NordFlow drivs av Josef Hellstenius (enskild firma). Vi tar din integritet på allvar — vi samlar bara in personuppgifter vi faktiskt behöver, behåller dem bara så länge det krävs, och delar dem inte med någon utan en bra anledning. Denna policy förklarar exakt vad vi gör med din data, hur länge, varför, och vad du har rätt att kräva av oss.
Innehåll
- Vem ansvarar för datan
- Vad vi samlar in och varför
- Hur länge vi sparar data
- Underbiträden vi använder
- Internationella överföringar
- AI och automatiserat beslutsfattande
- Särskilda kategorier av personuppgifter
- Marknadsföring och nyhetsbrev
- Barn och minderåriga
- Dina rättigheter
- Cookies och spårning
- Säkerhet och incidenter
- Ändringar i policyn
- Kontakt, DPO och klagomål
1. Vem ansvarar för datan
NordFlow har två olika roller beroende på vems data det handlar om:
Personuppgiftsansvarig
Vi är personuppgiftsansvariga för:
- Besökare på nordflow.online
- Personer som hör av sig via mejl, telefon eller formulär
- Kundkonton i vår dashboard (login-uppgifter)
- Information i vår fakturering och support
Personuppgiftsbiträde
När vi behandlar slutkunders data åt en av våra kunder är kunden personuppgiftsansvarig — vi gör bara det de instruerat oss att göra. För denna roll tecknar vi ett separat personuppgiftsbiträdesavtal (PUB-avtal) med varje kund innan behandlingen startar. PUB-avtalet specificerar bland annat behandlingens art, varaktighet, kategorier av personuppgifter, registrerade samt vår skyldighet att assistera kunden med att uppfylla GDPR.
2. Vad vi samlar in och varför
På den publika sidan (nordflow.online)
| Vad | Varför | Rättslig grund |
|---|---|---|
| Inga cookies, ingen spårning, ingen analytics | — | — |
| Mejl du skickar till oss (om du mejlar) | Svara på din fråga | Berättigat intresse (GDPR Art. 6.1.f) |
Vi använder ingen Google Analytics, inga reklamcookies, ingen tracking. Sidan kan besökas helt anonymt.
I kund-dashboarden (app.nordflow.online)
| Vad | Varför | Rättslig grund |
|---|---|---|
| Namn, mejladress, lösenord (hashat) | Inloggning och åtkomstkontroll | Avtalsuppfyllelse (Art. 6.1.b) |
| Företagsnamn | Visa rätt kontext i dashboarden | Avtalsuppfyllelse (Art. 6.1.b) |
| Sessionscookie (essentiell) | Hålla dig inloggad | Avtalsuppfyllelse (Art. 6.1.b) |
| Inloggningshistorik (IP, tidpunkt) | Säkerhet och missbruksskydd | Berättigat intresse (Art. 6.1.f) |
Slutkunders data (när vi agerar biträde)
När en kund anlitar NordFlow läser vi data från kundens egna Google Sheet — typiskt e-postadress, meddelandetext och tidsstämpel från slutkunder som mejlat in. Detta visualiseras i dashboarden men sparas inte separat hos oss. Datan tillhör och kontrolleras helt av vår kund.
För fakturering och bokföring
Kontaktuppgifter och betalningsuppgifter sparas för faktureringsändamål. Rättslig grund: avtalsuppfyllelse (Art. 6.1.b) och rättslig förpliktelse enligt bokföringslagen (Art. 6.1.c).
3. Hur länge vi sparar data
| Kategori | Lagringstid |
|---|---|
| Prospekt-mejl och inkomna förfrågningar | Tills relationen avslutas, högst 24 mån efter senaste kontakt |
| Kundkonto och inloggningsuppgifter | Under avtalstiden, raderas 30 dagar efter uppsägning |
| Inloggningshistorik (säkerhetsloggar) | 12 månader |
| Fakturor och bokföringsmaterial | 7 år (bokföringslagen 7 kap. 2 §) |
| Slutkunders leaddata i kundens Sheet | Kunden bestämmer; vi sparar ingenting separat |
4. Underbiträden vi använder
Vi använder följande tjänster för att leverera NordFlow. Alla är GDPR-kompatibla och har egna integritetspolicys:
| Tjänst | Vad de gör för oss | Lokalisering |
|---|---|---|
| Hostinger International | Server för dashboard | EU |
| Loopia AB | Domän, DNS, e-postvidarebefordring | Sverige |
| Google LLC (Google Sheets) | Lagring av kundens leaddata | EU/USA (SCC) |
| OpenAI Ireland Ltd. | AI-bearbetning av meddelanden | EU/USA (SCC) |
| n8n GmbH | Automatiseringsflöden (självhostat) | Tyskland |
Listan kan uppdateras. Aktiva kunder informeras minst 30 dagar i förväg innan ett nytt underbiträde tillkommer som behandlar deras data.
5. Internationella överföringar
När data lämnar EU/EES (till exempel när vi anropar OpenAI:s API i USA) sker det under EU-kommissionens standardavtalsklausuler (SCC), vilket säkerställer GDPR-likvärdig skyddsnivå.
Inga personuppgifter överförs till länder utan adekvat skyddsnivå utöver detta. Vi gör inga överföringar till länder som EU-kommissionen klassat som otillräckligt skyddande utan att först ha bedömt riskerna och vidtagit kompletterande skyddsåtgärder.
6. AI och automatiserat beslutsfattande
NordFlow använder AI för att automatiskt klassificera och svara på inkomna kundmeddelanden. Detta räknas som "automatiserat beslutsfattande" enligt GDPR Art. 22.
AI:n utför följande automatiserade behandlingar:
- Klassificerar inkommande meddelanden som het, varm eller kall lead
- Avgör om svaret kan automatiseras eller måste eskaleras till en människa
- Skriver svar baserat på kundens egna mallar och historik
- Identifierar spam, fakturor och nyhetsbrev som ska filtreras bort
Dessa automatiserade beslut har inte rättsliga eller liknande betydande effekter på den registrerade. AI:n fattar aldrig bindande beslut om kredit, anställning, försäkring eller tillgång till väsentliga tjänster. Beslut om affärsrelationen i sin helhet stannar alltid hos den mänskliga företagaren.
Om du anser att ett automatiserat beslut påverkat dig felaktigt har du enligt GDPR Art. 22 rätt att:
- Begära mänsklig granskning av beslutet
- Uttrycka din synpunkt
- Bestrida beslutet
Mejla josef.hellstenius@nordflow.online för att utöva rättigheten. Vi svarar inom 30 dagar.
7. Särskilda kategorier av personuppgifter
NordFlow behandlar inte avsiktligt särskilda kategorier av personuppgifter enligt GDPR Art. 9 — såsom information om hälsa, religiös eller filosofisk övertygelse, etniskt ursprung, politiska åsikter, fackföreningsmedlemskap, sexuell läggning, genetisk eller biometrisk data.
Om sådan information skulle komma till oss av misstag (till exempel via en kundförfrågan) raderar vi den så snart vi identifierar den och behandlar den inte vidare.
8. Marknadsföring och nyhetsbrev
NordFlow skickar för närvarande inga marknadsföringsmejl eller nyhetsbrev. Om vi någon gång börjar med det kommer vi att inhämta ditt uttryckliga samtycke (Art. 6.1.a) först. Du kan när som helst återkalla samtycket utan negativa konsekvenser.
Vi delar aldrig kontaktuppgifter med tredje part för deras marknadsföringsändamål.
9. Barn och minderåriga
NordFlow är en B2B-tjänst avsedd för företagare och yrkesverksamma. Vi samlar inte medvetet in personuppgifter från personer under 16 år.
Om vi får kännedom om att personuppgifter från en minderårig samlats in raderar vi dem omgående. Om du som vårdnadshavare misstänker att din underårige skickat in uppgifter till oss, kontakta josef.hellstenius@nordflow.online.
10. Dina rättigheter
Enligt GDPR har du följande rättigheter:
- Rätt till information (Art. 13-14) — du har rätt att veta vad vi gör med din data. Denna policy fyller den funktionen.
