De senaste åren har användningen av digitala tjänster såsom artificiell intelligens (AI) och molntjänster ökat, både inom privat och offentlig verksamhet. Dessa teknologier erbjuder flera fördelar, men de medför även vissa juridiska utmaningar, särskilt i relation till regelverk som GDPR (EU:s dataskyddsförordning) och AI Act (EU:s AI-förordning).

Syftet med denna uppsats är att bidra med en fördjupad förståelse för hur en kommunal verksamhet kan använda AI och molntjänster i enlighet med gällande regelverk för dataskydd och personuppgifter, samt vilka konflikter med regelverk som kan uppstå.

Studien bygger på kvalitativa intervjuer med fem anställda inom en svensk kommun, vilken av integritetsskäl anonymiserats i uppsatsen. Av de fem respondenterna är tre enhetschefer på olika enheter inom kommunen, och de övriga två är en dataskyddssamordnare respektive en kommunövergripande dataskyddsstrateg. Den insamlade empirin analyserades sedan i förhållande till den undersökta litteraturen för att besvara studiens syfte och undersökningsfrågor. 

Resultatet visar att det finns en grundläggande medvetenhet om regelverk som GDPR och AI Act, men att tydliga riktlinjer och styrdokument för AI och molntjänster ofta saknas eller är otillräckliga. Regelverken och riktlinjerna upplevs ibland som komplexa och svårtolkade, särskilt inom det snabbt föränderliga området generativ AI, vilket kan skapa en osäkerhet kring vad som är tillåtet. Riskanalyser och tröskelanalyser lyfts fram som betydande metoder som används för att bedöma lämpligheten vid anskaffning och användning av molntjänster och AI-lösningar. Uppsatsen identifierar ett behov av antingen kommunövergripande eller förvaltningsspecifika policyer för att säkerställa säker och regelrätt användning av AI. I slutet av uppsatsen presenteras tre rekommendationer, däribland policyutveckling och kontinuerlig kunskapsuppdatering kring regelverk.