TL;DR
- GDPR reglerar personuppgifter. AI-förordningen reglerar AI-system. När AI bearbetar personuppgifter gäller båda.
- Rollbegreppen är olika: GDPR har personuppgiftsansvarig och personuppgiftsbiträde, AI-förordningen har provider och deployer. En organisation är ofta båda samtidigt.
- DPIA (GDPR) och FRIA (AI-förordningen) överlappar men är separata processer med olika fokus.
Jämförelsetabell
| Aspekt | GDPR | AI-förordningen | Överlapp |
|---|---|---|---|
| Omfattning | Behandling av personuppgifter | AI-system och deras användning | När AI behandlar personuppgifter |
| Rollbegrepp | Personuppgiftsansvarig, personuppgiftsbiträde | Provider, deployer, importör, distributör | Ofta är deployer också personuppgiftsansvarig |
| Rättslig grund | Art. 6 (sex grunder), Art. 9 (särskilda kategorier) | Ingen grundkrav, men system ska vara lagliga att använda | Rättslig grund krävs oavsett AI-förordningen |
| Risk-bedömning | DPIA enligt Art. 35 vid hög risk | FRIA enligt Art. 27 för offentliga deployers och vissa privata | Båda kan göras i samma process |
| Transparens | Art. 13 och 14, informationsplikt | Art. 50 för begränsad risk, Art. 26 punkt 11 för högrisk | Båda kräver att registrerad får veta |
| Rättigheter för individ | Art. 15 till 22 | Art. 86 (rätt till förklaring av beslut) | AI-förordningen bygger på GDPR-rättigheter |
| Profilering | Art. 22 (rätt att inte bli föremål för automatiserat beslut) | Högrisk enligt Bilaga III vid beslut om väsentliga tjänster | Art. 22 gäller oavsett status enligt AI-förordningen |
| Cybersäkerhet | Art. 32 | Art. 15 för högrisksystem | Teknisk kravnivå liknande |
| Sanktioner | Upp till 20 MEUR eller 4 procent | Upp till 35 MEUR eller 7 procent för förbjudna | Dubbel sanktionsrisk möjlig |
| Tillsyn | Integritetsskyddsmyndigheten (IMY) | Marknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), sektorsmyndigheter parallellt | IMY behåller tillsynen över personuppgiftsbehandlingen i AI-system |
| Tidslinje | Gäller sedan 25 maj 2018 | Transparenskrav 2 augusti 2026; högriskkrav för deployers 2 december 2027 (Digital Omnibus) | Efterlevnad av AI-förordningen kan inte ursäkta GDPR-brister |
GDPR
GDPR har gällt sedan 25 maj 2018. Det är ett moget regelverk med etablerad praxis och ett omfattande vägledningsbibliotek från Europeiska dataskyddsstyrelsen (EDPB) och IMY. Svenska företag har dokumenterade processer för registerförteckning, DPIA, DSAR och incidentrapportering.
GDPR skiljer mellan personuppgiftsansvarig (den som bestämmer ändamål och medel) och personuppgiftsbiträde (den som behandlar på uppdrag). Vid AI-användning är ett svenskt företag som använder en AI-tjänst vanligen personuppgiftsansvarig, och AI-leverantören är personuppgiftsbiträde.
AI-förordningen
AI-förordningen är direktverkande sedan 2 augusti 2024 med rullande deadlines. Regelverket är ungt. Vägledningar från EU:s AI Office och IMY utvecklas löpande under 2026. Svensk praxis är ännu inte etablerad.
AI-förordningen använder andra rollbegrepp: provider (utvecklar eller släpper ut systemet), deployer (använder systemet), importör (tar in från tredjeland), distributör (säljer vidare). En organisation kan vara både personuppgiftsansvarig enligt GDPR och deployer enligt AI-förordningen för samma system, utan att rollerna är exakt samma.
