Så tar vi hand om dina personuppgifter

1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen är:

Har du frågor om hur vi hanterar dina uppgifter, eller vill du utöva någon av dina rättigheter, når du oss enklast på e‑postadressen ovan.

2. Vilka personuppgifter vi behandlar

Vi behandlar bara de uppgifter vi behöver för att kunna tillhandahålla våra tjänster. Omfattningen beror på hur du använder webbplatsen.

2.1 När du besöker webbplatsen

• Teknisk session‑cookie (wix_session) för inloggning, varukorg och B2B‑prissättning.
• Funktionella värden i din webbläsares lokala lagring, t.ex. språkval och moms‑inkludering. Dessa lämnar aldrig din enhet annat än som del av en autentiserad begäran.
• Standard‑serverloggar (tidpunkt, begärd URL, IP‑adress, webbläsare) som uppstår vid drift av vilken webbplats som helst.

2.2 När du skickar ett meddelande via kontaktformuläret

• Namn
• Företag (valfritt)
• E‑postadress
• Telefonnummer (valfritt)
• Meddelandets innehåll

2.3 När du lägger en order eller gör en offertförfrågan

• För‑ och efternamn
• E‑postadress
• Telefonnummer
• Företagsnamn och organisationsnummer (vid företagsorder)
• Faktura‑ och leveransadress
• Orderrader (produkter, antal, pris)
• Eventuell meddelanderad, kundreferens, valda installations‑ eller leveransalternativ
• Betalningsuppgifter hanteras av Wix Checkout och dess anslutna betaltjänstleverantörer. Vi lagrar aldrig hela kortnummer eller motsvarande uppgifter i vår egen infrastruktur.

2.4 När du har ett kundkonto

• Kontaktuppgifter enligt ovan
• Sparade leveransadresser
• Orderhistorik
• Användarkategoriseringar och kundsegment som är nödvändiga för att tilldela korrekt prisnivå och åtkomsträttigheter (exempelvis företagskund med avtalad prislista eller servicepartner med åtkomst till reservdelsbeställning). Sådana kategoriseringar sätts manuellt av oss.

2.5 När du får orderbekräftelse

Orderbekräftelse och PDF‑kvitto skickas via e‑post. Bekräftelsen innehåller de uppgifter som krävs för att dokumentera köpet: ditt namn, din e‑postadress, leveransadress, ordernummer, orderrader och belopp.

Vi använder inga särskilda kategorier av personuppgifter (känsliga uppgifter enligt GDPR art. 9) och ber dig inte lämna sådana.

3. Ändamål med behandlingen

Vi behandlar personuppgifter för följande ändamål:

• Hantera och leverera order, tjänster och reklamationer.
• Fakturera och administrera betalningar.
• Hantera medlemskonto och inloggning.
• Besvara meddelanden och förfrågningar som kommer in via kontaktformuläret eller på annat sätt.
• Fullgöra våra rättsliga skyldigheter (bl.a. bokförings‑, skatte‑ och konsumenträttslig lagstiftning).
• Skydda webbplatsen, upptäcka och förebygga missbruk, fel och säkerhetshändelser.
• Utveckla och förbättra vårt produktutbud och vår service — baserat på aggregerad och avidentifierad statistik.

4. Rättslig grund

Varje behandling måste enligt GDPR art. 6.1 ha en rättslig grund. För oss är det följande:

När vi stödjer oss på berättigat intresse har vi gjort en intresseavvägning och bedömt att vårt intresse av att kunna driva verksamheten — t.ex. skydda vår IT‑miljö eller besvara kunders frågor — inte inkräktar på dina rättigheter på ett orimligt sätt. Du har alltid rätt att invända mot sådan behandling (se punkt 9).

5. Varifrån uppgifterna kommer

Vi samlar huvudsakligen in uppgifter direkt från dig när du besöker webbplatsen, registrerar ett konto, skickar in en förfrågan eller lägger en order.

Vid företagsköp kan vi komplettera med offentliga uppgifter från Bolagsverket, Skatteverket eller kreditupplysningsföretag för att bekräfta företagets behörighet och kreditvärdighet. Sådan komplettering görs bara i den utsträckning det är nödvändigt för att ingå eller fullfölja avtalet.

6. Vilka vi delar uppgifter med

Vi anlitar ett mindre antal noggrant valda leverantörer som behandlar personuppgifter för vår räkning. Vi delar bara det som är nödvändigt, och vi tecknar personuppgiftsbiträdesavtal med samtliga.

• Wix.com Ltd. — levererar den headless plattform som driver kundkonton, orderregister, produktkatalog, kontaktregister och CMS‑formulär.
• Lagerkoll AB — svenskt lager‑ och orderhanteringssystem. Varje order skickas hit för plock, leverans och fakturering.
• Resend, Inc. — levererar de orderbekräftelsemejl vi skickar automatiskt.
• Vercel Inc. — driftleverantör för den Next.js‑applikation som kör webbplatsen (server‑ och edge‑miljö, loggning, säkerhet). Tillhandahåller dessutom cookielös, fråge‑redigerad sidtrafikstatistik (Vercel Web Analytics) som vi inte använder för att identifiera besökare.
• Google LLC (reCAPTCHA Enterprise) — laddas endast på registreringssidan (/registrera) för att förhindra automatiserad kontoskapning. Wix kräver en giltig reCAPTCHA‑token för att skapa nya medlemmar. Google tar emot din IP‑adress, webbläsar‑/enhetsuppgifter och anonymiserade interaktionsmönster (musrörelser, klick, tidsstämplar) för att avgöra om besökaren är en bot. Tjänsten används inte för annonsering eller spårning. Se Googles integritetspolicy.
• Fraktbolag som PostNord, DHL, Schenker eller Bring — beroende på vald leveransmetod.
• Betaltjänstleverantörer anslutna till Wix Checkout när du betalar med kort eller faktura.
• Revisor och bokföringsbyrå för vår lagstadgade bokföring.
• Myndigheter (t.ex. Skatteverket, Konsumentverket, IMY, Polismyndigheten) när vi är skyldiga enligt lag att lämna ut uppgifter.

Vi säljer aldrig dina personuppgifter och delar dem inte med annonsnätverk. Den enda analystjänsten på webbplatsen är Vercel Web Analytics — cookielös och fråge‑redigerad, vilket innebär att webbadressers querysträngar tas bort innan de skickas. Vi använder inte tjänsten för att identifiera enskilda besökare.

7. Överföring till tredje land

Vissa av våra leverantörer är etablerade utanför EU/EES:

• Wix.com Ltd. har sitt moderbolag i Israel. Israel har ett giltigt adekvansbeslut från EU‑kommissionen, vilket innebär att nivån på skyddet anses likvärdig med EU:s. För de delar av Wix drift som sker utanför adekvanslandet tillämpas EU:s standardavtalsklausuler (SCC).
• Resend, Inc. är etablerat i USA. För den nödvändiga överföringen till USA förlitar vi oss i första hand på det av EU godkända säkerhetsavtalet Data Privacy Framework. Som en extra, förebyggande trygghet tillämpar vi även godkända standardavtalsklausuler (SCC).
• Vercel Inc. är etablerat i USA. För den nödvändiga överföringen till USA förlitar vi oss i första hand på EU:s godkända Data Privacy Framework, kompletterat med standardavtalsklausuler (SCC). Vercel Web Analytics tar emot fråge‑redigerad sidtrafikdata utan kund‑identifierande information.
• Google LLC är etablerat i USA. För reCAPTCHA‑överföringen förlitar vi oss på EU:s Data Privacy Framework (Google är certifierat) kompletterat med standardavtalsklausuler (SCC). Endast den IP‑ och interaktionsdata som krävs för att identifiera bot‑trafik på registreringssidan delas.
• Om någon annan underleverantör vid något tillfälle behandlar uppgifter utanför EU/EES, sker det med stöd av Data Privacy Framework, standardavtalsklausuler eller någon annan giltig överföringsmekanism i GDPR kap. V.

Kontakta oss på info@nordiccoffeetools.se om du vill ha kopia på tillämpliga standardavtalsklausuler.

8. Hur länge vi sparar uppgifterna

Vi sparar aldrig personuppgifter längre än nödvändigt för de ändamål vi samlat in dem för, eller för att uppfylla krav enligt lag.

Efter att lagringstiden löpt ut raderas eller anonymiseras uppgifterna.

9. Dina rättigheter enligt GDPR

Som registrerad har du ett antal rättigheter. För samtliga gäller att du kontaktar oss på info@nordiccoffeetools.se.

När du kontaktar oss för att utöva dina rättigheter hanterar vi ditt ärende kostnadsfritt. Vår målsättning är att alltid återkoppla med ett beslut och åtgärd inom 30 dagar från det att vi tagit emot din begäran. I undantagsfall — vid särskilt komplexa ärenden — kan svarstiden förlängas, vilket vi då meddelar dig om.

• Rätt till tillgång (art. 15). Du kan begära ett registerutdrag över de uppgifter vi behandlar om dig.
• Rätt till rättelse (art. 16). Är något felaktigt eller ofullständigt, rättar vi det. Du kan även rätta många uppgifter själv under "Mina uppgifter" på ditt konto.
• Rätt till radering (art. 17). Du kan begära att vi raderar uppgifter som vi inte längre har grund att behandla. Vi kan dock behöva spara viss information för att uppfylla bokförings‑ eller andra rättsliga krav.
• Rätt till begränsning (art. 18). Du kan begära att behandlingen begränsas medan en invändning eller rättelse prövas.
• Rätt att invända (art. 21). Du kan invända mot behandling som vi utför med stöd av berättigat intresse. Du har alltid rätt att invända mot direktmarknadsföring.
• Rätt till dataportabilitet (art. 20). För uppgifter som du själv lämnat till oss och som vi behandlar med stöd av avtal eller samtycke, kan du få dem i ett strukturerat, allmänt använt och maskinläsbart format.
• Rätt att återkalla samtycke (art. 7.3). När vi behandlar uppgifter med stöd av ditt samtycke (t.ex. för nyhetsbrev) kan du när som helst återkalla det. Återkallandet påverkar inte lagligheten av behandling som skett innan återkallelsen.

