Integritetspolicy
Senast uppdaterad: 2026-05-27 Version: 2.0
Inledning
Denna integritetspolicy beskriver hur Spatialize AB, org.nr 559325-2660, med säte i Stockholm (nedan "BOKNORD" eller "vi"), behandlar personuppgifter i samband med tillhandahållandet av bokförings- och AI-tjänsten på boknord.se.
Policyn riktar sig till:
- Kunder — de juridiska personer som ingår avtal om användning av Tjänsten,
- Auktoriserade användare — fysiska personer som använder Tjänsten i en Kunds namn, samt
- Besökare — alla som besöker boknord.se utan att vara inloggade.
Begrepp som "Tjänsten", "Kund", "Auktoriserad användare", "Arbetsyta", "Kunddata" och "Bokföringsdata" har samma innebörd som i Användarvillkoren.
Behandling av personuppgifter följer Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR"), lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, samt bokföringslagen (1999:1078) i den utsträckning den föreskriver bevarande av räkenskapsinformation.
1. Vad som omfattas av GDPR — och vad som inte gör det
Den juridiskt avgörande distinktionen i en bokföringstjänst är vad som utgör personuppgifter i GDPR:s mening, och vad som är annan information.
1.1 Inte personuppgifter — företagsdata och räkenskapsinformation
Bokföringsdata avseende en juridisk person — exempelvis en verifikations belopp, ett kontosaldo, en momsrapport, en balans- eller resultatrapport, en SIE4-fil eller en kontoplan — utgör inte i sig personuppgifter enligt GDPR artikel 4.1. Sådan information avser ett aktiebolag, inte en levande fysisk person. BOKNORD behandlar dessa data som en del av Tjänsteleveransen, men inte under dataskyddsförordningens regelverk.
1.2 Personuppgifter inom Bokföringsdata — behandlas under GDPR
Bokföringsdata kan inom sig innehålla personuppgifter, exempelvis:
- namn och kontaktuppgifter till anställda, kunder, leverantörer eller styrelseledamöter,
- personnummer på en faktura eller i ett lönerelaterat underlag,
- bankuppgifter, IBAN eller kontonummer kopplade till en fysisk person,
- personrelaterade kostnadsposter (reseräkningar, traktamenten, representationsunderlag).
För dessa personuppgifter, som registreras eller laddas upp av Kunden i Arbetsytan, intar Kunden rollen som personuppgiftsansvarig enligt GDPR artikel 4.7, och BOKNORD rollen som personuppgiftsbiträde enligt artikel 4.8. BOKNORD behandlar dessa uppgifter uteslutande på Kundens dokumenterade instruktioner och regleras närmare i ett personuppgiftsbiträdesavtal (se avsnitt 8).
1.3 Personuppgifter där BOKNORD är personuppgiftsansvarig
För vissa uppgifter är BOKNORD själv personuppgiftsansvarig, eftersom BOKNORD bestämmer ändamål och medel för behandlingen. Detta gäller bland annat:
- Användarkonton för Auktoriserade användare — uppgifter som krävs för inloggning och behörighetshantering (namn, e-postadress, Google-konto-ID, lösenordshash där tillämpligt),
- Kontaktuppgifter till företagsföreträdare — uppgifter som lämnas i samband med försäljning, support eller fakturering,
- Säkerhets- och systemloggar — uppgifter om inloggningshändelser, IP-adresser och åtkomstmönster som BOKNORD samlar in för Tjänstens säkerhet och drift,
- Webbplatsbesöksdata — uppgifter som samlas in på boknord.se i samband med cookies enligt avsnitt 9.
För denna behandling gäller BOKNORDs egna rättsliga grunder enligt avsnitt 4.
2. Personuppgiftsansvarig
| Uppgift | Värde |
|---|---|
| Företagsnamn | Spatialize AB |
| Organisationsnummer | 559325-2660 |
| Säte | Stockholm, Sverige |
| Allmänna dataskyddsärenden | privacy@boknord.se |
| Begäran om radering, åtkomst, rättelse | privacy@boknord.se |
| Tillsynsmyndighet | Integritetsskyddsmyndigheten (IMY), imy.se |
BOKNORD har för närvarande inget dataskyddsombud (DPO) eftersom verksamhetens omfattning inte föranleder en sådan skyldighet enligt GDPR artikel 37. Frågor i dataskyddsärenden hanteras av privacy@boknord.se.
