TL;DR

  • GDPR reglerar personuppgifter. AI-förordningen reglerar AI-system. När AI bearbetar personuppgifter gäller båda.
  • Rollbegreppen är olika: GDPR har personuppgiftsansvarig och personuppgiftsbiträde, AI-förordningen har provider och deployer. En organisation är ofta båda samtidigt.
  • DPIA (GDPR) och FRIA (AI-förordningen) överlappar men är separata processer med olika fokus.

Jämförelsetabell

AspektGDPRAI-förordningenÖverlapp
OmfattningBehandling av personuppgifterAI-system och deras användningNär AI behandlar personuppgifter
RollbegreppPersonuppgiftsansvarig, personuppgiftsbiträdeProvider, deployer, importör, distributörOfta är deployer också personuppgiftsansvarig
Rättslig grundArt. 6 (sex grunder), Art. 9 (särskilda kategorier)Ingen grundkrav, men system ska vara lagliga att användaRättslig grund krävs oavsett AI-förordningen
Risk-bedömningDPIA enligt Art. 35 vid hög riskFRIA enligt Art. 27 för offentliga deployers och vissa privataBåda kan göras i samma process
TransparensArt. 13 och 14, informationspliktArt. 50 för begränsad risk, Art. 26 punkt 11 för högriskBåda kräver att registrerad får veta
Rättigheter för individArt. 15 till 22Art. 86 (rätt till förklaring av beslut)AI-förordningen bygger på GDPR-rättigheter
ProfileringArt. 22 (rätt att inte bli föremål för automatiserat beslut)Högrisk enligt Bilaga III vid beslut om väsentliga tjänsterArt. 22 gäller oavsett status enligt AI-förordningen
CybersäkerhetArt. 32Art. 15 för högrisksystemTeknisk kravnivå liknande
SanktionerUpp till 20 MEUR eller 4 procentUpp till 35 MEUR eller 7 procent för förbjudnaDubbel sanktionsrisk möjlig
TillsynIntegritetsskyddsmyndigheten (IMY)Marknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), sektorsmyndigheter parallelltIMY behåller tillsynen över personuppgiftsbehandlingen i AI-system
TidslinjeGäller sedan 25 maj 2018Transparenskrav 2 augusti 2026; högriskkrav för deployers 2 december 2027 (Digital Omnibus)Efterlevnad av AI-förordningen kan inte ursäkta GDPR-brister

GDPR

GDPR har gällt sedan 25 maj 2018. Det är ett moget regelverk med etablerad praxis och ett omfattande vägledningsbibliotek från Europeiska dataskyddsstyrelsen (EDPB) och IMY. Svenska företag har dokumenterade processer för registerförteckning, DPIA, DSAR och incidentrapportering.

GDPR skiljer mellan personuppgiftsansvarig (den som bestämmer ändamål och medel) och personuppgiftsbiträde (den som behandlar på uppdrag). Vid AI-användning är ett svenskt företag som använder en AI-tjänst vanligen personuppgiftsansvarig, och AI-leverantören är personuppgiftsbiträde.

AI-förordningen

AI-förordningen är direktverkande sedan 2 augusti 2024 med rullande deadlines. Regelverket är ungt. Vägledningar från EU:s AI Office och IMY utvecklas löpande under 2026. Svensk praxis är ännu inte etablerad.

AI-förordningen använder andra rollbegrepp: provider (utvecklar eller släpper ut systemet), deployer (använder systemet), importör (tar in från tredjeland), distributör (säljer vidare). En organisation kan vara både personuppgiftsansvarig enligt GDPR och deployer enligt AI-förordningen för samma system, utan att rollerna är exakt samma.

Där regelverken är verkligt olika

Fokusobjektet. GDPR reglerar behandling av en specifik personuppgift. AI-förordningen reglerar systemet i sig. En AI-modell som inte behandlar personuppgifter men som används i anställningsbeslut omfattas av AI-förordningen (Bilaga III.4) men inte av GDPR.

Rättighetsperspektivet. GDPR ger registrerade individuella rättigheter mot personuppgiftsansvarig. AI-förordningen ger personer rätten att förstå att AI används (Art. 26 punkt 11) och rätten att begära mänsklig granskning av högriskbeslut (Art. 86). Rättigheterna överlappar men har olika utgångspunkter.

Datakvalitet. GDPR kräver att data är korrekt och relevant. Art. 10 i AI-förordningen kräver att träningsdata är representativ och rensad från bias. Det är en högre ambition än GDPR och gäller även anonymiserad data som GDPR inte täcker.

DPIA vs FRIA: två processer, stort överlapp

DPIA (Data Protection Impact Assessment, GDPR Art. 35) krävs vid hög risk för fysiska personer. FRIA (Fundamental Rights Impact Assessment, Art. 27 i AI-förordningen) krävs för offentliga deployers och vissa privata (kredit, livförsäkring) som använder högrisk-AI.

StegDPIAFRIA
Beskriv systemet och syftetJaJa
Identifiera berörda personerJa (registrerade)Ja (påverkade individer och grupper)
Analysera riskerFör integritet och rättigheterFör grundläggande rättigheter brett
Åtgärder för att mildraJaJa
Informera tillsynsmyndighet vid hög kvarvarande riskArt. 36 (förhandssamråd med IMY)Art. 27 punkt 5 (notifikation till IMY)
Dokumentera beslutJaJa

Profilering och automatiserade beslut

GDPR Art. 22 ger registrerade rätt att inte bli föremål för beslut som uteslutande baseras på automatiserad behandling och har legala eller liknande effekter, med tre undantag: avtal, lag, eller explicit samtycke.

AI-förordningen förbjuder inte automatiserade beslut men kräver för högrisksystem att personer informeras (Art. 26 punkt 11) och att de har rätt till mänsklig granskning (Art. 86).

Praktisk konsekvens: ett system som klassificeras som högrisk enligt AI-förordningen och gör automatiserade beslut enligt Art. 22 GDPR behöver en GDPR-rättslig grund (ofta explicit samtycke eller avtal) plus Art. 26-dokumentation plus informationsplikt till registrerade.

Typiska kombinationer

SystemGDPRAI-förordningenBåda?
Generisk dokumentassistent (Copilot basic)Ja (via Microsoft)Ja (Art. 4)Ja
HR-screening av CVJaJa (Bilaga III.4 högrisk)Ja, full dubbel stack
Spamfilter (ingen AI-beslut om person)Ja (e-postadresser)Nej (minimal risk)Delvis
AI som analyserar anonymiserade trafikmönsterNej (anonymiserat)Ja (om Bilaga III.2 kritisk infra)Endast AI-förordningen
Syntetisk bildgenereringNej (om ingen person)Ja (Art. 50)Endast AI-förordningen

Så hanterar CyberKlar båda

Plattformen har GDPR-dokumentation sedan NIS2-lanseringen. Modulen för AI-förordningen är integrerad så att DPIA och FRIA delar data. En gemensam registervy över alla AI-system med både personuppgiftsbehandling (GDPR) och Bilaga III-klassificering (AI-förordningen). En kombinerad DPIA/FRIA-wizard som producerar två dokument från en datainsamling. Informationsplikt-mallar som täcker både Art. 13 och 14 GDPR samt Art. 26 punkt 11 och Art. 50 i AI-förordningen. Registrerades rättighetsförfrågningar (GDPR) och Art. 86-förfrågningar enligt AI-förordningen hanteras i samma supportflöde med olika tidsgränser.