Vad är skillnaden mellan CLA och DCO för open source-projekt i Sverige?

Contributor License Agreement (CLA) är ett formellt juridiskt avtal som bidragsgivaren undertecknar med projektägaren — det beviljar explicita licenser för upphovsrätt och patent, hanterar arbetsgivarrelationer per kap. 2 § 40a och ger rätt till sublicensiering. Developer Certificate of Origin (DCO) är enklare: bidragsgivaren lägger till "Signed-off-by" i varje commit-meddelande och intygar per DCO 1.1 att koden är original eller korrekt licensierad. DCO kräver ingen separat signering men saknar patentlicens och sublicenseringsrättigheter. Linuxkärnan och Git använder DCO; Apache-projekt kräver CLA. För kommersiella projekt med duallicensiering eller M&A-potential rekommenderas CLA, gärna kombinerat med DCO för varje commit.

Äger min arbetsgivare koden jag skriver till ett open source-projekt på fritiden?

Upphovsrättslagen (1960:729) kap. 2 § 40a fastslår att arbetsgivaren förvärvar upphovsrätten till datorprogram skapade av anställda 'inom ramen för anställningen och dess arbetsuppgifter'. Lagen ger ingen tydlig gräns mellan arbetstid och fritid — det avgörande är om koden 'hör till' arbetsgivarens verksamhetsområde. Om du arbetar som backend-utvecklare för ett teknikbolag och bidrar till en backend-ramverksbibliotek på fritiden, kan din arbetsgivare hävda äganderätten. Skydda dig: (1) kolla ditt anställningsavtal för IP-klausuler; (2) inhämta skriftligt godkännande från HR eller juridik om du är osäker; (3) ange i CLA:n att bidraget faller utanför anställningens område. Underlåtenhet att hantera detta i CLA:n är den vanligaste källan till IP-konflikter i svenska open source-projekt.

Kan projektägaren ändra licensen på projektet efter att bidrag accepterats med CLA?

Det beror på CLA:ns villkor. Om CLA beviljar 'bred licens inklusive sublicensiering' utan att begränsa till projektets nuvarande licens, kan projektägaren licenseändra projektet — inklusive övergång till proprietär licens — utan att inhämta individuellt samtycke från varje bidragsgivare. Detta är standard för Apache CLA och MySQL-modellen. Om CLA däremot specificerar 'enbart under projektets utgångslicens' krävs samtycke från alla bidragsgivare vid licensbyte. Praktisk rekommendation: välj bred CLA-licens om du planerar kommersiell duallicensiering. GPL-projekt kan inte licenseändra till proprietär licens utan samtycke från alla bidragsgivare — oavsett CLA — om projektet distribuerades som GPL.

Hur hanterar GDPR open source-projektägarens behandling av bidragsgivardata?

Open source-projektägaren behandlar bidragsgivarens personuppgifter — namn och e-postadress i commit-metadata, pull request-kommentarer och CLA-register — som personuppgiftsansvarig per GDPR art. 4.7. Rättslig grund är art. 6.1(b) (avtalets fullgörande: CLA-administrering) och art. 6.1(f) (legitima intressen av IP-dokumentation och säkerhetsgranskning). Informationsskyldigheten per art. 13 uppfylls i CLA:ns GDPR-klausul. Bidragsgivaren har rätt till tillgång (art. 15), rättelse (art. 16) och radering (art. 17) — men raderingen kan begränsas om commit-historiken kräver namn-e-post-koppling för säkerhetsrevision. IMY:s vägledning från 2024 bekräftar att open source-kodoffer-databaser är tillåtna men kräver tydlig information om behandlingen.

Vad är patentlicensens 'patent defense'-klausul och varför är den viktig?

Patent defense-klausulen i CLA:n stipulerar att bidragsgivarens patentlicens automatiskt upphör om bidragsgivaren (eller ett bolag bidragsgivaren kontrollerar) väcker patenttalan mot projektägaren eller projektets användare avseende projektet. Syftet är att förhindra ett taktiskt manöver: en bidragsgivare bidrar kod för att sedan stämma projektet för patentintrång. Apache CLA 2.0 och Linux Kernel Developer Certificate innehåller varianter av denna klausul. Utan patent defense-klausulen kan en bidragsgivare i teorin ge en licens idag och stämma imorgon. Patentlagen (1967:837) § 13 tillåter licensgivning med sådana villkorade upphörandevillkor. Klausulen ger även projektets downstream-användare ett skydd: om de används under en Apache 2.0-licens täcks de av bidragsgivarens patentlicens, vilket är ett viktigt skäl till att Apache 2.0 föredras framför MIT i kommersiella sammanhang.

