Integritetspolicy

Senast uppdaterad: 12 februari 2026

1. Introduktion

CBAM-Flow ("vi", "oss", "vårt") respekterar din integritet och är engagerade i att skydda dina personuppgifter. Denna integritetspolicy förklarar hur vi samlar in, använder och delar information när du använder vår tjänst för CBAM-rapportering (Carbon Border Adjustment Mechanism).

Vår tjänst efterlever EU:s dataskyddsförordning (GDPR, 2016/679) och svensk dataskyddslagstiftning.

2. Personuppgiftsansvarig

Personuppgiftsansvarig: Adam Thorstensson (enskild firma), org.nr 910706-4454, support@cbamflow.eu

🔒 PII-skrubbning: Vi använder automatisk PII-scrubbing för att skydda personuppgifter som kan förekomma i fakturor. E-postadresser, telefonnummer och personnummer tvättas bort innan data lagras i databasen.

3. Personuppgifter vi samlar in

3.1 Kontouppgifter

  • Företagsnamn, kontaktperson, e-postadress, telefonnummer
  • VAT-nummer, EORI-nummer (för CBAM-rapportering)
  • Företagsadress (land, postnummer, stad, gatuadress)

3.2 Transaktionsdata

  • Uppladdade fakturor och handelsdokument (PDF-filer)
  • Extraherad data: HS-koder, nettovik, ursprungsland, leverantörsinfo
  • Beräknade koldioxidvärdee (carbon debt)
  • CBAM-rapporter och XML-exportfiler

3.3 Teknisk data

  • IP-adress, webbläsartyp, enhetsinformation
  • Användningsmönster, sidvisningar, klickdata
  • Loggfiler för felsökning och säkerhet

3.4 Betalningsdata

  • Prenumerationsstatus, betalningshistorik (via Stripe)
  • Vi lagrar INTE kreditkortsuppgifter (hanteras av Stripe)

4. Rättslig grund för behandling (Art. 6 GDPR)

  • Fullgörande av avtal (Art. 6.1b): Behandling av kontouppgifter och transaktionsdata för att tillhandahålla CBAM-rapporteringstjänsten.
  • Rättslig förpliktelse (Art. 6.1c): Lagring av bokföringsunderlag enligt bokföringslagen (7 år).
  • Berättigat intresse (Art. 6.1f): Teknisk data för säkerhet, bedrägeriförebyggande och tjänsteförbättring.

5. Lagringstider

  • Kontouppgifter: Så länge ditt konto är aktivt + 7 år efter avslut (bokföringskrav).
  • Fakturor och rapporter: 7 år (enligt bokföringslagen).
  • Tekniska loggar: 90 dagar (säkerhet och felsökning).
  • Betalningsdata: 7 år (skatterättsliga krav).

6. Delning av personuppgifter

Vi delar dina personuppgifter med följande tredjepartstjänster (alla med GDPR-kompatibla databehandlingsavtal och Standard Contractual Clauses där tillämpligt):

  • Supabase (USA): Databaslagring och autentisering (ISO 27001-certifierad, SCC).
  • Anthropic (USA): AI-extrahering av fakturor via Claude API (SCC, GDPR-compliant).
  • Stripe (USA): Betalningshantering (PCI DSS Level 1, SCC).
  • Vercel (USA): Hosting och CDN (ISO 27001, SCC).

Vi delar ALDRIG dina data med marknadsföringstjänster eller datahandlare.

7. Dina rättigheter enligt GDPR (Art. 15-21)

  • Tillgång (Art. 15): Begära kopia av dina personuppgifter.
  • Rättelse (Art. 16): Korrigera felaktiga uppgifter (via Inställningar).
  • Radering (Art. 17): Begära radering ("rätten att bli glömd"), med undantag för bokföringslagstadgade krav.
  • Begränsning (Art. 18): Begränsa behandling medan vi utreder felaktigheter.
  • Dataportabilitet (Art. 20): Få dina data i maskinläsbart format (JSON/XML export).
  • Invändning (Art. 21): Invända mot behandling baserad på berättigat intresse.

För att utöva dina rättigheter, kontakta support@cbamflow.eu. Vi svarar inom 30 dagar.

8. Säkerhetsåtgärder

  • TLS 1.3-kryptering för all datatransfer
  • AES-256-kryptering för lagring av fakturor
  • Row Level Security (RLS) i databas (användare ser endast sin egen data)
  • Tvåfaktorsautentisering (tillgängligt)
  • Automatiska säkerhetskopior (dagligen, 30 dagars retention)
  • Penetrationstester årligen

9. Ändringar av integritetspolicyn

Vi kan uppdatera denna policy vid behov. Vid väsentliga ändringar meddelar vi dig via e-post. Fortsatt användning efter ändringar innebär godkännande.

10. Kontakt och klagomål

För frågor om integritet, kontakta support@cbamflow.eu.

Du har rätt att lämna klagomål till tillsynsmyndigheten (Integritetsskyddsmyndigheten, IMY) om du anser att vi bryter mot GDPR.