Vad behöver arbetsgivare tänka på ur dataskyddssynpunkt när anställda använder Microsoft Copilot?

Juristens svar

Microsoft erbjuder ett stort antal tjänster under namnet Copilot, som fungerar på olika sätt. Gemensamt är att tjänsterna använder artificiell intelligens (AI) i olika grad, med syftet att effektivisera arbetet.

Att låta AI hantera känsliga personuppgifter, integritetskänsliga personuppgifter och sekretessbelagda uppgifter innebär normalt sett vissa risker. För att minska dessa risker bör arbetsgivare säkerställa att Copilot inte får tillgång till sådan information. Det är därför klokt att ta fram riktlinjer som tydliggör för anställda att de enbart får använda Copilot på ett sådant sätt att enbart harmlösa personuppgifter blir behandlade av Copilot.

Eftersom svaren Copilot genererar inte är garanterade att vara korrekta, är det också viktigt att medarbetarna får utbildning i hur AI-verktyget fungerar och hur det bör användas.

Konsekvensbedömning ska göras innan Copilot används

Innan Copilot tas i bruk ska en konsekvensbedömning göras. En konsekvensbedömning, även kallad DPIA (Data Protection Impact Assessment), avseende dataskydd ska enligt artikel 35 i dataskyddsförordningen genomföras när en personuppgiftsbehandling sannolikt leder till hög risk för fysiska personers rättigheter eller friheter. 

Så här uttrycks kravet i dataskyddsförordningen:

”Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.” 

Om konsekvensbedömningen visar att behandlingen leder till hög risk för de registrerades rättigheter och friheter, finns en skyldighet att först ansöka om förhandssamråd hos Integritetsskyddsmyndigheten. 

Användningen av Copilot behöver redovisas i artikel 30-register

Användningen av Copilot i organisationen ska också dokumenteras i det så kallade artikel 30-registret. Artikel 30 i dataskyddsförordningen kräver att varje personuppgiftsansvarig (eller dennes företrädare) ska föra register över behandlingar. Det gäller alla organisationer som behandlar personuppgifter, oavsett omfattningen eller typen av personuppgifter som behandlas.

Ett osäkert rättsläge att överföra personuppgifter till USA

Copilot tillhandahålls av Microsoft, som är ett amerikanskt bolag. EU-kommissionen beslutade den 10 juli 2023 om adekvat skyddsnivå för USA, i enlighet med artikel 45.3 i dataskyddsförordningen. Adekvansbeslutet omfattar de organisationer som anslutit sig till EU-US Data Privacy Framework. 

Microsoft har anslutit sig till EU-US Data Privacy Framework, vilket innebär att överföringar till Microsoft kan ske med stöd av adekvansbeslutet.  

Mot bakgrund av ett förändrat politiskt läge är det i nuläget ovisst vilka eventuella förändringar som kan komma att ske avseende tredjelandsöverföringens laglighet. Om adekvansbeslutet skulle ogiltigförklaras, eller om en säkerhetspolitisk händelse påverkar lagligheten i behandlingen, är det viktigt att organisationer har en exitplan: antingen för att upphöra med användningen av Microsofts tjänster eller för att kunna säkra laglig behandling via andra överföringsmekanismer.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 20 maj 2025

Mari Heidenberg Östholm

Rådgivare, jurist