Integritetspolicy

Personuppgiftsansvarig: Haghighi Consulting AB (org.nr 559402-4522), bifirma Spick · E-post: [email protected]

1. Inledning

Spick ("vi", "oss", "plattformen") tillhandahåller städtjänster genom ett nätverk av kvalitetssäkrade underleverantörer — städfirmor och självständiga städare med F-skatt. Spick är personuppgiftsansvarig för kunddata. Denna integritetspolicy beskriver hur vi samlar in, använder, delar och skyddar dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR, förordning 2016/679) och svensk dataskyddslagstiftning.

Policyn gäller alla som besöker spick.se, skapar konto, bokar städning, registrerar sig som städare eller på annat sätt interagerar med våra tjänster.

2. Vilka personuppgifter samlar vi in?

2.1 Uppgifter du lämnar till oss

Kategori	Exempel	Gäller
Kontaktuppgifter	Namn, e-post, telefon, adress	Kunder & städare
Kontouppgifter	Lösenord (hashat), inloggningsmetod	Kunder & städare
Identitetsverifiering	Personnummer (via BankID), F-skattebevis	Städare
Bokningsinformation	Adress, datum, tid, timmar, bostadsstorlek, önskemål	Kunder
Betalningsuppgifter	Kortuppgifter (hanteras av Stripe – vi lagrar aldrig kortnummer)	Kunder
Profiluppgifter	Profilbild, presentation, tillgänglighet, tjänsteområde	Städare
Omdömen	Betyg, skriftliga recensioner	Kunder
Affärsuppgifter	Företagsnamn, organisationsnummer, faktureringsadress, momsregistreringsstatus	Städare
Kommunikation	Meddelanden via plattformen, e-post till support	Kunder & städare

2.2 Uppgifter vi samlar in automatiskt

Kategori	Exempel
Tekniska uppgifter	IP-adress, webbläsartyp, operativsystem, enhet
Användningsdata	Besökta sidor, klick, tidsstämplar
Platsdata	Ungefärlig position baserad på IP (för matchning)
GPS-position (check-in/out)	Exakt position vid start/slut av uppdrag (städare)
Foton (före/efter)	Bilder tagna vid uppdragets start och slut (städare)

2.3 Uppgifter från tredje part

Vi tar emot identitetsbekräftelse från BankID-leverantören TIC Identity vid städarverifiering. Vi tar aldrig emot ditt BankID-lösenord.

3. Varför och med vilken rättslig grund behandlar vi dina uppgifter?

Ändamål	Rättslig grund (GDPR)
Skapa och hantera konto	Avtal (art. 6.1 b)
Genomföra och administrera bokningar	Avtal (art. 6.1 b)
Betalningar och fakturering, inkl. RUT-avdrag	Avtal (art. 6.1 b) och rättslig förpliktelse (art. 6.1 c)
Verifiera städares identitet via BankID och F-skatt	Berättigat intresse (art. 6.1 f) — trygghet
Matcha kunder med städare i rätt område	Avtal (art. 6.1 b)
Hantera omdömen och betyg	Berättigat intresse (art. 6.1 f) — kvalitetssäkring
Bokningsbekräftelser, påminnelser, kvitton	Avtal (art. 6.1 b)
Marknadsföringsutskick	Samtycke (art. 6.1 a)
Förbättra och utveckla plattformen	Berättigat intresse (art. 6.1 f)
Bokförings- och skattelagstiftning	Rättslig förpliktelse (art. 6.1 c)
Förebygga bedrägerier och missbruk	Berättigat intresse (art. 6.1 f)
GPS-position vid check-in/check-out (verifiera att städaren är på plats)	Berättigat intresse (art. 6.1 f) — trygghet och kvalitetssäkring
Före-/efterfoton (dokumentera städresultat)	Berättigat intresse (art. 6.1 f) — kvalitetssäkring och tvistlösning

Personnummer: Vi behandlar personnummer via BankID för städarverifiering och via kunder för RUT-avdrag. Personnummer delas aldrig med andra kunder.

4. Vilka delar vi dina uppgifter med?

Vi säljer aldrig dina personuppgifter. Vi delar uppgifter med följande mottagare enbart i den utsträckning som krävs:

Mottagare	Syfte	Land
Städare / Kund	Namn, adress, bokningsdetaljer för att genomföra uppdraget	Sverige
Underleverantör (via PuB-avtal)	Behandling av kundens personuppgifter för uppdragets genomförande	Sverige
Supabase	Databas och autentisering	EU (Frankfurt)
Stripe	Betalningshantering	EU/USA*
Resend	Transaktionell e-post	USA*
TIC Identity	BankID-verifiering av städare	Sverige
46elks	SMS-påminnelser	Sverige
Buffer	Sociala medier (inga personuppgifter)	USA*
Google	Webbanalys (Google Analytics 4) och adresssökning (Google Places)	EU/USA*
Skatteverket	RUT-ansökan (personnummer, adress, belopp)	Sverige

* Vid överföring utanför EU/EES säkerställer vi skyddet genom EU-kommissionens standardavtalsklausuler (SCC) eller EU-U.S. Data Privacy Framework.

