Din data, ditt företag.

Personuppgiftsansvarig (controller, art. 4.7 GDPR) för behandlingen av personuppgifter inom Skiftio-tjänsten är:

• Verksamhet: WEEKNDS (enskild firma), Sverige
• Organisationsnummer: Lämnas ut på begäran via support@skiftio.se till kunder, Integritetsskyddsmyndigheten eller andra som har rättslig grund att begära det. Eftersom organisationsnummer för enskild firma sammanfaller med innehavarens personnummer publiceras det inte öppet av integritetsskäl.
• Postadress: Lämnas ut på begäran via support@skiftio.se.
• Kontakt-e-post: support@skiftio.se

I denna policy benämns verksamheten "Skiftio", "vi" eller "oss".

WEEKNDS har för närvarande inte utsett ett dataskyddsombud (DPO). Detta är inte ett krav enligt GDPR artikel 37 eftersom verksamheten inte uppfyller kriterierna för obligatorisk DPO — kärnverksamheten kräver inte regelbunden och systematisk övervakning av registrerade i stor omfattning, och vi behandlar inte särskilda kategorier av personuppgifter i större skala. Om verksamheten växer utvärderar vi behovet löpande.

Vi behandlar uppgifter som du själv lämnar när du registrerar ett konto, använder Tjänsten eller kontaktar oss, samt uppgifter som genereras automatiskt vid användning:

• Konto- och inloggningsuppgifter — namn, e-postadress, lösenord (lagras endast som bcrypt-hash via Supabase Auth), telefonnummer, valt språk.
• Företagsuppgifter — företagsnamn, organisationsnummer, momsregistreringsnummer, räkenskapsår, företagsform (AB, EF eller HB), bolagets adress.
• Fordonsuppgifter — registreringsnummer, märke, modell, taxameterserienummer, ordinarie förare. Registreringsnummer kan utgöra personuppgift om fordonet är registrerat på en fysisk person (t.ex. enskild firma).
• Bokföringsmaterial — fotograferade och uppladdade kvitton, fakturor, kontoutdrag, intäktsrapporter från redovisningscentral, exportfiler. Detta är verifikationer enligt Bokföringslagen (1999:1078) 5 kap 6 §.
• Finansiell transaktionsdata — leverantörsnamn, motpart, belopp, momssatser, BAS-konton, betalreferenser från CSV-importer av bankkontoutdrag.
• Konversationer med AI-assistenten — inskriven text, refererade kvitton, modellsvar, modell-id och tokenförbrukning. Mer detalj i avsnitt 8.
• Användnings- och teknisk data — sidvisningar, händelsetidsstämplar, fellogg, inloggningstidpunkter, IP-adress vid inloggning (lagras hashat av Supabase Auth, inte i klartext).
• Betalningsuppgifter — vid Phase 8-lansering hanteras betalkort av Stripe Sweden AB. Skiftio lagrar då endast Stripe-kund-id, abonnemangsstatus och fakturahistorik — aldrig kortnummer eller CVC.

Vi behandlar normalt inte särskilda kategorier av personuppgifter (artikel 9 GDPR). Skulle ett uppladdat kvitto av misstag innehålla sådana uppgifter (t.ex. ett friskvårdskvitto med hälsoinformation) raderas eller anonymiseras de på begäran.

All personuppgiftsbehandling sker med stöd av minst en rättslig grund i artikel 6 GDPR. Tabellen sammanfattar de huvudsakliga behandlingarna:

Skiftio har dokumenterat en intresseavvägning för de behandlingar som vilar på berättigat intresse (fellogg, bedrägerikontroll, anonym produktstatistik). Intresseavvägningen är tillgänglig på begäran via support@skiftio.se.

• Bokföringsmaterial (verifikationer, journaler, SIE-exporter, momsrapporter) — sju år från utgången av det kalenderår då räkenskapsåret avslutades, enligt Bokföringslagen (1999:1078) 7 kap 2 § och mervärdesskattelagen (2023:200) 13 kap. Att radera bokföringsmaterial i förtid är en lagöverträdelse — vi kan därför inte ta bort dessa uppgifter även om du begär det. Mer detalj i Datalagringspolicy.
• Kontodata (namn, e-post, sessioner, profilbild) — raderas eller anonymiseras 90 dagar efter avslutat konto, med undantag för det som är kopplat till bokföringsmaterial (t.ex. namn på den som godkänt en verifikation lagras i audit-loggen i sju år).
• AI-konversationer — soft-delete tillgängligt direkt (du kan när som helst arkivera eller dölja en konversation). Automatisk hård-radering 90 dagar efter soft-delete aktiveras under v1.5; tills dess raderas konversationer manuellt på begäran. Audit-spår av konversationer omfattas dock av sju-årsregeln när de refererar bokföringsmaterial.
• Audit-log för finansiella mutationer — sju år från händelse, BFL 5 kap 11 § (systemdokumentation och behandlingshistorik).
• System- och säkerhetslogg (icke-finansiell) — 30 dagar för att möjliggöra säkerhetsutredning.
• Faktureringsuppgifter (Stripe) — sju år enligt BFL 7 kap 2 § och ML 13 kap.
• Marknadsförings-mejllistor — så länge samtycket är aktivt; raderas omedelbart vid avregistrering.