Där regelverken är verkligt olika
Fokusobjektet. GDPR reglerar behandling av en specifik personuppgift. AI-förordningen reglerar systemet i sig. En AI-modell som inte behandlar personuppgifter men som används i anställningsbeslut omfattas av AI-förordningen (Bilaga III.4) men inte av GDPR.
Rättighetsperspektivet. GDPR ger registrerade individuella rättigheter mot personuppgiftsansvarig. AI-förordningen ger personer rätten att förstå att AI används (Art. 26 punkt 11) och rätten att begära mänsklig granskning av högriskbeslut (Art. 86). Rättigheterna överlappar men har olika utgångspunkter.
Datakvalitet. GDPR kräver att data är korrekt och relevant. Art. 10 i AI-förordningen kräver att träningsdata är representativ och rensad från bias. Det är en högre ambition än GDPR och gäller även anonymiserad data som GDPR inte täcker.
DPIA vs FRIA: två processer, stort överlapp
DPIA (Data Protection Impact Assessment, GDPR Art. 35) krävs vid hög risk för fysiska personer. FRIA (Fundamental Rights Impact Assessment, Art. 27 i AI-förordningen) krävs för offentliga deployers och vissa privata (kredit, livförsäkring) som använder högrisk-AI.
| Steg | DPIA | FRIA |
|---|---|---|
| Beskriv systemet och syftet | Ja | Ja |
| Identifiera berörda personer | Ja (registrerade) | Ja (påverkade individer och grupper) |
| Analysera risker | För integritet och rättigheter | För grundläggande rättigheter brett |
| Åtgärder för att mildra | Ja | Ja |
| Informera tillsynsmyndighet vid hög kvarvarande risk | Art. 36 (förhandssamråd med IMY) | Art. 27 punkt 5 (notifikation till IMY) |
| Dokumentera beslut | Ja | Ja |
Profilering och automatiserade beslut
GDPR Art. 22 ger registrerade rätt att inte bli föremål för beslut som uteslutande baseras på automatiserad behandling och har legala eller liknande effekter, med tre undantag: avtal, lag, eller explicit samtycke.
AI-förordningen förbjuder inte automatiserade beslut men kräver för högrisksystem att personer informeras (Art. 26 punkt 11) och att de har rätt till mänsklig granskning (Art. 86).
Praktisk konsekvens: ett system som klassificeras som högrisk enligt AI-förordningen och gör automatiserade beslut enligt Art. 22 GDPR behöver en GDPR-rättslig grund (ofta explicit samtycke eller avtal) plus Art. 26-dokumentation plus informationsplikt till registrerade.
Typiska kombinationer
| System | GDPR | AI-förordningen | Båda? |
|---|---|---|---|
| Generisk dokumentassistent (Copilot basic) | Ja (via Microsoft) | Ja (Art. 4) | Ja |
| HR-screening av CV | Ja | Ja (Bilaga III.4 högrisk) | Ja, full dubbel stack |
| Spamfilter (ingen AI-beslut om person) | Ja (e-postadresser) | Nej (minimal risk) | Delvis |
| AI som analyserar anonymiserade trafikmönster | Nej (anonymiserat) | Ja (om Bilaga III.2 kritisk infra) | Endast AI-förordningen |
| Syntetisk bildgenerering | Nej (om ingen person) | Ja (Art. 50) | Endast AI-förordningen |
Så hanterar CyberKlar båda
Plattformen har GDPR-dokumentation sedan NIS2-lanseringen. Modulen för AI-förordningen är integrerad så att DPIA och FRIA delar data. En gemensam registervy över alla AI-system med både personuppgiftsbehandling (GDPR) och Bilaga III-klassificering (AI-förordningen). En kombinerad DPIA/FRIA-wizard som producerar två dokument från en datainsamling. Informationsplikt-mallar som täcker både Art. 13 och 14 GDPR samt Art. 26 punkt 11 och Art. 50 i AI-förordningen. Registrerades rättighetsförfrågningar (GDPR) och Art. 86-förfrågningar enligt AI-förordningen hanteras i samma supportflöde med olika tidsgränser.