Artikkel
Hvem er ansvarlig hvis ansatte deler personopplysninger i KI-verktøy?
Arbeidsgiver er normalt behandlingsansvarlig — også når den ansatte handler i strid med instruks. Her er det juridiske grunnlaget og hva det betyr for organisatoriske tiltak.
Hvem er ansvarlig hvis ansatte deler personopplysninger i KI-verktøy?
Kort svar: Arbeidsgiver er normalt behandlingsansvarlig — fordi formål og midler for behandlingen av de aktuelle opplysningene er fastsatt av arbeidsgiver. At den ansatte bryter instruksen fritar ikke arbeidsgiver fra ansvaret overfor de registrerte. Unntaket er snevert: bare hvis den ansatte bruker opplysningene til rent private formål helt utenfor arbeidsforholdet.
Hva sier GDPR?
Artikkel 4 nr. 7 definerer behandlingsansvarlig som den som «bestemmer formålene med og midlene for behandlingen av personopplysninger». Når en ansatt behandler klient-, elev- eller pasientdata i jobbsammenheng, er formål og midler fastsatt av arbeidsgiver — uavhengig av om den ansatte bruker et godkjent eller ugodkjent verktøy.
Artikkel 29 fastslår at enhver som handler for den behandlingsansvarlige «skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige». En ansatt som limer inn jobbdata i privat ChatGPT handler i strid med artikkel 29 — men dette gjør at den ansatte bryter sin instruksplikt, ikke at arbeidsgiver mister sitt ansvar.
Innføring og oppgavesamling i personvernrett kapittel 2.3 bekrefter at det vanligste er at den juridiske personen som sådan er ansvarlig, ikke enkeltpersoner eller avdelinger.
Hva betyr dette i praksis?
Konsekvensen er todelt:
For de registrerte (de personene opplysningene gjelder) er det arbeidsgiver som er ansvarlig for å verne deres rettigheter — inkludert å melde eventuelle personvernbrudd til Datatilsynet innen 72 timer etter GDPR artikkel 33.
For arbeidsgiver betyr det at fravær av tiltak — retningslinjer, opplæring, tilgangskontroll — er i seg selv et brudd på GDPR artikkel 24 og 32. Personvernnemnda har i PVN-2021-16 (Sykehuset Østfold) og PVN-2024-17 (NAV) ilagt gebyrer for manglende organisatoriske sikkerhetstiltak, uavhengig av om det oppsto en konkret hendelse.
Det snevre unntaket
Dersom den ansatte bruker opplysningene til rent private formål helt utenfor arbeidsforholdet, kan den ansatte selv anses som behandlingsansvarlig for sin egen behandling (artikkel 4 nr. 7). Men i praksis er dette sjelden tilfellet når jobbdata er involvert — det vil si data som stammer fra arbeidsoppgaver.
Karnov lovkommentar note 17 til GDPR artikkel 28 bekrefter at konsekvensene er store dersom noen overskrider sin rolle: «Databehandleren pålegges da alle plikter som hviler på en behandlingsansvarlig.»
Hva bør virksomheten gjøre?
Siden arbeidsgiver bærer ansvaret, er den eneste måten å beskytte seg på å ha dokumenterte organisatoriske tiltak på plass:
- Retningslinjer som spesifiserer hva som er tillatt og forbudt KI-bruk.
- Opplæring som sikrer at ansatte forstår konsekvensene av å dele personopplysninger med eksterne tjenester.
- Tilgangskontroll og tekniske sperrer der det er mulig.
- Kartlegging av faktisk KI-bruk — inkludert shadow AI.
- Avvikshåndtering med prosedyre for 72-timers melding til Datatilsynet.
Manglende tiltak gir dobbel eksponering: arbeidsgiver er ansvarlig for hendelsen og for at tiltakene manglet.
Rettskilder brukt i denne artikkelen
- GDPR artikkel 4 nr. 7 (behandlingsansvarlig)
- GDPR artikkel 24 (behandlingsansvarliges ansvar)
- GDPR artikkel 29 (behandling etter instruks)
- GDPR artikkel 32 (sikkerhet ved behandlingen)
- GDPR artikkel 33 (melding om brudd)
- Karnov lovkommentar note 17 til GDPR art. 28
- Innføring og oppgavesamling i personvernrett kap. 2.3
- PVN-2021-16 (Sykehuset Østfold)
- PVN-2024-17 (NAV)
Kilder: EU AI Act (EUR-Lex 2024/1689) · HK-dir Rapport nr. 04/2026 (CC-BY 4.0) · Regjeringen.no · Nkom.no