Integritetspolicy

1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen av dina personuppgifter är Zagendo Systems AB ("Zagendo", "vi", "oss"), med säte i Göteborg.

Kontakt i dataskyddsfrågor: support@zagendo.se.

2. Vilka uppgifter vi behandlar

Vi behandlar bland annat följande kategorier av uppgifter:

• Identitets- och kontaktuppgifter: namn, personnummer (vid BankID-inloggning), e-post, telefonnummer, adress, organisationsnummer.
• Konto- och användningsdata: inloggningar, IP-adress, enhetsinformation, åtgärder i tjänsten, supportärenden.
• Affärsdata: kunder, bokningar, fakturor, lönedata och annat innehåll som du eller dina anställda lägger in i Zagendo.
• Betal- och bankdata enligt PSD2: kontoutdrag, saldo, kontoinnehavare och transaktionshistorik som hämtas från din bank med ditt uttryckliga samtycke (se avsnitt 4).
• Marknadsföringsdata: nyhetsbrevsstatus och cookies där du gett samtycke (se avsnitt 8).

3. Ändamål och laglig grund

Vi behandlar uppgifterna för att kunna leverera och utveckla Zagendos affärssystem. De huvudsakliga ändamålen och deras lagliga grund enligt artikel 6 GDPR är:

• Tillhandahålla tjänsten (avtal, art. 6.1 b) – inloggning, bokningar, fakturering, lön, hemsida, integrationer.
• Bokföring och regelefterlevnad (rättslig förpliktelse, art. 6.1 c) – t.ex. bokföringslagen och skatteförfattningar.
• Kundsupport och säkerhet (berättigat intresse, art. 6.1 f) – felsökning, missbruksskydd, loggning.
• Hämtning av bankdata via PSD2 (uttryckligt samtycke, art. 6.1 a, jämte regelverk för kontoinformationstjänster).
• Marknadsföring (samtycke eller berättigat intresse, art. 6.1 a/f) – nyhetsbrev och relevant kommunikation till befintliga kunder.

4. PSD2 och bankdata (kontoinformationstjänst)

Zagendo erbjuder en kontoinformationstjänst (AIS) enligt det andra betaltjänstdirektivet (PSD2) och lagen (2010:751) om betaltjänster. Tjänsten används för att automatiskt matcha betalningar mot fakturor och ge dig en samlad ekonomisk översikt.

För att kunna hämta bankdata använder vi Enable Banking som licensierad tredjepartsleverantör (TPP). Enable Banking är auktoriserat som betalningsinstitut av Finansinspektionen i Finland och har passporterad rätt att verka i hela EES. Anslutningen till din bank sker via bankens säkra PSD2-gränssnitt och kräver att du legitimerar dig med BankID eller motsvarande hos banken.

Vad vi får tillgång till: kontoinnehavare, kontonummer, saldo och transaktionshistorik upp till 24 månader tillbaka, för de konton du själv väljer att koppla.

Samtycke: Hämtning av bankdata sker endast efter ditt uttryckliga samtycke. Samtycket gäller i högst 180 dagar och behöver förnyas hos banken därefter, i enlighet med PSD2-regelverket.

Dataminimering: Vi hämtar enbart de uppgifter som krävs för att leverera tjänsten. Bankdata används aldrig för marknadsföring, kreditbedömning, profilering eller försäljning till tredje part.

Återkallelse: Du kan när som helst återkalla ditt samtycke, antingen i Zagendo eller direkt hos din bank. Återkallelse påverkar inte lagligheten av behandling som skett dessförinnan.

5. Mottagare och underbiträden

Vi delar uppgifter endast med följande kategorier av mottagare, och alltid under personuppgiftsbiträdesavtal eller motsvarande:

• Drift och hosting – molnleverantörer inom EU/EES.
• Identifiering – BankID och motsvarande e-legitimationstjänster.
• PSD2-leverantör – Enable Banking Oy (auktoriserat betalningsinstitut, Finland) för åtkomst till bankdata via PSD2.
• Betallösningar – t.ex. Swish, Stripe eller motsvarande.
• Bokförings- och löneintegrationer – endast efter din aktivering.
• Myndigheter – när vi enligt lag är skyldiga att lämna ut uppgifter.

Aktuell lista över underbiträden lämnas på begäran via support@zagendo.se.

6. Överföring utanför EU/EES

Vi strävar efter att behandla uppgifter inom EU/EES. Om överföring till tredje land sker, görs det med stöd av EU-kommissionens standardavtalsklausuler eller annan giltig skyddsmekanism enligt kapitel V GDPR, kompletterad med tekniska och organisatoriska skyddsåtgärder.

7. Lagringstider

• Konto- och användardata: så länge du är kund, samt upp till 12 månader därefter för supporthistorik.
• Bankdata (PSD2): så länge ditt aktiva samtycke gäller, dock längst 90 dagar efter att samtycket upphört eller återkallats. Aggregerad/avidentifierad data kan bevaras längre.
• Bokförings- och fakturaunderlag: 7 år enligt bokföringslagen.
• Marknadsföringssamtycken: till du återkallar samtycket eller avregistrerar dig.
• Säkerhetsloggar: normalt 12 månader.

8. Cookies

Vi använder nödvändiga cookies för att tjänsten ska fungera, och valbara cookies för analys och marknadsföring. Du styr dina val via vårt cookie-verktyg, som visas första gången du besöker webbplatsen och som du när som helst kan ändra.

9. Säkerhet

Vi tillämpar branschstandard för säker drift, bland annat kryptering i transit (TLS) och vid lagring av känsliga uppgifter, åtkomstkontroll med principen om minsta behörighet, loggning och regelbundna säkerhetsgranskningar. Vid eventuell personuppgiftsincident anmäler vi händelsen till IMY inom 72 timmar enligt artikel 33 GDPR och informerar berörda registrerade när det krävs.

10. Dina rättigheter

Du har enligt GDPR rätt att:

• begära information om och kopia av dina uppgifter (registerutdrag),
• få felaktiga uppgifter rättade,
• begära radering ("rätten att bli glömd") i den utsträckning lagen tillåter,
• begära begränsning eller invända mot viss behandling,
• få ut uppgifterna i ett maskinläsbart format (dataportabilitet),
• återkalla samtycken du lämnat, utan att det påverkar tidigare laglig behandling.

Begäran skickas till support@zagendo.se. Vi besvarar normalt inom 30 dagar.

11. Klagomål till tillsynsmyndighet

Om du anser att vi behandlar dina uppgifter i strid med dataskyddsreglerna har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), www.imy.se. Vi tar gärna emot synpunkter direkt först, så vi kan rätta till eventuella brister.

12. Ändringar

Vi kan komma att uppdatera denna policy. Vid väsentliga förändringar informerar vi inloggade användare i tjänsten eller via e-post. Datum för senaste uppdatering anges högst upp på denna sida.