Integritetspolicy

Den här policyn beskriver hur Kassaapparaten samlar in, använder och skyddar personuppgifter. Vi följer EU:s dataskyddsförordning (GDPR) och svensk dataskyddslag.

1. Personuppgiftsansvarig

Kassaapparaten drivs av en privatperson i Sverige. Fullständiga juridiska uppgifter (namn, organisationsnummer, faktureringsadress) lämnas på begäran till hej@kassaapparat.se och skickas alltid i tecknade personuppgiftsbiträdesavtal.

2. Vilka uppgifter vi behandlar

Om dig som användare av kassasystemet (inloggad i app.kassaapparat.se):

• Mejladress, namn och roll (admin/försäljare)
• Lösenord (lagras enbart som bcrypt-hash, vi ser aldrig klartexten)
• Eventuell 2FA-hemlighet (TOTP) om du aktiverat det
• Inloggningshändelser (tidpunkt, IP) för säkerhet

Om föreningen/företaget du representerar:

• Organisationsnamn och valfritt org.nr
• Produkter, priser, lager och försäljningshistorik
• Order- och kvittodata (per kvitto: tid, varor, total, betalsätt — inga kortuppgifter)

Vi samlar inte in betalkortsuppgifter, kunders personnummer eller känsliga kategorier av personuppgifter. Försäljningen är anonym i Kassaapparaten — det är fören­ingen själv som avgör om de vill be om kunduppgifter (t.ex. för medlems­hantering), vilket i så fall görs utanför vårt system.

3. Rättslig grund

Behandlingen sker för att fullgöra avtalet med dig (du har skapat ett konto för att använda tjänsten), berättigat intresse (säkerhet, loggning, missbruksbekämpning) och vid betal-planer även rättslig förpliktelse (bokföringslagen kräver att fakturaunderlag sparas i 7 år).

4. Var och hur länge vi sparar

All data ligger i en PostgreSQL-databas hos Microsoft Azure, region Sweden Central (Gävle). Dagliga säkerhetskopior. Vi flyttar aldrig uppgifter ut ur EU.

• Användarkonton: behålls så länge kontot är aktivt. Avregistrering raderar kontot inom 30 dagar; en ärendelogg om raderingen behålls i 12 månader för revisionsspår.
• Försäljnings­data: sparas så länge ni är kund. Vid uppsägning kan ni begära export (JSON) eller radering.
• Bokföringsunderlag (om ni har betal-plan): 7 år enligt bokföringslagen.
• Inloggnings­loggar: 12 månader.

5. Vem vi delar data med

Vi säljer aldrig personuppgifter. Vi använder följande underbiträden:

• Microsoft Azure (Sweden Central) — drift, lagring, säkerhetskopior
• Stripe Payments Europe — abonnemangshantering (endast för betal-planer; vi får aldrig se kortuppgifter)
• Postfix-relä (egen drift i Sverige) — utgående e-post (inbjudningar, kvitton)

Inga av dessa flyttar data utanför EU/EES för Kassaapparaten-kunder.

6. Dina rättigheter

• Tillgång — du kan begära en kopia av dina uppgifter
• Rättelse — felaktiga uppgifter rättas på begäran
• Radering — om vi inte har rättslig förpliktelse att behålla dem (t.ex. bokföring)
• Dataportabilitet — exportera dina data i strukturerat format (vi tillhandahåller JSON-export under /api/company/backup)
• Invändning — du kan invända mot behandling baserad på berättigat intresse
• Klagomål — du kan vända dig till Integritetsskyddsmyndigheten (IMY)

Skicka begäran till hej@kassaapparat.se. Vi svarar inom 30 dagar.

7. Cookies och spårning

Landningssidan (kassaapparat.se) använder inga cookies och inga spårningspixlar. Applikationen (app.kassaapparat.se) sätter en HTTP-only session-cookie efter inloggning — den är nödvändig för att hålla dig inloggad. Inga tredje­parts-cookies, ingen Google Analytics, ingen Meta Pixel.

8. Personuppgiftsbiträdesavtal

Om er förening eller ert företag behandlar personuppgifter om era kunder/medlemmar via Kassaapparaten är ni personuppgifts­ansvariga och vi är personuppgifts­biträde. I så fall gäller vårt personuppgifts­biträdesavtal (DPA), som kan tecknas via mejl utan extra kostnad.

9. Säkerhet

All trafik krypteras med TLS (HTTPS). Lösenord lagras som bcrypt-hash. Tvåfaktorsinloggning (TOTP) erbjuds för alla användare och kan göras obligatorisk per förening. Servrar uppdateras löpande. Vid känd säkerhetsincident kontaktar vi berörda inom 72 timmar enligt GDPR Art. 33.

10. Ändringar av denna policy

Vid betydande ändringar mejlar vi alla kontoinnehavare minst 30 dagar innan ändringen träder i kraft. Mindre språkliga justeringar görs utan föregående meddelande, och senaste uppdaterings­datum syns alltid längst upp på sidan.

11. Kontakt

Frågor, klagomål eller begäran om rättigheter: hej@kassaapparat.se.