CRM-systemGUIDEN

CRM och GDPR — Vad du behöver veta

Senast uppdaterad: 2026-03-23

Vad är GDPR?

GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som trädde i kraft den 25 maj 2018. I Sverige övervakas efterlevnaden av Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen). GDPR gäller alla företag som hanterar personuppgifter för personer inom EU/EES — oavsett var företaget är baserat.

Varför är GDPR relevant för CRM?

Ett CRM-system är per definition en databas över personuppgifter: namn, e-postadresser, telefonnummer, kundhistorik och kommunikation. Därför är GDPR direkt relevant för all CRM-användning.

Nyckelbegrepp

  • Personuppgiftsansvarig — Företaget som bestämmer varför och hur personuppgifter behandlas (det är ni).
  • Personuppgiftsbiträde — Leverantören som behandlar data för er räkning (CRM-leverantören).
  • Registrerad — Personen vars data ni lagrar (er kund eller kontakt).
  • Laglig grund — Det måste finnas en laglig grund för att behandla personuppgifter.

De sex lagliga grunderna för behandling

För att lagra och behandla personuppgifter i ert CRM måste ni ha minst en av följande lagliga grunder:

  1. Samtycke — Personen har gett aktivt samtycke till behandlingen.
  2. Avtal — Behandlingen är nödvändig för att fullgöra ett avtal med personen.
  3. Rättslig förpliktelse — Behandlingen krävs enligt lag (t.ex. bokföringslagens krav).
  4. Skydd för vitala intressen — Sällan relevant i CRM-sammanhang.
  5. Uppgift av allmänt intresse — Sällan relevant för företag.
  6. Berättigat intresse — Företaget har ett berättigat intresse som överväger den registrerades intresse av integritetsskydd.

För CRM-användning är avtal, berättigat intresse och samtycke de vanligaste grunderna.

Den registrerades rättigheter

Era kunder och kontakter har följande rättigheter enligt GDPR:

Rätt till information

Ni måste informera personer om vilka uppgifter ni samlar in, varför och hur länge de lagras. Detta gör ni vanligtvis genom er integritetspolicy.

Rätt till tillgång

Personen har rätt att få veta vilka personuppgifter ni har lagrade om dem. Ni måste kunna ta fram denna information från ert CRM på begäran.

Rätt till rättelse

Personen har rätt att få felaktiga uppgifter rättade.

Rätt till radering ("rätten att bli glömd")

Personen kan begära att deras data raderas. Observera att det finns undantag — exempelvis får ni inte radera data som krävs för bokföring.

Rätt till dataportabilitet

Personen har rätt att få sina uppgifter i ett maskinläsbart format för att kunna flytta dem till en annan tjänst.

Rätt att göra invändningar

Personen kan invända mot behandling baserad på berättigat intresse, exempelvis direktmarknadsföring.

Praktiska åtgärder för CRM-användning

1. Dokumentera er behandling

Upprätta ett register över alla behandlingar av personuppgifter i ert CRM. Dokumentera vilka uppgifter ni lagrar, varför, på vilken laglig grund och hur länge.

2. Gallringsrutiner

Inför rutiner för att regelbundet gallra data som inte längre behövs. De flesta CRM-system stödjer automatisk gallring baserat på regler. Bestäm gallringsfrister för olika typer av data.

3. Samtyckehantering

Om ni använder samtycke som laglig grund, säkerställ att:

  • Samtycket är fritt, specifikt, informerat och otvetydigt
  • Ni kan bevisa att samtycke givits (logga tidpunkt och innehåll)
  • Det är lätt för personen att återkalla samtycket

4. Biträdesavtal

Teckna ett personuppgiftsbiträdesavtal (DPA) med er CRM-leverantör. De flesta stora CRM-leverantörer erbjuder standardiserade DPA:er.

5. Privacy by Design

Konfigurera ert CRM så att:

  • Bara nödvändig data samlas in (dataminimering)
  • Tillgång begränsas till de som behöver den (behörighetsstyrning)
  • Data krypteras både vid lagring och överföring
  • Loggar förs över vem som kommer åt vilken data

Hur CRM-leverantörer stödjer GDPR

De flesta etablerade CRM-leverantörer har anpassat sina system för GDPR. Vanliga funktioner inkluderar:

  • Samtyckesfält och loggning — Möjlighet att registrera och spara samtycken med tidstämpel
  • Gallringsautomatik — Regler för automatisk radering av data efter bestämda perioder
  • Exportfunktion — För att kunna svara på begäran om dataportabilitet
  • Raderingsfunktion — För att kunna radera enskilda personers data på begäran
  • Behörighetsstyrning — Detaljerad kontroll över vem som får se och redigera vilken data
  • Aktivitetsloggar — Sparar vem som har gjort vad i systemet

Var lagras data?

För molnbaserade CRM-system är det viktigt att veta var data lagras:

  • Data inom EU/EES kräver normalt inga extra åtgärder
  • För data som överförs utanför EU/EES krävs lagliga skyddsåtgärder enligt GDPR kapitel V
  • Kontrollera att leverantören erbjuder datalagring inom EU om det är viktigt för er
  • Flera stora leverantörer har datacenter i EU, inklusive i Sverige och andra nordiska länder

Sammanfattning

GDPR är inte ett hinder för att använda CRM — det är ett ramverk för att göra det på ett ansvarsfullt sätt. Genom att välja en CRM-leverantör som stödjer GDPR, dokumentera er behandling och införa gallringsrutiner kan ni använda ert CRM fullt ut och samtidigt respektera era kunders rättigheter.

Vanliga fragor

Måste jag ha samtycke för att lagra kunddata i CRM?
Inte nödvändigtvis. Om ni har ett pågående kundförhållande kan ni oftast använda 'avtal' eller 'berättigat intresse' som laglig grund. Samtycke är främst relevant när ni samlar in data för marknadsföring till personer som ännu inte är kunder.
Hur länge får jag lagra personuppgifter i CRM?
GDPR anger ingen specifik tid — ni får lagra data så länge det finns ett ändamål och laglig grund. Men ni måste ha gallringsrutiner och radera data som inte längre behövs. Bokföringsrelaterad data måste dock sparas i sju år enligt bokföringslagen.
Vad händer om en kund begär att bli raderad?
Ni måste radera personens data inom en månad, om det inte finns lagliga skäl att behålla den (exempelvis bokföringslagens krav). De flesta CRM-system har funktioner för att radera enskilda personers data. Dokumentera alltid begäran och åtgärden.
Är det GDPR-säkert att använda ett amerikanskt CRM-system?
Ja, under förutsättning att leverantören erbjuder lämpliga skyddsåtgärder för dataöverföring till tredje land, exempelvis EU-US Data Privacy Framework eller standardavtalsklausuler. De flesta stora leverantörer som Salesforce, HubSpot och Pipedrive har anpassat sig för GDPR-efterlevnad och erbjuder datalagring inom EU.

Kallor

  1. 1Integritetsskyddsmyndigheten (IMY) — Om GDPR
  2. 2GDPR.eu — Complete Guide to GDPR Compliance
  3. 3GDPR.eu — Lawful Basis for Processing
  4. 4IMY — Personuppgiftsbitradesavtal
  5. 5HubSpot — GDPR Compliance
  6. 6Salesforce — GDPR
  7. 7Pipedrive — GDPR Features
  8. 8EUR-Lex — Regulation (EU) 2016/679 (GDPR)