GDPR och AI för svenska företag — vad du måste veta 2026

Att använda AI utan att tänka på GDPR är en av de vanligaste riskerna för svenska SME 2026. Inte för att reglerna är komplexa — utan för att de flesta inte vet var gränsen går. Den här guiden reder ut det.

Den gyllene regeln

Klistra aldrig in identifierbara personuppgifter i tredjepartsverktyg utan ett Personuppgiftsbiträdesavtal (PUB-avtal). Det inkluderar: namn, e-postadresser, personnummer, telefonnummer, och i många fall även kombinationer av information som gör en person identifierbar.

Med "tredjepartsverktyg" menas ChatGPT, Claude, Gemini och liknande. Gratisversioner av dessa verktyg lagrar ofta konversationer för träningsändamål — det är ett tydligt GDPR-brott om du inkluderar kunddata.

Hur du använder AI lagligt

Alternativ 1 — PUB-avtal

Anthropic (Claude) och OpenAI (ChatGPT) erbjuder båda Personuppgiftsbiträdesavtal för företagskonton. Med ett signerat PUB-avtal på plats kan du använda kunddata mer fritt. Skriv under dessa innan du börjar.

Alternativ 2 — Anonymisering

Ersätt personuppgifter med platshållare: "Kund A" istället för "Anna Lindström", "[ID123]" istället för personnummer. AI behöver sällan veta vem personen faktiskt är — den behöver förstå situationen.

Alternativ 3 — Lokal AI

Kör AI-modeller lokalt på din egen dator via Ollama. Data lämnar aldrig din dator. Kräver lite mer teknisk setup men ger full kontroll. Fungerar utmärkt för känsliga branschdata.

Automatiserade beslut och GDPR artikel 22

Om ditt AI-system automatiskt fattar beslut som påverkar en person — till exempel avvisar en kreditansökan eller prioriterar en kund — faller det under GDPR artikel 22 om automatiserat beslutsfattande. Det kräver att personen informeras och har rätt att begära mänsklig granskning. Konsultera en jurist om detta är aktuellt för din verksamhet.

E-postmarknadsföring och GDPR

Alla e-postutskick kräver aktivt samtycke (opt-in). En ifylld kontaktformulär utan explicit kryssruta för marknadsföring räcker inte. Du behöver: tydlig opt-in, möjlighet att avregistrera sig i varje mejl, och en logg över när och hur samtycket gavs.

Incidentrapportering

Om du av misstag klistrar in känsliga personuppgifter i ett AI-verktyg — dokumentera det omgående. Beroende på allvarlighetsgrad kan du behöva rapportera till IMY (Integritetsskyddsmyndigheten) inom 72 timmar. Vid osäkerhet — kontakta IMY direkt eller en GDPR-jurist.

De sju vanligaste GDPR-misstagen med AI

Baserat på vad svenska företag faktiskt gör fel under första halvåret av AI-användning:

1. Klistra in hela kundmejl i ChatGPT för att be om utkast på svar. Mejlen innehåller kundnamn, ofta även kontaktuppgifter. Utan PUB-avtal är det ett brott. Lösning: anonymisera först, eller flytta till ett företagskonto med PUB-avtal.
2. Använda gratisversioner av AI-verktyg för affärsdata. Gratisversioner använder ofta dina inputs för att träna modellen. Det är inte tillåtet med personuppgifter. Använd alltid betalversioner med tydliga datavillkor.
3. Sakna AI-policy för anställda. Personalen vet inte vad de får och inte får göra. Resultatet: någon klistrar in en kandidatlista i ChatGPT under en rekrytering. Lösning: en kort, skriven policy som alla läser och kvitterar.
4. Lagra AI-svar med kunddata i osäkra system. AI:n returnerar utkast med kundinformation som hamnar i en delad mapp utan åtkomstkontroll. Lika allvarligt som själva inputen.
5. Glömma att informera kunderna. GDPR kräver att du i din integritetspolicy anger om du använder AI-leverantörer som behandlar persondata. De flesta integritetspolicys uppdaterades aldrig efter att företaget började använda AI.
6. Inte spara loggar över vad som skickas till AI. Vid en eventuell granskning eller incident behöver du kunna visa exakt vilka data som gick var. Make.com och Anthropic Console sparar detta — använd det.
7. Anta att amerikanska leverantörer automatiskt är OK. EU-USA Data Privacy Framework gäller bara om leverantören är certifierad. Kontrollera Anthropic, OpenAI och Microsoft på dpf.gov.

