telefonväxelSäkerhet · 6 min läsning
GDPR & telefonväxel – så gör du rätt
En molnbaserad växel behandlar personuppgifter varje sekund – telefonnummer, röst, samtalstid. Här är vad GDPR kräver och hur du sätter rätt rutiner.
Vad räknas som personuppgift i en växel?
- Inkommande och utgående telefonnummer.
- Samtalshistorik kopplad till en person eller anställd.
- Röstinspelningar och röstbrevlådor.
- Logguppgifter kring vem som svarade och hur länge.
Laglig grund för inspelning
De två vanligaste grunderna är samtycke (informera och be om bekräftelse) eller berättigat intresse (kvalitet, tvistlösning) – men då krävs intresseavvägning. Informera alltid den uppringande i välkomstmeddelandet att samtalet kan spelas in.
PuB-avtal med växelleverantören
Leverantören är ditt personuppgiftsbiträde. Säkerställ att avtalet specificerar:
- Vilka uppgifter som behandlas och i vilket syfte.
- Var data lagras (helst inom EU/EES).
- Underbiträden och tredjelandsöverföring.
- Säkerhetsåtgärder, kryptering och åtkomststyrning.
- Rutiner vid incident och radering.
Praktiska rutiner att sätta direkt
- Begränsa vem som får lyssna på inspelningar (rollbaserad behörighet).
- Sätt automatisk radering efter 30–90 dagar.
- Logga åtkomst till inspelningar.
- Skriv in växeldata i registerförteckningen.
- Informera anställda – internsamtal kan också vara personuppgifter.
Vanliga frågor om GDPR & växel
Får vi spela in samtal?
Ja, men du måste ha laglig grund (oftast samtycke eller berättigat intresse) och informera den uppringande direkt i början av samtalet.
Hur länge får inspelningar sparas?
Bara så länge syftet kräver. För kvalitetssäkring är 30–90 dagar vanligt. Längre kräver tydlig motivering.
Måste växeldata ligga inom EU?
Det är inte ett krav – men starkt rekommenderat eftersom det avsevärt förenklar GDPR-efterlevnad och PuB-avtalet.