Integritetspolicy

Integritetspolicy för TryggtBesök

Senast uppdaterad: 2026-01-16

1. Vem är Personuppgiftsansvarig?

Tryggt Besök EF (Enskild Firma), innehavare William Robertsson (Org.nr: 20080801-3791), (”vi”, ”oss”, ”vår”) är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i denna integritetspolicy.

Vi tar ditt dataskydd på största allvar. Denna policy förklarar hur och varför vi samlar in, använder, lagrar, skyddar och delar dina personuppgifter när du interagerar med oss, använder vår webbplats (https://tryggtbesok.se) eller våra tjänster. Vi behandlar alla personuppgifter i strikt enlighet med EU:s dataskyddsförordning 2016/679 (GDPR).

För alla ärenden som rör vår behandling av dina personuppgifter, vänligen kontakta oss: E-post: info@tryggtbesok.se

För en detaljerad redogörelse av hur vi hanterar cookies och liknande teknologier, se vår cookiepolicy.

Din användning av vår webbplats och våra digitala guider regleras av våra Allmänna Villkor, som bland annat innehåller viktiga ansvarsbegränsningar gällande informationens aktualitet.

2. Vilka Personuppgifter Samlar Vi In och Varför?

Vi samlar in personuppgifter på olika sätt, beroende på din relation till oss. Vi tillämpar alltid principen om uppgiftsminimering (GDPR Art. 5.1 c)och samlar bara in det som är nödvändigt för varje specifikt ändamål.

2.1. Uppgifter du Direkt Tillhandahåller Oss:

  • Vid Kontakt (Formulär & E-post):
    • Data: Namn, e-postadress, eventuellt företagsnamn och innehållet i ditt meddelande.
    • Ändamål: För att kunna hantera och besvara dina frågor och förfrågningar.
    • Rättslig Grund: Vårt berättigade intresse (GDPR Art. 6.1 f) att kunna kommunicera med och ge service till intressenter som aktivt kontaktar oss. Då denna behandling baseras på vårt berättigade intresse har du rätt att när som helst invända mot den. Läs mer om dina rättigheter i Sektion 7.
    • Teknisk Information: Kontakt via Fluent Forms lagras säkert i vår egen databas på server inom EU/EES (Tyskland), skyddad med 2FA. E-post hanteras via Google Workspace.
  • Vid Mötesbokning (Cal.com):
  • Data: Namn och e-postadress.
  • Ändamål: För att kunna administrera, schemalägga, bekräfta och genomföra det möte du har begärt via vår kalendertjänst. Då vi tillhandahåller fasta tider ställs inga ytterligare frågor under bokningsprocessen.
  • Rättslig Grund: Fullgörande av avtal (GDPR Art. 6.1 b), då behandlingen är nödvändig för att tillhandahålla bokningstjänsten på din begäran.
  • Vid Feedback på våra Guider (Fluent Forms):
  • Data: De uppgifter du frivilligt väljer att ange i våra feedbackformulär. Vi samlar inte in några personligt identifierbara uppgifter (såsom e-post) i detta formulär.
  • Ändamål: För att samla in, analysera och agera på värdefulla synpunkter i syfte att förbättra och vidareutveckla våra digitala tillgänglighetsguider.
  • Rättslig Grund: Vårt berättigade intresse (GDPR Art. 6.1 f) att utvärdera, underhålla och förbättra vår kärntjänst. Då denna behandling baseras på vårt berättigade intresse har du rätt att när som helst invända mot den. Läs mer om dina rättigheter i Sektion 7.

Vid Nominering av Butik med Samtycke till Uppdateringar (Fluent Forms):

  • Data: E-postadress, namn (frivilligt), samt vilken butik/område nomineringen avser.
  • Ändamål: Att informera dig när den nominerade butiken eller butiker i ditt område ansluter sig till tjänsten, samt skicka tips, nyhetsbrev och information om hur du kan påverka handlare.
  • Rättslig Grund: Ditt uttryckliga samtycke (GDPR Art. 6.1 a) som lämnas genom att aktivt kryssa i rutan för uppdateringar i formuläret.

