← Tillbaka till bloggen 8 apr 2026 21 min läsning

GDPR och automation – vad du behöver veta

GDPR och automation – vad du behöver veta
GDPR automation är ett ämne som många småföretagare stöter på när de börjar automatisera sin verksamhet – och som ofta väcker onödig oro. Den goda nyheten: GDPR automation är inte alls så krångligt som det låter – om du vet vad du faktiskt behöver göra. Varje gång ett automationsverktyg hanterar ett kundnamn, en e-postadress eller ett telefonnummer berörs GDPR. Det innebär att Make.com, Zapier, n8n och Power Automate alla är relevanta ur ett dataskyddsperspektiv.
Innehåll
I den här guiden
  1. Vad GDPR och automation innebär i praktiken
  2. GDPR:s sex grundprinciper – enkelt förklarat
  3. PUB-avtalet – det viktigaste du behöver göra
  4. Make.com, Zapier och n8n – GDPR-status
  5. GDPR-checklista för automation
  6. Fyra vanliga GDPR-misstag i automationsflöden
  7. Så gör du din GDPR automation rätt – steg för steg
  8. Vanliga frågor
Viktig ansvarsfriskrivning: Den här guiden är informativ och ska inte ses som juridisk rådgivning. GDPR är komplex lagstiftning och tillämpningen varierar beroende på din verksamhet, vilken data du hanterar och hur. Vid tveksamheter – rådfråga en jurist eller kontakta Integritetsskyddsmyndigheten (IMY).

Vad GDPR och automation innebär i praktiken

GDPR automation handlar om att förstå hur dataskyddsreglerna påverkar dina automatiserade flöden. Kärnan i GDPR automation är enkel: vet du vilka uppgifter som passerar dina flöden, var de lagras och vem som hanterar dem? Då är du på rätt väg. GDPR – General Data Protection Regulation, eller dataskyddsförordningen på svenska – är EU:s lag om hur personuppgifter får samlas in, lagras och användas. Den gäller alla företag som verkar i EU, oavsett storlek. Som soloföretagare eller litet bolag med tre anställda omfattas du lika mycket som ett stort företag.

En personuppgift är all information som direkt eller indirekt kan knytas till en levande person. Det inkluderar namn, e-postadresser, telefonnummer, IP-adresser, beställningshistorik och i många fall även kombinationer av uppgifter som var för sig inte är personidentifierande.

Kopplingen till GDPR och automation uppstår direkt när ditt automationsflöde rör vid sådana uppgifter. Konkreta exempel:

  • Ett flöde som skickar ett bekräftelsemail med kundens namn och adress – berörs av GDPR
  • Ett flöde som kopierar kontaktuppgifter från ett formulär till ett kalkylark – berörs av GDPR
  • Ett flöde som skickar bokningspåminnelser via SMS till mobilnummer – berörs av GDPR
  • Ett flöde som synkroniserar kunddata mellan Fortnox och ett CRM – berörs av GDPR
  • Ett flöde som arkiverar orderuppgifter i OneDrive – berörs av GDPR

Det betyder inte att du inte kan automatisera dessa saker. Det betyder att du behöver göra det på rätt sätt – med rätt avtal, rätt inställningar och rätt förståelse för vad som händer med datan.

Den viktigaste insikten om GDPR automation: När du använder Make.com, Zapier eller n8n för att hantera personuppgifter blir dessa verktyg ditt personuppgiftsbiträde – och du är personuppgiftsansvarig. Det kräver ett skriftligt avtal dem emellan, kallat PUB-avtal eller Data Processing Agreement (DPA).

GDPR:s sex grundprinciper – vad de betyder för GDPR och automation

GDPR bygger på sex grundprinciper som alltid gäller vid behandling av personuppgifter. Att förstå dem gör det enklare att bygga GDPR automation-flöden som är korrekta från start – och slipper du bygga om dem i efterhand.

1
Laglighet, korrekthet och öppenhet

Du behöver en laglig grund för att behandla uppgifter – samtycke, avtal eller berättigat intresse. Kunden ska veta att du behandlar deras data.

2
Ändamålsbegränsning

Du får bara använda data för det syfte den samlades in för. Samlar du in e-post för fakturering får du inte använda den för nyhetsbrev utan nytt samtycke.

3
Uppgiftsminimering

Samla bara in den data du faktiskt behöver. Om flödet bara behöver e-postadressen – lägg inte till namn, adress och telefon i onödan.

4
Korrekthet

Data ska vara korrekt och uppdaterad. Automatiserade flöden som kopierar felaktig data mellan system förvärrar problemet.

5
Lagringsminimering

Spara inte data längre än nödvändigt. Automationsflöden som arkiverar kunduppgifter i evighet bryter mot denna princip.

