Integritetspolicy

1. Inledning

Norrlandshem ("vi", "oss", "vår") respekterar din integritet och arbetar i enlighet med EU:s dataskyddsförordning (GDPR). Denna policy beskriver vilka personuppgifter vi samlar in, hur vi använder dem och vilka rättigheter du har.

2. Vilka uppgifter samlar vi in?

Vi samlar in följande personuppgifter när du använder vår plattform:

• Namn - för- och efternamn vid registrering och bokning
• E-postadress - för inloggning, bokningsbekräftelser och kommunikation
• Telefonnummer - för kontakt i samband med bokningar
• Adress - för att matcha dig med lokala tjänsteleverantörer och utföra tjänsten
• Betalningsinformation - kortuppgifter hanteras av vår betalningsleverantör Stripe och lagras aldrig hos oss
• Personnummer (fullständigt, 12 siffror) - krävs för att kunna ansöka om RUT- och ROT-avdrag hos Skatteverket. Personnumret syns aldrig för utföraren och raderas senast 7 år efter sista bokningen (bokföringslagens krav)
• Samtyckeslogg - tidpunkt och versionsdatum för när du godkände villkoren. Sparas för att uppfylla GDPR Art. 7 (bevisbart samtycke)
• Tekniska data - IP-adress och webbläsare. Används för rate limiting och säkerhet

3. Rättslig grund per ändamål

Vi behandlar dina personuppgifter med stöd av följande rättsliga grunder (GDPR Art. 6):

• Avtal (Art. 6.1 b) - för att förbereda och utföra ditt avtal med oss och utföraren: bokning, betalning, kommunikation, faktura, kundkonto
• Rättslig skyldighet (Art. 6.1 c) - för personnummer vid RUT/ROT-ansökan till Skatteverket, samt sparande av bokföringsunderlag i 7 år enligt bokföringslagen
• Berättigat intresse (Art. 6.1 f) - för säkerhets-, fraud- och rate-limit-loggar samt anonymiserad produktanalys. Du kan invända mot detta
• Samtycke (Art. 6.1 a) - för cookies för analys/marknadsföring och för marknadsföringsmail (t.ex. waitlist-anmälan, nyhetsbrev). Du kan när som helst återkalla samtycket

4. Lagringstider

• Bokningar och kvitton: 7 år efter genomförd tjänst (bokföringslagen 7 kap 2§)
• Personnummer: 7 år (samma som bokföringsdata och Skatteverkets krav på RUT/ROT-underlag)
• Kundkonto: Aktivt tills du själv begär radering. Inaktiva konton utan bokningar anonymiseras efter 24 månader
• Waitlist-anmälan: Tills tjänsten lanserats + 30 dagar, eller tills du avregistrerar dig
• Partneransökningar: 12 månader om avslagna, annars löper de över i partnerkontot
• Säkerhetsloggar: 90 dagar

5. Hur använder vi dina uppgifter?

Vi använder dina personuppgifter för att:

• Skapa och hantera ditt konto
• Genomföra och bekräfta bokningar samt förmedla dem till utföraren
• Kommunicera med dig om dina tjänster (e-post, SMS)
• Hantera betalningar och fakturering
• Ansöka om RUT- och ROT-avdrag hos Skatteverket å dina vägnar
• Förbättra vår plattform och användarupplevelse
• Uppfylla rättsliga skyldigheter (t.ex. bokföring)

6. Mottagare och personuppgiftsbiträden

Vi delar uppgifter med följande mottagare och biträden:

• Tjänsteleverantörerna (våra partners) - får ditt namn, telefon, adress och bokningsdetaljer för att kunna utföra tjänsten. Personnummer delas aldrig
• Supabase - databas och autentisering. Datacenter inom EU (Frankfurt). Personuppgiftsbiträde
• Vercel - drift av webbsajten. USA. Överföring sker enligt EU-US Data Privacy Framework (DPF) och standardavtalsklausuler (SCC). Personuppgiftsbiträde
• Stripe Payments Europe - betalningshantering. Irland och USA. PCI DSS-certifierad. Personuppgiftsansvarig för betalningsdata
• Resend - utskick av transaktionella e-postmeddelanden. USA, överföring enligt SCC/DPF. Personuppgiftsbiträde
• Sentry - fel- och kraschloggning. USA, överföring enligt SCC/DPF. Personuppgifter förekommer endast i tekniska felmeddelanden. Personuppgiftsbiträde
• Google Analytics - anonymiserad besöksstatistik. Endast vid samtycke via cookie-banner
• Meta Pixel - mätning av annonskonverteringar. Endast vid samtycke via cookie-banner
• Skatteverket - mottagare av RUT/ROT-ansökningar (rättslig skyldighet)

Vi säljer aldrig dina personuppgifter till tredje part.

7. Dina rättigheter enligt GDPR

Som registrerad har du rätt att:

• Tillgång – begära en kopia av de uppgifter vi har om dig
• Rättelse – korrigera felaktiga uppgifter
• Radering– begära att vi raderar dina uppgifter ("rätten att bli glömd")
• Dataportabilitet – få dina uppgifter i ett maskinläsbart format
• Invändning – invända mot behandling baserad på berättigat intresse
• Begränsning – begära begränsning av behandling

För att utöva dina rättigheter, kontakta oss på hej@norrlandshem.com. Vi svarar inom 30 dagar.

8. Cookies

Vi använder följande cookies på Norrlandshem:

• Nödvändiga cookies - krävs för att plattformen ska fungera (sessionscookie för inloggning, CSRF-skydd, cookie för ditt cookie-val). Sätts utan samtycke med stöd av LEK 6 kap 18§
• Analytiska cookies- Google Analytics (_ga, _ga_*). Anonymiserad besöksstatistik. Lagringstid upp till 2 år. Sätts endast om du klickar "Acceptera" i cookie-bannern
• Marknadsföringscookies- Meta Pixel (_fbp). Mäter annonskonverteringar. Lagringstid upp till 3 månader. Sätts endast om du klickar "Acceptera" i cookie-bannern

Du kan när som helst återkalla ditt cookie-samtycke genom att rensa cookies för norrlandshem.com i din webbläsare, eller genom att maila oss på hej@norrlandshem.com.

9. Säkerhet

Vi skyddar dina uppgifter med radnivå-säkerhet (Row Level Security) på databasen, kryptering i vila och under transport (TLS), tvåfaktorsstöd via Supabase Auth, samt åtkomstkontroll på roller. Endast Sanna har administratörsåtkomst.

Vid en personuppgiftsincident anmäler vi till Integritetsskyddsmyndigheten inom 72 timmar enligt GDPR Art. 33, och meddelar berörda användare när det krävs.

10. Kontakt och klagomål

Personuppgiftsansvarig är Sanna Dahlin AB. Vid frågor om vår hantering av personuppgifter, kontakta oss:

Du har även rätt att lämna klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY) imy.se om du anser att vi bryter mot GDPR. Box 8114, 104 20 Stockholm. Telefon 08-657 61 00.