2.2. Uppgifter som Samlas In Automatiskt:

Vid Besök på Vår Webbplats (tryggtbesok.se):

  • Data 1 (Säkerhet): Oanonymiserade IP-adresser, proxy-IP-adresser, fullständiga HTTP-headers, enhetsinformation (webbläsare/OS), interaktionsmönster, samt (vid inloggningsförsök) webbplatsens användarnamn. Ändamål 1: Säkerhet. Att skydda vår webbplats mot intrång, skadlig trafik, bot-attacker och spam (via Wordfence och Cloudflare Turnstile). Rättslig Grund 1: Vårt berättigade intresse (Art. 6.1 f) att upprätthålla säkerheten och integriteten för vår webbplats.

Data 2 (Statistik): Onlineidentifikatorer (cookie-ID), anonymiserad IP-adress, enhetsinformation, besökta sidor, interaktionstid.

  • Ändamål 2: Webbplatsstatistik. Att förstå hur besökare använder vår webbplats för att kunna optimera den (via Google Analytics).
  • Rättslig Grund 2: Ditt uttryckliga samtycke (Art. 6.1 a) som du lämnar via vår cookie-banner.

Vid Användning av ”Magiska Inköpslistan” (AI-sortering):

  • Data: Textinnehållet i din inköpslista (frivilligt inmatad) samt tekniska loggar (IP-adress) för överföringen.
  • Ändamål: För att sortera och kategorisera dina varor med hjälp av generativ AI.
  • Behandling: Din lista sparas lokalt i din webbläsare (localStorage). Vid sortering skickas texten krypterat till vår serverfunktion (Supabase Edge Function) och vidare via en gateway (Lovable) till AI-modellen (Google Gemini). Behandlingen är flyktig (”transient”), vilket innebär att texten bearbetas i realtid och inte sparas i någon databas hos oss eller våra biträden efter att svaret levererats.
  • Rättslig Grund: Fullgörande av tjänst (Art 6.1 b) då du aktivt begär sortering, samt Berättigat Intresse (Art 6.1 f) för teknisk säkerhet (IP-loggning mot missbruk).
  • Dataminimering: Vi skickar inga användar-IDn, cookies eller sessionsdata till AI-modellen. Enligt våra biträdesavtal används datan inte för att träna AI-modellerna.

Vid Användning av Inbäddat Innehåll (Vimeo):

  • Data: Tekniska åtkomstloggar (IP-adress, webbläsarinformation, enhets-ID) samt information om videouppspelning.
  • Ändamål: För att kunna visa och strömma de inbäddade videoguiderna och presentationsvideor på webbplatsen
  • Rättslig Grund:
    • Drift: Vårt berättigade intresse (Art. 6.1 f) att tillhandahålla videoinnehåll.
    • Statistik/Överföring: Ditt uttryckliga samtycke (Art. 6.1 a) som inhämtas via våra Consent Management Platforms (Complianz/CookieYes) innan innehållet laddas.

Data: (Uppladdade Bilder): Bildfiler som laddas upp till webbplatsen (vilka kan innehålla bilder på personer).
Ändamål:Att komprimera och optimera bilder för webbplatsens prestanda (via ShortPixel). 

Rättslig Grund : Vårt berättigade intresse (Art. 6.1 f) att underhålla en snabb och presterande webbplats. Då denna behandling baseras på vårt berättigade intresse har du rätt att när som helst invända mot den. Läs mer om dina rättigheter i Sektion 7.

Vid Besök på Vår Produktplattform (Hostad av Lovable):

  • Data: Tekniska åtkomstloggar (IP-adress, webbläsarinformation) samt direktuppspelning av mediafiler.
  • Ändamål: Nödvändigt för att tekniskt kunna leverera, hosta och säkra den digitala guiden samt visa instruktionsfilmer utan tredjepartsspårning.
  • Rättslig Grund: Vårt berättigade intresse (Art. 6.1 f) att tillhandahålla kärntjänsten.

