Integritetspolicy
Senast uppdaterad: 26 maj 2026
1. Information om insamling av personuppgifter & roller
Vi på Orwix Studio värnar om din personliga integritet och strävar efter att alltid skydda dina personuppgifter på bästa möjliga sätt. Denna integritetspolicy beskriver hur **BytVanor** (enskild firma / Peter Wikström, härefter benämnt ”Orwix Studio”, ”vi” eller ”oss”) samlar in, behandlar, lagrar och delar personuppgifter vid användning av vår molnbaserade plattform Orwix Studio (”Tjänsten”).
Orwix Studio har två distinkta roller enligt EU:s allmänna dataskyddsförordning (GDPR):
- Personuppgiftsansvarig (Data Controller): Vi är personuppgiftsansvariga för de personuppgifter vi samlar in direkt från dig som är kund (kontoinnehavare, administratör) eller besökare på vår egen webbplats (orwixstudio.se).
- Personuppgiftsbiträde (Data Processor): När du som kund integrerar Orwix Studios videowidgets och bokningssystem på dina egna webbplatser för att samla in leads och bokningar från *dina* besökare, behandlar vi dessa uppgifter uteslutande för din räkning och enligt dina instruktioner. För denna behandling gäller vårt Biträdesavtal (DPA).
2. Vilka uppgifter vi samlar in & Varför
Vi behandlar endast personuppgifter som är nödvändiga för att leverera en säker, stabil och GDPR-kompatibel tjänst:
- Användarkonto & Profil: Vid registrering samlar vi in namn, e-postadress och organisationsnamn. Rättslig grund: Fullgörande av avtal.
- Betalnings- & Faktureringsuppgifter: Hanteras direkt av vår partner **Stripe**. Vi lagrar aldrig fullständiga betalkortsnummer, utan endast transaktionsstatus och ett krypterat kund-ID. Rättslig grund: Fullgörande av avtal samt rättslig förpliktelse (Bokföringslagen).
- Kundgenererat innehåll (Leads & Bokningar): För leads och bokningar som samlas in via våra kunders widgets lagras kontaktuppgifter (namn, e-post, telefon) samt eventuellt video-/ljudmaterial som laddas upp av besökaren. Denna data krypteras automatiskt i plattformen (se avsnitt 5).
- Teknisk Data & Säkerhetsloggar: Vi loggar IP-adresser, webbläsartyp och enhetsinformation för att förhindra överbelastningsattacker och felsöka renderaren. Rättslig grund: Berättigat intresse (säkerhet och funktionalitet).
3. Hur länge vi lagrar dina uppgifter
Vi sparar inte personuppgifter längre än vad som krävs för ändamålet:
- Kontouppgifter: Raderas permanent inom 30 dagar efter att kontot avslutats.
- Krypterade leads och bokningar: Sparas under aktiv prenumerationsperiod. Kunden kan själv konfigurera lagringstider eller radera poster manuellt via kontrollpanelen vilket triggar omedelbar radering.
- Betalningshistorik: Spara i sju (7) år i enlighet med svenska bokföringslagen.
4. Delning av data & Underbiträden (Sub-processors)
Vi säljer eller hyr aldrig ut dina personuppgifter. För att tillhandahålla Tjänsten använder vi följande noggrant utvalda underbiträden som uppfyller strikta GDPR-krav:
| Mottagare / Tjänst | Syfte | Lagringsplats |
|---|---|---|
| Supabase Inc. | PostgreSQL-databas, användarautentisering och Row Level Security. | EU (Frankfurt, Tyskland) |
| Cloudflare Inc. | Global nätverkssäkerhet, Edge Workers (kryptering), och R2 (krypterad medielagring). | Globalt / EU-noder (Frankfurt/Paris) |
| Stripe Inc. | Betalnings- och faktureringshantering. | Globalt / EU (Standardavtalsklausuler tillämpas) |
| Resend Inc. | E-postdistribution (transaktionsmejl för bokningar och lead-notifieringar). | USA (Säkrat via EU-US Data Privacy Framework och standardavtalsklausuler) |
5. Användning av Google API-data (Kalenderintegration)
Orwix Studio tillåter användare att integrera sin Google-kalender för att hantera bokningar och tillgänglighet. Vår kalenderintegration använder Google API-data uteslutande för att tillhandahålla och förbättra dessa bokningsfunktioner:
- Tillgång till Google Kalender: Vi läser av kalenderns tillgänglighet (ledig/upptagen-status) för att visa lediga tider för dina besökare i widgeten, samt skapar kalenderhändelser när en besökare bokar en tid eller när du bekräftar en förfrågan.
