Förordning (EU) 2024/1689 (EU AI Act) och förordning (EU) 2016/679 (GDPR) gäller samtidigt och oberoende av varandra. Att uppfylla den ena innebär inte att den andra är uppfylld. För HR-tillhandahållare som använder AI-system för rekrytering, prestationsutvärdering eller personalövervakning interagerar de två regelverken på ett sätt som kräver samordnad efterlevnadsplanering. Denna guide kartlägger de viktigaste skärningspunkterna.
De två regelverken verkar parallellt
EU AI Acts inledning (skäl 9) klargör att förordningen inte påverkar EU-rätten om skydd av personuppgifter, i synnerhet GDPR och brottsbekämpningsdirektivet. GDPR:s tillsynsmyndigheter behåller full behörighet avseende behandling av personuppgifter. AI Acts marknadsövervakningsmyndigheter utövar tillsyn över produktsäkerhets- och efterlevnadsskyldigheter enligt AI Act. Båda kan utreda samma incident.
För HR-tillhandahållare innebär detta att ett enda AI-rekryteringssystem samtidigt kan kräva: en rättslig grund enligt GDPR artikel 6, en DPIA enligt GDPR artikel 35, ett skydd enligt artikel 22, ett dokument om instruktioner för användning enligt art. 13 i AI Act, en underrättelse till arbetstagarna enligt art. 26(7) och en policy för logglagring enligt art. 26(6). Dessa skyldigheter ersätter inte varandra.
GDPR artikel 22 och EU AI Act artikel 26 — automatiserat beslutsfattande
GDPR artikel 22 ger registrerade rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar dem. Definitionen av "enbart automatiserat" är snäv: en människa som rubber-stamplar en AI-rekommendation utan att genuint granska den uppfyller inte skyddet i artikel 22.
EU AI Act artikel 26(2) kräver separat att tillhandahållare för högrisk-AI-system tilldelar mänsklig tillsyn till personer med nödvändig kompetens, utbildning och befogenhet att åsidosätta systemets utdata. En person i tillsynsrollen som genuint kan ifrågasätta och åsidosätta AI-rekommendationen uppfyller vanligtvis också GDPR artikel 22:s krav på "meningsfull mänsklig granskning".
- GDPR art. 22(2)(b) tillåter enbart automatiserade beslut om den registrerade har lämnat uttryckligt samtycke — men detta är svårt att förlita sig på i ett anställningssammanhang där samtycke sällan är frivilligt.
- GDPR art. 22(2)(a) tillåter sådana beslut när de är nödvändiga för att ingå eller fullgöra ett avtal — vilket ställer höga krav; argument om bekvämlighet eller effektivitet är otillräckliga.
- Oavsett vilken grund enligt art. 22 som tillämpas måste den registrerade erhålla meningsfull information om den inblandade logiken, beslutets betydelse och förväntade konsekvenser, samt rätten att begära mänsklig intervention och att överklaga beslutet (art. 22(3)).
GDPR artikel 35 DPIA och EU AI Acts bedömning av påverkan på grundläggande rättigheter
En konsekvensbedömning avseende dataskydd (DPIA) enligt GDPR artikel 35 är obligatorisk när behandling sannolikt leder till hög risk för fysiska personers rättigheter och friheter, inbegripet när systematisk och omfattande utvärdering av personliga aspekter genom automatiserad behandling används för att fatta beslut som har rättsliga eller liknande betydande följder. HR-AI-system som omfattas av Bilaga III i EU AI Act uppfyller vanligtvis detta tröskelvärde.
EU AI Acts konformitetsbedömning enligt Bilaga III och ramverk för övervakning efter utsläppande på marknaden (artiklarna 43 och 72) överlappar funktionellt med en DPIA men ersätter den inte. Det effektivaste tillvägagångssättet är en enda integrerad bedömning som behandlar både AI Acts riskfrågor (tekniska, avsett syfte, förutsägbart missbruk) och GDPR:s dataskyddsfrågor (rättslig grund, uppgiftsminimering, lagring, rättigheter). Resultatet bör vara två separata handlingar (DPIA för GDPR; riskbedömningshandlingar för AI Act) som härleds från samma granskningsövning.
GDPR artikel 9 om känsliga kategorier och EU AI Act artikel 10
GDPR artikel 9 förbjuder behandling av känsliga kategorier av personuppgifter — hälsouppgifter, biometriska uppgifter som används för att unikt identifiera en person, ras eller etniskt ursprung, religion, fackföreningstillhörighet, politiska åsikter, genetiska uppgifter, uppgifter om sexualliv eller sexuell läggning — utom under specifika förutsättningar. Artikel 9(2)(b) tillåter behandling som är nödvändig för skyldigheter inom arbetsrätten med lämpliga skyddsåtgärder.
EU AI Act artikel 10(5) tillåter användning av känsliga kategorier av personuppgifter uteslutande i syfte att detektera och korrigera skevheter i högrisk-AI-system, förutsatt att lämpliga skyddsåtgärder för fysiska personers grundläggande rättigheter och friheter finns på plats. Detta är ett snävt forskningsundantag och åsidosätter inte GDPR artikel 9 — den tillhandahållaren måste separat uppfylla en grund enligt GDPR artikel 9(2). Tillståndet enligt artikel 10(5) sträcker sig heller inte till att använda skyddade attribut som indata för modellen.