För att skydda dig mot obehöriga utlämnanden kan vi behöva be dig bekräfta din identitet på lämpligt sätt innan vi verkställer en begäran.

10. Säkerhet

Vi arbetar kontinuerligt med tekniska och organisatoriska säkerhetsåtgärder för att skydda dina uppgifter mot obehörig åtkomst, ändring, spridning eller förlust. Bland våra åtgärder ingår:

• Kryptering av trafik (TLS/HTTPS) över hela webbplatsen.
• Strikt åtkomstkontroll — endast behörig personal har tillgång till system som innehåller personuppgifter, och åtkomsten är rollbaserad.
• Korta sessionstider och skyddade cookies (Secure, SameSite=Lax) i produktion.
• Hemligheter och API‑nycklar lagras i säkra miljövariabler och exponeras aldrig på klienten.
• Leverantörer utvärderas och regleras genom personuppgiftsbiträdesavtal.
• Säkerhetsuppdateringar, loggning och incidentrutiner.

Inga säkerhetsåtgärder är hundraprocentigt säkra. Om en personuppgiftsincident ändå skulle inträffa, hanterar vi den enligt GDPR art. 33–34 och anmäler till IMY och berörda registrerade när det krävs.

11. Cookies och liknande tekniker

En cookie är en liten textfil som sparas i din webbläsare. Webbplatsen använder idag endast strikt nödvändiga cookies — de som krävs för att en tjänst du aktivt begärt (t.ex. inloggning eller varukorg) ska fungera.

Utöver cookies använder vi din webbläsares lokala lagring (localStorage/sessionStorage) för funktionella värden som språkval, momsvisning och en cachad B2B‑status. Dessa värden ligger kvar på din enhet tills du rensar dem och överförs inte till oss annat än som del av en vanlig anropssignatur.

Webbplatsens enda analystjänst är Vercel Web Analytics, som mäter sidtrafik utan att sätta cookies. Innan varje händelse skickas tar vi bort querysträngar och fragmentidentifierare så att tjänsten inte tar emot ordernummer, formulärinnehåll eller andra uppgifter som kan kopplas till enskilda besökare. Vi använder inga marknadsföringscookies eller spårningstekniker som kräver samtycke, och har därför idag ingen samtyckesbanner. Om sådana tekniker införs framöver kommer du att få en tydlig möjlighet att godkänna eller avböja innan de aktiveras, i enlighet med 6 kap. 18 § LEK och GDPR.

Vårt åtagande: kvartalsvis cookie‑granskning

Eftersom vi bygger på en tredjepartsplattform (Wix) kan nya cookies tillkomma utan att vi aktivt valt det. För att skyddet i denna policy ska förbli sant har vi en intern rutin att kvartalsvis granska webbplatsens samtliga cookies och lokala lagringsnycklar. Om granskningen upptäcker nya spårnings‑, analys‑ eller marknadsföringscookies uppdateras denna policy utan dröjsmål och en godkänd samtyckesbanner införs innan sådana cookies får sättas, i enlighet med LEK och IMY:s praxis kring "dark patterns".

Du kan alltid radera cookies via din webbläsares inställningar. Observera att webbplatsens inloggade funktioner då kan sluta fungera.

12. Automatiserat beslutsfattande

Vi använder inget sådant automatiserat beslutsfattande eller profilering som avses i GDPR art. 22. B2B‑prisetiketter sätts manuellt av oss utifrån överenskommelse med respektive företagskund.

13. Rätt att klaga till IMY

Anser du att vi behandlar dina personuppgifter på ett felaktigt sätt kan du lämna klagomål till Integritetsskyddsmyndigheten (IMY), som är svensk tillsynsmyndighet:

Vi uppskattar såklart om du först kontaktar oss direkt, så får vi möjlighet att reda ut eventuella missförstånd.

14. Ändringar i policyn

Vi kan komma att uppdatera denna integritetspolicy när verksamheten, tekniken eller lagstiftningen ändras. Aktuell version visas alltid längst ned på sidan, tillsammans med datum för senaste ändring.

Vid väsentliga ändringar — till exempel att vi introducerar en helt ny typ av behandling eller en ny mottagare — informerar vi särskilt, i första hand via e‑post till inloggade medlemmar eller genom en tydlig notis på webbplatsen.

15. Kontakt

Hör gärna av dig om du har frågor om denna policy eller vill utöva någon av dina rättigheter.

Vi har i dagsläget inte utsett ett dataskyddsombud, då verksamheten inte omfattas av det lagstadgade kravet enligt GDPR art. 37. Frågor kring dataskydd hanteras av vår kundtjänst och ledning via e‑postadressen ovan.