3. Vilka personuppgifter vi behandlar
3.1 Uppgifter där BOKNORD är personuppgiftsansvarig
Kontouppgifter (Auktoriserade användare)
- Namn
- E-postadress
- Google-konto-ID (vid Google-inloggning)
- Profilbild (om sådan tillhandahålls av Google)
- Vald arbetsyta och behörighetsroll
- Tidpunkt för senaste inloggning
Företagskontaktuppgifter (Kundens företrädare)
- Företagsnamn och organisationsnummer
- Kontaktpersonens namn, e-post och eventuellt telefonnummer
- Faktureringsuppgifter om sådana lämnas
Tekniska loggar och säkerhetsdata
- IP-adress
- Webbläsartyp och operativsystem (User-Agent)
- Inloggningshändelser och åtkomstmönster
- Sessions-ID
- Eventuella säkerhetsincidenter
Kommunikation
- E-post och meddelanden som skickas till support@boknord.se, privacy@boknord.se eller via kontaktformuläret
- Eventuella ärenderegister i samband med support
3.2 Uppgifter där BOKNORD är personuppgiftsbiträde (åt Kunden)
Uppgifter som Kunden eller en Auktoriserad användare själv laddar upp eller registrerar i sin Arbetsyta — namn, personnummer, kontaktuppgifter och andra personuppgifter som förekommer i verifikationer, underlag, lönerelaterat material eller anteckningar. För dessa uppgifter är Kunden personuppgiftsansvarig.
3.3 Uppgifter vi inte samlar in
BOKNORD samlar inte in:
- politiska åsikter, religiös övertygelse, etniskt ursprung, hälsouppgifter eller annan sådan känslig kategori (GDPR artikel 9),
- biometriska eller genetiska uppgifter,
- uppgifter om kunders kunder utöver vad som ingår i Bokföringsdata som Kunden själv registrerar.
BOKNORD spårar inte användare över andra webbplatser, säljer inte personuppgifter och delar inte personuppgifter med tredje part för marknadsföringsändamål.
4. Rättslig grund för behandlingen
För varje ändamål bygger behandlingen på en specifik rättslig grund enligt GDPR artikel 6.1.
| Ändamål | Rättslig grund |
|---|---|
| Skapa och hantera användarkonto, autentisering, behörighet | Avtal (art. 6.1 b) |
| Tillhandahålla Tjänsten och dess funktioner | Avtal (art. 6.1 b) |
| Fakturering och bokföring av BOKNORDs egen verksamhet | Rättslig förpliktelse (art. 6.1 c) — bokföringslagen |
| Säkerhet, missbruksförebyggande, intrångsdetektion | Berättigat intresse (art. 6.1 f) |
| Felsökning och teknisk support | Berättigat intresse (art. 6.1 f) |
| Behandling av personuppgifter inom Kunddata | Avtal med Kunden (art. 6.1 b) i biträdesroll |
| Marknadsföring via e-post till befintliga företagskontakter | Berättigat intresse (art. 6.1 f) — med möjlighet att invända |
| Behandling baserad på cookies som inte är nödvändiga | Samtycke (art. 6.1 a) |
För behandling som bygger på berättigat intresse har BOKNORD utfört en intresseavvägning som dokumenterats internt. Du har enligt GDPR artikel 21 alltid rätt att invända mot sådan behandling.
5. Google-inloggning och Google-användardata
5.1 Användning av Google OAuth
Om du väljer att logga in med Google använder BOKNORD Google OAuth 2.0 för autentisering. Vid inloggningen behandlar BOKNORD följande Google-användardata:
- e-postadress,
- för- och efternamn,
- Google-konto-ID (en unik identifierare),
- eventuell profilbild.