Skillnaden mellan personuppgifter och affärsdata

Det här är gränsdragningen som rådgivare oftast får frågor om. GDPR gäller bara personuppgifter — alltså information som direkt eller indirekt identifierar en levande individ.

Är personuppgifter (omfattas av GDPR):

• Namn på enskilda personer (även förnamn räknas)
• E-postadresser till individer (anders.svensson@företag.se)
• Telefonnummer, personnummer, kontonummer
• IP-adresser och cookies som spårar individer
• Foton där en person syns

Är inte personuppgifter (omfattas INTE av GDPR):

• Företagsnamn, organisationsnummer, adress till företaget
• Generiska företagsmejladresser (info@företag.se, support@företag.se)
• Anonymiserad statistik och rapportdata
• Pris, fakturabelopp, produktinformation utan koppling till individ

I praktiken: en faktura med kundnamn = personuppgift. En rapport om "antal sålda enheter Q1" = inte personuppgift. Det andra kan du klistra in fritt i ChatGPT, det första kräver omsorg.

Branschspecifika GDPR-frågor

Vissa branscher har skärpta krav utöver standard-GDPR. Är du i någon av dessa, var extra försiktig:

• Vård och omsorg. Patientuppgifter är "känsliga personuppgifter" enligt GDPR artikel 9 — striktare regler. AI-verktyg som behandlar journaldata kräver särskild rättslig grund. Konsultera Inspektionen för vård och omsorg (IVO) innan du börjar.
• Bank och finans. Kontoinformation och transaktionsdata regleras både av GDPR och PSD2. Använd endast AI-verktyg som är specifikt godkända för finansdata, eller arbeta uteslutande med anonymiserad data.
• HR och rekrytering. CV:n och referenser innehåller persondata. Klistra inte in CV:n i AI utan kandidatens samtycke. Använd verktyg specifikt byggda för rekrytering med rätt avtal på plats.
• Juridik. Klientuppgifter omfattas av tystnadsplikt — som är striktare än GDPR. Många advokatfirmor använder lokala AI-modeller (Ollama) för att data aldrig lämnar kontoret.

Praktisk PUB-avtals-checklista

Innan du tecknar PUB-avtal med en AI-leverantör, kontrollera följande punkter:

1. Anger avtalet att leverantören är personuppgiftsbiträde och du är personuppgiftsansvarig?
2. Specificeras vilka kategorier av personuppgifter som behandlas och i vilket syfte?
3. Förbinder sig leverantören att inte använda dina data för att träna sina modeller?
4. Anges var data lagras geografiskt (EU/USA/annat)?
5. Beskrivs säkerhetsåtgärderna (kryptering vid lagring och överföring)?
6. Hur lång tid sparas data efter att tjänsten avslutats?
7. Vem ansvarar för incidentrapportering vid säkerhetsbrist?

Anthropics och OpenAIs standardavtal täcker det mesta av detta — men läs igenom innan du signerar. Vid osäkerhet, ta in en GDPR-jurist för en timmes genomgång (cirka 2 500 kr — mycket billigare än en böter).

Vanliga frågor om GDPR och AI

Får jag använda gratis ChatGPT för enkla uppgifter?

Ja, så länge du inte klistrar in personuppgifter eller känslig affärsdata. Använd det för att brainstorma idéer, öva på presentationer eller skriva generiska texter. Allt som rör en specifik kund, anställd eller leverantör — undvik gratisversionen.

Vad är straffet om jag bryter mot GDPR?

