GDPR och AI: får företag använda ChatGPT på jobbet?

maj 28, 2026, Jesper Thornberg

Frågan om GDPR och AI får företag använda ChatGPT på jobbet är mer komplex än den verkar. Många organisationer har redan integrerat AI i sitt dagliga arbete, men få har tänkt igenom de juridiska implikationerna. GDPR förbjuder inte AI-användning. Det förbjuder okontrollerad AI-användning. Den här guiden ger dig som företagsledare en klar bild av vilka risker som faktiskt finns, vad lagen kräver, och hur du skapar förutsättningar för säker och laglig AI-användning i din organisation.

Innehållsförteckning

Viktiga slutsatser

Punkt Detaljer
GDPR förbjuder inte AI Kontrollerad användning av ChatGPT är tillåten om rätt avtal och rutiner finns på plats.
Gratisversionen är ett problem ChatGPT gratisversion saknar databehandlingsavtal och är inte lämplig för personuppgifter i arbetet.
Shadow AI är en stor risk Nästan hälften av AI-användare nyttjar personliga konton utan arbetsgivarens kännedom.
DPIA kan vara obligatorisk AI-system i högriskområden som HR kräver ofta en dataskyddsbedömning innan driftsättning.
Ansvar stannar hos företaget Juridiskt ansvar för AI-genererat innehåll med personuppgifter bär alltid din organisation.

Juridiska risker med ChatGPT och GDPR på jobbet

Det vanligaste misstaget är att tro att risken handlar om vad AI:n gör med datan. Den verkliga risken är vad du skickar in i den.

När en medarbetare klistrar in ett kundbrev, ett CV, eller ett e-postmeddelande med namn och kontaktuppgifter i ChatGPT, behandlas personuppgifter utanför din kontrollerade IT-miljö. Det är i sig en personuppgiftsbehandling som kräver rättslig grund, korrekt avtal och dokumentation.

Följande situationer skapar konkreta GDPR-risker:

  • Personuppgifter i promptar. Namn, telefonnummer, personnummer eller hälsoinformation som skrivs in i ett AI-verktyg utan DPA (databehandlingsavtal) är en regelöverträdelse.
  • Konfidentiell affärsinformation. Affärshemligheter, kundlistor och interna strategidokument som skickas till externa AI-tjänster kan utgöra brott mot sekretessavtal och intern policy.
  • Gratisversionen av ChatGPT. ChatGPT Free saknar DPA och kan använda inmatad data för modellträning. Det gör tjänsten olämplig för all yrkesmässig hantering av personuppgifter.
  • Shadow AI. Nästan hälften av AI-användarna agerar via personliga konton utan att arbetsgivaren känner till det. Det innebär att data lämnar organisationen utan kontroll eller avtal.
  • Ansvarsfördelning. Företaget bär alltid ansvaret för sin behandling av personuppgifter i AI, oavsett teknisk leverantör eller AI-modell.

Kända banker och globala företag har förbjudit kopplingar till publika AI-verktyg av just dessa skäl. Det är inte ett tecken på rädsla för tekniken. Det är ett uttryck för nödvändig riskhantering.

Proffstips: Gör en enkel test i din organisation: Fråga fem slumpmässiga medarbetare om de använder AI-verktyg på jobbet och vilka. Svaret kommer sannolikt att överraska dig. Dokumentera vad du hittar.

Läs mer om hur du konkret hanterar risker med personuppgifter i AI-tjänster.

You are currently viewing a placeholder content from Default. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

Unblock content

More Information

GDPR:s krav på AI-användning i företag

Det finns inte ett enda regelverk att förhålla sig till. Det finns flera. Och de samverkar på sätt som kräver att du förstår helhetsbilden.

