Hoppa till innehåll
Basio
Alla artiklar
AI kundtjänstGDPRdataskyddjuridikAI Act5 min läsning21 juni 2026

AI-kundtjänst och GDPR: vad ni måste veta

GDPR-kraven för AI-kundtjänst i Sverige — datalagring, behandlingsavtal, rensningsrutiner och vad AI Act tillägger. Juridik utan juristkostnad.

GDPR kräver fyra saker av AI-kundtjänst: PUB-avtal med leverantören, definierad lagringstid för konversationsloggar (12–24 månader försvarbart), integritetspolicy som täcker AI-behandlingen, och tydlig AI-identifiering (AI Act 2026). Rättslig grund är berättigat intresse eller avtalsfullgörande — aktivt samtycke krävs inte.

GDPR gäller för AI-kundtjänst på samma sätt som för alla andra system som behandlar personuppgifter. Det är varken mer komplicerat eller mer enkelt — men det finns specifika krav att ha koll på.

Den här guiden ger er de juridiska grunderna utan att ni behöver anlita en jurist för varje fråga.

Rättslig grund: varför ni behandlar personuppgifter

Innan ni implementerar AI-kundtjänst behöver ni identifiera er rättsliga grund för behandlingen. De vanligaste för kundtjänst:

| Behandling | Rättslig grund | Motivering | |------------|---------------|------------| | Konversationslogg | Berättigat intresse / Avtalsfullgörande | Nödvändigt för att leverera tjänsten och hantera reklamationer | | CSAT-enkät | Berättigat intresse | Förbättra tjänsten — proportionerligt intresse | | CRM-integrerat kunddata | Avtalsfullgörande | Identifiering för korrekt ärendehantering | | Konversationsdata för AI-förbättring | Samtycke eller Berättigat intresse | Kräver dokumenterad bedömning |

Dokumentera valet av rättslig grund i er registerförteckning. "Vi vet inte" är inte ett svar IMY accepterar.

Personuppgiftsbiträdesavtal: icke-förhandlingsbart

Er AI-kundtjänst-leverantör behandlar personuppgifter på era vägnar. Det gör dem till ett personuppgiftsbiträde. GDPR Artikel 28 kräver ett skriftligt biträdesavtal (DPA) som täcker:

Minimiinnehåll i DPA:

  • Vilka kategorier av personuppgifter som behandlas
  • Syfte och instruktioner för behandlingen
  • Lagringstid och rensningsrutiner
  • Säkerhetsåtgärder (kryptering, åtkomstkontroll)
  • Regler för anlitande av underbiträden (t.ex. leverantörens molnleverantör)
  • Rapporteringsprocess vid personuppgiftsincident

Leverantörer som inte kan leverera ett DPA som uppfyller GDPR Artikel 28 ska ni inte anlita — oavsett hur bra deras produkt är.

Datalagring: definiera och automatisera rensning

GDPR:s lagringsminimerings-princip (Artikel 5(1)(e)) kräver att ni inte sparar personuppgifter längre än nödvändigt.

Rekommenderade lagringstider för AI-kundtjänst:

| Datatyp | Rekommenderad lagringstid | Motivering | |---------|--------------------------|------------| | Konversationslogg | 12 månader | Reklamationsrätt, garantihantering | | CSAT-svar | 24 månader | Trendanalys och förbättringsunderlag | | Eskalerade ärenden | 36 månader | Komplexa ärenden med längre reklamationsperiod | | Anonymiserad statistik | Obegränsat | Ingen personuppgift = GDPR gäller inte |

Konfigurera automatisk rensning i er AI-plattform. Manuell rensning skalas inte och glöms bort. Om plattformen inte stöder automatisk rensning är det ett konfigurationsbrott — inte en produktfunktionsfråga.

AI Act: transparenskrav från 2026

EU:s AI Act (tillämplig 2026) klassificerar kundtjänst-AI som ett "system med begränsad risk" — det innebär ett primärt krav:

Transparensskyldighet: Det ska vara klart och tydligt för kunden att de interagerar med ett AI-system.

Formuleringen "Jag är [Företagsnamn]s AI-assistent" i konversationsstarten uppfyller kravet. Det är inte nytt i praktiken — det är good practice sedan länge — men det är nu ett lagstadgat krav.

Vad AI Act INTE kräver för standard kundtjänst-AI:

  • Förhandsregistrering hos myndighet
  • Riskbedömning enligt högrisk-protokollet
  • Mänsklig oversyn av varje AI-beslut

Håll er uppdaterade på EU AI Office:s vägledning under 2026 — tillämpningsdetaljer preciseras löpande.

