PUB-avtal med Klarna — checkout, BNPL och GDPR
Klarna är ett av Sveriges mest använda betalningssätt för e-handel. Förstå Klarnas unika roll som kombinerad kreditgivare och betalprocessor, DPA-strukturen och vad som krävs i integritetspolicyn.
Klarna Bank AB är ett av få fall där personuppgiftsbiträdet är ett välkänt varumärke med en stark position i konsumenternas medvetande. Nästan alla som handlat online i Sverige har hört talas om Klarna — men de GDPR-juridiska aspekterna av att integrera Klarna i din e-handel är mer komplexa än för de flesta betaltjänster.
Klarnas unicitet ur GDPR-perspektiv är kombinationen av roller: Klarna är en licensierad bank (Klarna Bank AB, med Finansinspektionen som tillsynsmyndighet), en betalprocessor, och ett kreditinstitut som genomför kreditbedömningar. Dessa roller skapar en delning av personuppgiftsansvar där Klarna är självständig personuppgiftsansvarig för kreditbedömningsändamålet — men din biträde för delar av betalströmmen.
När en konsument väljer att betala med Klarna delar du (handlaren) konsumentens köpdata (varor, belopp, leveransadress) med Klarna. Klarna genomför en realtidskreditbedömning baserad på denna köpdata kombinerat med Klarnas egen databas med köphistorik och kreditdata. Kreditbedömningen är Klarnas självständiga beslut som controller — du som handlare har ingen insyn i bedömningsmodellen.
Detta innebär att din GDPR-integritetspolicy behöver kommunicera till konsumenterna att (1) du delar köpdata med Klarna, (2) Klarna genomför en kreditbedömning som självständig personuppgiftsansvarig, och (3) Klarna kan dela data med kreditupplysningsföretag. Klarna tillhandahåller standardformulering för detta på sin GDPR-sida.
Klarna är ett europeiskt bolag (Stockholm) vilket innebär att grundläggande EU-skydd finns på plats utan tredjelandsproblematik. Men Klarnas globala expansion och databehandling för internationella marknader kan innebära flöden till Klarnas datacenters utanför EU — täckt av SCC enligt Klarnas DPA.
Kontrollera er compliance på några minuter
Generera ditt PUB-avtal med Klarna gratis på 10 minuter
Kör gratis skanningKlarnas DPA och aktivering
Klarnas Data Processing Agreement och GDPR-villkor finns på klarna.com/se/villkor/gdpr. Till skillnad från Google och Microsoft aktiveras Klarnas DPA inte via ett administrativt gränssnitt — det inkorporeras i Klarnas Merchant Agreement (det avtal du signerar när du ansöker om att använda Klarna på din webbplats).
Vad du behöver göra: 1. Kontrollera att ditt Merchant Agreement med Klarna inkluderar den aktuella DPA-versionen 2. Ladda ner Klarnas aktuella DPA från GDPR-sidan och arkivera med datum 3. Inkludera Klarna Bank AB som personuppgiftsbiträde och självständig ansvarig (för kreditbedömningsändamålet) i din Art. 30-förteckning 4. Uppdatera integritetspolicyn med korrekt beskrivning av Klarnas roller
Klarna som Controller och Processor
Klarnas GDPR-dokumentation delar upp behandlingen tydligt:
Klarna som Processor (biträde) för din räkning: Hantering av betalningsflödet efter kreditbedömning är godkänd — transaktionsdatalagring, kassasystem-integration, utbetalning till handlare.
Klarna som Controller (ansvarig) för egna ändamål: Kreditbedömning av köparen (Klarna genomför riskbedömning baserat på köphistorik och externa kreditdatabaser), bedrägeridetektering, produktförbättringsanalys, och Klarnas egna marknadsföringsändamål (om konsumenten har ett Klarna-konto).
Den praktiska konsekvensen: du kontrollerar inte vad Klarna gör med data i kreditbedömningssyfte. Din skyldighet är att informera konsumenterna om att denna behandling sker och hänvisa till Klarnas integritetspolicy.
Kreditbedömning och Art. 22 (automatiserade beslut)
Klarnas kreditbedömning är i grunden ett automatiserat beslutsfattande (GDPR Art. 22): ett algoritmsbaserat system fattar ett kreditbeslut (godkänn/neka) som påverkar konsumenten juridiskt och ekonomiskt.