Databehandlingsavtal och licenser

ChatGPT Team och ChatGPT Enterprise inkluderar databehandlingsavtal och ett förbud mot att data används för modellträning. Gratisversionen saknar dessa garantier. Skillnaden är avgörande. Innan ditt företag godkänner ett AI-verktyg för yrkesmässigt bruk bör följande vara uppfyllt:

  1. Ett giltigt DPA ska finnas på plats med leverantören.
  2. Leverantören ska kunna visa var data lagras och hur länge.
  3. Eventuell tredjelandsöverföring (exempelvis till USA) ska hanteras med lämpliga skyddsåtgärder, såsom standardavtalsklausuler.
  4. Leverantören ska ha relevanta certifieringar, till exempel SOC 2 eller ISO 27001.

DPIA och riskbedömning

En dataskyddskonsekvensbedömning (DPIA) är inte valfri för alla AI-implementeringar. DPIA krävs ofta för AI-system inom högriskområden som HR, personalhantering, hälsa och ekonomi. Det innebär att om ditt företag vill använda AI för rekrytering eller lönesättning måste en formell riskbedömning genomföras och dokumenteras innan systemet tas i bruk.

Man samlas runt mötesbordet, går igenom papper och passar på att ta en kopp kaffe och en bulle.

AI-förordningen träder i kraft 2026

Det juridiska trycket ökar. Den 2 augusti 2026 träder EU:s AI-förordning i full kraft med krav på register, riskklassificering och dokumenterade bedömningar för AI-system. Högrisk-AI kräver bland annat teknisk dokumentation, loggning och mänsklig tillsyn.

Fyra viktiga steg för företag i arbetet med AI-regleringen – en översikt i infografik

Krav Gäller för Exempel
Databehandlingsavtal (DPA) Alla AI-tjänster som behandlar personuppgifter ChatGPT Team, Microsoft Copilot
DPIA Högrisk-AI, stor mängd data, känsliga kategorier AI i HR-processer, hälsodata
AI-förordningens register Högrisk-AI-system i verksamheten Rekryteringsverktyg, kreditbedömning
Tredjelandsöverföring AI-tjänster med servrar utanför EU/EES OpenAI (USA), vissa molntjänster

Proffstips: Kontrollera om din befintliga personuppgiftspolicy täcker AI-verktyg. De flesta som togs fram före 2023 gör det inte. En enkel uppdatering med ett avsnitt om AI-tjänster kan räcka som en första åtgärd.

Läs Trustviews genomgång av AI-förordningens krav för en djupare förståelse av vad som gäller från och med 2026.

Praktiska steg för säker AI-användning

Att följa GDPR och AI-regelverket handlar inte om att stoppa AI-användningen. Det handlar om att ge den rätt förutsättningar. Här är en konkret struktur att utgå från.

Kartlägg och godkänn

Börja med att identifiera vilka AI-verktyg som faktiskt används i organisationen, inklusive de som medarbetare använder via privata konton. Skapa sedan en lista över godkända verktyg med tillhörande villkor. Utan denna kartläggning vet du inte vad du ska skydda.

  • Gå igenom IT-loggarna för att identifiera trafik till externa AI-tjänster.
  • Stäm av med avdelningschefer vilka verktyg som används regelbundet.
  • Kontrollera att godkända verktyg har DPA, stöd för SSO och loggningsfunktioner.
  • Verifiera att leverantörens certifieringar är aktuella. SOC 2 och ISO 27001 är miniminivån för informationssäkerhet.

Ta fram en AI-policy

En intern AI-policy behöver inte vara ett juridiskt dokument på 30 sidor. Den behöver vara tydlig, praktisk och faktiskt läsas. En bra policy specificerar:

  • Vilka AI-verktyg som är godkända och för vilka ändamål.
  • Vilken typ av data som aldrig får matas in i AI-tjänster (personuppgifter, affärshemligheter, intern finansiell data).
  • Vem som är ansvarig för att AI-verktyg granskas och godkänns.
  • Hur incidenter rapporteras om konfidentiell eller personlig information råkat delas.

Proffstips: Inkludera konkreta exempel i er AI-policy, till exempel: “Det är tillåtet att använda ChatGPT för att sammanfatta externa rapporter. Det är inte tillåtet att skriva in kunders namn, personnummer eller e-postadresser.” Konkreta exempel minskar feltolkningar drastiskt.

