samma behandling som den personuppgiftsansvariga, för dennes räkning. Det innebär till exempel att om en verksamhet samkör uppgifter som samlats in från flera andra verksamheter är den förstnämnda verksamheten personuppgiftsansvarig för behandlingen. De andra verksamheterna kan inte samköra uppgifterna utan bara utföra behandlingar av personuppgifter gällande den egna verksamheten.

En myndighet anlitar en extern part för att utveckla en AI-modell

Exempel

En myndighet planerar att upphandla tjänster för utveckling av ett nytt AI-system i syfte att använda systemet som stöd i handläggningen för en specifik typ av bidrag. Myndigheten anlitar ett företag för att utveckla AI-systemet och tillhörande AI-modeller åt myndigheten.

Ändamålet bestämts ensidigt av myndigheten, och företaget får instruktioner om vilka funktioner systemet ska ha och vilka personuppgifter som modellerna i AI-systemet ska tränas på. Myndigheten bestämmer även hur personuppgifterna ska behandlas, såsom i vilken omfattning, under hur lång tid och vem som ska ha åtkomst till dem. Utifrån myndighetens instruktioner genomför företaget behandlingen av personuppgifter och tar fram tekniska lösningar.

Då myndigheten bestämmer ändamål och medel med den personuppgiftsbehandling som sker vid utvecklingen av AI-systemet är myndigheten personuppgiftsansvarig för all personuppgiftsbehandling som sker under utvecklingen. Omständigheterna talar för att företaget som utvecklar AI-systemet behandlar personuppgifter för myndighetens räkning, vilket innebär att företaget är personuppgiftsbiträde för personuppgiftsbehandlingen.  


Vad innebär det att GDPR är tillämplig?

Läs mer om GDPR och AI

AI och grundläggande principer

AI och rättslig grund

Principen om korrekthet och diskriminerande algoritmer

Automatiserat beslutsfattande

 

Senast uppdaterad: 2 juni 2026
Sidans etiketter Dataskydd, Utveckling och innovation, AI

Innehåll på sidan

Topp