GDPR Art. 22 kräver att den registrerade informeras om: - Att automatiserat beslutsfattande sker - Logiken bakom beslutet (i begränsad form) - Rätten att begära mänsklig granskning av beslutet - Rätten att bestrida beslutet
Klarna hanterar detta som självständig controller — Klarna ansvarar för Art. 22-informationsplikten direkt mot konsumenten. Men din integritetspolicy bör nämna att Klarna genomför automatiserade kreditbeslut och hänvisa konsumenten till Klarnas integritetspolicy för detaljer.
Integritetspolicyn för Klarna-integration
Din webbplats integritetspolicy behöver adressera Klarna-integrationen specifikt. Nyckelinformation:
- Delning av data med Klarna: Specificera vilka data du delar (namn, adress, e-post, telefon, köpbelopp, varuinformation)
- Klarnas roll: Klarna behandlar data som självständig personuppgiftsansvarig för kreditbedömning och som ert biträde för betalningshantering
- Kreditupplysning: Klarna kan dela data med kreditupplysningsföretag — informera konsumenten
- Länk till Klarnas integritetspolicy: Direkt länk till klarna.com/se/villkor/integritetspolicy
Klarna tillhandahåller en standardformulering på sin GDPR-sida som du kan använda direkt i din integritetspolicy.
Klarna Checkout och cookie-samtycke
Klarna Checkout inbäddas på din webbplats via ett JavaScript-element. Detta element kan sätta cookies för att hålla kassa-sessionsstatus och personanpassa Klarna-checkout-upplevelsen. Dessa cookies bör deklareras i din cookie-policy och hanteras av din cookie-banner:
- Sessionscookies för kassaflödet: nödvändiga för transaktionen (undantag från samtyckeskravet)
- Funktionalitetscookies för ihågkommande av kunddata (adress, betalsätt): kräver samtycke om de sparas utöver sessionen
Klarna One-Click (ihågkommande av betaldetaljer via Klarna-kontot) hanteras av Klarna som självständig controller för Klarna-konto-funktionaliteten — du behöver inte separat samtycke för detta, men konsumenten ska informeras.
Klarna är registrerat som betalningsinstitut hos Finansinspektionen och behandlar personuppgifter som kreditgivare, betalbiträde och ibland personuppgiftsansvarig – beroende på om Klarna gör kreditbedömning eller bara teknisk betalförmedling. Vid kreditbedömning är Klarna personuppgiftsansvarig och ni som handlare är separat ansvarig för er del av köpflödet.
Klarna hämtar kreditinformation om köparen från kreditupplysningsbolag (UC, Bisnode) vilket kräver information till kunden per GDPR artikel 14 om indirekt insamlad data. Klarna ansvarar för denna information i köpflödet; handlaren ansvarar för sin integritetspolicy.
Klarna Checkout lagrar cookie-data för att minnas köparen – dessa cookies kräver samtycke enligt LEK/ePrivacy-direktivet. Klarna:s cookiepolicy ska länkas till i er cookie-banner. Vid integration av Klarna On-Site Messaging (marknadsföring av köp nu, betala senare) kräver detta ett separat DPA-tillägg med Klarna. Klarna Kosma (open banking) tillhandahåller kontoåtkomst för budgetverktyg och kräver en separat behandlingsström under PSD2 och GDPR. Granska om er integration med Klarna inkluderar Kosma och uppdatera integritetspolicyn med open banking-datakategorier. Kunder har rätt att återkalla sitt samtycke till kontoåtkomst när som helst.
IMY-precedent
Klarna och kreditupplysningsdata — FI och IMY parallell tillsyn
Klarna regleras av Finansinspektionen (FI) som bank och av IMY som behandlare av personuppgifter. FI och IMY koordinerar tillsyn för finansiella aktörer som hanterar kreditdata. Handlare som integrerar Klarna bör säkerställa att deras integritetspolicy korrekt beskriver Klarnas roll som kreditgivare med tillhörande kreditbedömningsbehandling — brist på denna information har fört till anmärkningar i IMY:s tillsynsärenden om e-handlares integritetspolicyer.
Alla IMY-beslutGDPR för e-handel — komplett guide 2026
Komplett guide till GDPR för svenska e-handlare inklusive Klarna, Stripe, cookie-samtycke och kunddata.
Läs e-handels-GDPR-guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →