Blogg

Det där med AI Act och GDPR

19 mars 2025 | Lexicon Interactive

Tycker ni att AI känns spännande men också lite krångligt? Med GDPR och den nya AI Act kan det vara svårt att veta vad som gäller och hur man får använda AI på ett tryggt sätt. Hur påverkar reglerna er verksamhet?

Artificiell intelligens (AI) och GDPR (General Data Protection Regulation) är två regleringsområden som är tätt sammanflätade, eftersom båda syftar till att skydda individers rättigheter och säkerställa en ansvarsfull hantering av data. GDPR har varit en central lagstiftning i EU sedan 2018 och ställer strikta krav på hur personuppgifter får behandlas. Nu är även AI Act, EU:s kommande lagstiftning för artificiell intelligens, på väg att sätta tydliga ramar för hur AI får användas. 

Men hur påverkar GDPR AI? Och vad innebär AI Act för företag och organisationer som använder AI-system? Här reder vi ut det viktigaste du behöver veta. 

Hur påverkar GDPR AI? 

AI-system är beroende av stora mängder data, och när denna data innehåller personuppgifter omfattas den av GDPR. Detta innebär att företag och organisationer som använder AI måste följa en rad dataskyddsprinciper. 

1. AI måste ha en laglig grund för databehandling 

För att ett AI-system ska få behandla personuppgifter krävs en laglig grund enligt GDPR. De vanligaste grunderna är: 

  • Samtycke: Användaren har uttryckligen godkänt att deras data används. 
  • Berättigat intresse: Företaget har en legitim anledning att behandla data, men detta får inte väga tyngre än individens rättigheter. 
  • Avtal eller lagkrav: Data kan behandlas om det är nödvändigt för att uppfylla ett avtal eller en rättslig skyldighet. 

Dessutom begränsar GDPR användningen av automatiserat beslutsfattande (Artikel 22). Om ett AI-system används för att fatta beslut som har betydande konsekvenser för en individ (t.ex. kreditscoring eller rekrytering) måste det finnas mänsklig insyn. 

2. Transparens och förklarbarhet är avgörande 

Företag som använder AI måste kunna förklara hur AI:n fattar beslut. Om en individ påverkas av ett AI-beslut, exempelvis om en bank avslår en låneansökan, har personen rätt att förstå varför och begära en mänsklig granskning av beslutet. AI-system som är "svarta lådor", där beslut inte kan förklaras, kan därmed utgöra en stor risk ur GDPR-perspektiv. 

3. Dataminimering och ändamålsbegränsning gäller även för AI 

GDPR innehåller principer om dataminimering och ändamålsbegränsning, vilket innebär att AI-system bara får samla in och använda data som är absolut nödvändig för ett specifikt syfte. Detta påverkar bland annat hur AI tränas. Om ett företag använder stora dataset för att träna en AI-modell måste det säkerställa att: 

  • Endast relevanta data används. 
  • Personuppgifter anonymiseras eller pseudonymiseras om möjligt. 
  • Data inte används för andra syften än vad den ursprungligen samlades in för. 

4. GDPR stärker individens rättigheter 

GDPR ger privatpersoner en rad rättigheter, även när deras data behandlas av AI: 

  • Rätt att bli glömd: Individer kan kräva att deras data raderas. 
  • Rätt till tillgång: Individer har rätt att se vilken data som samlats in om dem. 
  • Rätt att invända: En person kan protestera mot att AI används för att fatta beslut om dem. 

Detta innebär att företag måste ha tydliga rutiner för att hantera sådana förfrågningar – även när AI är involverat. 

5. Höga sanktioner vid överträdelser 

Att bryta mot GDPR kan bli dyrt. Bötesnivåerna är indelade i två kategorier: 

  1. Mindre allvarliga överträdelser kan leda till böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen (beroende på vilket som är högst). 
  2. Allvarliga överträdelser kan resultera i böter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen (beroende på vilket som är högst). 

Eftersom AI Act kommer att introducera ytterligare sanktioner för bristande transparens och riskhantering kan konsekvenserna bli ännu större. 

EU:s ambition är att AI och dataskydd ska gå hand i hand. Företag som redan idag anpassar sig efter GDPR kommer därför ha ett försprång när AI Act börjar gälla. 

Vad innebär detta för företag och organisationer? 

För företag som använder AI innebär dessa regler att de måste ha en tydlig strategi för dataskydd och AI-ansvar. Några konkreta åtgärder att vidta är:

  • Se över vilken data AI-system behandlar och säkerställa att det finns en laglig grund enligt GDPR. 
  • Implementera transparenskrav så att AI-beslut kan förklaras. 
  • Minimera datainsamling och se till att träningsdata är förenlig med GDPR. 
  • Ha processer på plats för att hantera individers rättigheter (t.ex. radering av data). 
  • Hålla sig uppdaterad om AI Act och dess krav på säkerhet och riskhantering. 

Hur kan vi på Lexicon Interactive hjälpa er? 

Är ni nyfikna på AI men osäkra på hur ni ska komma igång? Kanske känner ni er osäkra på regelverken och hur ni kan använda AI på ett tryggt och effektivt sätt?  

Vi på Lexicon Interactive hjälper er att ta det första steget, ja även de första stegen. Ni kan välja AI Baspaket som ger en god grund till att komma igång och jobba med AI. Vi håller flera olika workshops där ni tillsammans med kollegor kan introduceras till AI och använda generativ AI på den nivå ni behöver. 

Kontakta oss

Vill du prata direkt med någon av oss kundansvariga?

Kundansvarig på Lexicon Interactive

Ikon brev hejinteractive@lexicon.se

Du kan även fylla i formuläret så hör vi av oss inom ett par dagar.