Lyssna

GDPR vid användning av generativ AI

Digg, Myndigheten för digital förvaltning, och IMY har tagit fram vägledande riktlinjer för användningen av generativ AI inom offentlig förvaltning. Denna rapport innehåller den del av riktlinjerna som IMY har tagit fram och beslutat, det vill säga den del som rör dataskydd.

Offentlig förvaltning kan förena användningen av generativ AI med dataskyddsregelverket (GDPR). I rapporten redogör vi bland annat för följande sju områden som offentlig förvaltning bör ta hänsyn till vid användning av generativ AI:

Beakta dataskyddsregelverket som utgångspunkt.
Använd generativ AI enligt de dataskyddsrättsliga principerna.
Klargör rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde.
Se till att det finns rättslig grund och annat rättsligt stöd för användningen.
Överväg om automatiserat beslutsfattande och överföring till tredje land förekommer.
Säkerställ enskildas rättigheter vid användningen av generativ AI.
Bedöm riskerna med användningen och säkerställ lämplig säkerhet.

Riktlinjerna är avsedda för verksamheter inom offentlig förvaltning. Det hindrar inte att riktlinjerna kan vara användbara för andra som använder generativ AI i sin verksamhet.

Regeringsuppdrag till Digg och IMY

Sommaren 2024 fick Digg och IMY i uppdrag av regeringen att ta fram vägledande riktlinjer för att främja effektiv och ändamålsenlig användning av generativ artificiell intelligens (AI) inom den offentliga förvaltningen. Enligt uppdraget skulle IMY i egenskap av oberoende dataskyddsmyndighet ta fram och besluta den del av vägledningen som avsåg dataskydd. Digg samordnade myndigheternas arbete även i den del som avsåg dataskydd. I januari 2025 publicerades resultatet av uppdraget i form av vägledande riktlinjer från både Digg och IMY på Diggs webbplats.

Riktlinjer för generativ AI inom offentlig förvaltning