Integritetspolicy

Senast uppdaterad: 15 februari 2026

1. Introduktion

Scope3.se ("vi", "oss", "vår") driver tjänsten Scope3.se (härefter kallad "Tjänsten"). Denna integritetspolicy beskriver hur vi samlar in, använder och skyddar dina personuppgifter när du använder vår tjänst.

Personuppgiftsansvarig:
Harry Djurstedt
Godsägarvägen 14, Stockholm
Org.nr: 060310-8911
E-post: kontakt@scope3.se

2. Vilka uppgifter vi samlar in

Vi samlar in följande typer av personuppgifter:

  • Kontoinformation: Namn, e-postadress, företagsnamn, organisationsnummer
  • Leverantörsdata: Leverantörsnamn, kontaktuppgifter, klimatdata (CO2e-utsläpp)
  • Teknisk data: IP-adress, webbläsartyp, enhetstyp (för säkerhet och funktionalitet)
  • Användningsdata: Hur du använder tjänsten (för att förbättra funktionalitet)

3. Hur vi använder dina uppgifter

Vi använder dina personuppgifter för att:

  • Tillhandahålla och förbättra Tjänsten
  • Hantera ditt konto och prenumeration
  • Skicka viktiga meddelanden om tjänsten
  • Ge teknisk support
  • Följa juridiska skyldigheter
  • Analysera och förbättra tjänstens funktionalitet

4. Rättslig grund för behandling

Vi behandlar dina personuppgifter baserat på följande rättsliga grunder enligt GDPR:

  • Avtal (Art. 6.1.b GDPR): För att leverera tjänsten till dig – t.ex. lagring av leverantörsdata, generering av rapporter
  • Berättigat intresse (Art. 6.1.f GDPR): För säkerhet, fraud prevention, och tjänsteförbättring
  • Samtycke (Art. 6.1.a GDPR): För marknadsföring och icke-nödvändiga cookies (du kan alltid återkalla samtycke)
  • Rättslig förpliktelse (Art. 6.1.c GDPR): För att följa lag och regelverk (t.ex. bokföringslag, skatterätt)

5. Delning av uppgifter & Underbiträden

Vi använder noggrant utvalda underbiträden (data processors) för att leverera tjänsten. Alla har signerat Data Processing Agreements (DPA) med oss enligt GDPR Art. 28:

Tekniska underleverantörer:

  • Supabase (PostgreSQL databas, file storage)
    Plats: EU (Frankfurt). Certifiering: SOC 2 Type II, ISO 27001
  • Vercel (hosting & deployment)
    Plats: EU (Frankfurt). Certifiering: SOC 2 Type II
  • OpenAI (AI-funktioner för dokumentextraktion, frivilligt)
    Plats: USA (med EU DPA). Zero data retention policy aktiv
  • Resend (transaktionella email)
    Plats: USA (med EU DPA). 30 dagars log retention
  • Stripe (betalningar)
    Plats: USA. Certifiering: PCI-DSS Level 1

Viktigt löfte:

Vi säljer aldrig dina personuppgifter till tredje part. Vi använder dem aldrig för marknadsföring utan ditt samtycke. Dina leverantörsdata är aldrig synliga för andra kunder.

6. Internationell dataöverföring & Dataplats

Primär datalagring: All din data lagras i Frankfurt, Tyskland (AWS eu-central-1 region). Detta betyder att din huvuddata aldrig lämnar EU.

Överföringar utanför EU

För vissa tjänster (email, AI-funktioner, betalningar) används leverantörer i USA. Vi säkerställer GDPR-compliance genom:

  • EU Standard Contractual Clauses (SCC): Juridiskt bindande avtal enligt Art. 46 GDPR
  • Adequate Safeguards: Alla leverantörer har signerat EU Data Processing Agreements
  • Zero Retention (OpenAI): AI-processing sker i realtid utan att data sparas
  • Minimerad dataöverföring: Endast nödvändig data skickas (t.ex. email-adresser för notifications)

Planerad förbättring: Q3 2026 planerar vi sekundär EU-datacenter i Stockholm, Sverige för full EU-isolering.

7. Hur länge vi sparar dina uppgifter

Vi sparar dina personuppgifter så länge:

  • Ditt konto är aktivt
  • Det krävs för att tillhandahålla tjänsten
  • Juridiska krav föreligger (t.ex. bokföring i 7 år)

Efter att ditt konto stängts raderas uppgifter inom 90 dagar, förutom uppgifter som måste sparas enligt lag.

8. Dina rättigheter enligt GDPR

Du har rätt att:

  • Få information om vilka uppgifter vi behandlar
  • Rätta felaktiga uppgifter
  • Radera dina uppgifter ("rätten att bli glömd")
  • Begränsa behandlingen
  • Flytta dina uppgifter (dataportabilitet)
  • Invända mot behandling
  • Återkalla samtycke när som helst

För att utöva dina rättigheter, kontakta oss på: kontakt@scope3.se

9. Säkerhet & Dataskydd

Vi tar säkerheten för dina uppgifter på största allvar och använder enterprise-grade säkerhetsåtgärder för att skydda din data:

Tekniska säkerhetsåtgärder

  • End-to-End Kryptering: TLS 1.3 för all datatrafik, AES-256 för data i vila
  • Row-Level Security (RLS): Företagsisolering på databasnivå – andra företag kan tekniskt aldrig se din data
  • Säker Autentisering: bcrypt password hashing, JWT tokens, MFA-stöd
  • EU-baserad Hosting: All data lagras i Frankfurt, Tyskland (lämnar aldrig EU)
  • Dagliga Backups: Krypterade backups med 30 dagars retention
  • DDoS-skydd & WAF: Automatiskt skydd mot attacker
  • Audit Logging: All dataåtkomst loggas för compliance

Certifieringar & Standards

  • GDPR-Compliant: Full efterlevnad av EU:s dataskyddsförordning
  • ISO 27001: Vår infrastruktur (Supabase + Vercel) är certifierad
  • SOC 2 Type II: Oberoende säkerhetsrevision (via partners)
  • CSRD/ESRS Compliant: Rapportering enligt EU-direktiv

Läs mer: För fullständig teknisk dokumentation, se vår säkerhetssida.

10. Cookies

Vi använder nödvändiga cookies för att tjänsten ska fungera (inloggning, säkerhet). Vi använder inte cookies för marknadsföring utan ditt samtycke.

11. Barn

Vår tjänst är inte riktad till personer under 16 år. Vi samlar inte medvetet in personuppgifter från barn.

12. Ändringar av integritetspolicyn

Vi kan uppdatera denna policy. Väsentliga ändringar meddelas via e-post eller i tjänsten. Fortsatt användning efter ändringar innebär godkännande.

13. Klagomål

Om du är missnöjd med hur vi hanterar dina personuppgifter har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY):

Integritetsskyddsmyndigheten
Box 8114, 104 20 Stockholm
Telefon: 08-657 61 00
E-post: imy@imy.se

14. Kontakta oss

För frågor om denna integritetspolicy eller dina personuppgifter:

E-post: kontakt@scope3.se
Adress: Godsägarvägen 14, Stockholm
Org.nr: 060310-8911

← Tillbaka till startsidan