5. Hur länge sparar vi dina uppgifter?

Uppgiftstyp	Lagringstid	Motivering
Kontoinformation	Så länge kontot är aktivt + 12 mån	Möjliggöra återaktivering
Bokningshistorik	7 år	Bokföringslagen (7:2 BFL)
Betalningsdata	7 år	Bokföringslagen
RUT-underlag	7 år	Skattelagstiftning
Omdömen	Så länge städarens konto är aktivt	Kvalitetssäkring
Supportärenden	24 månader	Uppföljning
Tekniska loggar	90 dagar	Felsökning
Självfakturor	7 år	Bokföringslagen (7:2 BFL)
Kundkvitton	7 år	Bokföringslagen (7:2 BFL)
Provisionsloggar	7 år	Bokföringslagen (7:2 BFL)
Affärsuppgifter (org.nr, företagsnamn)	Så länge kontot är aktivt + 12 månader	Självfakturering och avtalskrav
GPS-position (check-in/out)	Så länge det behövs, max 12 månader	Verifiering och tvistlösning
Före-/efterfoton	Så länge det behövs, max 12 månader	Kvalitetssäkring och tvistlösning
Avtalsdokumentation (signerade villkor + signaturlogg)	Avtalstid + 10 år	Preskriptionstid för avtalsfordringar (Preskriptionslagen §2)

Spick arbetar aktivt för att minimera lagringstiden för positionsdata och fotografier. Data raderas när det inte längre behövs för sitt ändamål.

6. Samtycke till auto-delegation

Om du aktiverar "automatisk ersättarhantering" (auto-delegation) vid bokning eller i dina kontoinställningar sparas detta val som en del av din kundprofil.

6.1 Vad sparas

Ditt val (aktiverat/inaktiverat) i fältet auto_delegation_enabled
Datum/tid för när valet senast ändrades
Per-bokning överstyrning om du ändrar valet för en specifik bokning

6.2 Hur används informationen

Valet används uteslutande för att avgöra om Spick ska:

Kräva ditt godkännande när en städare får förhinder (om inaktiverat)
Låta städföretaget automatiskt tilldela en ersättare (om aktiverat)

Informationen delas inte med tredje part utöver det städföretag som utför din bokning. Städföretaget får endast veta ditt val för att kunna agera korrekt.

6.3 Återkallande

Du kan när som helst ändra eller återkalla ditt samtycke till auto-delegation:

Via dina kontoinställningar
Per enskild bokning via bokningsprocessen
Genom att kontakta [email protected]

Återkallande påverkar framtida bokningar. Bokningar där auto-delegation redan använts för att tilldela en ersättare påverkas inte retroaktivt.

6.4 Laglig grund

Behandlingen sker med stöd av ditt explicita samtycke enligt GDPR artikel 6.1(a). Spick behandlar uppgiften som en del av nödvändig avtalsuppfyllelse när en bokning utförs (GDPR artikel 6.1(b)).

7. Dina rättigheter

Kontakta [email protected] — vi svarar inom 30 dagar.

Tillgång — få veta vilka uppgifter vi behandlar och få en kopia
Rättelse — få felaktiga uppgifter korrigerade
Radering ("rätten att bli bortglömd") — gäller ej lagstadgade uppgifter
Begränsning — begränsa behandlingen tillfälligt
Dataportabilitet — få ut uppgifter i maskinläsbart format
Invändning — invända mot behandling baserad på berättigat intresse
Återkalla samtycke — t.ex. avregistrera från nyhetsbrev

Klagomål: Integritetsskyddsmyndigheten (IMY)

8. Cookies

Vid ditt första besök visas en cookie-banner.

Nödvändiga (alltid aktiva): Inloggning, bokningsflöde
Analys (kräver samtycke): Google Analytics 4, Microsoft Clarity
Marknadsföring (kräver samtycke): Meta Pixel

Ändra inställningar via cookie-bannern eller rensa cookies i webbläsaren.

9. Säkerhet

Krypterad kommunikation (HTTPS/TLS)
Hashade lösenord — aldrig i klartext
Rollbaserad åtkomstkontroll (RBAC)
Row Level Security (RLS) i databasen
Stripe PCI DSS Level 1 för betalningsdata
Content Security Policy (CSP)

Vid personuppgiftsincident anmäler vi till IMY inom 72 timmar.

10. Barn

Spick riktar sig inte till personer under 18 år. Om vi får kännedom om att en minderårig har skapat konto raderar vi uppgifterna omgående.

11. Ändringar

Vid väsentliga ändringar meddelar vi dig via e-post eller genom ett meddelande på plattformen.

12. Kontakt

Haghighi Consulting AB (org.nr 559402-4522), bifirma Spick
E-post: [email protected] · Webb: spick.se