Utbilda medarbetarna

Utbildning är avgörande för att undvika fel i AI-användning. En policy som inte kommuniceras och förklaras är värdelös. Utbildningsinsatsen behöver inte vara avancerad. En timmes genomgång av vad som är tillåtet, varför, och vad konsekvenserna är av misstag räcker långt.

Tekniska kontroller mot Shadow AI

DLP-verktyg (Data Loss Prevention), SSO och loggning är effektiva tekniska åtgärder för att förebygga att okontrollerade AI-tjänster används. DLP kan blockera att känslig data klistras in i externa webbtjänster. SSO gör det möjligt att kontrollera vilka verktyg medarbetarna faktiskt kan logga in på via företagskontot. Loggning skapar spårbarhet om något går fel.

Hantera incidenter

Bestäm i förväg hur ni agerar om en medarbetare av misstag delar personuppgifter via ett AI-verktyg. En incidenthanteringsrutin bör inkludera omedelbar dokumentation av vad som delades, med vem (vilken tjänst), och vilka åtgärder som vidtogs. Om uppgifterna är känsliga kan en anmälan till Integritetsskyddsmyndigheten (IMY) vara obligatorisk inom 72 timmar.

Läs Trustviews guide om att hantera Shadow AI för en mer detaljerad genomgång av hur oreglerad AI-användning hanteras juridiskt.

Vad svenska företag gör idag kring AI och GDPR

Det svenska företagsklimatet befinner sig i en snabb förändring. 35 procent av svenska företag använde AI under 2025, och AI-användningen har tredubblats på två år. Stora företag leder, men mellanstora organisationer följer snabbt efter.

Det som är oroande är gapet mellan användning och styrning. Många organisationer har börjat använda AI utan att ha hunnit ta fram policyer, avtal eller utbildningar. Det skapar en situation där tekniken springer ifrån det juridiska ramverket.

Det ser ut så här i praktiken:

  • Många företag har inte uppdaterat sin behandlingsförteckning med AI-tjänster som faktiska personuppgiftsbehandlingar.
  • Avdelningar köper in AI-tjänster utan att involvera juridik eller IT-säkerhet.
  • HR-avdelningar testar AI för rekrytering utan att genomföra DPIA, trots att rekrytering med AI är ett av de tydligaste högriskområdena.
  • Ledningsgrupper saknar insyn i hur och var AI används i den egna organisationen.

De organisationer som hanterar det bäst är de som har utsett ett konkret ansvar, genomfört en kartläggning och satt upp enkla men tydliga regler. Det är inte tekniskt avancerat. Det kräver beslutsamhet och prioritering.

Fem GDPR-utmaningar för ledare 2026 ger dig ett bredare perspektiv på de strategiska frågor som företagsledare i Sverige behöver hantera nu.

Mitt perspektiv på AI-styrning i svenska företag

Jag har sett det upprepat sig i organisation efter organisation: ledningen är positiv till AI, medarbetarna använder det redan, men ingen har egentligen tagit ägarskapet över frågan.

Det som förvånar mig mest är inte att företag saknar DPIA-dokumentation eller fullständiga DPA. Det som förvånar mig är att den största risken inte är tekniken. Det är frånvaron av en tydlig kulturförändring. Medarbetare vet inte vad som är tillåtet. De gissar. Och de gissar oftast fel när det gäller vad som är känsligt.

Jag ser också ett mönster i hur Shadow AI uppstår. Det börjar inte med illvilja. Det börjar med att en medarbetare hittar ett smidigt verktyg, löser ett problem snabbt, och berättar det för kollegorna. Tre månader senare används det av ett helt team utan att IT vet om det. Den oreglerade AI-användningen är lättare att hantera med interna godkända verktyg och riktlinjer. Men då måste dessa verktyg och riktlinjer faktiskt existera.