Skiftio anlitar följande personuppgiftsbiträden för att leverera Tjänsten. Samtliga är bundna av personuppgiftsbiträdesavtal (Data Processing Agreement, DPA) enligt artikel 28 GDPR. Listan återspeglar Skiftios faktiska tekniska arkitektur — nya biträden tillkommer först efter dokumenterad utvärdering.

Skiftio säljer aldrig dina personuppgifter och delar dem inte i marknadsföringssyfte. Personuppgifter kan lämnas ut till myndigheter (t.ex. Skatteverket, Polismyndigheten, Integritetsskyddsmyndigheten) om vi är skyldiga enligt lag eller efter laga kraftvunnet beslut.

Personuppgiftsbiträdesavtal (DPA) finns på plats med samtliga underbiträden ovan, eller är bundna av leverantörens publika DPA som åberopas vid registrering. En aktuell underbiträdesförteckning tillhandahålls på begäran via support@skiftio.se.

Följande underbiträden är etablerade i USA eller har en kontrollplan som kan transitera USA. Skiftio har dokumenterat en transfer impact assessment (TIA) för respektive flöde och tillhandahåller den på begäran.

• Anthropic, PBC (USA) — överföring under EU-kommissionens standardavtalsklausuler (SCC, Kommissionens beslut 2021/914/EU, modul 2 — controller till processor). Kompletterande skyddsåtgärder: TLS 1.3 vid överföring och 0 dagars retention i Anthropics API-konto. Modellindata används inte till modellträning enligt Anthropics nuvarande affärsvillkor för API-kunder.
• Vercel, Inc. (USA) — den teknik­leverantör som driver vår webbhosting. Trafik serveras från EU/EES-edge, men kontrollplan, tjänsteadministration och loggar kan transitera USA. Överföringen sker under SCC modul 2 + Vercels tilläggsskyddsåtgärder enligt deras DPA.
• Stripe (USA) — vid Phase 8-lansering kan kortdata överföras till USA via Stripes koncerninterna SCC-baserade flöde i samband med betalningsbehandling.

Övriga underbiträden (Supabase via AWS eu-north-1, Resend EU, Sentry EU, Plausible EU, Cloudflare EU/EES) behandlar personuppgifter inom EU/EES.

Sammanfattning av överföringsmekanismer för USA-länkade underbiträden: standardavtalsklausuler (SCC, beslut 2021/914/EU) är applicerade på samtliga överföringar. Anthropic är dessutom certifierat under EU-US Data Privacy Framework (DPF) för mottagande av personuppgifter från EU. Stripe använder SCC i kombination med koncerninterna bindande regler för sina USA-flöden. Vercel använder SCC för kontrollplan och loggar. Mekanismerna omprövas löpande mot EDPB:s vägledning och uppdateras vid behov.

• All trafik krypteras med TLS 1.3 mellan din enhet och våra servrar.
• Data är krypterad i vila (AES-256 via Supabase och AWS S3).
• Row-Level Security (RLS) i databasen säkerställer att en användare endast kan läsa sitt eget företags data — varje tabellfråga filtreras av Postgres före applikationsskiktet.
• Lösenord lagras enbart som bcrypt-hashar via Supabase Auth; vi har aldrig tillgång till klartextlösenord.
• Kvitton hashas (SHA-256) vid uppladdning. Efter att en verifikation godkänts blockeras ändringar av belopp, datum och konto av en databastrigger (oföränderlighet i enlighet med digital lagring sedan lagändringen 1 juli 2024, prop. 2023/24:78, lag 2024:342).
• Audit-log skrivs för varje förändring i de finansiella tabellerna (kvitton, intäkter, momsperioder, exporter, chat) och bevaras minst sju år.
• Roll-baserad åtkomstkontroll: ägare (owner), administratör (admin), förare (driver) och tittare (viewer) har olika skrivrättigheter; känsliga åtgärder som SIE-export och momsdeklaration kräver owner- eller admin-roll.
• Sentry konfigureras med PII-scrubbing-regler så att kvittobelopp, e-postadresser och Stripe-id inte hamnar i felloggar.
• Personuppgiftsincidenter dokumenteras i internt register och anmäls till IMY inom 72 timmar enligt artikel 33 GDPR. Kunder som påverkas får direkt information enligt artikel 34 GDPR.

Skiftios AI-assistent använder Anthropic Claude för att besvara frågor om din bokföring. Per konversationstur skickas följande data till Anthropic:

• Statisk systemprompt och verktygsdefinitioner — innehåller inga personuppgifter.
• Tidigare meddelanden i den aktiva konversationen — kan innehålla kvittosummor, leverantörsnamn, BAS-konton och eventuell fritext du själv skrivit.
• Verktygsresultat (t.ex. en P&L-sammanställning eller en lista över kvitton) när modellen anropar ett internt verktyg.

Vårt Anthropic-konto har 0 dagars retention aktiverat — Anthropic lagrar inte konversationsinnehåll efter att anropet är besvarat. Skiftios kunddata används aldrig för modellträning.

AI-assistenten har endast tillgång till ditt eget företags data via verktygsanrop som körs i vår backend, skyddade av två lager: (1) Row-Level Security på den autentiserade Supabase-klienten, och (2) det company_id som verktyget använder extraheras alltid från sessionen i serverkoden — inte från modellens svar. Modellen kan därför inte begära data om ett annat företag.

Konversationer är personliga inom ett flerpersonsföretag — andra medlemmar kan inte läsa dina chat-trådar. Audit-loggen registrerar varje meddelande för bokförings- och säkerhetsändamål, men endast Skiftios säkerhetsansvariga kan ta del av audit-loggen och bara efter dokumenterad incidentanledning.

Skiftio använder ett minimum av cookies — bara det som krävs för inloggning och temaval. Vi använder inga marknadsföringscookies eller tredjepartsspårning. Detaljer i Cookie-policy.

• Rätt till tillgång (art. 15 GDPR) — du kan när som helst läsa och exportera din data via Inställningar → Export (ZIP + SIE4) eller begära ett samlat utdrag via e-post.
• Rätt till rättelse (art. 16 GDPR) — felaktiga uppgifter (namn, e-post, företagsuppgifter) korrigerar du direkt i appen. Felaktiga bokföringsuppgifter rättas via en ny verifikation som hänvisar till den gamla (rättelseverifikation enligt BFL 5 kap 5 §) — den ursprungliga raderas inte.
• Rätt till radering (art. 17 GDPR) — kontodata raderas vid avslutat konto. Bokföringsmaterial omfattas av Bokföringslagens sjuåriga lagringsplikt och kan inte raderas i förtid (undantag enligt art. 17.3 b GDPR).
• Rätt till begränsning (art. 18 GDPR) — du kan begära att behandlingen tillfälligt pausas vid invändning eller tvist.
• Rätt till dataportabilitet (art. 20 GDPR) — full SIE4-export är inbyggd i Tjänsten. CSV-export kan begäras för specifika tabeller.
• Rätt att invända (art. 21 GDPR) — mot behandling som baseras på berättigat intresse, t.ex. anonym produktstatistik.
• Rätt att återkalla samtycke (art. 7.3 GDPR) — där behandlingen vilar på samtycke, t.ex. nyhetsbrev, kan du när som helst återkalla samtycket utan att det påverkar lagligheten av tidigare behandling.
• Rätt att inte bli föremål för automatiserat beslutsfattande (art. 22 GDPR) — Skiftio fattar inga beslut som har rättsliga eller liknande väsentliga följder för dig enbart automatiserat. Alla AI-förslag är redigerbara av användaren innan de blir bokförda.

Begäran ställs till support@skiftio.se. Ange tydligt vilken rättighet enligt artikel 15–22 GDPR du åberopar och, om relevant, vilken information eller behandling begäran avser.

Vi besvarar din begäran inom en månad från mottagandet (art. 12.3 GDPR), med möjlighet till två månaders förlängning vid särskilt komplexa begäran (art. 12.3 GDPR). Vid rimligt tvivel om din identitet kan vi begära kompletterande verifiering, t.ex. via BankID eller annan ID-handling (art. 12.6 GDPR). Begäran är kostnadsfri; vid uppenbart ogrundade eller orimligt återkommande begäran kan vi enligt art. 12.5 GDPR ta ut en rimlig avgift som täcker administrativa kostnader, eller avslå begäran.

Om du anser att vi behandlar dina personuppgifter i strid med lag har du rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY):

• Postadress: Box 8114, 104 20 Stockholm
• Telefon: 08-657 61 00
• E-post: imy@imy.se
• Webb: imy.se

Vi tar gärna en första kontakt direkt — det är ofta snabbaste vägen att lösa frågan.

Vid en personuppgiftsincident som sannolikt medför risk för dina rättigheter och friheter anmäler vi händelsen till IMY inom 72 timmar (art. 33 GDPR). Är risken hög informerar vi dig direkt (art. 34 GDPR). Vi för internt register över alla incidenter enligt art. 33.5 GDPR.

Vi kan komma att uppdatera denna policy vid förändringar i Tjänsten, lagstiftning eller underbiträden. Väsentliga ändringar meddelas via e-post och i appen minst 30 dagar innan ikraftträdande. Den senaste versionen finns alltid på skiftio.se/integritet.

Frågor om denna policy eller om behandlingen av dina personuppgifter besvaras av support@skiftio.se.