Krävs CLA för offentliga myndigheters open source-projekt i Sverige?

Digg (Myndigheten för digital förvaltning) och kommuner publicerar allt fler open source-projekt under öppna licenser. LOU (2016:1145) kräver att upphandlade IT-lösningar dokumenterar IP-rättigheter tydligt. Utan CLA riskerar myndigheten att acceptera bidrag vars IP-klarhet inte kan verifieras, vilket skapar problem vid framtida upphandling eller revision. Statlig upphovsrätt regleras av särskilda regler: verk skapade av tjänstemän inom ramen för deras tjänst tillhör kronan, men externa bidragsgivare faller under allmänna upphovsrättsregler. Rekommendation: alla offentliga open source-projekt bör implementera CLA-process i kombination med DCO, och publicera CLA-registret öppet. Diggs riktlinjer från 2023 om öppen källkod understryker vikten av tydliga licenser och IP-dokumentation.

Hur förbereder ett open source-projekt sig för EU Cyber Resilience Act (CRA) via CLA?

EU Cyber Resilience Act (CRA, 2024) träder i full kraft 2027 och ålägger tillverkare av produkter med digitala element — inklusive kommersiella open source-distributörer — krav på cybersäkerhet, sårbarhantering och SBOM. Open source-projekt som distribuerar produkter kommersiellt på EU-marknaden omfattas. CLA kan förbereda projektet för CRA-efterlevnad på tre sätt: (1) SBOM-krav i CLA: bidragsgivaren ska deklara alla tredjepartskomponenter med licens och version — projektägaren aggregerar dem till projektets SBOM i CycloneDX-format, vilket är ett CRA-krav. (2) Säkerhetsklausul i CLA: bidragsgivaren intygar att koden inte innehåller bakdörrar, skadlig kod eller kända kritiska sårbarheter vid bidragstidpunkten. (3) Incidentrapportering: CLA:n kan kräva att bidragsgivaren rapporterar kända säkerhetsbrister till projektets säkerhetsteam inom 72 timmar, analogt med NIS 2-direktivets krav.

Open source bidragsavtal (CLA)

Open Source Bidragsavtal (CLA) — Parterna och Projektet

OPEN SOURCE BIDRAGSAVTAL (CONTRIBUTOR LICENSE AGREEMENT)

Detta Open Source Bidragsavtal ("Avtalet" eller "CLA") ingås mellan:

PROJEKTÄGARE: [Projektägare], med adress [Projektagare Adress] ("Projektägaren"), som driver open source-projektet [Projekt Namn] tillgängligt på [Projekt Url], distribuerat under [Projekt Licens];

BIDRAGSGIVARE: [Bidragsgivar Namn], med adress [Bidragsgivar Adress], e-post [Bidragsgivar Epost] ("Bidragsgivaren"), som bidrar till Projektet i egenskap av [Bidragsgivar Typ].

Avtalet undertecknas den [Avtalsdatum] och gäller [Giltighets Tid] för alla bidrag ("Contributions") som Bidragsgivaren lämnar till Projektet.

SYFTE. Syftet med detta CLA är att klargöra de immateriella rättigheter som Bidragsgivaren beviljar Projektägaren vid bidrag till Projektet, och att säkerställa att Projektets öppna karaktär och licensintegritet upprätthålls. Avtalet grundar sig på Apache Software Foundation CLA-standard, anpassat till svensk rätt per Upphovsrättslagen (1960:729) och Avtalslagen (1915:218).

DEFINITIONER. "Bidrag" avser varje originalt verk av upphovspersonskaraktär — inklusive källkod, tester, dokumentation, konfigurationsfiler, grafik och datafiler — som Bidragsgivaren avsiktligen lämnar in till Projektet för inkludering i Projektets kodbas. "Lämnar in" avser kommunikation via elektronisk kanal, kod-hosting-plattform (pull request, patch, issue-kommentar) eller skriftlig post.

Upphovsrättslicens och Patentlicens

UPPHOVSRÄTTSLICENS. Bidragsgivaren beviljar härmed Projektägaren, och alla mottagare av programvara distribuerad av Projektägaren, en evig, världsomspännande, icke-exklusiv, royaltyfri, oåterkallelig licens att reproducera, förbereda derivatverk av, offentligt visa, offentligt utföra, sublicensiera och distribuera Bidragen och sådana derivatverk i källkods- eller objektkodsform. Licensen beviljas under [Upphovsrattslicens]-villkor och tillåter sublicensiering: [Sublicensiering].

Upphovsrättslagen (1960:729) § 2 ger upphovspersonen ensamrätt att förfoga över verket genom exemplarframställning, tillgängliggörande och bearbetning. Genom detta CLA beviljar Bidragsgivaren de licenser som anges ovan och som är nödvändiga för att Projektägaren ska kunna distribuera Projektet under sin utgångslicens.

PATENTLICENS. Om patentlicens beviljas ([Patentlicens]): Bidragsgivaren beviljar härmed Projektägaren och alla mottagare av programvara distribuerad av Projektägaren, en evig, världsomspännande, icke-exklusiv, royaltyfri, oåterkallelig (förutom enligt vad som anges nedan) patentlicens att framställa, låta framställa, använda, erbjuda att sälja, sälja, importera och på annat sätt överföra Projektet, där sådan licens gäller enbart patent som kan göras gällande av Bidragsgivaren (eller av bolag Bidragsgivaren kontrollerar) och som nödvändigtvis täcks av Bidragets bidrag till Projektet.

PATENTLICENSENS UPPHÖRANDE. Om Bidragsgivaren (eller bolag Bidragsgivaren kontrollerar) inleder patenträttegång mot Projektägaren eller annan enhet med påstående om patentintrång avseende Projektet, upphör patentlicensen för Projektet automatiskt från och med tidpunkten för rättegångens inledande. Patentlagen (1967:837) styr patentets rättsliga ställning i Sverige.

MORALISKA RÄTTIGHETER. Bidragsgivaren bekräftar sina moraliska rättigheter per Upphovsrättslagen (1960:729) § 3 och väljer: [Moralisk Rattighet]. Projektägaren förbinder sig att i rimlig utsträckning identifiera Bidragsgivaren i AUTHORS-fil, commit-historik eller projektdokumentation, om attribution krävs.

Ursprungsgaranti, DCO och Arbetsgivarrelation

URSPRUNGSGARANTI. Bidragsgivaren intygar och garanterar att: (a) varje Bidrag är Bidragsgivarens originalt skapade verk, och att Bidragsgivaren har laglig rätt att bevilja de licenser som anges i detta Avtal; (b) om Bidraget innehåller verk skapade av tredje part, har Bidragsgivaren rätt att inkludera sådant verk och att verk i fråga är licensierat under en licens som är kompatibel med Projektets utgångslicens per [Ursprungsgaranti]. Tredjepartskomponenter: [Tredjepartskomponenter].

DEVELOPER CERTIFICATE OF ORIGIN (DCO). Om Bidragsgivaren väljer DCO-signoff används "Signed-off-by: [Bidragsgivar Namn] <[Bidragsgivar Epost]>" i varje commit-meddelande. Genom att lägga till Signed-off-by intygar Bidragsgivaren att bidraget uppfyller DCO 1.1, tillgänglig på https://developercertificate.org/. DCO-signeringen utgör en skriftlig bekräftelse av ursprungsgarantin och kan åberopas i samband med Upphovsrättslagen (1960:729) vid eventuell tvist.

ARBETSGIVARRELATION. Bidragsgivaren bekräftar att bidragets förhållande till eventuell anställning är: [Arbetsgivar Klausul]. Upphovsrättslagen (1960:729) kap. 2 § 40a medger att arbetsgivaren förvärvar upphovsrätten till datorprogram skapade inom ramen för anställning. Om Bidragsgivaren anger att arbetsgivaren har rättigheter till koden, ska skriftligt godkännande från arbetsgivaren bifogas eller åberopas i detta avtal. Om sådant godkännande saknas är Bidraget ogiltigt och ska avvisas av Projektägaren.

CORPORATE CLA. Om Bidragsgivaren är ett bolag eller bidrar på ett bolags vägnar, ska en behörig firmatecknare underteckna detta Avtal i bolagets namn. Bolaget ansvarar för att identifiera och registrera vilka anställda som är behöriga att bidra till Projektet under bolagets CLA. En lista över behöriga bidragsgivare ska på begäran tillhandahållas Projektägaren.

Sekretess, GDPR och Personuppgifter

GDPR OCH PERSONUPPGIFTER I BIDRAG. Bidragsgivaren bekräftar att inga personuppgifter (definierade i GDPR art. 4.1) förekommer i bidraget utan att dessa är pseudonymiserade eller syntetiska: [Personuppgifter I Kod]. Bidrag som innehåller riktiga personnummer, e-postadresser, IP-adresser eller andra personuppgifter ska omedelbart avvisas och raderas ur versionshistoriken. Projektägaren behandlar Bidragsgivarens kontaktuppgifter (namn, e-post, adress) som personuppgifter per GDPR art. 6.1(b) (avtalets fullgörande) och art. 6.1(f) (legitima intressen av att upprätthålla CLA-registret). Uppgifterna lagras i Projektägarens CLA-register och publiceras i AUTHORS-filen om attribution begärs.

SEKRETESS. Bidragsgivaren bekräftar att bidraget inte innehåller projektägarens affärshemligheter eller sekretessbelagd information: [Sekretess Klausul]. Bidragsgivaren erkänner att Projektet är ett öppet projekt och att bidrag är offentliga från tidpunkten för commit. Bidragsgivaren ska inte inkludera information som är sekretessbelagd gentemot Projektägaren eller tredje part. Företagshemlighetslagen (2018:558) §§ 2–3 skyddar Projektägarens interna tekniska information som inte ingår i den publika kodbasen.

INTEGRITETSSKYDD FÖR BIDRAGSGIVARE. Projektägaren åtar sig att: (a) enbart behandla Bidragsgivarens personuppgifter för ändamål kopplade till CLA-administrering och projektet; (b) inte sälja eller dela uppgifterna med tredje part utan samtycke; (c) radera uppgifterna vid Bidragsgivarens begäran om bidraget inte längre ingår i projektets aktiva kodbas; (d) besvara datarättigheter (rätt till tillgång, rättelse, radering) per GDPR art. 15–17 inom 30 dagar. Personuppgiftsansvarig: [Projektägare], kontakt: [Projektagare Adress].

Representationer, Garantier och Ansvarsbegränsning

REPRESENTATIONER. Bidragsgivaren representerar att: (a) Bidragsgivaren är myndig (minst 18 år) och har rättslig kapacitet att ingå detta Avtal; (b) Bidragen inte på något sätt bryter mot eller inkräktar på tredje parts upphovsrätt, patent, varumärke, affärshemlighet eller andra immateriella rättigheter; (c) Bidragen inte innehåller skadlig kod, bakdörrar, trojaner eller exploit-kod; (d) om Bidragsgivaren är ett bolag, att behörig firmatecknare undertecknat Avtalet.

FRISKRIVNING FRÅN GARANTIER. BIDRAGEN TILLHANDAHÅLLS "I BEFINTLIGT SKICK" UTAN GARANTIER AV NÅGOT SLAG, VARE SIG UTTRYCKLIGA ELLER UNDERFÖRSTÅDDA. BIDRAGSGIVAREN GARANTERAR INTE ATT BIDRAGEN ÄR FRIA FRÅN FEL, ATT DE PASSAR FÖR ETT VISST ÄNDAMÅL ELLER ATT DE UPPFYLLER KRAV STÄLLDA AV TREDJE PART.

ANSVARSBEGRÄNSNING. I den maximala utsträckning som tillåts av tillämplig lag är Bidragsgivarens sammanlagda ansvar under detta Avtal begränsat till direkta skador upp till ett belopp motsvarande 5 000 SEK. Indirekt skada, utebliven vinst, dataförlust eller skada på goodwill ersätts inte. Skadeståndslagen (1972:207) kap. 5 styr skadeståndsbedömningen vid kontraktsbrott.

PROJEKTÄGARENS SKYLDIGHETER. Projektägaren förbinder sig att: (a) upprätthålla ett offentligt tillgängligt CLA-register med bidragsgivarlistan; (b) inte tillskriva Bidragsgivaren ansvar för fel som uppstår i Projektets integration eller användning av bidraget; (c) respektera Bidragsgivarens moraliska rättigheter per Upphovsrättslagen (1960:729) § 3 i enlighet med vad som angetts ovan.

Avtalstid, Tvist och Tillämplig Lag

AVTALSTID. Avtalet träder i kraft vid undertecknandet och gäller [Giltighets Tid]. Bidragsgivaren kan säga upp Avtalet med 30 dagars skriftlig varsel till Projektägaren, men alla bidrag gjorda dessförinnan förblir licensierade under de beviljade licenserna — dessa licenser är oåterkalleliga för redan gjorda bidrag.

ÄNDRINGAR. Projektägaren kan ändra CLA-villkoren med 60 dagars förvarning via projektets officiella kanal (repo-wiki, e-postlista eller publicering på projektets webbplats). Bidragsgivaren som inte accepterar de ändrade villkoren kan säga upp Avtalet; bidrag gjorda före ändringen kvarstår under de ursprungliga licensvillkoren.

TILLÄMPLIG LAG. Detta Avtal regleras av och tolkas i enlighet med svensk rätt, exklusive dess lagvalsregler. Lagvalet grundar sig på Lag (2020:914) om lagval för avtalsförpliktelser (svenska implementeringen av Rom I-förordningen), och Sverige är Projektägarens etableringsland.

TVIST. Tvister rörande Avtalets tolkning eller giltighet ska i första hand lösas genom förhandling. Om förhandling misslyckas inom 30 dagar ska tvisten slutligt avgöras av [Tvist] med tillämpning av svensk rätt. Parterna godtar dessa forums exklusiva jurisdiktion.