- Rätt till tillgång (Art. 15) — registerutdrag över all data vi har om dig.
- Rätt till rättelse (Art. 16) — vi rättar felaktig eller ofullständig data.
- Rätt till radering (Art. 17) — "rätten att bli glömd".
- Rätt till begränsning (Art. 18) — begränsa hur vi använder din data.
- Rätt till dataportabilitet (Art. 20) — flytta din data till annan leverantör i maskinläsbart format.
- Rätt att göra invändningar (Art. 21) — invända mot behandling baserad på berättigat intresse.
- Rätt att inte bli föremål för automatiserat beslutsfattande (Art. 22) — se sektion 6.
- Rätt att inge klagomål till tillsynsmyndigheten (IMY).
Mejla josef.hellstenius@nordflow.online för att utöva någon av rättigheterna. Vi svarar inom 30 dagar (kan förlängas med ytterligare två månader vid komplexa förfrågningar — du informeras i så fall inom 30 dagar).
Vi tar inte ut någon avgift för att hantera din förfrågan, om den inte är uppenbart ogrundad eller orimlig.
11. Cookies och spårning
Publika sidan (nordflow.online)
Den publika sidan använder inga cookies alls. Inga reklamcookies, inga analyscookies, ingen tredjepartsspårning. Du behöver inte godkänna något.
Dashboarden (app.nordflow.online)
Dashboarden använder en enda essentiell session-cookie för att hålla dig inloggad. Denna är tekniskt nödvändig för att tjänsten ska fungera och kräver inte samtycke enligt ePrivacy-direktivet.
| Cookie | Syfte | Lagringstid | Tredjepart |
|---|---|---|---|
| nordflow_session | Hålla användaren inloggad | Session (raderas vid utloggning) | Nej |
| nf-lang | Komma ihåg språkval (SV/EN) | 365 dagar | Nej |
Vi använder varken Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag eller annan tredjepartsspårning.
12. Säkerhet och incidenter
Tekniska åtgärder
- All trafik krypteras med HTTPS/TLS 1.2+.
- Lösenord lagras hashade med bcrypt — vi kan inte se ditt lösenord.
- Servrar uppdateras löpande med säkerhetspatchar.
- Tillgång till kunddata loggas och övervakas.
- Backup tas dagligen och krypteras separat.
Organisatoriska åtgärder
- Endast Josef Hellstenius personligen har tillgång till kunddata.
- Inga externa konsulter eller anställda har åtkomst.
- Tystnadsplikt gäller mellan oss och alla underbiträden.
Vid en personuppgiftsincident
Vid en eventuell personuppgiftsincident som kan leda till risk för fysiska personers rättigheter eller friheter:
- Vi anmäler incidenten till IMY inom 72 timmar enligt GDPR Art. 33.
- Berörda registrerade informeras utan onödigt dröjsmål om incidenten medför hög risk (Art. 34).
- Vi dokumenterar alla incidenter, även de som inte behöver anmälas, för uppföljning.
13. Ändringar i policyn
Om vi ändrar något väsentligt i denna policy:
- Vi uppdaterar datumet längst upp och versionsnumret.
- Vi mejlar aktiva kunder minst 30 dagar i förväg.
- Vid ändringar som kräver nytt samtycke begär vi det uttryckligen.
- Mindre språkliga eller redaktionella ändringar görs utan särskild avisering.
Tidigare versioner av denna policy kan tillhandahållas på begäran via josef.hellstenius@nordflow.online.
14. Kontakt, DPO och klagomål
Personuppgiftsansvarig
Personuppgiftsansvarig
NordFlow · Enskild firma
Josef Hellstenius
Org.nr 20060213-6194
Holmbytorp 119, 247 97 Eslöv
Sverige
Dataskyddsombud (DPO)
NordFlow är en småskalig verksamhet och är inte skyldig att utse ett dataskyddsombud enligt GDPR Art. 37. Josef Hellstenius hanterar personligen alla dataskyddsfrågor och kan kontaktas på adressen ovan.
Tillsynsmyndighet
Du har rätt att vända dig till tillsynsmyndigheten om du anser att vi hanterar dina personuppgifter felaktigt: