Integritetspolicy
Senast uppdaterad: 2026-05-22
Så samlar Konduit in, använder och skyddar dina personuppgifter.
1. Vem vi är
Konduit är en programvara-som-tjänst (SaaS) för hantering av VA-inspektionsdata. Tjänsten tillhandahålls av:
Marcus Nordlander, enskild näringsidkare med firma Punkter Org.nr: [INFOGA] Adress: [INFOGA SKÅNE-ADRESS] E-post: privacy@konduit.punkter.app
Vi är personuppgiftsansvariga för uppgifter som behandlas i samband med vår egen verksamhet (marknadsföring, fakturering, kundkontakter). Vi är personuppgiftsbiträden för uppgifter som våra kunder lägger in i Tjänsten — i den rollen styr kunden hur uppgifterna behandlas, och relationen regleras i ett separat Personuppgiftsbiträdesavtal (DPA).
2. Vilka uppgifter vi behandlar
2.1 Som personuppgiftsansvariga
- Kontodata: namn, e-post, jobbtitel, organisation
- Faktureringsdata: företagsnamn, organisationsnummer, faktureringsadress, betalningshistorik (betalningsmedel hanteras av Stripe — vi ser bara fakturerade belopp)
- Supportkommunikation: e-postutbyten, supportärenden
- Webbplatsanvändning: strikt nödvändiga sessionscookies (se § 7)
2.2 Som personuppgiftsbiträden (kundernas uppgifter inom Tjänsten)
- Inspektörers och projektmedlemmars namn, e-postadresser och projektroller
- Aktivitetsloggar (vem gjorde vad och när)
- Inspektionsdata (sektioner, observationer, koder enligt P122)
- Mediafiler (video, bilder) som kan innehålla bakgrundsbilder av personer
- GPS-koordinater kopplade till inspektionssektioner
Vi behandlar inte avsiktligt känsliga personuppgifter enligt GDPR Art. 9.
3. Varför vi behandlar uppgifter
| Ändamål | Rättslig grund |
|---|---|
| Tillhandahålla Tjänsten enligt kundavtal | Avtal (Art. 6.1.b) |
| Fakturering och bokföring | Rättslig förpliktelse (Art. 6.1.c — Bokföringslag) |
| Säkerhet, missbruksdetektering, incidenthantering | Berättigat intresse (Art. 6.1.f) |
| Förbättring av AI-modeller för defektdetektering | Samtycke (Art. 6.1.a) — uttryckligt opt-in på organisations- och projektnivå |
| Marknadsföring (befintliga kunder) | Berättigat intresse (Art. 6.1.f) — kan invändas mot |
| Marknadsföring (nya prospects) | Samtycke (Art. 6.1.a) |
4. Hur länge vi sparar uppgifter
Vi tillämpar en tre-spårig retentionsmodell (samma som DPA Bilaga 3):
| Spår | Vad det omfattar | Period |
|---|---|---|
| Track A — Arbetskopia | Användarinitierad radering (slänga ett projekt, ta bort ett media) | 30 dagar (återställningsbar), sedan hård radering |
| Track B — Begäran om radering | Uttrycklig GDPR Art. 17-begäran | Max 14 dagar |
| Track C — Lagstadgad lagring | Fakturerade rapporter, bokföringsposter | 7 år (Bokföringslag); 10 år för ABT 06-projekt; kommunalt enligt gallringsbeslut |
Säkerhetshändelsesloggar: 90 dagar (NIS2 Art. 21.2.b minimum) Säkerhetskopior: roterar ut inom det längre av 7 dagar (Hetzner Cloud Server Backups) och 30 dagar (logiska PostgreSQL-dumpar i S3 lagerpunkt) — "beyond-use"-doktrin
5. Vilka vi delar uppgifter med
Vi anlitar följande underleverantörer (sub-processors) för Tjänsten:
| Underleverantör | Ändamål | Plats | Skyddsåtgärd |
|---|---|---|---|
| Hetzner Online GmbH | Serverhosting, lagring, säkerhetskopior | EU (HEL1 Finland + FSN1 Tyskland) | EU-internt + Hetzner DPA |
| Resend | Transaktionell e-post | EU (Tyskland) | EU-internt + Resend DPA |
| Stripe Payments Europe Ltd | Betalningsbehandling | EU (Irland) primärt | Stripe DPA + EU SCCs (modul 3) för USA-moderbolag |
GitHub Inc. listar vi för transparens — de hanterar Konduits utvecklingsdata (källkod), inte kundpersonuppgifter inom Tjänsten.
Vi säljer inte personuppgifter till tredje part. Vi delar inte personuppgifter för andra parters marknadsföring.
Vi kan lämna ut personuppgifter om vi är skyldiga enligt lag eller domstolsbeslut (GDPR Art. 6.1.c).
6. Var dina uppgifter lagras
All kunddata inom Tjänsten lagras inom EU/EES — primärt på Hetzner-servrar i Helsingfors (HEL1, Finland), med disaster-recovery-snapshots i Falkenstein (FSN1, Tyskland).
Inga tredjelandsöverföringar för kundens tjänstedata. Betalningsmetadata hanteras av Stripe inom EU; eventuella interna gruppöverföringar till Stripes amerikanska moderbolag sker under EU-kommissionens standardavtalsklausuler.
7. Cookies
Vi använder endast strikt nödvändiga cookies:
- Sessionscookie för Keycloak-inloggning (utan denna fungerar inte autentiseringen)
- Eventuella interna sessionscookies för Tjänstens funktion
Vi använder inga cookies för analys, marknadsföring eller spårning över webbplatser. Vi har därför inget cookie-banner — strikt nödvändiga cookies kräver inte samtycke enligt ePrivacy-direktivet Art. 5.3.
8. AI-baserad defektdetektering — opt-in
Vi använder en internt tränad YOLOv8-modell för att automatiskt identifiera defekter i inspektionsmedia. Modellen körs på Konduits egen infrastruktur — inga externa AI-API:er används i produktionsflödet.
Användning av kunddata för förbättring av modellen kräver uttryckligt opt-in på både organisations- och projektnivå. Du återkallar samtycket när som helst på /settings/ai-data-consent.
Vid återkallelse:
- Framtida användning av återkallad data upphör omedelbart.
- Källdatat tas bort från nästa träningscykel.
- Härledda modellvikter "tränas inte tillbaka" retroaktivt (tekniskt ogenomförbart enligt EDPB Op 28/2024). Vi väljer transparens framför ett orealistiskt löfte.
9. Dina rättigheter
Enligt GDPR har du följande rättigheter avseende dina personuppgifter:
| Rättighet | Vad du kan begära |
|---|---|
| Tillgång (Art. 15) | En kopia av de uppgifter vi behandlar om dig |
| Rättelse (Art. 16) | Korrigering av felaktiga uppgifter |
| Radering (Art. 17) | Att vi raderar dina uppgifter ("rätten att bli glömd") — Track B-fönstret om 14 dagar |
| Begränsning (Art. 18) | Begränsa behandlingen tillfälligt |
| Portabilitet (Art. 20) | Dataexport i JSON + ZIP (TV4-original + PDF-rapporter) |
| Invändning (Art. 21) | Invända mot behandling baserad på berättigat intresse |
| Återkalla samtycke | För AI-träning eller marknadsföring (utan att påverka tidigare laglig behandling) |
Hur du utövar rättigheterna: mejla privacy@konduit.punkter.app.
- Mottagningsbekräftelse: 5 arbetsdagar
- Svar: max 30 dagar (kan förlängas med 60 dagar vid komplexitet)
Korsorganisationskontrakt: Om du har deltagit i ett projekt under ett kontrakt mellan två organisationer (t.ex. som inspektör hos ett besiktningsbolag som levererar till en kommun) kan motparten ha en oberoende kopia av kontraktsposten med din namn pseudonymiserat ("Counterparty (deleted)") även efter din radering. Detta stöds av GDPR Art. 17.3.e (rättsliga anspråk) och Art. 17.3.b (rättslig förpliktelse — Bokföringslag, ABT 06).
Klagomål: Om du anser att vi behandlar dina uppgifter felaktigt har du rätt att klaga till Integritetsskyddsmyndigheten (IMY): imy@imy.se / +46 8 657 61 00.
10. Säkerhetsåtgärder
Vi tillämpar tekniska och organisatoriska säkerhetsåtgärder enligt NIS2 Art. 21 — se separat NIS2 Compliance Statement för detaljer. Sammanfattning:
- Kryptering under transport (TLS 1.2+) och vid lagring (SCRAM-SHA-256, SSE-S3)
- Strikt rollbaserad åtkomstkontroll (RBAC) via Keycloak + PostgreSQL Row Level Security
- Granskningsloggning av alla mutationer (90 dagars säkerhetshändelser; 7 års finansiella händelser)
- Daglig säkerhetskopiering, kvartalsvis återställningstest
- 72-timmars incidentnotifiering enligt GDPR Art. 33
11. Personer under 16 år
Tjänsten riktar sig till företag och offentliga organisationer för professionell användning. Vi vänder oss inte avsiktligt till personer under 16 år och samlar inte avsiktligt in uppgifter om dem.
12. Ändringar av denna policy
Vi kan uppdatera denna integritetspolicy. Vid väsentliga ändringar informerar vi via e-post till kontoadministratörer minst 30 dagar innan ändringen träder i kraft. Versionshistorik finns på begäran.
13. Kontakt
Marcus Nordlander, enskild näringsidkare med firma Punkter
- Dataskyddsfrågor: privacy@konduit.punkter.app
- Säkerhetsincidenter: security@konduit.punkter.app
- Allmänt: compliance@konduit.punkter.app
Vi har inte utsett en formell DPO (kraven i GDPR Art. 37 är inte uppfyllda för vår verksamhet i nuvarande omfång). Marcus Nordlander är dataskyddskontakt.