Integritetspolicy

1. Personuppgiftsansvarig

Vilotidsappen AB ("vi", "oss") är personuppgiftsansvarig för de personuppgifter vi behandlar i Tjänsten. Vid frågor kontakta vårt dataskyddsombud (DPO) på integritet@vilotid.se.

2. Personuppgifter vi samlar in

• Kontouppgifter: e-postadress, namn, telefonnummer (frivilligt), lösenord (hashat med Argon2id)
• Användardata: arbetstidsregistreringar, raster, viloperioder, korrigeringar med tidsstämpel
• Betalningsuppgifter: hanteras av Stripe, Klarna och Swish — vi lagrar endast transaktions-ID och belopp
• Teknisk data: IP-adress (för säkerhet och rate-limiting), enhetstyp, app-version
• Cookies: endast nödvändiga (inloggning + CSRF) — se vår cookie-policy

3. Rättslig grund för behandling

• Avtalsuppfyllelse (GDPR Art 6.1.b): leverera Tjänsten enligt användarvillkoren
• Rättslig förpliktelse (Art 6.1.c): bokföring, EU 561/2006-rapportering
• Berättigat intresse (Art 6.1.f): säkerhet, bedrägeribekämpning, produktförbättring

4. Lagring och säkerhet

• Lagring: all data inom EU. All trafik sker över TLS 1.3.
• Compliance: vi följer NIS2-direktivet (cybersäkerhet i kritisk infrastruktur) samt ISO/IEC 27001 (informationssäkerhetsledning).
• Kryptering: lösenord hashas med Argon2id. Lokal app-data i SQLCipher.
• Tamper-evidence: varje arbetspass har en kryptografisk hash som visar att den inte ändrats.
• Åtkomst: endast behörig personal med 2FA. Audit-logg av alla admin-åtgärder.

5. Lagringstid

• Aktiva konton: så länge kontot är aktivt
• Inaktiva konton: 12 månader efter senaste inloggning, sedan radering
• Arbetstidsdata: 5 år (för regelefterlevnad enligt EU 561/2006)
• Faktureringsdata: 7 år (bokföringslagen)
• Audit-loggar: 12 månader

6. Tredje parter

Vi delar data med följande underbiträden, samtliga GDPR-kompatibla:

• Hosting & DNS (EU) — leverans av tjänsten, edge-cache. Underbiträde med EU-personuppgiftsbiträdesavtal.
• Stripe (EU) — betalningar med kort
• Klarna (Sverige) — betalningar med faktura/delbetalning
• Swish (Sverige) — betalningar med Swish
• E-postleverans — transaktionella e-postmeddelanden

Vi säljer aldrig data till tredje part för marknadsföring.

7. Dina rättigheter enligt GDPR

• Artikel 15 — Rätt till tillgång: se vilka uppgifter vi har om dig via /v1/users/me
• Artikel 16 — Rätt till rättelse: ändra dina uppgifter via inställningar
• Artikel 17 — Rätt till radering: anonymisera ditt konto från inställningar (vissa lagstadgade data behålls i max 7 år)
• Artikel 18 — Rätt till begränsning: kontakta vår DPO
• Artikel 20 — Rätt till dataportabilitet: ladda ner all din data som JSON via /v1/users/me/export
• Artikel 21 — Rätt att invända: kontakta vår DPO

8. Klagomål

Du har rätt att lämna klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlar dina uppgifter felaktigt.

9. Ändringar av policyn

Vi kan komma att uppdatera denna policy. Större ändringar aviseras minst 30 dagar i förväg via e-post eller in-app-meddelande.

10. Kontakt

Dataskyddsombud: integritet@vilotid.se
Postadress: Vilotidsappen AB, Box 0000, 111 11 Stockholm