5.2 Ändamål
Dessa uppgifter används uteslutande för att:
- skapa och hantera ditt BOKNORD-användarkonto,
- logga in dig säkert,
- koppla ditt användarkonto till rätt Arbetsyta,
- förebygga obehörig åtkomst och felsöka inloggningsproblem.
5.3 Begränsningar
BOKNORD använder inte Google-användardata för:
- annonsering eller riktad marknadsföring,
- profilering eller automatiserat beslutsfattande,
- försäljning, uthyrning eller utbyte med tredje part för kommersiella ändamål,
- kreditbedömning eller liknande ändamål,
- träning av generella AI-modeller eller språkmodeller.
Google-användardata och Bokföringsdata används inte för att förbättra modeller utanför ramen för Kundens egen Arbetsyta.
5.4 Lagring och radering
Google-användardata lagras så länge ditt BOKNORD-användarkonto är aktivt eller så länge BOKNORD är skyldig att bevara uppgiften enligt lag. Du kan begära radering av ditt användarkonto genom att kontakta privacy@boknord.se. Radering sker inom trettio (30) dagar, med beaktande av eventuella tvingande lagringskrav i bokföringslagen.
6. Lagring och lagringstider
| Kategori | Lagringstid |
|---|---|
| Användarkonto för Auktoriserad användare | Så länge kontot är aktivt. Inaktiva konton anonymiseras eller raderas efter 24 månader. |
| Inloggningsloggar | 12 månader, därefter aggregering eller radering |
| Säkerhetsloggar (IP, sessioner) | 12 månader |
| Supportärenden | 24 månader efter senaste kontakt |
| Bokföringsdata (Kunden ansvarig) | Minst 7 år efter räkenskapsårets slut enligt bokföringslagen (1999:1078) 7 kap. 2 §; därefter raderas eller anonymiseras |
| Fakturor avseende BOKNORDs egen försäljning | 7 år enligt bokföringslagen |
| Cookies | Se avsnitt 9 |
All data lagras i datacenter inom EU/EES, primärt i Stockholm.
7. Säkerhetsåtgärder
BOKNORD vidtar tekniska och organisatoriska åtgärder för att skydda personuppgifter i enlighet med GDPR artikel 32. Åtgärderna inkluderar:
- Kryptering under transport — TLS 1.2 eller högre för all kommunikation mellan klient och Tjänsten,
- Kryptering i vila — krypterat lagringsutrymme för databas och filer (AES-256),
- Åtkomstkontroll — minsta-rättigheter-principen för intern personal, separation av miljöer (produktion/staging/utveckling),
- Auditloggning — händelseloggar för säkerhetsrelevanta åtgärder,
- Backup — daglig krypterad backup med 90 dagars rullande retention,
- Lokal AI-körning — för BOKNORD Private AI körs AI-modellen lokalt i Kundens miljö; Bokföringsdata och underlag skickas inte till externa AI-tjänster för bearbetning,
- Personuppgiftsincident — anmälan till IMY inom 72 timmar enligt GDPR artikel 33; underrättelse till Kunden utan onödigt dröjsmål enligt artikel 33.2.
8. Personuppgiftsbiträdesavtal (DPA)
I egenskap av personuppgiftsbiträde åt Kunden enligt avsnitt 1.2 ingår BOKNORD ett personuppgiftsbiträdesavtal (DPA) med Kunden i enlighet med GDPR artikel 28. DPA:n reglerar bland annat:
- behandlingens föremål, varaktighet, karaktär och ändamål,
- typen av personuppgifter och kategorier av registrerade,
- BOKNORDs skyldighet att behandla uppgifter enbart enligt Kundens dokumenterade instruktioner,
- BOKNORDs säkerhetsåtgärder enligt artikel 32,
- villkor för anlitande av underbiträden enligt artikel 28.4,
- bistånd till Kunden vid de registrerades rättigheter och vid personuppgiftsincidenter,
- radering eller återlämnande av personuppgifter vid avtalets upphörande.
DPA:n gäller automatiskt mellan BOKNORD och Kunden från avtalets ingående. En kopia av gällande DPA-version tillhandahålls på begäran.
9. Underbiträden och tredjepartsmottagare
BOKNORD anlitar följande kategorier av underbiträden för att tillhandahålla Tjänsten:
| Kategori | Exempel på leverantör | Behandling | Plats |
|---|---|---|---|
| Molninfrastruktur | Amazon Web Services (AWS) | Servrar, databas, lagring | EU (Stockholm) |
| Autentisering | Google LLC (Google OAuth) | Inloggning vid Google-val | EU/USA |
| E-postutskick | Resend / Amazon SES | Transaktionell e-post | EU |
| Felövervakning | (intern lösning eller motsvarande) | Loggar, fel-rapporter | EU |
Varje underbiträde är bundet av ett biträdesavtal med samma skyddsnivå som föreskrivs i denna policy och i den DPA Kunden ingår med BOKNORD.
9.1 Internationella överföringar
I de fall personuppgifter överförs utanför EU/EES — exempelvis vid Google-inloggning som involverar Googles infrastruktur — sker överföringen med stöd av Europeiska kommissionens standardavtalsklausuler (SCC) enligt GDPR artikel 46.2 (c), eller med stöd av tillämpligt beslut om adekvat skyddsnivå. Vid sådan överföring vidtas kompletterande skyddsåtgärder enligt EU-domstolens dom i mål C-311/18 ("Schrems II") när det krävs.
9.2 Utlämnande till myndighet
BOKNORD lämnar ut personuppgifter till svensk myndighet när det krävs enligt tvingande lag, exempelvis vid begäran från Skatteverket, Ekobrottsmyndigheten eller domstol. Kunden informeras i sådana fall så snart det är förenligt med lagen.
10. Cookies och liknande tekniker
10.1 Vad är cookies
En cookie är en mindre textfil som lagras i din webbläsare när du besöker en webbplats. Cookies används för att webbplatsen ska fungera, för att komma ihåg dina val och för att samla in statistik om besöket. BOKNORD använder cookies enligt nedan.
10.2 Cookies vi använder
| Cookie | Typ | Syfte | Lagringstid |
|---|---|---|---|
next-auth.session-token | Strikt nödvändig | Bibehåller din inloggningssession i Tjänsten | Session eller 30 dagar |
next-auth.csrf-token | Strikt nödvändig | Skyddar mot CSRF-attacker vid inloggning | Session |
boknord-consent | Strikt nödvändig | Lagrar ditt val avseende cookies | 12 månader |
_ga, _ga_* | Analys | Google Analytics — anonymiserad webbplatsstatistik | 24 månader |
_gid | Analys | Google Analytics — sessionsidentifierare | 24 timmar |
10.3 Rättslig grund för cookies
- Strikt nödvändiga cookies behandlas med stöd av berättigat intresse (GDPR art. 6.1 f) och kräver inte samtycke enligt 6 kap. 18 § lagen (2022:482) om elektronisk kommunikation (LEK). De är förutsättningar för att Tjänsten ska fungera.
- Analys-cookies (Google Analytics) behandlas endast med stöd av ditt samtycke (GDPR art. 6.1 a). Innan sådana cookies sätts visas en cookie-banner där du kan godkänna eller avstå.
10.4 Google Analytics
BOKNORD använder Google Analytics 4 för att förstå hur besökare använder boknord.se. Vi har konfigurerat tjänsten med följande integritetshöjande åtgärder:
- IP-anonymisering är aktiverad,
- Datadelning med Google för annonsändamål är inaktiverad,
- Demografi och intressedata är inaktiverat,
- Lagringstid för användardata är satt till det kortaste alternativet (14 månader).
Google LLC är personuppgiftsbiträde för Google Analytics-behandlingen. Vid eventuell överföring av personuppgifter till USA tillämpas standardavtalsklausuler enligt avsnitt 9.1.
10.5 Återkalla samtycke
Du kan när som helst återkalla eller ändra ditt samtycke till cookies via länken "Cookie-inställningar" i sidfoten på boknord.se. Återkallande påverkar inte lagligheten i den behandling som skett innan återkallandet. Du kan också blockera cookies i din webbläsares inställningar — observera att detta kan påverka Tjänstens funktion.
