PUB-avtal med Stripe — betalningshantering och GDPR
Stripe hanterar betaldata och kunduppgifter för svenska e-handlare och SaaS-bolag. Förstå Stripes dubbla roll som personuppgiftsansvarig och biträde, DPA-strukturen och PCI DSS-ansvaret.
Stripe är betalningslösningen för ett mycket stort antal svenska e-handlare, SaaS-bolag och prenumerationstjänster. Stripes integration är typiskt djupare än en vanlig leverantör — betaldata (kortinformation, bankuppgifter) flödar via Stripes API, kunduppgifter (e-post, adress, köphistorik) lagras i Stripe Dashboard, och Stripes webhooks triggar interna affärsprocesser.
Det gör GDPR-ansvarsanalysen mer komplex än för de flesta leverantörer: Stripe är inte enbart din personuppgiftsbiträde. Stripe är delvis din biträde (för betalningshanteringstjänsten du köper), delvis en självständig personuppgiftsansvarig (för Stripes egna tjänster som bedrägeriprevention, identitetsbedömning och Stripe Atlas). Denna dubbla roll beskrivs i Stripes Privacy Policy och DPA-dokumentation.
För svenska e-handlare är Stripe Payments Europe, Limited (baserat i Dublin, Irland) den juridiska entiteten i EU — vilket innebär att grundläggande GDPR-skyddet finns på plats via EU-etablering. Stripe använder dessutom SCCs för eventuella dataöverföringar till Stripe, Inc. (San Francisco) för global nätverksstöd och bedrägerianalys.
PCI DSS (Payment Card Industry Data Security Standard) är parallell med GDPR för betaldata: Stripe hanterar PCI DSS-compliance för kortdata i sin infrastruktur, men din integration måste implementeras korrekt för att inte oavsiktligt hantera råa kortuppgifter på dina egna servrar (vilket skapar PCI DSS-skyldigheter för din organisation). Korrekt Stripe-integration innebär att kortdata aldrig passerar dina servrar — allt hanteras via Stripes JavaScript-element.
En specifik GDPR-fråga för Stripe-användare: Stripe Connect (för marknadsplatser med flerleverantörsbetalningar) skapar en komplex ansvarsbild där du som plattform kan vara personuppgiftsansvarig för delar av betalflödet och Stripe är biträde — men Stripe Connect-policies kräver att du som plattform hanterar KYC (Know Your Customer) för dina underleverantörer, vilket skapar ytterligare dataskyddsansvar.
Kontrollera er compliance på några minuter
Generera ditt PUB-avtal med Stripe gratis — GDPR Art. 28-korrekt
Kör gratis skanningStripes DPA-struktur
Stripes Data Processing Agreement (DPA) finns på stripe.com/legal/dpa och aktiveras via Stripe Dashboard:
- Gå till Stripe Dashboard > Settings > Account details > Data Processing Agreement
- Granska och acceptera DPA:n
- Ladda ner och arkivera bekräftelsen
- Inkludera Stripe Payments Europe, Limited som personuppgiftsbiträde i din Art. 30-förteckning
Stripes DPA täcker Stripe som processortjänst för din betalhantering. Det täcker inte Stripes roll som självständig controller för Stripes egna riskbedömnings- och bedrägerpreventionsändamål.
Stripe som Controller vs Processor
Stripes DPA:n är tydlig om rollgränsen:
Stripe som Processor (biträde) för: Betalningshantering, prenumerationshantering, fakturering, utbetalningar, Radar-bedrägeribedömning utförd på din instruktion.
Stripe som Controller (ansvarig) för: Stripes egna produktförbättrings- och riskmodeller, Stripe Identity (identitetsverifiering), Stripe Atlas, globalt bedrägeridetekteringsnätverk (där Stripe delar signaler tvärs alla Stripe-kunder för kollektiv bedrägeriprevention).
I din integritetspolicy: informera om att Stripe behandlar betaldata som ditt biträde OCH att Stripe kan behandla vissa data som självständig ansvarig för sina egna ändamål — med länk till Stripes Privacy Policy för detaljer.
PCI DSS och GDPR
PCI DSS och GDPR är parallella regelverk för betaldata. Stripes integration hanterar PCI DSS åt dig om du implementerar korrekt:
- Använd Stripe.js och Stripe Elements (eller Stripe Checkout) för att låta Stripe hantera kortinmatningsformuläret — kortdata skickas direkt till Stripes servrar utan att passera dina
- Lagra aldrig råa kortuppgifter i din databas — använd Stripes PaymentMethod-ID som referens
- Aktivera Stripes HTTPS-krav (ingår i standardkonfiguration)
Om du råkar logga kortdata eller transaktionsdata innehållande kortinformation i dina egna servrarloggar eller databas, bryter du mot PCI DSS och potentiellt GDPR (om data exponeras i en incident).
Köpdata och lagringstider
Stripe Dashboard lagrar betalningshistorik, kundprofiler och kvitton. Ur GDPR-perspektiv:
- Rättslig grund: Avtal (Art. 6.1.b) för transaktionsdata nödvändig för att fullgöra köpet. Rättslig förpliktelse (Art. 6.1.c) för bokföringsunderlag (7 år).
- Lagringstid: Transaktionsdata som behövs för bokföring behålls 7 år. Kundprofiler i Stripe bör granskas och inaktiva profiler (inga köp på 3+ år) bör raderas om det inte finns rättslig grund för fortsatt lagring.
- Radering: Stripe erbjuder Customer Deletion-API för att radera kundprofiler. Implementera en intern rutin för att hantera GDPR-raderingsrequests som inkluderar Stripe-data.
Stripe Connect och marknadsplatser
Om du kör en marknadsplats med Stripe Connect (t.ex. en plattform med flera säljare/leverantörer som tar emot betalningar via dig), tillkommer:
- Din plattform är typiskt personuppgiftsansvarig för kundernas betaldata i ditt köpflöde
- Stripe är biträde för betalningstjänsten
- Du måste genomföra KYC för dina Connect-kontos (krav från Stripe och finansiell reglering)
- KYC-data (ID-handling, bankuppgifter för leverantörer) kräver separata DPA-strukturer och tydlig information till leverantörerna om hur deras data behandlas
- GDPR-rättslig grund för KYC: rättslig förpliktelse (penningtvättsreglerna, PSD2)
Stripe är ett PCI DSS Level 1-certifierat betalbiträde. Betalkortsdata krypteras och lagras aldrig i er miljö. Stripe behandlar dock personuppgifter utöver betaldata: namn, e-postadress, IP-adress, enhetsinformation och köphistorik används för bedrägeriskydd och riskbedömning.
Stripe's EU Data Processing Agreement täcker GDPR artikel 28-kraven. För svenska kunder lagrar Stripe data inom EU (Dublin, Irland) för EU-baserade Stripe-konton. Kontrollera att ert Stripe-konto är registrerat med EU-entity (Stripe Payments Europe, Limited) och inte US-entiteten.
Stripes Radar-tjänst för bedrägeriskydd använder ML-modeller som kan klassas som automatiserat beslutsfattande per GDPR artikel 22. Informera kunder om att bedrägerikontroll genomförs automatiskt och att manuell granskning kan begäras vid transaktionstvist. Stripe Sigma (analytics) behandlar transaktionsdata och kräver att ni aktiverar EU-dataresidens-inställningen. Stripe's Adaptive Acceptance använder ML för att öka godkännandegrad på betalningar – detta klassas som automatiserat beslutsfattande per GDPR artikel 22 om besluten innebär rättsliga eller liknande effekter för kunden. Informera kunder i integritetspolicyn och erbjud mänsklig granskning vid bestridd transaktion. Stripe Identity (ID-verifiering) behandlar biometrisk data och kräver explicit samtycke samt DPA-tillägg.
IMY-precedent
Betaldata och GDPR — IMY:s vägledning om finansiella personuppgiftsbiträden
IMY har i vägledningar 2024 betonat att finansiella tjänsteleverantörer som betalprocessorer (inklusive kortinlösare, BNPL-leverantörer och PSPs) kräver PUB-avtal och tydlig ansvarsfördelning i integritetspolicyn. Betaldata klassas som ekonomiska uppgifter som kan avslöja känslig information om köpbeteende. IMY understryker att rättslig grund och transparens mot kunderna är centralt.
Alla IMY-beslutGDPR-guide för svenska e-handlare
Komplett guide till GDPR för e-handel inklusive Stripe, Klarna, cookie-samtycke och kunddata.
Läs GDPR-guidenVanliga frågor
Relaterade guider
Hur compliance-redo är din webbplats?
Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.
Skanna gratis →