Datum 10 juni 2026

Svenska företag ligger i framkant när det gäller att utveckla egna AI-lösningar. Samtidigt upplever många att det är svårt att förstå dataskyddsreglerna, vilket kan bromsa både utveckling och användning av AI. Tydliga roller enligt GDPR är viktiga, både för att följa lagen och för att skapa bra samarbeten mellan leverantörer och kunder.

IMY har under våren, tillsammans med startupbolaget Eggsplain, genomfört ett pilotprojekt för att klargöra ansvarsfrågorna. Fokus har legat på situationer där en leverantör använder en förtränad AI-modell och finjusterar den, antingen för egen produktutveckling, på uppdrag av en kund eller i ett gemensamt utvecklingsarbete med kunden.

- En viktig slutsats är att leverantörens roll beror på varför och för vems räkning personuppgifter behandlas. Om leverantören finjusterar en AI-modell med personuppgifter på eget initiativ, som en del av sin produktutveckling, är utgångspunkten att leverantören är personuppgiftsansvarig. Om finjusteringen i stället sker på uppdrag av en specifik kund och enligt kundens instruktioner, innebär det normalt att leverantören är personuppgiftsbiträde, säger David Suh, projektledare.

Rapporten ska göra det lättare för företag och organisationer att förstå hur rollfördelningen enligt GDPR kan bedömas i praktiken när AI-applikationer utvecklas, anpassas eller används.

- Vi ser att många företag vill göra rätt och respektera sina kunder, sina användare och dataskyddsregelverket. När AI-applikationer innehåller personers information behöver leverantörer förstå sin roll och sitt ansvar. Med den här vägledningen vill vi ge praktiskt stöd och bidra till tydligare förväntningar mellan leverantörer och kunder, säger David Suh.