Praktisk GDPR-checklista för AI-kundtjänst

Innan lansering:

  • [ ] DPA undertecknat med leverantören
  • [ ] Rättslig grund dokumenterad för varje behandling
  • [ ] Lagringstider definierade och automatisk rensning konfigurerad
  • [ ] Integritetspolicy uppdaterad med AI-kundtjänst-behandlingen
  • [ ] Länk till integritetspolicyn i AI-agentens välkomstmeddelande
  • [ ] Registerförteckning uppdaterad med ny behandling

Löpande:

  • [ ] Granska konversationsloggar kvartalsvis för känslig data som inte ska lagras
  • [ ] Verifiera att automatisk rensning fungerar
  • [ ] Uppdatera DPA om leverantören byter underbiträden
  • [ ] Granska om lagringstider fortfarande är proportionerliga

Om incident inträffar:

  • Personuppgiftsincident ska rapporteras till IMY inom 72 timmar
  • Verifiera att er leverantör har en incidentrapporteringsprocess i DPA:et

Registerförteckning: vad ni behöver dokumentera

GDPR Artikel 30 kräver att organisationer med fler än 250 anställda — och alla som behandlar personuppgifter systematiskt — upprätthåller en registerförteckning (Record of Processing Activities). AI-kundtjänst är en ny behandling som måste läggas till.

Vad registerförteckningen ska innehålla för AI-kundtjänst-behandlingen:

| Fält | Exempel för AI-kundtjänst | |------|--------------------------| | Behandlingsnamn | Automatiserad kundtjänst via AI-agent | | Personuppgiftsansvarig | [Företagsnamn], org.nr [XXX] | | Syfte | Ärendehantering, support, reklamationer | | Kategorier av registrerade | Kunder, potentiella kunder | | Kategorier av personuppgifter | Namn, e-post, ordernummer, konversationsinnehåll | | Mottagare | [Leverantörsnamn] (biträde), [Molnleverantör] (underbiträde) | | Tredjelandsöverföring | Nej / Ja — [land, skyddsåtgärd] | | Lagringstid | 12 månader (konversationslogg), 24 månader (CSAT) | | Säkerhetsåtgärder | Kryptering i transit och i vila, åtkomstkontroll, loggning |

Registerförteckningen ska uppdateras varje gång ni byter leverantör, lägger till en ny kanal, eller ändrar lagringstider. Det är inte ett dokument ni skriver en gång — det är ett levande compliance-dokument.

Datasubjektets rättigheter: vad händer när en kund begär radering?

Registrerade (era kunder) har rättigheter under GDPR som gäller även AI-kundtjänst-data. De vanligaste förfrågningarna ni kommer att få:

Rätt till radering (Artikel 17): Kunden begär att ni raderar deras konversationsdata. Processen:

  1. Verifiera kundens identitet
  2. Identifiera all data: konversationsloggar i AI-plattformen, eskalerade ärenden i CRM, CSAT-svar
  3. Instruera leverantören (via DPA-process) att radera data i deras system
  4. Bekräfta radering till kunden inom 30 dagar

Rätt till tillgång (Artikel 15): Kunden begär en kopia av all data ni har om dem. AI-konversationsloggar ingår. Konfigurera en export-process med er leverantör — det är ett minimikrav att ha innan lansering, inte något ni löser ad hoc när första förfrågan kommer.

Rätt till rättelse (Artikel 16): Kunden vill korrigera felaktig information. Gäller främst CRM-data — konversationsloggar rättas normalt inte utan raderas vid felaktiga uppgifter.

Dokumentera er hanteringsprocess för datasubjektsrättigheter i en intern SOP. IMY kan begära att se den vid en tillsyn.

Se även: GDPR och AI-kundtjänst — fullständig guide · Säkerhets- och GDPR-checklista · AI-kundtjänst för offentlig sektor · Implementera AI-kundtjänst steg för steg · Checklista: köpa AI-kundtjänst 2026 · Fördelar och nackdelar med AI-kundtjänst · se våra priser

Vill ni granska er GDPR-setup för AI-kundtjänst? Boka ett möte — vi går igenom er konfiguration och identifierar eventuella compliance-gap innan ni lanserar.

Relaterade artiklar

AI kundtjänst

AI-röst-agenter och svenska dialekter

Förstår en AI-röst-agent skånska? Gotländska? Hur moderna speechmodeller hanterar svenska dialekter — och vad det innebär för er verksamhet.

AI kundtjänst

Kanalval: chatbot, röst-agent eller e-postagent?

Välj rätt AI-kanal för er kundtjänst. Chatbot, röst-agent och e-postagent löser olika problem — den här guiden hjälper er att välja rätt.

Vill ni se AI-kundtjänst i er verksamhet?

Boka ett kostnadsfritt 30-minuterssamtal. Vi analyserar er situation och berättar vad som kan automatiseras.

Boka kostnadsfritt samtal