Är AI-dokumenthantering förenlig med GDPR? En praktisk EU-checklista

Det korta svaret

GDPR förbjuder inte AI-dokumenthantering. Förordningen kräver samma saker som alltid — rättslig grund, ändamålsbegränsning, minimering, säkerhet, ansvarsskyldighet — tillämpade på ett arbetsflöde som råkar använda AI. Ett väldesignat extraktionsflöde är lättare att göra regelrätt än en mänsklig inkorg, eftersom varje steg är uttryckligt och granskningsbart.

Vad som bryter efterlevnaden i praktiken: att skicka dokument till verktyg utan biträdesavtal, att låta leverantörer träna på era kunddata, att behålla tysta kopior för evigt och att logga dokumentinnehåll i system ingen kontrollerar.

Checklistan

• Rättslig grund namngiven för varje dokumenttyp (fullgörande av avtal, rättslig förpliktelse, berättigat intresse — nedskrivet).
• Ändamålsbegränsning: arbetsflödet behandlar dokument för ett definierat ändamål; återanvändning kräver ett nytt beslut.
• Dataminimering: extrahera definierade fält; sug inte in hela dokumentet i nedströmssystemen.
• Personuppgiftsbiträdesavtal på plats med arbetsflödesleverantören OCH varje underbiträde (inklusive AI-modellleverantören) listat.
• Ingen träning på era data: modellleverantörens villkor måste utesluta ert innehåll från träning.
• Datalagring inom EU där miljön tillåter det; giltiga överföringsmekanismer (standardavtalsklausuler) där den inte gör det.
• Lagringstid överenskommen per dokumenttyp; AI-lagrets tillfälliga filer och loggar raderas enligt schema.
• Innehåll hålls utanför applikationsloggarna — logga metadata (tidsstämplar, statusar), aldrig dokumenttext.
• Mänsklig tillsyn över avgörande steg; de registrerades rättigheter (tillgång, radering) genomförbara hela vägen.
• En incidentväg: vem som informeras om vad, och när, om något läcker.

Specialfall som kräver extra omsorg

• CV:n och rekryteringsdokument: högrisk enligt EU:s AI-förordning — AI får strukturera och sammanfatta, men en människa måste fatta varje beslut.
• Hälso-, juridik- och ekonomidokument: striktare rättsliga grunder och ofta kortare åtkomstlistor; designa godkännandegrinden därefter.
• Dokument om barn eller utsatta personer: oftast ett tecken på att arbetsflödet behöver en konsekvensbedömning (DPIA) innan något körs.

Vem som är ansvarig

Företaget som behandlar dokumenten förblir personuppgiftsansvarigt: det äger den rättsliga grunden, lagringsschemat och de slutliga besluten. En leverantör som Rexora agerar biträde — bunden av biträdesavtalet, ansvarig för att bygga arbetsflödet så att den ansvarige KAN efterleva reglerna, och för att hålla sitt eget lager (loggar, temporära filer, underbiträden) rent.

Godkännandet av efterlevnaden ligger hos den ansvarige och dess rådgivare. En bra leverantör gör den granskningen enkel genom att skriftligt lämna över dataflödet, listan över underbiträden och lagringsbeteendet — och tackar nej till uppdrag som inte kan göras regelrätta.

Innan ni automatiserar dokument

Tio minuter med de här frågorna sparar en plågsam ombyggnad senare.

• Lista dokumenttyperna och den rättsliga grunden för var och en.
• Skriv ner vilka fält ni faktiskt behöver extraherade.
• Be varje leverantör om dess lista över underbiträden och villkor som utesluter träning på era data.
• Kom överens om lagringstid för original, extrakt, temporära filer och loggar.
• Bestäm vilka steg som kräver en namngiven mänsklig godkännare.

Var Rexora passar in

• Rexora designar dokumentflöden med GDPR först: minimering, överenskommen lagringstid, loggar utan innehåll, EU-baserade verktyg där det är möjligt och ett DPA-utkast redo för granskning.
• Rekryteringsdokument låter alltid människor besluta — högriskreglerna i EU:s AI-förordning är arkitekturen, inte en fotnot.

Ärliga gränser

• Den här guiden är praktisk orientering, inte juridisk rådgivning; den ansvariges rådgivare ger det slutliga godkännandet.
• Vi tackar nej till uppdrag som kräver att mänsklig tillsyn tas bort från känsliga beslut.

Fler guider