GDPR & Dataskydd
Senast uppdaterad: 2026-04-14
1. Vårt åtagande
Rekund tar dataskydd på största allvar. Vi har byggt Rekund med "privacy by design" som grundprincip. All behandling av personuppgifter följer EU:s dataskyddsförordning (GDPR, förordning 2016/679) samt kompletterande svensk lagstiftning.
2. Roller och ansvar
| Roll | Aktör | Beskrivning |
|---|
| Personuppgiftsansvarig (för företagsanvändare) | Rekund | Vi bestämmer ändamål och medel för behandlingen av dina kontouppgifter. |
| Personuppgiftsansvarig (för slutkunder) | Du (företaget) | Du bestämmer varför och hur dina kunders uppgifter behandlas. |
| Personuppgiftsbiträde | Rekund | Vi behandlar slutkunders uppgifter på ditt uppdrag och enligt dina instruktioner. |
3. Personuppgiftsbiträdesavtal (DPA)
Som personuppgiftsbiträde erbjuder vi ett personuppgiftsbiträdesavtal (Data Processing Agreement, DPA) som uppfyller kraven i GDPR art. 28. Avtalet reglerar:
- Ändamål och varaktighet för behandlingen.
- Typ av personuppgifter och kategorier av registrerade.
- Instruktioner från den personuppgiftsansvarige.
- Skyldigheter avseende konfidentialitet.
- Tekniska och organisatoriska säkerhetsåtgärder.
- Villkor för underbiträden.
- Bestämmelser om granskning och revision.
Kontakta [email protected] för att begära eller signera ett DPA.
4. Tekniska och organisatoriska åtgärder
Vi implementerar omfattande säkerhetsåtgärder enligt GDPR art. 32:
- Kryptering: All data krypteras under överföring (TLS 1.2+) och i viloläge (AES-256).
- Åtkomstkontroll: Rollbaserad åtkomstkontroll (RBAC). Princip om minsta privilegium.
- Autentisering: Magic links och PIN-koder. Inga lösenord att läcka.
- Dataisolering: Varje företags data är logiskt separerad.
- Säkerhetskopiering: Regelbundna backups med kryptering.
- Loggning: Accessloggar för spårbarhet och incidenthantering.
- Sårbarhetsskanning: Regelbunden skanning och uppdatering av beroenden.
5. Datalagring
- Plats: All data lagras inom EU/EES.
- Leverantörer: Vi använder enbart leverantörer med EU-baserad datalagring eller med adekvata överföringsmekanismer (standardavtalsklausuler, adequacy decisions).
- Inga överföringar till tredjeland: Vi överför inte personuppgifter utanför EU/EES utan laglig grund och adekvata skyddsåtgärder.
6. Registrerades rättigheter
Vi stödjer och underlättar utövandet av alla rättigheter enligt GDPR:
| Rättighet | GDPR-artikel | Hur vi hanterar |
|---|
| Rätt till tillgång | Art. 15 | Exportera kunddata via dashboard eller kontakta oss. |
| Rätt till rättelse | Art. 16 | Uppdatera uppgifter direkt i panelen. |
| Rätt till radering | Art. 17 | Radera enskilda kunder eller hela kontot. Genomförs inom 30 dagar. |
| Rätt till begränsning | Art. 18 | Pausa behandling på begäran. |
| Rätt till dataportabilitet | Art. 20 | Exportera data i JSON/CSV-format. |
| Rätt att göra invändningar | Art. 21 | Kontakta oss – vi stoppar behandling baserad på berättigat intresse. |
7. Slutkunders rättigheter
Slutkunder som tar emot SMS-påminnelser kan:
- Avanmäla sig: Svara STOPP på valfritt SMS för att omedelbart sluta ta emot meddelanden.
- Begära radering: Deras data raderas omedelbart vid avanmälan.
- Kontakta dig: Som personuppgiftsansvarig är det du som slutkunden i första hand vänder sig till.
8. Personuppgiftsincidenter
Vid en personuppgiftsincident (data breach):
- Vi meddelar dig som personuppgiftsansvarig utan onödigt dröjsmål, och senast inom 24 timmar.
- Vi tillhandahåller all information som krävs för din anmälan till IMY (art. 33).
- Vi bistår vid bedömning av om registrerade behöver underrättas (art. 34).
- Vi dokumenterar alla incidenter och vidtagna åtgärder.
9. Underbiträden
Vi använder följande kategorier av underbiträden:
- Hosting: EU-baserad molninfrastruktur.
- SMS-gateway: EU-baserad SMS-leverantör.
- Betalning: PCI DSS-certifierad betalningsleverantör.
Vi informerar om ändringar av underbiträden i förväg och ger dig möjlighet att invända.
10. Dataskyddsombud
För frågor om dataskydd, kontakta oss:
E-post: [email protected]
Du kan även kontakta Integritetsskyddsmyndigheten (IMY):
www.imy.se