2.3. Uppgifter Vi Samlar In (B2B Prospektering):

  • Data: Kontaktuppgifter (namn, e-post, telefonnummer, yrkesroll) till kontaktpersoner hos potentiella kundföretag (t.ex. butikschefer). Datan samlas in från offentligt tillgängliga källor (t.ex. företagswebbplatser).
  • Ändamål: Att upprätthålla ett internt register (i Google Kalkylark) för B2B-marknadsföring och försäljning.
  • Rättslig Grund: Vårt berättigade intresse (Art. 6.1 f) att bedriva B2B-försäljning och marknadsföra våra tjänster till relevanta företag. Då denna behandling baseras på vårt berättigade intresse har du rätt att när som helst invända mot den. Läs mer om dina rättigheter i Sektion 7.

2.4. Uppgifter Vi Behandlar Internt (Verksamhetsdata):

  • Data: Våra egna avtal, affärsplaner, processbeskrivningar (SOPs), interna TIA-dokument och AI-prompts. Denna data lagras och bearbetas huvudsakligen i Google Workspace (Docs, Gemini, Drive), Notion (för planering av marknadsinnehåll), Microsoft GitHub (för säker lagring av källkod) samt Lovable.
  • Känslig Data: Vi är medvetna om att denna data är extremt känslig och utgör våra företagshemligheter. Den kan även innehålla personuppgifter om vår personal (t.ex. i avtal).
  • Ändamål: Nödvändigt för att kunna bedriva, utveckla, underhålla och säkra vår kärnverksamhet.
  • Rättslig Grund: Fullgörande av avtal (Art. 6.1 b) och rättslig förpliktelse (t.ex. bokföringslagen, Art. 6.1 c) samt vårt berättigade intresse (Art. 6.1 f) av att bedriva och skydda vår verksamhet.

3. Hur Delas Dina Uppgifter? (Våra Personuppgiftsbiträden)

Vi säljer aldrig dina personuppgifter. Vi delar endast dina uppgifter med externa leverantörer (personuppgiftsbiträden) när det är absolut nödvändigt för att tillhandahålla våra tjänster, och endast efter att vi har ingått ett juridiskt bindande Personuppgiftsbiträdesavtal (DPA) som säkerställer att de skyddar dina uppgifter enligt GDPR:s krav.

Våra huvudsakliga personuppgiftsbiträden är:

  • Strato AG (Tyskland): Tillhandahåller vår serverinfrastruktur (en dedikerad Virtuell Privat Server, V-Server, som hanteras via Plesk) inom EU/EES för vår WordPress-webbplats och databas.
  • Google LLC (USA): Används för ett flertal kärnfunktioner:
    • Google Workspace (inkl. Docs, Kalkylark, Gemini, Drive, Forms): För intern e-post, lagring av B2B-leads, hantering av interna dokument (avtal, processer), AI-bearbetning, lagring av säkerhetskopior (skyddade av Googles standardkryptering i vila) och insamling av fältdata under fältbesöken.
    • Google Analytics : För webbplatsstatistik.
    • Vimeo.com, Inc. (USA): Används för hosting, drift och visning av allt videoinnehåll. Överföring sker med stöd av EU-U.S. Data Privacy Framework (DPF).
    • Agerar även som underbiträde via Lovable för AI-modellen (Gemini) som utför sorteringen. Datan tränas ej.
  • Lovable Labs Inc. (USA): Den AI-drivna plattformen vi använder för att bygga, utveckla och hosta de digitala tillgänglighetsguiderna vi levererar till våra kunder. Tillhandahåller ”AI Gateway” som agerar mellanhand för att säkra anropen till AI-modellen.
  • Defiant Inc. (USA): Tillhandahåller säkerhetstjänsten Wordfence för att skydda vår webbplats mot intrång och skadlig trafik.
  • Cal.com (Cal.com, Inc.): Används som vårt system för digital mötesbokning. För att säkerställa högsta möjliga dataskyddsnivå och efterleva GDPR har vi valt deras.
    EU-hostade lösning, vilket innebär att alla bokningsuppgifter lagras på servrar inom EU/EES. 
  • Notion (Notion Labs, Inc., USA): Används för intern hantering och bearbetning av verksamhetsdata, såsom planering av marknadsföringsinnehåll (”conent ideas”).
  • ShortPixel (Tyskland/EU): Används för bildoptimering för att säkerställa att webbplatsen laddar snabbt. Leverantören behandlar bildfiler på servrar i Tyskland och raderar dem omedelbart efter optimering.
  • Canva (Canva Pty Ltd, Australien): Används för att designa, bearbeta och lagra allt vårt visuella material och alla PDF-dokument som utgör våra digitala guider (t.ex. ”Butiksguide”, ”Processguider”) samt för att skapa marknadsföringsmaterial.
  • Cloudflare, Inc. (USA): Tillhandahåller tjänsten Turnstile för att verifiera att besökare är människor och skydda webbplatsens formulär mot spam och automatiserade attacker utan att använda spårningscookies för marknadsföring.
  • Supabase, Inc. (USA): Tillhandahåller serverlös infrastruktur (”Edge Functions”) som tar emot och dirigerar anropet från inköpslistan. Datan behandlas flyktigt i minnet.

