Voice AI och GDPR hänger ihop på ett sätt som många företag inte har tänkt igenom förrän systemet redan är i drift. En AI-röstlösning som hanterar kundsamtal behandlar personuppgifter från första sekund — och det ställer tydliga krav på hur data lagras, hur länge den sparas och hur kunden informeras. Från och med den 2 augusti 2026 gäller dessutom EU:s AI-förordning fullt ut, med krav på transparens som direkt berör alla som använder röst-AI i kundtjänst. Den här guiden går igenom vad GDPR kräver av en Voice AI-lösning, vad AI-förordningen tillför och hur du som svenskt företag väljer rätt leverantör.
Varför är röstdata känsligare än annan kunddata?
GDPR behandlar röstinspelningar som personuppgifter per definition. I många fall är de dessutom biometriska uppgifter, eftersom en persons röst kan användas för att identifiera dem. Det innebär att röstdata som huvudregel kräver ett tydligt rättsligt stöd för behandling — antingen samtycke eller berättigat intresse — samt att den skyddas med lämpliga tekniska åtgärder.
Det innebär också att ditt avtal med din Voice AI-leverantör är centralt. Enligt GDPR artikel 28 krävs ett personuppgiftsbiträdesavtal (PBA) varje gång ett företag anlitar en extern part som behandlar kunddata för dess räkning. PBA:et ska specificera vad som behandlas, hur länge, var datan lagras och vilka säkerhetsåtgärder som tillämpas. Att detta avtal saknas — eller undertecknas efter att systemet redan är i drift — är den vanligaste anledningen till GDPR-böter: 96 % av alla sanktioner kopplat till AI-lösningar beror på bristfällig datastyrning, inte avsiktliga överträdelser.
Integritetsskyddsmyndigheten (IMY) har publicerat specifik vägledning om GDPR och AI som gäller för alla svenska verksamheter som driftsätter AI-system med personuppgiftsbehandling.
Vad kräver GDPR av din Voice AI-lösning?
Fyra krav är särskilt relevanta för Voice AI i kundtjänst.
Personuppgiftsbiträdesavtal (PBA) innan driftsättning. Avtalet måste vara undertecknat innan det första produktionssamtalet besvaras. Det är inte förhandlingsbart och det är inte en formalitet — det är det juridiska fundamentet för hela behandlingen.
EU-baserad datalagring. Röstdata och transkript ska lagras inom EU/EES. Om leverantören lagrar data utanför unionen krävs en giltig överföringsmekanism, vanligtvis standardavtalsklausuler (SCC). Fråga alltid leverantören om exakta datacenterplatser — inte bara vilket land.
Definierade lagringstider och automatisk radering. En Voice AI-lösning utan konfigurerbara raderingsscheman innebär att data ackumuleras utan begränsning. Det strider mot GDPR:s princip om lagringsminimering. Varje inspelning som existerar längre än nödvändigt är en onödig risk.
Registrerades rättigheter. En kund som ber om att få veta vad som lagrats om dem — eller om att få sina uppgifter raderade — har rätt att få svar även på data som skapats av ett Voice AI-system. Din leverantör måste kunna stödja dessa processer tekniskt.
Vad tillför AI-förordningen — och varför gäller det dig?
AI-förordningen (AI Act) tillämpas fullt ut från den 2 augusti 2026 och gäller parallellt med GDPR. Den reglerar inte data utan system — alltså hur AI är konstruerat, vad det används till och vad som krävs av dem som driftsätter det. Digg och IMY är de svenska myndigheterna som ansvarar för tillsyn.
Det viktigaste tillägget för Voice AI är transparenskravet i artikel 50: det måste framgå tydligt för den som ringer att de talar med ett AI-system, inte en människa. Informationen ska ges muntligt i början av samtalet, på den ringandes språk. En hänvisning i en integritetspolicy räcker inte.
Böterna för brott mot artikel 50 uppgår till upp till 15 miljoner euro eller 3 % av den globala årsomsättningen (EU AI Act – fulltext).
Utöver transparenskravet bör du bedöma om ditt användningsfall faller under kategorin högrisksystem. En AI-receptionist som bokar verkstadstider befinner sig i en helt annan riskkategori än en som hanterar försäkringsärenden. Bedömningen bör göras tillsammans med leverantören innan driftsättning, inte efteråt.
Tre frågor som avslöjar om en leverantör är seriös
Marknaden för Voice AI växer snabbt, och det är stor skillnad på leverantörer som bygger in compliance i arkitekturen och dem som behandlar det som en försäljningspunkt. Dessa tre frågor skiljer dem åt:
1. Var lagras datan — exakt? Kräv specifika svar: datacenterland, region och om underleverantörer används. “EU-baserad” utan specificering räcker inte.
2. Ingår PBA som standard i avtalet? En seriös leverantör har ett färdigt GDPR-kompatibelt PBA klart för undertecknande som en del av onboardingen — utan att kräva en separat juridisk förhandling.
3. Används din data för att träna deras modeller? Det här är den vanligaste avtalsblinda fläcken. Bekräfta skriftligen att samtalsdata tillhör din organisation och inte används för att förbättra leverantörens system utan ditt uttryckliga samtycke.
Compliance bör scopas samtidigt som det praktiska arbetet att sätta upp en AI-telefonsvarare — inte som ett separat spår månader senare.
De vanligaste misstagen vid driftsättning
PBA:et undertecknas för sent. I många organisationer granskas leverantörsavtal efter upphandlingen — ibland månader efter att systemet är live. Det räcker inte. Avtalet ska vara på plats innan det första samtalet besvaras.
Inga lagringstider är satta. Om röstinspelningar och transkript saknar raderingsschema samlas de på hög. Välj en plattform som låter dig konfigurera automatisk radering utan att öppna ett supportärende.
Äganderätten till datan är oklar. SaaS-baserade lösningar skapar ibland en otydlighet om vem som egentligen äger samtalsdata. Reglera detta i PBA:et: datan tillhör din organisation och leverantören har inga rättigheter till den efter avtalets slut.
Hur Sono hanterar dataskydd
Sono bygger Voice AI-tjänster som automatiserar kundservice och försäljning inom flera branscher. All röstdata och kunddata behandlas inom EU, och varje kund får ett GDPR-kompatibelt personuppgiftsbiträdesavtal som en del av den ordinarie onboardingprocessen.
Om du utvärderar Voice AI och vill vara säker på att lösningen uppfyller kraven före augustideadlinen 2026, kontakta Sono — vi går igenom er situation tillsammans.
Den här artikeln beskriver allmänna principer för dataskydd. För rådgivning anpassad till din verksamhet bör du konsultera ett dataskyddsombud eller juridisk rådgivare.