6
Integritet och konfidentialitet

Data ska skyddas mot obehörig åtkomst. Välj verktyg med kryptering och begränsa vem som har åtkomst till automationsflöden med personuppgifter.

PUB-avtalet – det viktigaste du behöver göra för GDPR och automation

Det som de flesta småföretagare missar i sin GDPR automation är PUB-avtalet – personuppgiftsbiträdesavtalet. Det är ett juridiskt krav enligt GDPR artikel 28, och det är inte valfritt.

Enkelt förklarat: när du anlitar Make.com, Zapier eller annat automationsverktyg för att behandla personuppgifter på dina vägnar blir verktyget ditt personuppgiftsbiträde. Du är fortfarande ansvarig för datan – men biträdet hanterar den tekniskt. GDPR kräver att detta regleras skriftligt i ett avtal.

Den goda nyheten: de flesta stora verktyg har redan DPA redo

Make.com, Zapier, n8n och de flesta seriösa automationsplattformar erbjuder en Data Processing Agreement (DPA) – det internationella begreppet för PUB-avtalet. Du behöver inte skriva det från grunden. Processen ser i regel ut så här:

1
Hitta DPA/PUB-avtal i verktygets inställningar

De flesta verktyg har DPA tillgängligt under ”Legal”, ”Privacy” eller ”Settings”. Make.com och Zapier har det i sina juridiska dokument. Sök på ”[verktygsnamn] Data Processing Agreement”.

2
Granska och signera avtalet

Läs igenom vad avtalet täcker – vilka subprocessorer används, var data lagras, hur incidenter hanteras. Signera digitalt om möjligt, spara en kopia.

3
Lägg till i ditt behandlingsregister

Du ska ha ett register över dina personuppgiftsbehandlingar. Lägg till automationsverktyget som en behandling, med syfte, laglig grund och vilka uppgifter som behandlas.

4
Informera i din integritetspolicy

Din integritetspolicy ska nämna att du använder automationsverktyg och att data kan passera dem. Det räcker med en allmän beskrivning – du behöver inte lista varje flöde.

Mallar för PUB-avtal i GDPR automation: Behöver du skriva ett eget PUB-avtal (t.ex. om du anlitar en frilansutvecklare som hanterar din data)? Företagarna har en gratis mall att ladda ner på foretagarna.se/gdpr-mallar. För mer komplex situationer – anlita en jurist.

Make.com, Zapier och n8n – GDPR-status för automation

Nedan går vi igenom hur de vanligaste verktygen för GDPR automation och dataskydd skiljer sig åt på viktiga punkter. Här är en genomgång av de tre mest populära för svenska småföretag.

Make.com EU-datacenter tillgängligt DPA finns
Datacenter: EU-region tillgänglig (väljs i inställningar). Standard är USA om du inte väljer EU aktivt.
DPA/PUB-avtal: Finns tillgängligt under ditt konto under Legal. SOC 2 Type II och GDPR-kompatibelt.
Certifieringar: SOC 2 Type II, ISO 27001, GDPR
Praktiskt råd: Välj EU-region vid kontoupplägg och signera DPA. Håll automationsloggarna rena från känslig data.
Zapier USA-baserat DPA finns
Datacenter: Primärt USA-baserat. Data kan passera servrar utanför EU. Zapier åberopar EU-US Data Privacy Framework.
DPA/PUB-avtal: Finns som standardavtal under ditt konto. Täcker EU-krav via standardavtalsklausuler (SCC).
Certifieringar: SOC 2 Type II, GDPR (via SCC)
Praktiskt råd: OK för de flesta svenska småföretag med vanliga kunduppgifter. Undvik att skicka känsliga uppgifter (hälsa, ekonomi) genom Zapier utan juridisk rådgivning.
n8n (självhostad) Full datakontroll Inget DPA behövs*
Datacenter: Din server, din kontroll. Data lämnar aldrig ett externt system om du konfigurerar det rätt.
DPA/PUB-avtal: *Behövs inte med n8n-mjukvaran i sig – men krävs för din hostingleverantör (t.ex. DigitalOcean, Hetzner).
Certifieringar: Beror på din hostingleverantör. Välj en GDPR-certifierad EU-leverantör.
Praktiskt råd: Starkaste GDPR-profilen för känslig data – men kräver teknisk kompetens och ansvar för säkerhet, uppdateringar och backup.
Power Automate EU-datacenter DPA ingår i M365
Datacenter: Microsoft har datacenter i Sverige (Stockholm/Gävle). Kan konfigureras för att hålla data inom EU.
DPA/PUB-avtal: Microsofts DPA ingår i Microsoft 365-avtalet. Täcker Power Automate och hela M365-sviten.
Certifieringar: ISO 27001, SOC 2, GDPR, C5 (tyska molnsäkerhetskrav)
Praktiskt råd: En av de GDPR-tryggaste molnlösningarna för svenska småföretag. Starkt val för känslig affärsdata.

