GDPR-fällan: Det här måste du kontrollera hos leverantören

DATASKYDD EDPB:s nya riktlinjer för webbskrapning och anonymisering synliggör en växande GDPR-risk i teknikprojekt. IMY reder ut vad svenska organisationer måste kontrollera.

GDPR-fällan: Det här måste du kontrollera hos leverantören
Elisabeth Jilderyd, senior jurist och enhetschef på IMY, reder ut vad EDPB:s nya riktlinjer innebär för svenska organisationer. Foto: Adobe stock & Thron Ullberg.

Stora datamängder har blivit en strategisk råvara i moderna teknikprojekt. Men bakom löften om automatisering och bättre beslutsstöd finns en avgörande fråga: Vilka uppgifter används – och vem ansvarar om de innehåller personuppgifter?

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.

Frågan har blivit mer aktuell sedan Europeiska dataskyddsstyrelsen, EDPB, antagit preliminära riktlinjer om anonymisering och webbskrapning i samband med generativ AI. Riktlinjerna är ute på offentligt samråd till den 30 oktober 2026.

– De nu antagna riktlinjerna innehåller inga nya skyldigheter utöver det som redan gäller enligt GDPR. I stället syftar de till att ge närmare vägledning och förklara vad GDPR:s regler innebär i vissa specifika situationer, säger Elisabeth Jilderyd, senior jurist och enhetschef för enheten för EU-samarbete på IMY, i ett skriftligt svar till Techtidningen.

När leverantörens data blir ditt ansvar

För it-chefer, systemägare och inköpsansvariga är ansvarsfördelningen en central risk. Många organisationer använder datadrivna tjänster där underlaget har samlats in, bearbetats eller paketerats av någon annan.

Men ansvaret försvinner inte för att uppgifterna kommer från en leverantör.

– Både den som själv samlar in stora mängder uppgifter och den som tar emot uppgiftsmängder från någon annan måste bedöma om uppgifterna är personuppgifter och vilket ansvar de har för uppgifterna. Om det handlar om personuppgifter måste organisationen vidta åtgärder för att se till att GDPR följs, säger Elisabeth Jilderyd.

Organisationen behöver därför tidigt avgöra var det egna personuppgiftsansvaret börjar och slutar. Det bör ske innan modellen tränas eller tjänsten tas i bruk.

Vid inköp av AI-tjänster, analysplattformar och andra datadrivna system räcker inte leverantörens försäkringar. Köparen måste förstå vilka uppgifter som används, varifrån de kommer, på vilken rättslig grund de behandlas och vilka begränsningar som gäller.

En öppen webb betyder inte fritt fram

En central del av EDPB:s riktlinjer gäller webbskrapning, alltså insamling av stora mängder information från webbplatser och andra öppna källor. Tekniken har fått särskild betydelse för utvecklingen av generativ AI.

Att information är öppet tillgänglig betyder dock inte att den får användas utan en dataskyddsrättslig prövning.

– Webbskrapning innebär att stora mängder uppgifter samlas in från många olika källor. Det handlar ofta om personuppgifter och kan också röra särskilt känsliga uppgifter, säger Elisabeth Jilderyd.

Den ansvariga organisationen måste följa GDPR:s grundprinciper om laglighet, ändamålsbegränsning, öppenhet, dataminimering och korrekthet. Insamlingen måste alltså kunna motiveras, begränsas och kontrolleras.

Vid träning av generativ AI får organisationen inte samla in fler uppgifter än nödvändigt. Den måste också hantera att de personer vars uppgifter samlas in ofta inte känner till behandlingen.

– GDPR:s regler gäller även om de i många avseenden kan vara svåra att tillämpa vid webbskrapning, säger Elisabeth Jilderyd.

Känsliga uppgifter innebär en stor risk

En särskilt svårhanterlig risk är att webbskrapningen fångar upp känsliga personuppgifter, till exempel uppgifter om hälsa, religion eller politisk uppfattning.

EDPB:s riktlinjer understryker att sådana uppgifter så långt som möjligt ska hindras från att samlas in. Om det inte går måste organisationen vidta åtgärder för att förhindra att uppgifterna sprids vidare.

Det gör tekniska kontrollfrågor till ledningsfrågor. Det handlar inte bara om huruvida modellen fungerar, utan också om hur uppgifterna har valts ut, filtrerats, rensats och dokumenterats.

I ett AI-projekt kan den viktigaste frågan därför vara: Vad finns egentligen i datamängden?

Anonymisering måste bedömas i den egna miljön

Den andra stora delen av riktlinjerna gäller anonymisering. IMY:s budskap är att anonymitet inte kan bedömas generellt.

– Uppgifter är anonymiserade om de hos en viss organisation inte går att hänföra till en identifierad eller identifierbar fysisk person, säger Elisabeth Jilderyd.

En datamängd kan alltså vara anonym i en miljö men innehålla personuppgifter i en annan. Bedömningen påverkas av vilken annan information organisationen har tillgång till och vilka möjligheter som finns att koppla uppgifterna till en individ.

– Information som inte går att hänföra till en viss fysisk person hos en organisation kan fortfarande vara hänförlig till en viss person hos en annan. Bedömningen av om uppgifterna är anonymiserade måste göras ur varje personuppgiftsansvarig organisations perspektiv, säger hon.

EDPB pekar ut tre kriterier för bedömningen. Uppgifterna ska inte vara unika för en individ, inte kunna länkas till annan identifierande information och inte kunna härledas till en viss person.

Det räcker därför inte att leverantören kallar en datamängd anonymiserad. Köparen måste också bedöma om uppgifterna kan bli identifierbara när de kombineras med den egna organisationens system, användaruppgifter eller kundinformation.

Checklista: tre frågor inför inköpet

1. Vilka uppgifter används – och varifrån kommer de?

Begär en tydlig beskrivning av datakällorna. Fråga särskilt om uppgifter har samlats in genom webbskrapning och om datamängden kan innehålla personuppgifter eller känsliga uppgifter.

2. Vem ansvarar för vilken behandling?

Klargör om leverantören är personuppgiftsbiträde, självständig personuppgiftsansvarig eller om ansvaret är gemensamt. Utan en tydlig ansvarsfördelning blir skyldigheterna svåra att bedöma.

3. Hur har anonymisering och dataminimering säkerställts?

Nöj dig inte med att uppgifterna kallas anonymiserade. Be leverantören beskriva metoderna, risken för återidentifiering och om uppgifterna kan kopplas till individer i den egna miljön.

Läs också IMY:s vägledning om GDPR och AI

Riktlinjerna kan ändras – men ansvaret gäller redan

EDPB:s riktlinjer är preliminära. Fram till den 30 oktober 2026 kan organisationer, branschaktörer och andra intressenter lämna synpunkter.

Det grundläggande ansvaret finns däremot redan. GDPR har gällt sedan 2018. Riktlinjerna förändrar inte den rättsliga utgångspunkten, men gör den mer konkret för organisationer som arbetar med stora datamängder, webbskrapning och anonymisering.

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Techtidningen

Techtidningen Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Få nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.