Personuppgiftspolicy

Senast uppdaterad: 2026-04-24

Denna policy beskriver hur DecDEPO hanterar personuppgifter enligt EU:s dataskyddsförordning (GDPR, 2016/679) och svensk dataskyddslag (2018:218).

1. Personuppgiftsansvarig

2. Vilka personuppgifter behandlar vi?

• Kontaktuppgifter: namn, e-post, telefonnummer, adress.
• Orderuppgifter: beställningshistorik, produktval, belopp, betalsätt.
• Betaluppgifter: transaktions-ID (Stripe / Swish). Vi lagrar inte kortnummer eller CVV — dessa hanteras av Stripe Payments Europe Ltd.
• Tekniska uppgifter: IP-adress, webbläsare, tidstämplar vid besök (för säkerhet och bedrägeri­bekämpning).
• Uppladdat designmaterial: bilder, logotyper, text du laddar upp i designern.

3. Ändamål och rättslig grund

• Fullgöra avtal (GDPR art. 6.1.b) — att leverera beställda produkter, hantera betalning, support.
• Rättslig förpliktelse (art. 6.1.c) — bokföring och fakturering enligt Bokföringslagen (1999:1078) som kräver 7 års arkivering.
• Berättigat intresse (art. 6.1.f) — säkerhet, bedrägeri­bekämpning, förbättring av tjänsten.
• Samtycke (art. 6.1.a) — nyhetsbrev (om du anmält dig), icke-nödvändiga kakor.

4. Lagringstid

• Orderdata + fakturor: 7 år (Bokföringslagen 7 kap. 2 §).
• Uppladdat designmaterial: 3 månader efter senaste order, därefter automatisk radering.
• Supportmejl: 12 månader.
• Kakor: se avsnitt 7.

5. Mottagare / tredje parter

Dina uppgifter delas endast med personuppgiftsbiträden som behövs för att leverera tjänsten:

• Stripe Payments Europe Ltd (Irland) — kortbetalningar. Integritetspolicy.
• Getswish AB (Sverige) — Swish-betalningar.
• Resend, Inc. (USA, EU-US Data Privacy Framework) — transaktionsmail.
• Cloudflare, Inc. (EU-datacenter) — hosting, CDN, databas.
• PostNord Sverige AB — leverans.
• Skatteverket — bokföringsuppgifter vid begäran eller skatterevision.

Vi säljer aldrig dina uppgifter till tredje part.

6. Överföring utanför EU/EES

Resend är USA-baserat och omfattas av EU-US Data Privacy Framework (Adequacy Decision 2023-07-10). Cloudflare lagrar data i EU-regionala datacenter.

7. Kakor (cookies) och lokal lagring

Vi använder endast strikt nödvändig lokal lagring i din webbläsare:

• Temaval (ljust/mörkt): sparas i localStorage så att din inställning behålls mellan besök. Detta är en ren preferens-inställning som krävs för att webbplatsen ska fungera enligt dina val (jfr PTS vägledning om strängt nödvändiga tekniker).
• Varukorg (endast på /print och /card): session-baserad sessionStorage tills du slutför eller överger din beställning.

Vi använder inga statistik-, marknadsförings- eller spårningskakor. Inga tredjepartskript laddas utan att du själv begär det (t.ex. Stripe Checkout vid kassan). Eftersom vi inte sätter icke-nödvändiga kakor visar vi heller ingen "kakbanner" — det vore vilseledande att be om samtycke vi inte behöver.

8. Dina rättigheter

Enligt GDPR har du rätt att:

• Begära tillgång till dina uppgifter (art. 15).
• Begära rättelse av felaktiga uppgifter (art. 16).
• Begära radering — "rätten att bli bortglömd" (art. 17). Observera att bokförings­­uppgifter måste sparas i 7 år.
• Begära begränsning av behandling (art. 18).
• Begära dataportabilitet (art. 20).
• Göra invändning mot behandling baserad på berättigat intresse (art. 21).

Kontakta oss på kontakt@decdepo.se — vi svarar inom 30 dagar.

9. Klagomål

Du har rätt att lämna in klagomål till tillsynsmyndigheten:

10. Säkerhet

Vi använder TLS-kryptering, tvåfaktorsautentisering för administrativ åtkomst, och regelbundna säkerhets­­granskningar. Vid personuppgiftsincident rapporterar vi till IMY inom 72 timmar enligt art. 33 GDPR.

11. Ändringar i policyn

Vi kan uppdatera denna policy. Senaste version publiceras alltid på denna sida med uppdaterat datum. Vid väsentliga ändringar informerar vi via e-post.