SEPARERBARHET. Om en klausul i Avtalet är ogiltig eller ogenomförbar, ska övriga klausuler förbli i full kraft. Den ogiltiga klausulen ska ersättas av en giltig klausul som i möjligaste mån uppfyller det ursprungliga syftet.

HELA AVTALET. Detta Avtal utgör det fullständiga avtalet mellan Parterna avseende Bidragen och ersätter alla tidigare muntliga eller skriftliga överenskommelser i samma ämne. Ändringar ska vara skriftliga och signerade av behöriga representanter för båda Parter.

BIDRAGSGIVARENS UNDERSKRIFT

Namn: [Bidragsgivar Namn]

Datum: [Underskriftsdatum]

Underskrift: [Bidragsgivar Underskrift]

PROJEKTÄGARENS UNDERSKRIFT

Projektägarens firma: [Projektägare]

Behörig firmatecknare: [Projektägar Underskrift]

Datum: [Underskriftsdatum]

Bidragsgivare

________________

Signature

Projektägare / Maintainer

________________

Signature

Underhålls av Vladislav Sergienko, grundare·Mall senast ändrad: 2026-06-23·Rapportera ett fel

Vad är Open source bidragsavtal (CLA)?

Open source bidragsavtal (CLA) i Sverige är ett juridiskt avtal mellan en open source-projektägare och en bidragsgivare — privatperson eller bolag — som definierar de immateriella rättigheterna som överlåts eller licensieras när kod, dokumentation eller andra kreativa verk lämnas till projektet. CLA överför inte upphovsrätten i sig — det beviljar projektägaren en bred, oåterkallelig licens att använda, modifiera, sublicensiera och distribuera bidraget under projektets valda open source-licens.

Upphovsrättslagen (1960:729) § 2 ger upphovspersonen ensamrätt att förfoga över verket. Kap. 2 § 40a fastslår att arbetsgivaren automatiskt förvärvar upphovsrätten till datorprogram skapade av anställda inom ramen för anställningen — men denna regel gäller inte externa konsulter eller frivilliga bidragsgivare. Utan ett CLA kan ett open source-projekt hamna i juridisk osäkerhet om vem som äger rättigheterna till bidragslevererat material, vilket kan blockera kommersiell duallicensiering, M&A-processer och säkerhetsgranskningar.

Ett välformulerat CLA för Sverige täcker: (1) upphovsrättslicens inklusive rätt till sublicensiering och bearbetning; (2) patentlicens per Patentlagen (1967:837) för patent som täcks av bidraget; (3) ursprungsgaranti och Developer Certificate of Origin (DCO) enligt DCO 1.1; (4) arbetsgivarrelationens hantering per kap. 2 § 40a; (5) GDPR-reglering av bidragsgivarens personuppgifter per GDPR art. 6; (6) moraliska rättigheter per Upphovsrättslagen § 3. forms-legal.com erbjuder en juridiskt genomarbetad CLA-mall anpassad till svenska rättsliga krav och Apache CLA-standarden.

När behöver du Open source bidragsavtal (CLA)?

Open source bidragsavtal (CLA) i Sverige behövs i ett flertal situationer:

1. **Kommersiell duallicensiering.** Projektet distribueras under GPL v3 men säljs även under en proprietär licens till företagskunder (t.ex. MySQL, MongoDB Enterprise). Utan CLA kan projektägaren inte sublicensiera bidragsgivarens kod under den proprietära licensen — enbart bidragsgivaren kan det. CLA ger projektägaren rätt att sublicensiera.

2. **M&A och due diligence.** Vid förvärv eller investering granskar köparen IP-renheten i kodbasen. Utan CLA eller DCO-dokumentation kan bidragskod vara juridiskt oren — krav från okända upphovspersoner kan blocka transaktionen. CLA-registret dokumenterar samtycke från alla bidragsgivare.

3. **Patentriskreducering.** Om en bidragsgivare senare hävdar patentintrång mot användare av projektet, ger CLA:s patentlicens användarna ett skydd mot sådana krav. Utan CLA är användarnas patentskydd oklart.

4. **Corporate CLA — anställda bidragsgivare.** När ett bolag låter anställda bidra till open source-projekt måste bolaget underteckna en Corporate CLA för att förtydliga att bolaget (inte de enskilda anställda) beviljar licensen — och att kap. 2 § 40a-rättigheterna hanteras korrekt.

5. **Offentliga myndigheters open source-projekt.** Statliga och kommunala myndigheter som publicerar kod under öppen licens (t.ex. Digg-projekt) behöver CLA för att säkerställa att bidrag inte skapar immateriella konflikter med upphandlingslagstiftningen LOU (2016:1145).

6. **Stiftelse-hosting.** Projekt som söker hosting under Apache Software Foundation, Linux Foundation eller FSFE måste uppvisa CLA-processer som villkor för anslutning.

7. **Säkerhetskritiska projekt.** Open source-projekt inom kritisk infrastruktur, hälso- eller finanssektorn behöver CLA för att säkerställa att bidragsgivare inte inkluderar skadlig kod, bakdörrar eller patentbelagda algoritmer utan vetskap.

Vad ska Open source bidragsavtal (CLA) innehålla

Open source bidragsavtal (CLA) i Sverige bör innehålla följande nyckelklausuler för att vara juridiskt heltäckande och operativt fungerande. forms-legal.com rekommenderar:

**Upphovsrättslicens med sublicensiering.** CLA:n ska bevilja projektägaren en bred, oåterkallelig, royaltyfri, icke-exklusiv licens att reproducera, modifiera, sublicensiera och distribuera bidraget. "Oåterkallelig" är kritisk — upphovsrätten kan inte återtaras efter att bidraget accepterats i kodbasen. Upphovsrättslagen (1960:729) § 2 styr ensamrätterna; CLA:n begränsar dessa genom licensbeviljande.

**Patentlicens och patent defense-klausul.** Följer Apache CLA-standarden: bidragsgivaren beviljar royaltyfri patentlicens för patent som täcks av bidraget. Patent defense-klausulen stipulerar att patentlicensen upphör om bidragsgivaren stämmer projektägaren eller användare för patentintrång. Patentlagen (1967:837) kap. 1 § 1 definierar patenterbara uppfinningar och § 13 reglerar licensgivning.

**Developer Certificate of Origin (DCO) och ursprungsgaranti.** DCO 1.1 är en enklare alternativ till CLA-signering: bidragsgivaren lägger till "Signed-off-by" i varje commit och intygar att koden är original eller korrekt licensierad. DCO räcker för mindre projekt men CLA är nödvändig för kommersiella projekt med duallicensiering. Kombinationen DCO + CLA ger starkast juridisk dokumentation.

**Arbetsgivarklausul och Corporate CLA.** Kap. 2 § 40a-klausulen hanterar risken att arbetsgivaren äger koden: bidragsgivaren intygar att bidraget faller utanför anställningens upphovsrättsliga sfär, eller att arbetsgivarens skriftliga godkännande finns. Corporate CLA kräver bolagets firmatecknare och lista över behöriga bidragsgivare.

**Moraliska rättigheter (namngivningsrätt).** Upphovsrättslagen (1960:729) § 3 ger upphovspersonen oförytterlig rätt att kräva namngivning (attribution). CLA:n ska klargöra om bidragsgivaren kräver individuell attribution i AUTHORS-fil eller om kollektiv attribution räcker. Moraliska rättigheter kan inte avtalas bort i Sverige, men bidragsgivaren kan avsäga sig aktivt krav på specifik attribution.

**GDPR-behandling av bidragsgivardata.** Projektägaren behandlar bidragsgivarens namn och e-post (från commit-metadata) som personuppgifter per GDPR art. 4.1. Behandlingen grundar sig på art. 6.1(b) (avtalets fullgörande) och art. 6.1(f) (legitima intressen av IP-dokumentation). IMY:s riktlinjer klargör att öppna kodoffer-databaser är tillåtna men måste informera bidragsgivare om behandlingen. CLA:n fyller denna informationsskyldighet.

**Open source-policy och SBOM.** CLA:n bör komplettera projektets open source-policy: krav på SBOM (Software Bill of Materials) i CycloneDX-format vid större bidrag, förbud mot inkludering av SSPL-licensierade komponenter utan granskning, och krav på att anmäla känt patentbelagda algoritmer.

**Exitplan och avtalets varaktighet.** CLA:n gäller tillsvidare för alla framtida bidrag men kan sägas upp med 30 dagars varsel — redan accepterade bidrag förblir licensierade. Projektägaren kan ändra CLA-villkoren med 60 dagars förvarning, vilket ger bidragsgivare möjlighet att acceptera eller avbryta deltagande.

**Tvistlösning och tillämplig lag.** Svensk rätt, exklusive lagvalsregler. Tvister kan hänvisas till Stockholms tingsrätt eller Stockholms Handelskammares Skiljedomsinstitut (SCC) beroende på projektets kommersiella karaktär.