Uppgiftsminimering: GDPR artikel 5 kontra EU AI Act artikel 10
GDPR artikel 5(1)(c) kräver att personuppgifter ska vara adekvata, relevanta och begränsade till vad som är nödvändigt för ändamålen (uppgiftsminimering). EU AI Act artikel 10(3) kräver att träningsdata ska vara relevanta, representativa och, i den mån det är möjligt, fria från fel och fullständiga. Båda principerna pekar i samma riktning: tillhandahållare bör inte acceptera eller mata in personuppgifter i AI-system om de inte behövs för det angivna ändamålet.
En praktisk konsekvens: om en leverantörs system importerar råa CV:n inklusive fritext som kan innehålla uppgifter om skyddade attribut (namn som indikerar etniskt ursprung, adress som indikerar socioekonomisk bakgrund), har den tillhandahållaren både en skyldighet avseende skevhetsrisk enligt AI Act (art. 10(2)(f)) och en GDPR-exponering avseende uppgiftsminimering och känsliga kategorier att hantera.
Transparens: EU AI Act artikel 50 och GDPR artiklarna 13–14
GDPR artiklarna 13 och 14 kräver att personuppgiftsansvariga ger registrerade information om automatiserat beslutsfattande och profilering vid tidpunkten för datainsamlingen. EU AI Act artikel 50 kräver att tillhandahållare från och med den 2 augusti 2026 informerar användare om AI-interaktion.
I praktiken måste en HR-tillhandahållare som använder en rekryteringschatbot kombinera båda upplysningsskyldigheterna i ett enda användarriktat meddelande. GDPR-meddelandet måste täcka förekomsten av profilering och AI Act-upplysningen måste täcka det faktum att användaren interagerar med ett AI-system. Dessa kan slås samman till en kommunikation om alla obligatoriska element i respektive regelverk är med.
Jämförelse av lagrings- och loggskyldigheter
- GDPR:s lagringsbegränsning (art. 5(1)(e)): Personuppgifter får inte lagras längre än nödvändigt för ändamålet. För HR-AI innebär detta vanligtvis att kandidatuppgifter som inte användes för att fatta ett anställningsbeslut måste raderas inom en kort period (ofta 6 månader enligt nationell arbetsrätt).
- EU AI Acts logglagring (art. 26(6)): Automatiska loggar som genereras av AI-systemet måste lagras i minst 6 månader. Dessa loggar kan innehålla personuppgifter (in- och utdata för enskilda kandidater eller anställda).
- Samordning: Den tillhandahållaren måste lagra AI-loggarna i 6 månader även om den generella HR-datalagringspolicyn är kortare. Loggarna bör vara åtkomststyrda, tydligt klassificerade som efterlevnadshandlingar och dokumenterade i registret över behandlingsaktiviteter (ROPA) enligt GDPR artikel 30.
Vem utövar tillsyn över vad
- GDPR-efterlevnad utövas av nationella dataskyddsmyndigheter (DPA). Vid gränsöverskridande behandling tillämpas mekanismen med ledande tillsynsmyndighet enligt GDPR kapitel VII.
- EU AI Act-efterlevnad utövas av nationella marknadsövervakningsmyndigheter (MSA) som utsetts enligt artikel 70. I vissa medlemsstater har DPA utsetts som MSA eller gemensam myndighet för HR-AI-system. Detta kan leda till gemensamma utredningar.
- AI-kontoret (ett kommissionsorgan) utövar tillsyn över allmänna AI-modeller och samordnar gränsöverskridande AI Act-verkställighet.
Karta över dubbelefterlevnadsbevis
- ROPA-post som täcker AI-systemet som en behandlingsaktivitet (GDPR art. 30).
- DPIA (GDPR art. 35) avseende HR-AI-system som ger rättsliga eller betydande följder.
- Skydd enligt art. 22: GDPR rättslig grund, förfarande för mänsklig granskning och process för svar på registrerades rättigheter.
- AI-inventeringspost: klassificering, Bilaga III-status, leverantör, avsett syfte (EU AI Act art. 26 + art. 4).
- Post med underrättelse till arbetstagare enligt art. 26(7).
- Logglagringsprotokoll enligt art. 26(6) dokumenterat i ROPA.
- AI-kompetensPolicy enligt art. 4 som täcker dataskyddsaspekter av AI-användning.
- Upplysningstext enligt artikel 50 för chatbot eller AI-genererade utdata, korsrefererad med GDPR art. 13/14-meddelande.
Relaterade EU-guider
- AI-bias-revision för HR-system
- AI-baserad anställdsutvärdering enligt EU AI Act
- Transparens enligt artikel 50 — guide för tillhandahållare
- Loggningsskyldigheter — artikel 12
- NIS2 för HR-system
Källor
- Förordning (EU) 2024/1689 (EU AI Act), artiklarna 10, 26, 50, 70, 72, Bilaga III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Förordning (EU) 2016/679 (GDPR), artiklarna 5, 6, 9, 13, 14, 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
- Europeiska dataskyddsstyrelsen — riktlinjer om automatiserat beslutsfattande: edpb.europa.eu
Observera: GDPR-skyldigheter verkställs av nationella dataskyddsmyndigheter och kan variera i tolkning mellan medlemsstaterna. Denna guide återspeglar EU-nivåtexten; nationell arbetsrätt kan medföra ytterligare krav. PowerQuant tillhandahåller programvara och dokumentation för användning i er interna efterlevnadsprocess — inte juridisk rådgivning.