2. Arbetslektion - analysera AI med GDPR och AI Act

I den här lektionen ska ni inte bara läsa om regelverken, utan faktiskt använda dem.

Målet är att ni ska träna på att se:

när GDPR blir relevant,
när AI Act blir relevant,
och hur de två regelverken ofta behöver användas tillsammans.

Upplägg

Ni arbetar i par eller smågrupper.

Varje grupp får ett scenario och ska analysera det steg för steg. Ni behöver inte skriva som jurister. Det viktiga är att ni kan:

välja relevanta artiklar,
motivera varför de passar,
och föreslå rimliga skyddsåtgärder.

Fokus
Målet är inte att hitta “det enda rätta svaret”. Målet är att kunna föra ett rimligt, tydligt och välmotiverat resonemang.

Snabb repetition

Använd den här tumregeln:

GDPR: personuppgifter, rättslig grund, information, känsliga uppgifter, automatiserade beslut
AI Act: risknivå, förbjudna användningar, högrisk, mänsklig översyn, transparens

Vilket påstående stämmer bäst inför dagens arbete?

Vi ska välja antingen GDPR eller AI Act, aldrig båda GDPR och AI Act kan bli relevanta samtidigt i samma scenario AI Act gäller bara om ingen persondata används GDPR gäller bara sociala medier

Arbetsmodell i fyra steg

För varje scenario ska ni arbeta i fyra steg.

Steg 1 - Vad händer här?

Skriv 2-3 meningar:

Vad används AI till?
Vilka personer påverkas?
Vilken typ av data verkar användas?

Steg 2 - Vilka artiklar blir relevanta?

Välj minst:

2 GDPR-artiklar
2 AI Act-artiklar

Exempel på vanliga val:

GDPR artikel 5
GDPR artikel 6
GDPR artikel 9
GDPR artikel 13/14
GDPR artikel 22
AI Act artikel 5
AI Act artikel 6 + Annex III
AI Act artikel 9
AI Act artikel 14
AI Act artikel 50

Steg 3 - Vad är största risken?

Fundera på:

integritetsrisk,
orättvisa,
brist på transparens,
för stor tillit till AI,
risk att viktiga beslut tas utan verklig mänsklig kontroll.

Steg 4 - Vad borde krävas innan systemet används?

Ge minst tre konkreta krav.

Exempel:

tydligare information till användare,
mindre datainsamling,
mänsklig granskning,
bättre dokumentation,
stopp för viss användning,
tydlig märkning av AI-genererat innehåll.

Scenario A - Den smarta skolan

En kommun vill använda ett AI-system för att förutse vilka elever som riskerar att inte nå målen. Systemet använder närvaro, aktivitet i digitala plattformar, tidigare resultat och andra mönster i elevdata.

Kommunen säger att systemet ska hjälpa skolan att sätta in stöd tidigare. Kritiker menar att elever riskerar att kategoriseras på ett sätt som är svårt att förstå och ifrågasätta.

Frågor att besvara

Vilka personuppgifter verkar användas?
Vilka GDPR-artiklar blir viktiga här?
Är detta ett sammanhang där AI Act kan peka mot högrisk?
Hur skulle mänsklig översyn behöva se ut här för att vara på riktigt?

Scenario B - Rekryteringsverktyget

Ett företag använder AI för att sortera jobbansökningar. Systemet rangordnar kandidater och rekommenderar vilka som ska gå vidare till intervju.

Företaget säger att verktyget sparar tid och gör processen mer effektiv. Kritiker menar att systemet riskerar att förstärka gamla mönster och göra orättvisa bedömningar.

Frågor att besvara

Vilka risker finns om historisk data används?
Vilka artiklar i GDPR passar här bäst?
Vilka delar av AI Act verkar mest relevanta?
Räcker det att en människa “godkänner” AI:ns ranking i slutet?

Scenario C - AI-kompisen

En app för unga använder en AI-chatbot som uppmuntrar användare att prata länge med systemet. Appen säger att chatboten är ett stöd, men det är ibland otydligt hur den fungerar och när den ger råd i känsliga situationer.

Företaget samlar också data om hur användaren skriver, vad den frågar om och hur länge samtalen pågår.

Frågor att besvara

Vilka delar av GDPR blir relevanta?
Finns det risker kopplade till sårbara användare?
Blir transparens viktigt här? Varför?
Vad borde företaget behöva ändra innan tjänsten kan anses rimlig?

Redovisningsmall

Ni kan använda den här mallen i ert dokument:

Del	Svar
Scenario
Vad AI-systemet gör
Vilka påverkas
Relevanta GDPR-artiklar
Relevanta AI Act-artiklar
Största risk
Är mänsklig översyn viktig här? Varför?
Tre krav innan användning

Kort muntlig redovisning

Varje grupp presenterar:

vilket scenario ni arbetade med,
vilken artikel ni tycker var viktigast,
den största risken,
ett konkret krav ni skulle ställa innan systemet får användas.

Försök hålla redovisningen till 2 minuter.

Avslutande reflektionsfråga

Svara individuellt:

Vilket är svårast när man granskar AI juridiskt: att förstå datan, att förstå riskerna eller att förstå ansvaret? Motivera kort.

Exit ticket

Vad är det viktigaste målet med den här arbetslektionen?

Att memorera alla artiklar utantill Att träna på att välja relevanta artiklar och motivera varför de passar Att bevisa att AI alltid är förbjudet Att jämföra vilken lag som är längst

2. Arbetslektion - analysera AI med GDPR och AI Act

Upplägg

Snabb repetition

Vilket påstående stämmer bäst inför dagens arbete?

Arbetsmodell i fyra steg

Steg 1 - Vad händer här?

Steg 2 - Vilka artiklar blir relevanta?

Steg 3 - Vad är största risken?

Steg 4 - Vad borde krävas innan systemet används?

Scenario A - Den smarta skolan

Scenario B - Rekryteringsverktyget

Scenario C - AI-kompisen

Redovisningsmall

Kort muntlig redovisning

Avslutande reflektionsfråga

Exit ticket

Vad är det viktigaste målet med den här arbetslektionen?

Framsteg

Grattis! Du har klarat lektionen!