Integritetspolicy

1. Vem är personuppgiftsansvarig

Regna Verkt drivs av en självständig egenföretagare (spansk autónomo) etablerad i Spanien (EU) och är personuppgiftsansvarig för personuppgifter som behandlas i samband med webbplatsen, API:et och relaterade tjänster. Kontakt i dataskyddsfrågor: privacy@regnaverkt.com.

2. Vad vi samlar in och varför

Vi behandlar tre kategorier av personuppgifter:

• Kontouppgifter. E-postadress och (valfritt) organisationsnamn. Samlas in vid registrering för att tillhandahålla tjänsten, skicka transaktionsmeddelanden (fakturor, förnyelsepåminnelser, felhantering) och autentisera dig. Rättslig grund: avtal (GDPR art. 6(1)(b)).
• Faktureringsuppgifter. Namn, faktureringsadress och momsregistreringsnummer - samlas in av LemonSqueezy, vår Merchant of Record. Regna Verkt får endast en kundreferens och prenumerationsstatus från LemonSqueezy; vi hanterar eller lagrar inte kortuppgifter. Rättslig grund: avtal + rättslig förpliktelse för fakturering.
• API-användning. Vi loggar varje autentiserat API-anrop med API-nyckel-ID, endpoint, svarstatus och tidsstämpel - för mätning, missbruksdetektering och produktförbättring. Loggar behålls 90 dagar, aggregerade räknare tills vidare. Rättslig grund: berättigat intresse (GDPR art. 6(1)(f)).
• Analys (valfritt). Om du accepterar analyscookies registrerar Google Analytics 4 anonymiserade användningsmönster på marknadssajten (sidvisningar, referrer, enhetsklass). IP-adresser anonymiseras av Google innan de skrivs till kontot. Rättslig grund: samtycke (GDPR art. 6(1)(a)); du kan återkalla samtycke när som helst via cookie-inställningarna längst ner på sidan.

3. Cookies

Vi använder två klasser av cookies:

• Strikt nödvändiga. Autentiseringssession, CSRF-token, språkval, cookie-samtycke. Krävs för att sajten ska fungera och sätts utan samtycke. Behålls upp till 180 dagar.
• Analys. Google Analytics (`_ga`, `_ga_*`). Sätts endast efter att du klickat ”Acceptera analys” på cookie-bannern. Behålls upp till 14 månader.

Vi använder inte annonscookies, sociala widgets eller cross-site-trackers. Webbtypsnitt kommer från Google Fonts, som inte sätter cookies men loggar besökande IP. Hör av dig om du vill diskutera alternativ.

4. Personuppgiftsbiträden och tredje parter

Vi delar personuppgifter endast med tjänsteleverantörer som agerar som personuppgiftsbiträden enligt ett undertecknat biträdesavtal:

• LemonSqueezy - prenumerationsfakturering. Merchant of Record; tar emot faktureringsadress och momsuppgifter.
• Resend - transaktionsmejl (välkomstmejl, dunning, återställning av lösenord).
• Hetzner Online GmbH - EU-baserad hosting i Finland för självserveringsplattformen. Personuppgifter lagras inom EU; backuper är krypterade i vila.
• Amazon Web Services (AWS) - används på två ställen: (i) per-tenant Enterprise-infrastruktur (API Gateway, Lambda, DynamoDB, S3) i den AWS-region som kunden kontrakterar (t.ex. eu-north-1 Stockholm, eu-west-1 Dublin) för dataresidens; (ii) SQS-kö för utgående webhooks som självserveringskunder kan konfigurera. AWS är GDPR-anpassat och ISO 27001 + SOC 2 Type II-certifierat. AWS GDPR-center.
• Google Analytics 4 - anonymiserad användaranalys, laddas endast efter samtycke.

Vi säljer aldrig personuppgifter. Väsentliga ändringar av denna underbiträdeslista aviseras minst 14 dagar i förväg; under den perioden kan du invända genom att mejla privacy@regnaverkt.com.

5. Internationella överföringar

LemonSqueezy, AWS (i regioner utanför EU, om kontrakterat) och Google Analytics kan innebära överföringar till USA. När det är tillämpligt förlitar vi oss på EU:s standardavtalsklausuler, modul 2 (personuppgiftsansvarig till personuppgiftsbiträde), enligt kommissionens beslut 2021/914, kompletterat med konsekvensbedömningar för överföring. AWS, LemonSqueezy och Google deltar alla i EU-US Data Privacy Framework som primär grund. Där det är tekniskt möjligt använder vi EU-regioner som standard (Resends EU-region, Hetzners datacenter i Finland, AWS eu-north-1 för Enterprise-tenants som inte kontrakterar någon annan region).

6. Dina rättigheter

Enligt GDPR och den spanska dataskyddslagen (LOPDGDD) kan du, när som helst, begära att vi:

• bekräftar vilka personuppgifter vi har om dig och lämnar en kopia (tillgång);
• rättar felaktiga eller ofullständiga uppgifter (rättelse);
• raderar ditt konto och tillhörande personuppgifter (radering) - aktiv data raderas inom 30 dagar; krypterade backuper rullar av inom ytterligare 90 dagar; bokföringshandlingar sparas i sex år enligt spansk bokföringsrätt (artikel 30 i den spanska handelslagen);
• exporterar dina kontodata i ett strukturerat maskinläsbart format (dataportabilitet);
• begränsar eller invänder mot viss behandling.

Mejla privacy@regnaverkt.com så svarar vi inom 30 dagar. Du har också rätt att lämna klagomål till den spanska dataskyddsmyndigheten (AEPD - Agencia Española de Protección de Datos).

7. Säkerhet

Vi hostar tjänsten inom EU, krypterar trafik under överföring och backuper i vila, och begränsar produktionsåtkomst till ett litet antal utvecklare med hårdvarutoken-2FA.

8. Bolagsdata (inte personuppgifter)

Bolagsdatamängden vi serverar (organisationsnummer, räkenskaper, ägarförhållanden, händelser) aggregeras från offentliga svenska registerinlämningar. I vissa fall innefattar detta namn på fysiska personer som är styrelseledamöter eller aktieägare. Vi behandlar den informationen som personuppgiftsbiträde på uppdrag av kunden som kör förfrågningen; personuppgiftsansvarig är kunden. Vi berikar eller korskopplar inte denna data med någon annan personuppgiftskälla.

9. Ändringar av policyn

Väsentliga ändringar aviseras via e-post till aktiva kunder minst 14 dagar i förväg, och revisionsdatumet överst på sidan uppdateras.