För mindre överträdelser kan IMY ge varningar eller mindre böter. För allvarliga och upprepade överträdelser kan böterna nå 4 procent av global årsomsättning eller 20 miljoner euro — det högsta av de två. För småföretag är det praktiska straffet oftast en granskning, dokumentationskrav och korrigerande åtgärder.

Måste jag uppdatera min integritetspolicy om jag börjar använda AI?

Ja. Lägg till en mening: "Vi använder AI-verktyg från [leverantörsnamn] för att effektivisera kundtjänst och administration. Personuppgifter behandlas under ett Personuppgiftsbiträdesavtal." Det räcker för transparenskravet.

Kan jag använda AI för att översätta kundmejl?

Ja, om du har PUB-avtal eller anonymiserar mejlet först. Google Translate och DeepL har egna PUB-avtal du kan teckna gratis för affärsanvändning.

Vad är skillnaden mellan personuppgift och känslig personuppgift?

Personuppgifter är data som identifierar en person (namn, mejl). Känsliga personuppgifter är en undergrupp som omfattar hälsa, religion, politiska åsikter, sexuell läggning, biometri och fackföreningsmedlemskap. Striktare regler gäller — kräver explicit samtycke och oftast särskild rättslig grund.

10 frågor att ställa din AI-leverantör innan du börjar

Innan du börjar använda en AI-tjänst för affärsdata bör du få skriftliga svar på dessa frågor. Seriösa leverantörer svarar inom någon dag — om de är vaga eller drar ut på tiden, välj någon annan.

1. Var lagras data geografiskt? Inom EU/EES är enklast ur GDPR-perspektiv. Lagring i USA kräver att leverantören är certifierad under EU-USA Data Privacy Framework.
2. Används mina data för att träna era modeller? Standardvillkoren för affärskonton hos Anthropic och OpenAI svarar nej — men dubbelkolla.
3. Hur länge sparas data efter konversationen? Anthropic: 30 dagar för debug. OpenAI varierar. Korta retentionstider är bättre.
4. Vilka säkerhetscertifieringar har ni? SOC 2 Type II är minimum. ISO 27001 är ännu bättre.
5. Vem på er sida har tillgång till mina data? Bör vara väldigt begränsad krets, oftast bara för säkerhetsincidenter.
6. Hur informeras jag vid säkerhetsincidenter? Krav: inom 72 timmar enligt GDPR. Bör finnas i avtalet.
7. Hur exporterar jag mina data om jag säger upp? Du har rätt till dataportabilitet enligt GDPR. Leverantören ska kunna leverera dina konversationer i ett standardformat.
8. Hur raderar jag mina data om jag säger upp? Inom rimlig tid efter avslutat avtal — vanligtvis 30–90 dagar.
9. Tillämpar ni krypteringsstandarder under överföring och lagring? Svar bör vara: TLS 1.2+ vid överföring, AES-256 vid lagring.
10. Har ni ett undertecknat PUB-avtal redo att signera? Om svaret är "vi måste skriva ett" — välj annan leverantör. Etablerade aktörer har detta klart.

GDPR-checklista — innan du börjar med AI

Använd den här som en avbockningslista innan första riktiga AI-implementationen i ditt företag:

• ☐ PUB-avtal är signerat med AI-leverantören
• ☐ Integritetspolicyn är uppdaterad med information om AI-användning
• ☐ Anställda har läst och kvitterat företagets AI-policy
• ☐ Det finns dokumenterad process för att anonymisera data när det krävs
• ☐ Loggning är aktiverad både i AI-verktyget och i Make.com (eller motsvarande)
• ☐ Det finns en utsedd ansvarig (oftast VD eller dataskyddsombud) för AI-frågor
• ☐ Incidentrutiner är dokumenterade — vad händer om persondata läcker?
• ☐ Kontaktinformation till IMY finns sparad för snabb åtkomst vid behov
• ☐ Backup och raderingsrutiner är testade — kan ni faktiskt radera all kunddata om någon begär det?

Om du kan kryssa i alla nio punkter är du i bra GDPR-skick. Om någon saknas — åtgärda innan du fortsätter implementeringen. Det är mycket dyrare att fixa i efterhand än att göra rätt från början.