Hoppa till huvudinnehållet
CRMvalet
CRM-guide för svenska företag

CRM, GDPR och säkerhet

CRM kan innehålla personuppgifter om kunder, kontaktpersoner och prospekt. Företaget måste själv bedöma ändamål, rättslig grund, roller, risker och avtal; leverantörens funktioner gör inte systemet automatiskt förenligt med GDPR.

Direkt svar

CRM kan innehålla personuppgifter om kunder, kontaktpersoner och prospekt. Företaget måste själv bedöma ändamål, rättslig grund, roller, risker och avtal; leverantörens funktioner gör inte systemet automatiskt förenligt med GDPR.

Kort svar

CRM kan innehålla personuppgifter om kunder, kontaktpersoner och prospekt.

Passar när

För ansvariga som behöver ställa dataskydds- och säkerhetsfrågor före CRM-avtal.

Kontrollera särskilt

Roller, rättslig grund, behörighet, underbiträden, överföringar, incidenter och exit.

Nästa steg

Dokumentera leverantörsfrågor och ta juridisk hjälp vid hög eller oklar risk.

Innehåll

  1. Inte juridisk rådgivning
  2. Roller
  3. Ändamål och rättslig grund
  4. Behörighet och säkerhet
  5. Underbiträden och dataregion
  6. Internationella överföringar
  7. Incidenter och exit

Inte juridisk rådgivning

Guiden är generell information för kravarbete. Den ersätter inte juridisk bedömning av er behandling, rättsliga grund, risknivå eller avtal.

Roller

Personuppgiftsansvarig bestämmer ändamål och medel. Personuppgiftsbiträde behandlar personuppgifter för den ansvariges räkning. Underbiträde anlitas av biträdet och behöver kontrolleras i kedjan.

Ändamål och rättslig grund

Dokumentera varför uppgifterna behövs, vilken rättslig grund som används och hur länge uppgifterna ska sparas. Dataminimering betyder att CRM inte ska samla fält bara för att de finns.

Behörighet och säkerhet

Kravställ MFA där det behövs, rollstyrning, loggning, exportkontroll, backup och återställning. Leverantörsfunktioner ersätter inte interna rutiner.

Underbiträden och dataregion

Be om lista över underbiträden och regioner. EU-lagring kan minska vissa risker men innebär inte automatiskt full efterlevnad.

Internationella överföringar

Om personuppgifter överförs utanför EU/EES behövs bedömning av överföringsmekanism, till exempel adekvansbeslut eller standardavtalsklausuler när relevant.

Incidenter och exit

Kontrollera incidentrutiner, exportformat, återlämning, radering och hur åtkomst hanteras efter uppsägning.

Viktigaste källor och kontrolldatum

EUR-Lex – Regulation (EU) 2016/679

Europeiska unionen · Kontrollerad 2026-07-14

Stödjer: GDPR:s rättsliga ram, inklusive roller, principer, personuppgiftsbiträden och överföringar.

Praktisk checklista

  • Dokumentera ändamål och rättslig grund för CRM-behandlingen.
  • Skilj personuppgiftsansvarig, biträde och underbiträde i avtalet.
  • Kravställ MFA, behörigheter, loggning och incidentrutiner.
  • Granska dataregion och internationella överföringar försiktigt.
  • Planera export, radering och återställning vid exit.