GDPR-checklista för automation – 7 punkter att bocka av

Använd den här checklistan varje gång du sätter upp ett nytt GDPR automation-flöde som hanterar personuppgifter.

Identifiera vilka personuppgifter flödet hanterar. Namn, e-post, telefon, betaluppgifter? Lista dem. Du kan inte skydda det du inte vet om.
Fastställ den lagliga grunden. Behandlar du uppgifterna för att uppfylla ett avtal (faktura, leverans)? Berättigat intresse? Samtycke? Du behöver ett svar på den frågan.
Signera DPA/PUB-avtal med ditt automationsverktyg. Gäller Make.com, Zapier, n8n Cloud, Power Automate och alla andra tjänster som berör personuppgifter.
Kontrollera var data lagras geografiskt. Välj EU-region om möjligt. Om data passerar USA – kontrollera att DPA täcker detta via standardavtalsklausuler.
Minimera vilka uppgifter som passerar flödet. Behöver flödet verkligen personnummer? Födelsedag? Ta bort känsliga fält om de inte är nödvändiga för uppgiftens syfte.
Sätt en lagringstid. Hur länge sparar flödet data i loggar, kalkylark eller databaser? Bestäm en maxgräns och automatisera raderingen om möjligt.
Uppdatera din integritetspolicy. Nämn att du använder automationsverktyg som databiträden och vilka kategorier av data som behandlas automatiserat.

Fyra vanliga GDPR-misstag i automationsflöden

Dessa misstag ser vi oftast hos svenska småföretag som börjar med GDPR automation utan en tydlig plan. De är enkla att undvika när du väl känner till dem.

Misstag 1 – Samla mer data än nödvändigt

Det är frestande att lägga till extra fält i ett formulär ”för att ha”. Men GDPR:s uppgiftsminimeringsprincip säger att du bara får samla in det du faktiskt behöver. Om automationsflödet bara behöver e-postadressen – samla inte in namn, adress och telefon också. Gå igenom dina formulär och radera fält som inte används.

Misstag 2 – Glömma DPA med automationsverktyget

Det vanligaste misstaget. Make.com och Zapier behandlar personuppgifter åt dig när dina flöden körs – de är dina databiträden och kräver ett skriftligt DPA. Det tar fem minuter att signera. Utan det bryter du mot GDPR artikel 28 – oavsett om något faktiskt går fel.

Misstag 3 – Spara körningsloggar med personuppgifter

De flesta automationsplattformar sparar körningsloggar som visar vad som hände i varje flöde. Om ditt flöde hanterar kunduppgifter syns dessa i loggarna. Kontrollera hur länge loggar sparas i ditt verktyg och rensa dem regelbundet. Make.com låter dig justera lagringstid under inställningar.

Misstag 4 – Skicka känsliga uppgifter i klartext

Personnummer, löneuppgifter och hälsouppgifter är känsliga personuppgifter som kräver extra skydd. Om du har automationsflöden som hanterar sådana uppgifter bör de inte skickas i klartext – varken i e-post, Slack-meddelanden eller okrypterade webhooks. Överväg att maskera, kryptera eller ta bort sådana uppgifter ur flödena.

Böter och konsekvenser vid felaktig GDPR automation: Brott mot GDPR kan leda till böter på upp till 4% av årsomslutningen eller 20 miljoner euro – det belopp som är högst. För ett litet företag med 2 miljoner i omsättning innebär det upp till 80 000 kr i potentiell bot. IMY kan även utfärda varningar och kräva åtgärder. Det är inte vanligt att småföretag drabbas av maxböter – men risken finns, särskilt vid dataintrång som rapporteras.

Så gör du din GDPR automation rätt – steg för steg

Har du redan automationsflöden igång och är osäker på om de följer GDPR? GDPR automation behöver inte vara komplicerat – det handlar om att göra rätt saker i rätt ordning. Här är en praktisk genomgång för att komma i ordning.

1
Lista alla dina automationsverktyg och flöden

Gå igenom Make.com, Zapier, n8n, Power Automate och eventuella andra verktyg. Lista vilket flöde som gör vad och vilka uppgifter som hanteras i varje flöde.

2
Signera DPA med varje verktyg

Sök på ”[verktygsnamn] Data Processing Agreement” eller kolla under Legal/Privacy i dina kontoinställningar. Signera och spara en kopia.