Min erfarenhet är att det mest effektiva en ledare kan göra är att ge medarbetarna ett enkelt svar på frågan: “Vilket AI-verktyg ska jag använda?” Om svaret är tydligt, tillgängligt och licensierat korrekt, försvinner större delen av Shadow AI-problemet av sig självt.

Slutligen: se compliance-arbetet runt AI som en möjlighet, inte en bromskloss. De organisationer som bygger en tydlig och välkommunicerad AI-policy vinner på det. De kan använda AI mer, inte mindre, eftersom de har förtroende för att det sker på rätt sätt.

— Jesper

Trustview hjälper dig ta kontroll över AI och GDPR

Att arbeta strukturerat med GDPR och AI-efterlevnad kräver mer än en checklista. Det kräver ett system som håller ihop policy, riskbedömningar, avtal och uppföljning på ett ställe.

https://trustview.se

Trustview är en compliance-plattform som hjälper svenska organisationer att arbeta systematiskt med dataskydd, informationssäkerhet och regelefterlevnad. Med Trustview kan du dokumentera AI-relaterade behandlingar i din behandlingsförteckning, genomföra och spara DPIA:er för AI-system, tilldela ansvar och följa upp åtgärder. Oavsett om du precis har börjat kartlägga er AI-användning eller vill bygga ett fullständigt compliance-program steg för steg, finns resurserna och strukturen på plats. Läs mer om hur du kan uppnå hållbar compliance med praktiska verktyg och expertkunskap.

FAQ

Får företag använda ChatGPT på jobbet?

Ja, men det kräver rätt förutsättningar. Företaget behöver ett databehandlingsavtal med leverantören, tydliga interna riktlinjer och rutiner för vilken typ av data som får användas i verktyget.

Är gratisversionen av ChatGPT GDPR-kompatibel?

Nej. ChatGPT Free saknar databehandlingsavtal och kan använda inmatad data för modellträning, vilket gör den olämplig för all yrkesmässig hantering av personuppgifter.

När krävs en DPIA för AI-verktyg?

En DPIA krävs när ett AI-system behandlar känsliga personuppgifter i stor skala, används i högriskområden som HR eller rekrytering, eller när behandlingen sannolikt innebär hög risk för enskildas rättigheter.

Vad är Shadow AI och varför är det ett problem?

Shadow AI innebär att medarbetare använder AI-verktyg utan arbetsgivarens kännedom eller godkännande. Det skapar juridisk exponering eftersom data kan lämna organisationen utan avtal, kontroll eller spårbarhet.

Vad innebär EU:s AI-förordning för svenska företag?

Från den 2 augusti 2026 ställer AI-förordningen krav på riskklassificering, register och dokumentation för AI-system, särskilt de som klassas som högrisk. Svenska företag som använder AI i verksamhetskritiska processer behöver förbereda sig nu.

Rekommendation

Mer att upptäcka

En kvinna sitter och jobbar vid datorn i ett ljust kontorshörn.
Akademi
GDPR och AI: får företag använda ChatGPT på jobbet?
Få kloka insikter om GDPR och AI: får företag använda ChatGPT på jobbet? Lär dig säkerhet och laglighet för AI-användning…
Läs mer
maj 28, 2026
En kvinna sitter vid konferensbordet och går noggrant igenom avtalet om personuppgiftsbiträde.
Akademi
Måste vi ha ett personuppgiftsbiträdesavtal (DPA)?
Måste vi ha ett personuppgiftsbiträdesavtal DPA? Upptäck varför ett DPA är obligatoriskt för ditt företag och skydda dig mot risker!
Läs mer
maj 27, 2026
Man går igenom Excel-listan med personuppgifter för att säkerställa att allt följer GDPR.
Akademi
Är Excel verkligen tillräckligt för GDPR-arbetet?
Är Excel verkligen tillräckligt för GDPR-arbetet? Upptäck varför Excel kan vara en risk och vad du behöver för verklig efterlevnad.
Läs mer
maj 26, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas