AI och GDPR — vad gäller i Sverige

Vad gäller egentligen för AI och GDPR i Sverige? Det korta svaret: så fort du matar in personuppgifter i ett AI-verktyg behandlar du dem enligt dataskyddsförordningen (GDPR), och då måste du ha rättslig grund, veta vart uppgifterna tar vägen och kunna stå för behandlingen. AI är inget undantag från dataskyddsreglerna — tvärtom gör verktygens datahunger att frågorna blir extra viktiga. I den här guiden går vi igenom vad som faktiskt gäller, vad du får och inte får göra, och hur du använder AI på ett lagligt och tryggt sätt på jobbet. Notera att detta är en pedagogisk översikt och inte juridisk rådgivning.

Varför GDPR berör AI så mycket

GDPR reglerar behandling av personuppgifter — alltså all information som direkt eller indirekt kan kopplas till en levande person, som namn, e-post, personnummer, bilder eller till och med en kombination av uppgifter som tillsammans pekar ut någon. AI-verktyg lockar oss att klistra in stora mängder text, och ofta innehåller den texten just personuppgifter: kundmejl, CV, mötesanteckningar, kundlistor. I samma sekund du gör det har du påbörjat en behandling som omfattas av GDPR, oavsett om verktyget är gratis eller inte. Det är därför den här frågan inte går att vifta bort som teknisk detalj.

Den viktigaste frågan: vart tar datan vägen?

Kärnan i AI och GDPR är att veta vad som händer med det du matar in. Många gratisverktyg sparar dina inmatningar och kan använda dem för att träna sina modeller, vilket innebär att du tappar kontroll över uppgifterna. Företagsversioner och betalplaner har ofta starkare skydd — innehållet används normalt inte för träning och hanteras under tydligare avtal. Innan du använder ett verktyg i arbetet behöver du alltså veta: sparas mina inmatningar, används de för träning, var lagras de geografiskt, och finns det ett personuppgiftsbiträdesavtal? Kan du inte svara på det bör du inte mata in personuppgifter.

Vad du normalt inte ska mata in

Som tumregel, undvik att klistra in följande i AI-verktyg som inte är godkända av din arbetsgivare för ändamålet:

• Personnummer och kontaktuppgifter till kunder eller anställda.
• Känsliga personuppgifter som hälsa, etnicitet, religion, politisk åskådning eller fackligt medlemskap — dessa har ett extra starkt skydd.
• Hela CV:n och ansökningar vid rekrytering, som ofta är fulla av personuppgifter.
• Kundlistor, avtal och affärshemligheter som innehåller identifierbara personer.

Behöver du ändå AI:ns hjälp med sådant material är lösningen ofta att anonymisera först — ta bort namn och identifierande detaljer — eller att använda en företagsgodkänd lösning med rätt avtal och skydd på plats.

Rättslig grund — du måste ha en anledning

GDPR kräver att all behandling vilar på en rättslig grund. I arbetslivet är de vanligaste att behandlingen behövs för att fullgöra ett avtal, för att uppfylla en rättslig förpliktelse, eller för ett berättigat intresse efter en avvägning mot den registrerades rättigheter. Samtycke förekommer men är ofta opraktiskt i en anställningsrelation. Poängen för dig som användare är inte att bli jurist, utan att förstå att du inte får mata in personuppgifter i ett AI-verktyg bara för att det är bekvämt — det måste finnas en laglig anledning, och den ska helst vara genomtänkt på organisationsnivå snarare än improviserad vid skrivbordet.

De registrerades rättigheter påverkar hur du får använda AI

Personer vars uppgifter ni behandlar har rättigheter: att få veta att behandling sker, att få tillgång till sina uppgifter, att få dem rättade eller raderade, och i vissa fall att invända. Det här blir knepigt med AI om uppgifter har matats in i ett verktyg som ni inte kontrollerar — hur raderar ni något ur en tredje parts system? Just därför är det säkrare att hålla personuppgifter borta från okontrollerade verktyg från början, så att ni faktiskt kan leva upp till rättigheterna om någon utövar dem.

Ett konkret arbetssätt som fungerar

I praktiken behöver du inte vara rädd för AI — du behöver bara vara medveten. Ett bra arbetssätt: använd företagsgodkända verktyg för allt som rör personuppgifter, anonymisera när du kan, och håll det riktigt känsliga helt utanför AI. För den stora mängden vardagsuppgifter som inte innehåller personuppgifter — formulera en text, sammanfatta en offentlig rapport, bygga en Excel-formel — är riskerna små och nyttan stor. Det är skillnaden mellan att undvika AI av rädsla och att använda det klokt.

Vad organisationen bör ha på plats

För chefer och verksamhetsansvariga handlar det om att skapa förutsättningar för medarbetarna att göra rätt. Det innebär oftast: en enkel och tydlig riktlinje för vad som får matas in och vilka verktyg som är godkända, avtal med leverantörerna för de verktyg ni faktiskt använder, och en grundläggande utbildning så att alla förstår varför reglerna finns. En medarbetare som förstår risken klistrar inte in en kundlista i ett slumpmässigt verktyg. Ämnet hänger ihop med AI-etik på jobbet och är en självklar del av ledarskapet kring AI.

Tre vanliga misstag i praktiken

Det första misstaget är att tro att gratis betyder ofarligt. Tvärtom har gratisverktyg ofta de mest tillåtande villkoren kring att spara och använda din data, vilket gör dem olämpliga för personuppgifter. Det andra misstaget är att anonymisera halvhjärtat — att ta bort namnet men låta resten av texten peka ut personen ändå. Om någon fortfarande går att identifiera är det fortfarande en personuppgift. Det tredje misstaget är att betrakta AI-användning som en privatsak när man sitter på jobbet; den data du matar in är arbetsgivarens ansvar, och en oövertänkt inklistring kan bli en incident som drabbar hela organisationen. Gemensamt för alla tre är att de beror på okunskap snarare än illvilja, vilket är goda nyheter: de försvinner med lite utbildning och tydliga riktlinjer.

Vanliga frågor

Är det olagligt att använda ChatGPT på jobbet?

Nej, inte i sig. Det blir en GDPR-fråga först när du matar in personuppgifter. För uppgifter utan personuppgifter är det oftast oproblematiskt, men följ alltid din arbetsgivares riktlinjer.

Räcker det att ta bort namnet för att anonymisera?

Inte alltid. Om en person ändå går att identifiera genom andra detaljer i texten är uppgiften fortfarande personuppgift. Verklig anonymisering innebär att ingen längre kan kopplas till informationen.

Är betalversioner säkrare än gratisversioner?

Ofta ja, eftersom de brukar ha starkare avtal och normalt inte använder ditt innehåll för träning. Men kontrollera alltid de specifika villkoren i stället för att anta.

Vem ansvarar om något går fel?

Organisationen som personuppgiftsansvarig bär huvudansvaret, men som medarbetare ansvarar du för att följa riktlinjerna. Att skylla på verktyget håller inte.

Vart vänder jag mig vid frågor?

Internt till din dataskyddsansvariga, och för vägledning och tillsyn finns Integritetsskyddsmyndigheten (IMY) i Sverige.

Nästa steg

Vill du förstå AI, dataskydd och säkerhet på ett sätt som gör dig trygg i vardagen är kursen AI och GDPR i Sverige byggd för svenska förhållanden, med konkreta exempel och certifikat.

Med Premium för 89 kr/mån får du alla våra kurser, nya lektioner varje månad och certifikat — utan bindningstid. Kom igång idag och använd AI både effektivt och lagligt.