3
Skapa eller uppdatera ditt behandlingsregister

Ett behandlingsregister är en förteckning över vilka personuppgifter du hanterar, varför och hur. Det behöver inte vara komplicerat – ett Google-ark eller Excel-fil räcker för ett litet företag.

4
Granska och minimera data i flödena

Gå igenom varje flöde och fråga: behövs verkligen alla dessa uppgifter? Ta bort fält du inte använder. Kontrollera att loggar inte sparas onödigt länge.

5
Uppdatera din integritetspolicy

Se till att din integritetspolicy nämner att du använder automationsverktyg som behandlar data. Hänvisa till kategorierna av verktyg – du behöver inte lista varje enskilt flöde.

Sammanfattning
GDPR automation – det viktigaste att komma ihåg
GDPR gäller direkt när dina automationsflöden hanterar namn, e-post, telefon eller annan personidentifierande information
Make.com, Zapier och n8n är dina personuppgiftsbiträden – du behöver ett DPA/PUB-avtal med dem, vilket de flesta erbjuder utan extra kostnad
Make.com och Power Automate har bäst EU-datacenter-stöd av de vanliga automationsverktygen
n8n självhostad ger full datakontroll men kräver teknisk kompetens och ansvar för säkerheten
De fyra vanligaste misstagen i GDPR automation: för mycket data, saknat DPA, loggar med personuppgifter och känslig data i klartext
IMY är tillsynsmyndigheten i Sverige – vid osäkerhet, kontakta dem eller en GDPR-specialist

Vanliga frågor om GDPR och automation

Behöver jag ett PUB-avtal med Make.com och Zapier? +
Ja. I arbetet med GDPR automation är DPA-avtalet det mest grundläggande steget. Enligt GDPR artikel 28 krävs ett skriftligt personuppgiftsbiträdesavtal med alla verktyg som behandlar personuppgifter åt dig. Både Make.com och Zapier erbjuder detta kostnadsfritt under ditt konto – sök under Legal eller Privacy i inställningarna. Signera och spara en kopia.
Är Make.com och Zapier GDPR-godkända för svenska företag? +
Båda är GDPR-kompatibla med korrekt DPA-avtal och konfiguration. Make.com erbjuder EU-datacenter som kan väljas vid kontoupplägg – detta rekommenderas. Zapier är USA-baserat men täcker GDPR-krav via standardavtalsklausuler (SCC). För känsliga personuppgifter – hälsa, ekonomi, personnummer – bör du rådfråga en jurist om specifik tillämpning.
Vilket automationsverktyg är bäst ur GDPR-perspektiv? +
För de flesta svenska småföretag ger Make.com med EU-datacenter och Power Automate (via Microsoft 365) bäst GDPR-profil i kombination med enkelhet. n8n självhostad ger fullständig datakontroll men kräver teknisk kompetens. Zapier är GDPR-kompatibelt via DPA men har USA som primär datacenterregion. Välj verktyg baserat på ditt totala behov – GDPR är en faktor men inte den enda.
Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde? +
Du som företagare är personuppgiftsansvarig – du bestämmer varför och hur data behandlas. Make.com, Zapier och liknande verktyg är personuppgiftsbiträden – de behandlar data tekniskt på dina instruktioner. Du är alltid ytterst ansvarig mot dina kunder för hur deras data hanteras, oavsett vad ditt biträde gör.
Vad händer om jag inte har ett PUB-avtal med mitt automationsverktyg? +
Att sakna PUB-avtal är det vanligaste felet i GDPR automation-arbetet. Det är ett brott mot GDPR artikel 28. I praktiken är risken för åtgärder liten om inget annat går fel – men vid en dataintrångshändelse eller ett klagomål från en kund kan avsaknaden av DPA kraftigt förvärra situationen. Dessutom är det oseriöst mot dina kunder. Det tar fem minuter att signera – gör det.
Var kan jag få mer hjälp med GDPR och automation? +
Integritetsskyddsmyndigheten (IMY) på imy.se har gratis vägledning, guider och checklistor anpassade för svenska företag. Europeiska dataskyddsstyrelsen (EDPB) har en GDPR-guide specifikt för små och medelstora företag. Vid komplex datahantering – känsliga uppgifter, hälsodata, storskalig behandling – rekommenderar vi alltid en jurist specialiserad på dataskydd.
Senast uppdaterad: Mars 2026 av Småföretagsautomation

GRATIS NEDLADDNING

10 nyckelautomationer för svenska småföretagare

10 konkreta automationsflöden i 6 kategorier
Verktygsrekommendation för varje uppgift
Prioriteringsordning - börja med det som ger mest

Gratis PDF-guide · 6 sidor

Genom att ladda ner prenumererar du på vårt nyhetsbrev med tips om automation. Avregistrera när du vill.