Så fyller du i Open source bidragsavtal (CLA)

Fyll i open source bidragsavtalet för Sverige steg för steg:

**Steg 1 — Projektinformation.** Ange projektets officiella namn, URL (GitHub/GitLab-repo), projektägarens firma och organisationsnummer (XXXXXX-XXXX) och registrerade adress. Välj projektets utgångslicens (Apache 2.0, MIT, GPL v3 etc.) — detta avgör vilka sublicensieringsrättigheter som beviljas.

**Steg 2 — Bidragsgivarens uppgifter.** Ange fullständigt juridiskt namn (privatperson) eller firma + org-nr (bolag). Ange den e-postadress som är kopplad till ditt Git-konto — denna används för att matcha commits mot CLA-registret. Välj om du bidrar som privatperson eller på uppdrag av ett bolag (Corporate CLA).

**Steg 3 — Arbetsgivarrelation.** Avgör om din arbetsgivare kan ha rättigheter till koden per kap. 2 § 40a. Om du är anställd och bidrar inom ditt ansvarsområde: inhämta skriftligt godkännande från arbetsgivaren och bifoga det till CLA:n. Om du är egenföretagare: ange bolagets firma och bidra i bolagets namn.

**Steg 4 — Licens- och rättighetsbeviljande.** Välj bred licens (rekommenderas för de flesta projekt) som inkluderar sublicensiering och kommersiell användning, eller begränsad licens enbart under projektets utgångslicens. Ange om patentlicens beviljas — nödvändigt för Apache-kompatibilitet och maximalt rättsskydd.

**Steg 5 — Ursprungsgaranti och DCO.** Bekräfta om bidraget är 100 % originalverk eller innehåller tredjepartskod. Lista eventuella open source-komponenter med licens och version. Välj om du använder Signed-off-by i commits (DCO) — rekommenderas som komplement till CLA-signeringen.

**Steg 6 — Sekretess och GDPR.** Bekräfta att bidraget inte innehåller personuppgifter (inga riktiga personnummer eller e-postadresser i testdata), och att ingen projektägarens konfidentiella information ingår.

**Steg 7 — Avtalstid och tvist.** Välj avtalets giltighetstid (tillsvidare rekommenderas). Välj tvistlösningsforum: Stockholms tingsrätt för enklare bidragsavtal, SCC för kommersiellt värdefulla projekt.

**Steg 8 — Signering.** Bidragsgivaren undertecknar med fullständigt namn och datum. Om Corporate CLA: bolagets behöriga firmatecknare undertecknar. Projektägaren kontra-signerar och registrerar CLA:n i det publika CLA-registret. Digitala signaturer (e.g. DocuSign, Signicat med BankID-verifiering) är juridiskt giltiga i Sverige per Lagen om elektroniska signaturer och E-signaturlagen (2000:832).

Juridiska krav för Open source bidragsavtal (CLA)

Open source bidragsavtal i Sverige regleras av ett flertal rättsliga regelverk:

**Upphovsrättslagen (1960:729).** § 2 ger upphovspersonen ensamrätt till exemplarframställning, bearbetning och tillgängliggörande. § 3 (moraliska rättigheter) ger oförytterlig rätt till namngivning och skydd mot kränkande bearbetning — dessa kan inte avtalas bort men kan specificeras i CLA:n. Kap. 2 § 40a reglerar arbetsgivarens automatiska förvärv av upphovsrätt till datorprogram skapade i anställning inom anställningens område. Sui generis databasskydd i kap. 5 § 49 skyddar databaser med significanta investeringar, relevant om projektet inkluderar datasetsbearbetning.

**Patentlagen (1967:837).** Kap. 1 § 1 definierar patenterbara uppfinningar. § 8 reglerar anmälningsskyldigheter. § 13 möjliggör licensgivning av patent. CLA:ns patentlicens kräver att bidragsgivaren identifierar känt patentbelagda algoritmer eller metoder i bidraget.

**Avtalslagen (1915:218).** §§ 1–9 styr erbjudande och accept. CLA fungerar som ett standardavtal (massa-avtal) som kan ingås elektroniskt per Lagen (2000:832) om kvalificerade elektroniska signaturer. Avtalets giltighet förutsätter att bidraget lämnas in — vilket utgör accept av CLA-villkoren.

**GDPR (EU 2016/679) och Dataskyddslagen (2018:218).** Art. 6 kräver rättslig grund för behandling av bidragsgivarens personuppgifter. Art. 15–17 ger bidragsgivaren rätt till tillgång, rättelse och radering. Art. 25 kräver Privacy by Design i CLA-systemet. IMY:s vägledning om open source-projekt (2024) klargör att commit-metadata (namn, e-post) är personuppgifter och kräver information till bidragsgivaren.

