Vad behöver arbetsgivare tänka på ur dataskyddssynpunkt när anställda använder Microsoft Copilot?

Juristens svar

Microsoft erbjuder ett stort antal tjänster under namnet Copilot, som fungerar på olika sätt. Gemensamt är att tjänsterna använder artificiell intelligens (AI) i olika grad, med syftet att effektivisera arbetet.

Att låta AI hantera känsliga personuppgifter, integritetskänsliga personuppgifter och sekretessbelagda uppgifter innebär normalt sett vissa risker. För att minska dessa risker bör arbetsgivare säkerställa att Copilot inte får tillgång till sådan information. Det är därför klokt att ta fram riktlinjer som tydliggör för anställda att de enbart får använda Copilot på ett sådant sätt att enbart harmlösa personuppgifter blir behandlade av Copilot.

Eftersom svaren Copilot genererar inte är garanterade att vara korrekta, är det också viktigt att medarbetarna får utbildning i hur AI-verktyget fungerar och hur det bör användas.

Konsekvensbedömning ska göras innan Copilot används

Innan Copilot tas i bruk ska en konsekvensbedömning göras. En konsekvensbedömning, även kallad DPIA (Data Protection Impact Assessment), avseende dataskydd ska enligt artikel 35 i dataskyddsförordningen genomföras när en personuppgiftsbehandling sannolikt leder till hög risk för fysiska personers rättigheter eller friheter. 

Så här uttrycks kravet i dataskyddsförordningen:

”Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.” 

Om konsekvensbedömningen visar att behandlingen leder till hög risk för de registrerades rättigheter och friheter, finns en skyldighet att först ansöka om förhandssamråd hos Integritetsskyddsmyndigheten. 

Behandlingen med Copilot behöver redovisas i artikel 30-register

Det behöver redogöras för behandlingen av att anställda använder sig av Copilot i artikel 30-register. Artikel 30 i dataskyddsförordningen kräver att varje personuppgiftsansvarig (eller dennes företrädare) ska föra register över behandlingar. Det gäller alla organisationer som behandlar personuppgifter, även om det sker i olika omfattning och med olika mängder och typer av personuppgifter.  

Ett osäkert rättsläge att överföra personuppgifter till USA

Copilot tillhandahålls av Microsoft, som är ett amerikanskt bolag. EU-kommissionen beslutade den 10 juli 2023 om adekvat skyddsnivå för USA, i enlighet med artikel 45.3 i dataskyddsförordningen. Adekvansbeslutet omfattar de organisationer som anslutit sig till EU-US Data Privacy Framework. 

Microsoft har anslutit sig till EU-US Data Privacy Framework, vilket innebär att överföringar till Microsoft kan ske med stöd av adekvansbeslutet.  

Mot bakgrund av ett förändrat politiskt läge är det i nuläget ovisst vilka eventuella förändringar som kan komma att ske avseende tredjelandsöverföringens laglighet. Om adekvansbeslutet skulle ogiltigförklaras, eller om en säkerhetspolitisk händelse påverkar behandlingens laglighet, är det viktigt att organisationer har en exitplan: antingen för att upphöra med användningen av Microsofts tjänster eller säkerställa behandlingens laglighet via andra överföringsmekanismer.

Den norska tillsynsmyndigheten Datatilsynet anger i information på sin webbplats att det är viktigt att verksamheter har en exitstrategi för vad de ska göra om de inte längre kan överföra personuppgifter till USA på samma sätt som i dag.

Microsoft erbjuder olika typer av avtal som kan ingås med bolaget, där personuppgifter behandlas på olika platser inom EU och EES. Datatilsynet påpekar i information att även användningen av amerikanska molntjänster på europeisk mark påverkas negativt om adekvansbeslutet upphävs. Datatilsynet varnar för att ifall adekvansbeslutet upphävs, blir det med största sannolikhet ingen övergångsperiod för beslutet. Detta innebär att verksamheter i så fall behöver vara beredda att vidta åtgärder snabbt. 

Läsa mer om vad Datatilsynet anför här: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/informasjon-om-overforinger-til-usa/

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 20 maj 2025

Mari Heidenberg Östholm

Rådgivare, jurist