- Efterlevnad av Limited Use: Orwix Studios användning och överföring av information från Google API till andra applikationer följer helt reglerna i Google API Services User Data Policy, inklusive kraven på begränsad användning (Limited Use).
- Datalagring och delning: Vi delar inte dina Google-användardata med externa AI-modeller eller andra tredjepartsplattformar. OAuth-tokens lagras säkert i krypterat format och raderas omedelbart om du kopplar bort kalenderintegrationen.
6. Datasäkerhet & Kryptografiskt Kantskydd
Vi tillämpar branschledande säkerhetsmetoder (Privacy by Design) för att garantera att obehöriga – inklusive vår egen personal – inte kan komma åt känsliga personuppgifter:
- Edge-kryptering (AES-GCM 256): När en besökare skickar in ett lead eller gör en bokning i widgeten, krypteras namn, e-post och känslig data direkt i Cloudflares Edge Workers via WebCrypto API. Datan lagras i databasen först *efter* att den krypterats med AES-GCM.
- Kryptografisk Nyckelisolering: Krypteringsnycklarna lagras i en separat, isolerad tabell (`lead_encryption_keys`) skyddad av strikta databasregler (Row Level Security). Nycklarna kan endast hämtas av auktoriserade klientinstanser under användarens session, vilket gör att databasen i sig är helt oläslig vid ett eventuellt intrång.
- Helautomatiserad radering (Crypto-Shredding): När en begäran om radering (DSAR) utförs, raderas krypteringsnyckeln permanent. Detta gör all lagrad data omedelbart omöjlig att dekryptera (kryptografisk radering). Samtidigt triggar raderingen en kaskadradering (`ON DELETE CASCADE`) i databasen som rensar lead-/bokningsraden, samt en automatisk städning (Garbage Collection) som raderar all associerad video- och ljudmedia i Cloudflare R2.
- Signerade Raderingskvitton: Systemet genererar ett HMAC-SHA256-signerat kvitto på utförd radering som skickas till kunden som ett oförändringsbart bevis på GDPR-efterlevnad.
7. Dina rättigheter enligt GDPR
Som registrerad har du följande rättigheter under GDPR:
- Rätt till information: Få bekräftelse på om vi behandlar dina uppgifter samt ett kostnadsfritt registerutdrag.
- Rätt till rättelse: Begära rättelse av felaktiga eller ofullständiga uppgifter.
- Rätt till radering (Rätten att bli bortglömd): Begära att dina uppgifter raderas permanent (exempelvis via vår automatiserade Crypto-Shredding).
- Rätt till begränsning och invändning: Invända mot behandling som stödjer sig på berättigat intresse eller begränsa behandlingen under utredning.
För att utöva dina rättigheter, kontakta oss på **support@orwixstudio.se**.
8. Cookies & Spårning (Ghost Mode)
Orwix Studio använder endast nödvändiga cookies för att upprätthålla inloggningen i kontrollpanelen. Vi använder inte spårnings- eller tredjepartspixlar i vår applikation.
För besökare som interagerar med våra kunders videowidgets tillämpar plattformen **CMP-synkroniserat Ghost Mode**:
- Om besökaren avvisar cookies eller spårning i webbplatsens samtyckeshanterare (CMP) stängs all spårning av.
- Widgeten går in i Ghost Mode där den körs helt i tillfälligt minne utan persistenta cookies, lokal lagring (localStorage) eller unika enhetsidentifierare.
- Inskick av leads eller bokning blockeras automatiskt om inte kunden har aktiverat "valfritt samtycke" och besökaren utför en aktiv handling som utgör ett uttryckligt mikro-samtycke (Micro-Consent) i anslutning till inskicket.
9. Ändringar i denna policy
Vi förbehåller oss rätten att uppdatera denna policy vid ändringar av funktionalitet eller lagstiftning. Vid väsentliga ändringar kommer vi att meddela kunder via e-post eller i kontrollpanelen innan ändringen träder i kraft.