TL;DR
- GDPR reglerar personuppgifter. AI Act reglerar AI-system. När AI bearbetar personuppgifter gäller båda.
- Rollbegreppen är olika: GDPR har personuppgiftsansvarig och personuppgiftsbiträde, AI Act har provider och deployer. En organisation är ofta båda samtidigt.
- DPIA (GDPR) och FRIA (AI Act) överlappar men är separata processer med olika fokus.
Jämförelsetabell
| Aspekt | GDPR | AI Act | Överlapp |
|---|---|---|---|
| Scope | Behandling av personuppgifter | AI-system och deras användning | När AI behandlar personuppgifter |
| Rollbegrepp | Personuppgiftsansvarig, personuppgiftsbiträde | Provider, deployer, importör, distributör | Ofta är deployer också personuppgiftsansvarig |
| Rättslig grund | Art. 6 (sex grunder), Art. 9 (särskilda kategorier) | Ingen grundkrav, men system ska vara lagliga att använda | Rättslig grund krävs oavsett AI Act |
| Risk-bedömning | DPIA enligt Art. 35 vid hög risk | FRIA enligt Art. 27 för offentliga deployers och vissa privata | Båda kan göras i samma process |
| Transparens | Art. 13 och 14, informationsplikt | Art. 50 för begränsad risk, Art. 26 punkt 11 för högrisk | Båda kräver att registrerad får veta |
| Rättigheter för individ | Art. 15 till 22 | Art. 86 (rätt till förklaring av beslut) | AI Act bygger på GDPR-rättigheter |
| Profilering | Art. 22 (rätt att inte bli föremål för automatiserat beslut) | Högrisk enligt Bilaga III vid beslut om väsentliga tjänster | Art. 22 gäller oavsett AI Act-status |
| Cybersäkerhet | Art. 32 | Art. 15 för högrisksystem | Teknisk kravnivå liknande |
| Sanktioner | Upp till 20 MEUR eller 4 procent | Upp till 35 MEUR eller 7 procent för förbjudna | Dubbel sanktionsrisk möjlig |
| Tillsyn | Integritetsskyddsmyndigheten (IMY) | IMY (primär), sektorsmyndigheter parallellt | IMY är gemensam |
| Tidslinje | Gäller sedan 25 maj 2018 | Fullt ut 2 augusti 2026 för deployers | AI Act-efterlevnad kan inte ursäkta GDPR-brister |
GDPR
GDPR har gällt sedan 25 maj 2018. Det är ett moget regelverk med etablerad praxis och ett omfattande vägledningsbibliotek från Europeiska dataskyddsstyrelsen (EDPB) och IMY. Svenska företag har dokumenterade processer för registerförteckning, DPIA, DSAR och incidentrapportering.
GDPR skiljer mellan personuppgiftsansvarig (den som bestämmer ändamål och medel) och personuppgiftsbiträde (den som behandlar på uppdrag). Vid AI-användning är ett svenskt företag som använder en AI-tjänst vanligen personuppgiftsansvarig, och AI-leverantören är personuppgiftsbiträde.
AI Act
AI Act är direktverkande sedan 2 augusti 2024 med rullande deadlines. Regelverket är ungt. Vägledningar från EU:s AI Office och IMY utvecklas löpande under 2026. Svensk praxis är ännu inte etablerad.
AI Act använder andra rollbegrepp: provider (utvecklar eller släpper ut systemet), deployer (använder systemet), importör (tar in från tredjeland), distributör (säljer vidare). En organisation kan vara både personuppgiftsansvarig enligt GDPR och deployer enligt AI Act för samma system, utan att rollerna är exakt samma.
Där regelverken är verkligt olika
Fokusobjektet. GDPR reglerar behandling av en specifik personuppgift. AI Act reglerar systemet i sig. En AI-modell som inte behandlar personuppgifter men som används i anställningsbeslut omfattas av AI Act (Bilaga III.4) men inte av GDPR.
Rättighetsperspektivet. GDPR ger registrerade individuella rättigheter mot personuppgiftsansvarig. AI Act ger personer rätten att förstå att AI används (Art. 26 punkt 11) och rätten att begära mänsklig granskning av högriskbeslut (Art. 86). Rättigheterna överlappar men har olika utgångspunkter.
Datakvalitet. GDPR kräver att data är korrekt och relevant. AI Act Art. 10 kräver att träningsdata är representativ och rensad från bias. Det är en högre ambition än GDPR och gäller även anonymiserad data som GDPR inte täcker.
DPIA vs FRIA: två processer, stort överlapp
DPIA (Data Protection Impact Assessment, GDPR Art. 35) krävs vid hög risk för fysiska personer. FRIA (Fundamental Rights Impact Assessment, AI Act Art. 27) krävs för offentliga deployers och vissa privata (kredit, livförsäkring) som använder högrisk-AI.
| Steg | DPIA | FRIA |
|---|---|---|
| Beskriv systemet och syftet | Ja | Ja |
| Identifiera berörda personer | Ja (registrerade) | Ja (påverkade individer och grupper) |
| Analysera risker | För integritet och rättigheter | För grundläggande rättigheter brett |
| Åtgärder för att mildra | Ja | Ja |
| Informera tillsynsmyndighet vid hög kvarvarande risk | Art. 36 (förhandssamråd med IMY) | Art. 27 punkt 5 (notifikation till IMY) |
| Dokumentera beslut | Ja | Ja |
Profilering och automatiserade beslut
GDPR Art. 22 ger registrerade rätt att inte bli föremål för beslut som uteslutande baseras på automatiserad behandling och har legala eller liknande effekter, med tre undantag: avtal, lag, eller explicit samtycke.
AI Act förbjuder inte automatiserade beslut men kräver för högrisksystem att personer informeras (Art. 26 punkt 11) och att de har rätt till mänsklig granskning (Art. 86).
Praktisk konsekvens: ett system som klassificeras som högrisk enligt AI Act och gör automatiserade beslut enligt Art. 22 GDPR behöver en GDPR-rättslig grund (ofta explicit samtycke eller avtal) plus Art. 26-dokumentation plus informationsplikt till registrerade.
Typiska kombinationer
| System | GDPR | AI Act | Båda? |
|---|---|---|---|
| Generisk dokumentassistent (Copilot basic) | Ja (via Microsoft) | Ja (Art. 4) | Ja |
| HR-screening av CV | Ja | Ja (Bilaga III.4 högrisk) | Ja, full dubbel stack |
| Spamfilter (ingen AI-beslut om person) | Ja (e-postadresser) | Nej (minimal risk) | Delvis |
| AI som analyserar anonymiserade trafikmönster | Nej (anonymiserat) | Ja (om Bilaga III.2 kritisk infra) | Endast AI Act |
| Syntetisk bildgenerering | Nej (om ingen person) | Ja (Art. 50) | Endast AI Act |
Så hanterar CyberKlar båda
Plattformen har GDPR-dokumentation sedan NIS2-lanseringen. AI Act-modulen är integrerad så att DPIA och FRIA delar data. En gemensam registervy över alla AI-system med både personuppgiftsbehandling (GDPR) och Bilaga III-klassificering (AI Act). En kombinerad DPIA/FRIA-wizard som producerar två dokument från en datainsamling. Informationsplikt-mallar som täcker både Art. 13 och 14 GDPR samt Art. 26 punkt 11 och Art. 50 AI Act. Registrerades rättighetsförfrågningar (GDPR) och AI Act Art. 86-förfrågningar hanteras i samma supportflöde med olika tidsgränser.