GDPR AI compliance med Audact
Sidst opdateret: 8. april 2026 · 8 minutters læsning · Gennemgået af Audact compliance-team
Privatlivsvenligt design, ikke som eftertanke.
Sådan håndterer Audact GDPR
Kun EU-datalagring
Alle data gemmes udelukkende i EU. Primær region: AWS Frankfurt (eu-central-1). Backup region: AWS Amsterdam (eu-west-1). Ingen data forlader Den Europæiske Union.
Intet samtaleindhold gemt
Audact gemmer aldrig samtaleindhold. Kun compliance-metadata og kryptografiske evidenshashes opbevares — nok til at bevise compliance, intet mere.
Krypto-sletning til sletning
Registreredes sletningsanmodninger håndteres via krypto-sletning (Patent P7). Krypteringsnøglen destrueres, og gør alle tilknyttede data permanent ugenoprettelige — mens evidenskædens integritet bevares.
Evidenskæde integritet
Selv efter at persondata er destrueret, forbliver compliance-evidenskæden intakt. Kryptografiske hashes beviser, at compliance-forpligtelser blev opfyldt, uden at beholde persondata.
GDPR Article 22: automatiseret beslutningstagning og AI
Article 22 giver enhver registreret ret til ikke at være underlagt en beslutning baseret udelukkende på automatiseret behandling — herunder profilering — der producerer retsvirkninger eller på lignende måde væsentligt påvirker dem. For AI-implementatorer er dette den mest konsekvensfulde bestemmelse i GDPR: et AI-system, der afviser et lån, afviser en jobansøger, udløser en svindelblokering eller planlægger en disciplinærhøring uden meningsfuld menneskelig gennemgang, falder klart inden for Article 22.
Lovlige ruter eksisterer: eksplicit samtykke, nødvendighed for en kontrakt eller tilladelse under Unions-/EU-lands lov med tilstrækkelige sikkerhedsforanstaltninger. I alle tilfælde skal den dataansvarlige give meningsfulde oplysninger om den involverede logik, behandlingens betydning og give den registrerede ret til at få menneskelig indgriben, udtrykke et synspunkt og bestride beslutningen. Den Europæiske Unions Domstol bekræftede i SCHUFA (C-634/21, 2023), at sandsynlighedsscoring brugt af tredjeparter til at drive en beslutning i sig selv er 'automatiseret beslutningstagning' — og udvider Article 22 for AI-leverandører.
Hvordan AI-systemer udløser GDPR databeskyttelsesforpligtelser
Træning, finjustering og inferens på persondata er hver især særskilte behandlingsaktiviteter under Article 4(2), og hver kræver sin eget lovlige grundlag under Article 6. Voice-agenter, chatbots og agentive arbejdsflows indsamler rutinemæssigt navne, telefonnumre, stemmebio-metrikker og indhold der afslører helbred, overbevisninger eller seksualitet — som kan eskalere behandlingen til særlige kategorier af data under Article 9, der kræver et stærkere grundlag som eksplicit samtykke eller væsentlig offentlig interesse.
En Data Protection Impact Assessment (Article 35) er effektivt obligatorisk for de fleste kundevendte AI-implementeringer: de kombinerer systematisk overvågning, ny teknologi og ofte sårbare registrerede. Dataansvarlige skal også opfylde transparensforpligtelserne i Articles 13–14 ved dataindsamlingstidspunktet — en pligt, som AI voice-agenter ofte undlader at overholde, fordi afsløringen sker for sent i samtalen.
Grænseoverskridende dataoverførsler under GDPR for AI-udbydere
Kapitel V i GDPR begrænser overførsler af persondata uden for EØS. Efter Schrems II skal dataansvarlige gennemføre en Transfer Impact Assessment, når de bruger Standard Contractual Clauses, og EU-US Data Privacy Framework giver i øjeblikket den eneste adækvansesbro til USA. Mange populære AI-udbydere (OpenAI, Anthropic, Google) behandler EU-data på US-baseret infrastruktur under DPF eller SCC'er, hvilket skifter due-diligence-byrden til kunden.
Audact løser dette ved at operere udelukkende inden for EU: inferenstrafik, metadata, nøgler og backups forbliver inden for AWS Frankfurt og Amsterdam. Ingen Kapitel V-overførsel sker nogensinde, og eliminerer TIA-overhead og fjerner afhængighed af DPF's igangværende politiske stabilitet.
Databehandlingsroller
Audact opererer som en databehandler. Kunden forbliver den dataansvarlige til enhver tid. Audact behandler data udelukkende på vegne af og under den dataansvarliges instruktioner.
Databehandleraftale
Vores standard DPA er tilgængelig på /legal/dpa. Enterprise-kunder kan anmode om en tilpasset DPA.
Kontakt
For privatlivsrelaterede henvendelser, kontakt os på privacy@audact.ai.
Ofte stillede spørgsmål
Gemmer Audact samtaleindhold?
Nej. Audact beholder kun compliance-metadata og kryptografiske evidenshashes — nok til at bevise compliance, intet mere.
Hvor gemmes data?
Udelukkende i EU. Primær region AWS Frankfurt (eu-central-1), backup AWS Amsterdam (eu-west-1). Ingen data forlader Den Europæiske Union.
Hvordan håndteres sletningsanmodninger?
Via krypto-sletning (Patent P7): krypteringsnøglen destrueres, gør de tilknyttede data permanent ugenoprettelige mens evidenskædens integritet bevares.
Er Audact en databehandler eller dataansvarlig?
Audact fungerer som databehandler. Kunden forbliver den dataansvarlige og Audact behandler data udelukkende på den dataansvarliges dokumenterede instruktioner.
Sammenlign EU AI compliance-love
| Lov | Deadline | Hvem | Straf |
|---|---|---|---|
| EU AI Act Art. 50 | 2. aug 2026 | Alle AI-implementatorer i EU | €7,5M / 1,5% omsætning |
| NL Telecomwet | 1. jul 2026 | Udgående markedsføring til NL forbrugere | €900K / 10% omsætning |
| GDPR | I kraft | Enhver behandler af EU-persondata | €20M / 4% omsætning |
| DSA | I kraft (feb 2024) | Mellemmænd & VLOP'er | 6% global omsætning |
| ePrivacy | I kraft | Afsendere af elektronisk kommunikation | Varierer per EU-land |
Relaterede compliance-ressourcer
Ansvarsfraskrivelse: Denne side er udelukkende til informationsformål og udgør ikke juridisk rådgivning. Konsulter kvalificeret juridisk rådgiver for dine specifikke compliance-forpligtelser.