Hem

Lagra kunddata enligt GDPR

Olof Brolien
september 14, 2022
Utöka er Leads-lista

Innehållsförteckning

Artikeln uppdaterades september 16, 2024 av Johannes Källman

År 2018 började GDPR (General Data Protection Regulation) gälla som lag för hur personuppgifter får lagras inom EU. Före GDPR var det PUL (Personuppgiftslagen) som reglerade detta i Sverige. Sedan den 25 maj 2018 har svenska företag och organisationer börjat rätta sig efter GDPR för lagring av kunddata.

Det är fortfarande många som inte är helt säkra på vad denna lag betyder för deras dagliga verksamhet. Här ska vi titta lite närmre på vad det innebär att lagra kunddata enligt GDPR.

Du får samla och lagra kunddata enligt GDPR

För det första är det viktigt att förstå att GDPR i grund och botten ger dig rätten att som privatperson, företag eller organisation samla in, använda, överföra, behandla och lagra kunddata inklusive leads som är icke-personuppgifter.

Du får enligt denna lag använda dig av datacentraler och molntjänster som finns var som helst i EU-länder. Det går förstås också att lagra persondata från länder utanför EU/EES. Men då ska du veta att det är minst lika strikta regler som inom EU som gäller och dessa måste du hålla dig till.

GDPR gör det väldigt smidigt för svenska och europeiska företag att jobba med marknadsföring. Det är ju inte sällan så att bolag jobbar i flera olika länder. Då går det att sänka kostnader och jobba med en IT-struktur som är laglig i samtliga EU-länder där ditt bolag är verksamt.

Vad menas med icke-personuppgifter?

Det som klassas som icke-personuppgifter är information som du inte kan koppla direkt till en specifik person som går att identifiera. Den här typen av information förekommer ofta inom affärsprocesser såväl som då apparater används för att skicka information vidare.

Det är viktigt att förstå att reglerna för att lagra kunddata inte är samma som för annan typ av information såväl som icke-personuppgifter. Samtidigt är det förstås så att dessa två olika typer av kunddata kan blandas och lagras på samma plats.

Blandade datamängder kräver hög skyddsnivå

När du lagrar kunddata som innehåller icke-personuppgifter såväl som personuppgifter så ska skyddsnivån för informationen vara samma som krävs för personuppgifter.

Lagra kunddata enligt GDPR

Var får du lagra kunddata enligt GDPR?

Enligt GDPR lagen så kan du lagra kunduppgifter i stort sett var som helst så länge som det är inom EU. Det finns några undantagsfall som rör en viss typ av uppgifter. Annars kan du använda dig av allt från molntjänster till manuell lagring på en hårddisk om du vill det.

Exempel på uppgifter som inte kan lagras på valfritt sätt är:

  • Information som rör den allmänna säkerheten
  • Information som måste finns på särskild plats för att undvika olyckor

När du vill flytta på information till exempel för att du väljer att byta molntjänst eller bestämmer dig för att börja använda ditt eget IT-system är det inte vara några problem. Så länge som det inte rör sig om särskilt information som den som nämns ovan är det upp till dig att välja hur du vill lagra kunddata och var den ska finnas.

Måste jag lämna ut kunddata till myndighet?

GDPR reglerar också vad som sker om en myndighet vänder sig till dig för att få information från din kunddatabas. Om skälen för detta är legitima så måste du ge ut informationen. Det spelar ingen roll om informationen som efterfrågas finns i Sverige eller i ett annat EU-land.

Om du inte följer GDPR så kan det leda till sanktioner. Dessa kommer att vara i enlighet med den lagstiftning som gäller i det land som den aktuella myndigheten finns i.

När är GDPR tillämplig?

Det finns många olika typer av situationer då GDPR kommer att tillämpas. Det här är i stort sett som före GDPR men med skillnaden att det givetvis har skapats nya plattformar sedan den nya lagen infördes år 2018.

Exempel på kunddata som påverkas av GDPR är:

  • Kundklubbsregister. Om du jobbar med en kundklubb för bättre insamling och analys av kunddata så innehåller det antagligen personuppgifter. Då omfattas ditt kundregister av GDPR.
  • Kampanjer och tävlingar. När du genomför en marknadsföringskampanj som till exempel kan vara en tävling så samlar du in information om de personer som deltar. Det kan vara att kunderna ger dig email eller telefonnummer för att du ska kunna ta kontakt om de vinner. I marknadssammanhang refereras dessa personer ofta till leads.
    När det går att koppla kontaktinformationen till en fysisk person så räknas det som personuppgift. Samma gäller om informationen kommer att hanteras av dataprogram automatiskt i ett program. GDPR kommer alltså att gälla!
  • Kunddata som inkommer vid betalningar. När det gäller betalningar så kommer GDPR att gälla för dig och den som erbjuder betalningslösningen. Exempel på detta är betalningar med SWISH eller kontokort som kan bli aktuella till exempel vid telemarketing.
    Det kan vara klokt att ta reda på hur leverantören av den betalningslösning du kommer att använda jobbar med GDPR för att ha koll på detta.
  • Kundomdömen. En viktig källa för information som kan användas för vidare arbete med marknadsföring och telemarketing är kundomdömen. Du får lagra kunddata från kundomdömen men även här är det viktigt att betänka att kundrecensioner ska hanteras på rätt sätt enligt GDPR då de inkluderar personuppgifter.
    Ibland kan det betyda att du måste ta bort kundomdömen som har med personuppgifter på ett sätt som är emot GDPR.
Lagra kunddata enligt GDPRlagra betalningsinformation från banker, Klarna, Paypal, kreditkort mm

Hur länge kan du spara personuppgifter?

Det är också viktigt att veta hur länga du kan lagra kunddata i enlighet med GDPR. Som det ser ut nu så är det i stort sett som innan GDPR trädde i kraft. Det finns ingen bestämd gräns för hur länge du kan lagra personuppgifter i en kunddatabas, men det finns rekommendationer för hur du ska tänka vad gäller lagringens tidsomfattning.

Huvudregeln är – Du kan lagra kunddata med personuppgifter så länge som detta är nödvändigt.

Det vill säga så länge som du behöver denna information för att kunna göra det som planeras med den så är det tillåtet att fortsätta lagra data om kunder.

När informationen inte längre behövs så ska personuppgifter antingen raderas eller anonymiseras. Det är dock viktigt att vara medveten om att det inte alltid är tillåtet att radera personuppgifter. Här kan lagar som arkivlagen och bokföringslagen vara aktuella så det är viktigt att ta reda på när det är okej att radera en viss typ av kunddata som innehåller personuppgifter.

Viktigt regel för att lagra kunddata – Då länge som en individ som ingått avtal med er förblir kund hos er så får ni spara uppgifter om kunden.

Det kan till exempel vara så att ni utfärdar en garanti för kunden. Under tiden för garantin kan ni lagra kunddata eftersom ni vid senare tillfälle behöver kontrollera köp med kunden.

Kom dock ihåg att lagring av kunddata alltid ska innebära att de uppgifter som faktiskt behövs till exempel för ett specifikt avtal och inte mer.

Ditt företag ska hänvisa till GDPR

Det är viktigt att uppdatera information om hur ni jobbar med GDPR på de plattformar som ni använder för kommunikation med kunder och potentiella kunder. Före GDPR så kanske ni hänvisade till personuppgiftslagen. Detta ska ändras så att ni istället hänvisar till GDPR då ni på olika sätt samlar in information.

Behöver ditt företag segmenterade leads eller adresslistor för att nå nya möjliga kunder för marknadsföringskampanjer eller säljaktiviteter inom rätt kundsegment?
Kontakta oss idag så berättar vi mer!

Olof Brolien

Olof Brolien

VD & grundare av Leadit Online Nordic AB20+ års erfarenhet av försäljning (B2B & B2C) och direktmarknadsföring i synnerhet.
Boka ett möte med Olof
Kontakta Olof

Bättre leadgenerering, fler kunder

Få fler leads!

Liknande artiklar

VISA ALLA >