GDPR AI-compliance med Audact
Senast uppdaterad: 8 april 2026 · 8 min läsning · Granskad av Audact compliance-team
Integritet by design, inte som eftertanke.
Hur Audact hanterar GDPR
EU-exklusiv datalagring
All data lagras uteslutande i EU. Primär region: AWS Frankfurt (eu-central-1). Backup-region: AWS Amsterdam (eu-west-1). Inga data lämnar Europeiska unionen.
Inget konversationsinnehåll lagrat
Audact lagrar aldrig konversationsinnehåll. Enbart compliancemetadata och kryptografiska bevishashar bevaras — tillräckligt för att bevisa compliance, inget mer.
Kryptografisk radering
Registrerades raderingsförfrågningar hanteras via kryptografisk radering (Patent P7). Krypteringsnyckeln förstörs, vilket gör alla associerade data permanent oåterkallbara — medan beviskedjans integritet bibehålls.
Beviskedjans integritet
Även efter att persondata förstörs förblir compliancebeviskedjan intakt. Kryptografiska hashar bevisar att complianceskyldigheter uppfylldes, utan att behålla persondata.
GDPR Article 22: automatiserat beslutsfattande och AI
Article 22 ger varje registrerad rätten att inte bli föremål för ett beslut baserat enbart på automatiserad behandling — inklusive profilering — som producerar rättsliga effekter eller på liknande sätt väsentligt påverkar dem. För AI-driftsättare är detta den mest konsekventa bestämmelsen i GDPR: ett AI-system som avslår ett lån, avvisar en jobbsökande, utlöser en bedrägeriblockning eller schemalägger en disciplinär utfrågning utan meningsfullt mänskligt granskning faller direkt under Article 22.
Lagliga vägar finns: uttryckligt samtycke, nödvändighet för ett kontrakt eller auktorisering under unionsrätt/medlemsstatsrätt med adekvata skyddsåtgärder. I alla fall måste den personuppgiftsansvarige ge meningsfull information om logiken som är inblandad, bearbetningens betydelse och ge den registrerade rätten att erhålla mänskligt ingripande, uttrycka en synpunkt och bestrida beslutet. EU-domstolen bekräftade i SCHUFA (C-634/21, 2023) att sannolikhetspoängsättning som används av tredje parter för att driva ett beslut i sig är 'automatiserat beslutsfattande' — vilket breddar Article 22 för AI-leverantörer.
Hur AI-system utlöser GDPR-dataskyddsskyldigheter
Träning, finjustering och inferens på persondata är var och en separata behandlingsaktiviteter under Article 4(2), och var och en kräver sin egen lagliga grund under Article 6. Röst-agenter, chatbotar och agentiska arbetsflöden tar regelbundet in namn, telefonnummer, röstbiometri och innehåll som avslöjar hälsa, övertygelser eller sexualitet — vilket kan eskalera behandlingen till specialkategori-data under Article 9, vilket kräver en starkare grund som uttryckligt samtycke eller väsentligt allmänt intresse.
En Konsekvensbedömning för dataskydd (Article 35) är i praktiken obligatorisk för de flesta kundvändande AI-driftsättningar: de kombinerar systematisk övervakning, ny teknik och ofta sårbara registrerade. Personuppgiftsansvariga måste också uppfylla transparensskyldigheterna i Articles 13-14 vid datainsamlingspunkten — en skyldighet som AI röst-agenter ofta misslyckas att uppfylla för att disclosuren sker för sent i konversationen.
Gränsöverskridande dataöverföringar under GDPR för AI-leverantörer
Kapitel V i GDPR begränsar överföringar av persondata utanför EES. Efter Schrems II måste personuppgiftsansvariga genomföra en överföringskonsekvensbedömning när de använder Standardavtalsklausuler, och EU-US Data Privacy Framework ger för närvarande den enda adekvansbryggan till USA. Många populära AI-leverantörer (OpenAI, Anthropic, Google) behandlar EU-data på US-baserad infrastruktur under DPF eller SCC:er, vilket skiftar aktsamhetsbördan till kunden.
Audact löser detta genom att verka uteslutande inuti EU: inferenstrafik, metadata, nycklar och backupar förblir inom AWS Frankfurt och Amsterdam. Ingen kapitel V-överföring sker någonsin, vilket eliminerar TIA-overhead och tar bort beroendet av DPF:s pågående politiska stabilitet.
Databehandlarroller
Audact verkar som personuppgiftsbiträde. Kunden förblir personuppgiftsansvarig hela tiden. Audact behandlar data enbart å den personuppgiftsansvariges vägnar och under den personuppgiftsansvariges instruktioner.
Personuppgiftsbiträdesavtal
Vårt standard DPA finns på /legal/dpa. Enterprise-kunder kan begära ett anpassat DPA.
Kontakt
För integritetsrelaterade förfrågningar, nå oss på privacy@audact.ai.
Vanliga frågor
Lagrar Audact konversationsinnehåll?
Nej. Audact behåller enbart compliancemetadata och kryptografiska bevishashar — tillräckligt för att bevisa compliance, inget mer.
Var lagras data?
Uteslutande i EU. Primär region AWS Frankfurt (eu-central-1), backup AWS Amsterdam (eu-west-1). Inga data lämnar Europeiska unionen.
Hur hanteras raderingsförfrågningar?
Via kryptografisk radering (Patent P7): krypteringsnyckeln förstörs, vilket gör de associerade data permanent oåterkallbara medan beviskedjans integritet bevaras.
Är Audact ett personuppgiftsbiträde eller personuppgiftsansvarig?
Audact agerar som personuppgiftsbiträde. Kunden förblir personuppgiftsansvarig och Audact behandlar data enbart enligt den personuppgiftsansvariges dokumenterade instruktioner.
Jämför EU AI compliance-lagar
| Lag | Deadline | Vem | Böter |
|---|---|---|---|
| EU AI Act Art. 50 | 2 aug 2026 | Alla AI-driftsättare i EU | €7,5M / 1,5% omsättning |
| NL Telecomwet | 1 jul 2026 | Utgående marknadsföring till NL-konsumenter | €900k / 10% omsättning |
| GDPR | I kraft | Alla som behandlar EU-personuppgifter | €20M / 4% omsättning |
| DSA | I kraft (feb 2024) | Mellanhänder & VLOP:er | 6% global omsättning |
| ePrivacy | I kraft | Avsändare av elektronisk kommunikation | Varierar per medlemsstat |
Relaterade compliance-resurser
Ansvarsfriskrivning: Den här sidan är enbart för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerad juridisk rådgivare för era specifika complianceskyldigheter.