10.6 Cookie-banner — vad du ser
Vid första besöket på boknord.se visas en cookie-banner med följande information och val:
Cookies på boknord.se Vi använder cookies som är nödvändiga för att webbplatsen ska fungera. Vi vill också gärna använda Google Analytics för att förstå hur webbplatsen används — den datan är anonymiserad och delas inte med Google för annonsändamål.
[Godkänn alla] [Endast nödvändiga] [Anpassa]
Läs mer i vår integritetspolicy.
11. Dina rättigheter enligt GDPR
Du har följande rättigheter avseende dina personuppgifter:
- Rätt till tillgång (art. 15). Du kan begära en bekräftelse på om vi behandlar personuppgifter om dig och i så fall få ett utdrag av dessa.
- Rätt till rättelse (art. 16). Du kan begära att felaktiga eller ofullständiga uppgifter rättas.
- Rätt till radering (art. 17). Du kan begära att vi raderar dina personuppgifter, om vi inte har en rättslig skyldighet eller annan giltig grund att bevara dem (exempelvis bokföringslagen).
- Rätt till begränsning (art. 18). Du kan begära att behandlingen begränsas i avvaktan på prövning av rättelse eller invändning.
- Rätt till dataportabilitet (art. 20). Du kan få ut de uppgifter du själv har lämnat i ett strukturerat, allmänt använt och maskinläsbart format. För Bokföringsdata sker portering via SIE4-export.
- Rätt att invända (art. 21). Du kan invända mot behandling som grundar sig på berättigat intresse, inklusive direkt marknadsföring.
- Rätt att återkalla samtycke (art. 7.3). Där behandlingen grundar sig på samtycke kan du när som helst återkalla samtycket.
- Rätt att inte bli föremål för automatiserat beslutsfattande (art. 22). BOKNORD fattar inte beslut som har rättsverkningar för dig på rent automatiserad grund.
Begäran lämnas till privacy@boknord.se. Vi besvarar förfrågningar inom trettio (30) dagar. Vid komplexa eller många förfrågningar kan tiden förlängas med två (2) månader, varvid du informeras inom den ursprungliga månaden.
För begäran om radering eller portabilitet avseende Bokföringsdata där en Kund är personuppgiftsansvarig hänvisas du i första hand till Kunden — den arbetsgivare, det företag eller den uppdragsgivare i vars Arbetsyta dina uppgifter finns.
12. Personuppgiftsincident
Vid en personuppgiftsincident enligt GDPR artikel 4.12 — exempelvis obehörig åtkomst till personuppgifter — anmäler BOKNORD incidenten till Integritetsskyddsmyndigheten inom 72 timmar enligt artikel 33, om incidenten sannolikt kan medföra en risk för fysiska personers rättigheter och friheter. Den eller de Kunder vars personuppgifter berörs underrättas utan onödigt dröjsmål enligt artikel 33.2 så att Kunden i sin tur kan uppfylla sin underrättelseskyldighet enligt artikel 34 där så krävs.
13. Ändringar i denna policy
BOKNORD kan komma att uppdatera denna integritetspolicy. Vid väsentliga ändringar — exempelvis ändrad rättslig grund, nya underbiträden i annat land än EU/EES, eller ändrad omfattning av behandlingen — meddelas Kunder och Auktoriserade användare via e-post med minst trettio (30) dagars varsel innan ändringen träder i kraft. Vid icke-väsentliga ändringar — språkliga justeringar eller förtydliganden — gäller den uppdaterade versionen från och med publicering på boknord.se. Datum för senaste uppdatering framgår högst upp i policyn.
14. Klagomål och kontakt
Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att BOKNORD behandlar dina personuppgifter i strid med GDPR.
Integritetsskyddsmyndigheten Webbplats: imy.se E-post: imy@imy.se Telefon: 08-657 61 00
För frågor till BOKNORD i dataskyddsärenden:
Spatialize AB E-post: privacy@boknord.se Allmänna förfrågningar: boknord.se/kontakt