4. Överföring av Data utanför EU/EES (Tredje Land)

Som framgår av Sektion 3 anlitar vi nödvändiga tekniska partners (personuppgiftsbiträden) för att driva vår verksamhet. Flera av dessa partners, eller deras underbiträden, är baserade utanför EU/EES (i ett ”tredje land”).

En överföring av personuppgifter sker endast om vi har säkerställt att en giltig rättslig grund och lämpliga skyddsåtgärder finns på plats i enlighet med GDPR Kapitel V. Vi tar detta krav på största allvar och har genomfört Transfer Impact Assessments (TIA) för dessa överföringar.

Våra överföringar baseras på följande två grunder:

4.1. Överföringar med Stöd av Adekvathetsbeslut

EU-kommissionen har bedömt att vissa länder säkerställer en skyddsnivå som är ”väsentligen likvärdig” med den inom EU/EES. Våra överföringar till dessa länder sker med direkt stöd av dessa beslut (GDPR Art. 45).

  • Till USA (via DPF): För överföringar till amerikanska organisationer som, likt Google LLC, Netlify Inc., OpenAI, Vimeo.com, Inc., Notion Labs, Inc. och Cloudflare, Inc., är certifierade under EU-U.S. Data Privacy Framework (DPF).

4.2. Överföringar med Stöd av Lämpliga Skyddsåtgärder (SCCs)

För överföringar till tredjeländer som saknar ett adekvathetsbeslut, förlitar vi oss på EU-kommissionens Standardavtalsklausuler (SCCs) (GDPR Art. 46.2 c). För dessa har vi genomfört TIA-processer för att verifiera att skyddsnivån är tillräcklig.

  • Till USA (Icke-DPF): För överföringar till amerikanska organisationer som inte är DPF-certifierade, såsom Defiant Inc. (Wordfence), Lovable Labs Inc. och SiteLock, LLC (ett underbiträde till Strato AG).
  • Till Singapore: Vår serverleverantör (Strato AG) kan anlita underbiträden (t.ex. Dropsuite Ltd.) som är baserade i Singapore. Denna potentiella överföring skyddas av de SCCs vi har ingått med Strato AG.
  • Till Schweiz: Vår serverleverantör (Strato AG) anlitar underbiträden (t.ex. Plesk International GmbH) som är baserade i Schweiz. Denna överföring sker med stöd av SCC.
  • Till Australien: Vår leverantör för designtjänster och produktion av visuellt material (Canva Pty Ltd) är baserad i Australien. Denna överföring skyddas av EU-kommissionens Standardavtalsklausuler (SCCs).

5. Hur Länge Sparar Vi Dina Uppgifter? (Lagringsminimering)

Vi tillämpar principen om lagringsminimering (GDPR Art. 5.1 e) och sparar dina personuppgifter endast så länge det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, eller så länge som krävs enligt lag.