**Företagshemlighetslagen (2018:558).** §§ 2–3 skyddar projektägarens affärshemligheter. CLA:n ska förhindra att bidragsgivare inkluderar sekretessbelagd information från sin arbetsgivare i open source-koden — vilket annars kan leda till ansvar per §§ 7–9.

**Lagen (2020:914) om lagval för avtalsförpliktelser (Rom I).** CLA:ns lagvalsklausul som väljer svensk rätt är giltig per Rom I art. 3 när Projektägaren är etablerad i Sverige.

**EU Cyber Resilience Act (CRA, 2024).** Träder i full kraft 2027. CRA art. 16–18 ger open source-projektägare som placerar produkter på EU-marknaden ansvar för säkerhetskrav — CLA:ns krav på SBOM och säkerhetsdokumentation förbereder projektet för CRA-efterlevnad.

Vanliga misstag i Open source bidragsavtal (CLA)

Vanliga misstag vid open source bidragsavtal (CLA) i Sverige:

**Misstag 1 — Inget CLA alls.** Det vanligaste misstaget: projektet accepterar bidrag utan CLA, med antagandet att git-commit räcker som samtycke. Utan CLA är rättigheterna oklara; vid kommersiell duallicensiering eller M&A saknas bevis på bidragsgivarens samtycke. Lösning: implementera CLA-assistent (CLA-bot) som blockerar merge av PR utan signerad CLA.

**Misstag 2 — CLA utan patentlicens.** CLA täcker enbart upphovsrätt men inte patent. Om en bidragsgivare har patent som täcks av koden och sedan stämmer användare, finns inget patentskydd. Apache CLA-standarden inkluderar alltid patentlicens — kopiera detta mönster.

**Misstag 3 — Ingen hantering av arbetsgivarrelationen.** Bidragsgivaren bidrar kod som faktiskt ägs av deras arbetsgivare per kap. 2 § 40a. Projektet inkluderar koden utan att fråga om arbetsgivarens godkännande. En IP due diligence vid förvärv avslöjar problemet — projektet tvingas ta bort koden. Kräv alltid bekräftelse av arbetsgivarrelationen i CLA:n.

**Misstag 4 — CLA gäller enbart ett bidrag.** Engångs-CLA för ett specifikt bidrag kräver ny signering vid varje bidrag, vilket skapar administrativt kaos. Tillsvidare-CLA med DCO-signoff per commit är standardmodellen i stora open source-projekt (Linux kernel, Apache).

**Misstag 5 — GDPR ignoreras i CLA-registret.** Projektägaren lagrar bidragsgivarnas namn och e-post i ett CLA-register utan att informera dem om behandlingen. IMY-tillsyn kan leda till böter. CLA:n ska inkludera GDPR-information om behandlingens ändamål, rättslig grund och datarättigheter.

**Misstag 6 — Moraliska rättigheter ohanterade.** CLA:n förutsätter att bidragsgivaren avsäger sig alla rättigheter inklusive attribution. Upphovsrättslagen (1960:729) § 3 gör moraliska rättigheter oförytterliga — de kan inte avtalas bort. CLA:n måste reglera attribution-kravet utan att påstå att upphovspersonen förlorar sina moraliska rättigheter.

**Misstag 7 — Copyleft-kontamination utan open source-policy.** CLA:n reglerar bidragsgivarens licens men inte de tredjepartskomponenter som bidragen inkluderar. GPL v3- eller AGPL-licensierade bibliotek kontaminerar hela kodbasen vid distribution. CLA:n bör kräva SBOM-deklaration för alla tredjepartskomponenter i bidraget.

Citera den här sidan

Hänvisa till den här gratismallen i en artikel, kursplan eller forskningsanteckning:

APA

Forms Legal. (2026). Open source bidragsavtal (CLA) (Sverige) [Legal document template]. Forms Legal. https://forms-legal.com/sv/sverige/business/intellectual-property/open-source-bidragsavtal

MLA

"Open source bidragsavtal (CLA) (Sverige)." Forms Legal, 2026, https://forms-legal.com/sv/sverige/business/intellectual-property/open-source-bidragsavtal.

BibTeX

@misc{formslegal-open-source-bidragsavtal,
  author       = {{Forms Legal}},
  title        = {Open source bidragsavtal (CLA) (Sverige)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/sv/sverige/business/intellectual-property/open-source-bidragsavtal}},
  note         = {Free legal document template}
}

Vanliga frågor

Mall med lagreferenser — Mallen ändrades senast juni 2026

Denna mall tillhandahålls endast i informationssyfte och utgör inte juridisk rådgivning. Lagar varierar mellan jurisdiktioner och ändras över tid. Rådfråga en kvalificerad jurist för rådgivning som är specifik för din situation.Fullständig ansvarsfriskrivning

Hittade du ett fel? Berätta för oss