  • Formulärsvar (Fluent Forms):
  • Generella kontakt- och feedbackärenden: Raderas senast 50 dagar efter avslutat ärende.
  • Nomineringar med samtycke till uppdateringar: Sparas tills du återkallar ditt samtycke eller avregistrerar dig från utskicken.
  • Bokningsuppgifter (Cal.com): Raderas systematiskt inom 90 dagar efter att det schemalagda mötet har ägt rum eller ärendet har avslutats, om inte längre lagring krävs för att uppfylla en rättslig förpliktelse (t.ex. enligt bokföringslagen).
  • E-postkorrespondens (Google Workspace): Raderas senast 50 dagar efter avslutat ärende, om inte lagkrav (t.ex. bokföringslagen) kräver längre lagring.
  • B2B-Leads (Google Kalkylark): B2B-Leads (Google Kalkylark): Raderas eller uppdateras löpande, och raderas när en kontaktperson inte längre är relevant för prospektering. Relevansen av samtliga kontakter i detta register granskas minst en gång per kalenderår.
    Krypterade Säkerhetskopior (Google Drive): Raderas automatiskt efter 90 dagar.
  • Cookie-relaterad data: Lagringstider framgår av vår cookiepolicy
  • Magiska Inköpslistan: Innehållet i din lista lagras uteslutande lokalt på din enhet (i webbläsarens localStorage) tills du själv rensar det. Vid sortering sker ingen permanent lagring på våra servrar (0 dagar). Tekniska serverloggar (IP-adresser) hos Supabase raderas löpande (ca 30 dagar).

6. Hur Skyddar Vi Dina Uppgifter? (Säkerhetsåtgärder)

Vi vidtar omfattande och lämpliga tekniska och organisatoriska säkerhetsåtgärder (GDPR Art. 32) för att skydda dina personuppgifter mot obehörig åtkomst, ändring, förlust eller förstörelse. Dessa inkluderar:

Kryptering & Dataskydd: Vi har implementerat flera lager av kryptering för att skydda dina uppgifter. All datatrafik till och från vår webbplats och våra tjänster skyddas som standard av stark kryptering under överföring (SSL/TLS).

Vi ställer även krav på att våra personuppgiftsbiträden tillämpar lämpliga och moderna krypteringsåtgärder för att skydda data när den lagras (i vila). Genom vår granskning av biträdesavtal (DPA) och Transfer Impact Assessments (TIA) har vi verifierat att våra leverantörer uppfyller dessa krav. Detta inkluderar:

  • Specifik stark kryptering: Kritiska leverantörer som Lovable och Notion har i avtal åtagit sig att skydda lagrad data med AES-256-kryptering.
  • Verifierad standardkryptering: Verifierad standardkryptering: Stora partners som Google (för Google Workspace, inklusive säkerhetskopior på Google Drive) har åtagit sig att använda AES-kryptering för data i vila. Vi förlitar oss på denna skyddsmekanism för våra säkerhetskopior, vilka inte är separat krypterade av oss före överföringen till Google Drive.
    Lämpliga skyddsåtgärder: För övriga biträden, som förlitar sig på branschstandarder som ISO 27001-certifieringar eller mer generella åtaganden om ”stark kryptering” (t.ex. minst 128-bitars), har vi genomfört en bedömning och funnit att deras tekniska och organisatoriska skyddsåtgärder är tillräckliga och lämpliga för de ändamål vi använder tjänsterna för.

  • Åtkomstkontroll: Åtkomst till system och data är strikt begränsad till behörig personal (William Robertsson och auktoriserade konsulter bundna av sekretess). Starka lösenord används för alla system. Tvåfaktorsautentisering (2FA) används för att skydda åtkomst till våra primära kommunikationskanaler och databaser (e-post, dokumentlagring och webbplatsadministration)
  • Säkerhetsmjukvara: Vi använder en aktiv brandvägg (Wordfence) för att skydda webbplatsen.
  • Uppgiftsminimering: Vi tillämpar tekniker som IP-anonymisering i Google Analytics 4, själv-hosting av Google Fonts samt att vi tillämpar tekniska anonymiseringstekniker (såsom oskärpa) på identifierbara ansikten i det videomaterial vi producerar.för att minimera mängden direkt identifierbara personuppgifter.
  • Avtal: Vi ingår DPA-avtal som ställer bindande säkerhetskrav på alla våra biträden.
  • Incidenthantering: Vi har en detaljerad handlingsplan (SOP) för att agera omedelbart och lagenligt vid en eventuell personuppgiftsincident.
  • Vi har vidtagit en specifik teknisk åtgärd genom att själv-hosta de Google Fonts vi använder direkt på vår egen server. Detta innebär att din webbläsare inte behöver göra ett anrop till Googles servrar
  • Servermiljö: Vi använder en Virtuell Privat Server (VPS) för vår webbplats, vilket ger en dedikerad och från andra kunder isolerad driftsmiljö. Detta är en starkare teknisk skyddsåtgärd jämfört med traditionella delade webbhotell.
  • Interna Policys: Vi har implementerat strikta interna policys (SOPs) för att styra hur vår personal hanterar data, inklusive ett tekniskt och organisatoriskt förbud mot att dela känsliga tredjepartsdata (kunduppgifter) via ostrukturerade kommunikationsverktyg.

7. Dina Rättigheter som Registrerad

Du har omfattande rättigheter gällande behandlingen av dina personuppgifter. Beroende på den rättsliga grunden för behandlingen har du rätt att:

  • Få tillgång (Art. 15): Begära en kopia (registerutdrag) av de personuppgifter vi har om dig.
  • Få rättelse (Art. 16): Begära att felaktiga eller ofullständiga uppgifter korrigeras.
  • Bli raderad (”Rätten att bli bortglömd”, Art. 17): Begära att dina uppgifter raderas under vissa omständigheter (t.ex. om de inte längre är nödvändiga eller om du återkallar samtycke).
  • Begära begränsning (Art. 18): Begära att behandlingen begränsas under tiden en utredning pågår.
  • Invända (Art. 21): Invända mot behandling som grundar sig på vårt berättigade intresse.
  • Flytta data (Dataportabilitet, Art. 20): Begära att få ut data du själv tillhandahållit i ett maskinläsbart format (gäller främst behandling baserad på samtycke eller avtal).
  • Återkalla samtycke (Art. 7.3): När som helst återkalla ditt samtycke för behandling som baseras på samtycke (t.ex. cookies för statistik).

För att utöva dina rättigheter, vänligen kontakta oss skriftligen på info@tryggtbesok.se. Vi hanterar din begäran utan onödigt dröjsmål och senast inom en månad från mottagandet, i enlighet med GDPR Artikel 12.3.

8. Klagomål till Tillsynsmyndighet

Om du anser att vår behandling strider mot lagen har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) (www.imy.se).

9. Särskilt om Vår Roll som Personuppgiftsbiträde

Denna integritetspolicy beskriver den behandling där Tryggt Besök är Personuppgiftsansvarig. När vi utför fältbesök och skapar digitala guider på uppdrag av våra kunder (t.ex. butiker), agerar vi som Personuppgiftsbiträde (GDPR Art. 28). I dessa fall är det vår kund som är Personuppgiftsansvarig för de personuppgifter som kan finnas i deras lokaler och som oavsiktligt kan fångas i vårt material (t.ex. bilder på kunder/anställda). Vår behandling sker då uteslutande på kundens instruktioner, vilka regleras i ett separat Personuppgiftsbiträdesavtal mellan oss och kunden, i enlighet med kraven i GDPR Artikel 28. Om du har frågor som rör den databehandling som sker inom ramen för en specifik digital guide, vänligen kontakta den aktuella butiken/kunden (den Personuppgiftsansvarige).

10. Ändringar i Integritetspolicyn

Denna policy kommer att granskas och uppdateras vid väsentliga förändringar i vår behandling eller i gällande lagstiftning. Den senaste versionen finns alltid publicerad på vår webbplats. Vid väsentliga ändringar informerar vi på lämpligt sätt.