← Tillbaka till TechFlip

TechFlip Integritetspolicy

Version 2.1 Gäller från 16. Apr.

Kontaktuppgifter är dolda för att skydda mot automatisk insamling.

TechFlip ("Plattformen") värnar om din integritet och är engagerad i att skydda dina personuppgifter. Denna integritetspolicy beskriver hur vi samlar in, använder, delar, lagrar och skyddar dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR, EU 2016/679), den svenska lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (Dataskyddslagen, SFS 2018:218), den svenska förordningen med kompletterande bestämmelser (SFS 2018:219) samt lagen om elektronisk kommunikation (LEK, SFS 2022:482). Policyn gäller för alla som besöker, registrerar sig på eller använder Plattformen. Våra fullständiga allmänna villkor finns tillgängliga på techflip.se/anvandarvillkor.

Observera: TechFlip befinner sig i en uppstartsfas. Funktioner, tjänster och tekniska lösningar kan komma att förändras. Vid väsentliga ändringar som påverkar behandlingen av dina personuppgifter kommer vi att uppdatera denna policy och meddela dig i enlighet med avsnitt 15.

1. PERSONUPPGIFTSANSVARIG

Personuppgiftsansvarig för behandlingen av dina personuppgifter på Plattformen är:

WallinSolutions AB
Organisationsnummer: 559576-2112
E-post: r*****@techflip.se
Webbplats: wallinsolutions.se | Tjänst: techflip.se

Bolaget företräds av:

  • R***** W***** — ansvarar för teknisk drift, datasäkerhet och hantering av personuppgiftsincidenter
  • J****** W***** — ansvarig utgivare enligt Yttrandefrihetsgrundlagen (SFS 1991:1469), ansvarar för redaktionellt innehåll och kommunikation med registrerade samt tillsynsmyndigheten

1.1 Dataskyddsombud (DPO)

WallinSolutions AB har bedömt att verksamheten inte kräver ett dataskyddsombud enligt artikel 37 GDPR, då behandlingen inte utgör kärnverksamhet som innebär regelbunden och systematisk övervakning i stor skala eller behandling av känsliga personuppgifter i stor skala. Samtliga dataskyddsfrågor hanteras direkt av de ansvariga personerna ovan.

2. VILKA PERSONUPPGIFTER SAMLAR VI IN?

2.1 Uppgifter du lämnar till oss

När du registrerar dig och använder TechFlip samlar vi in följande personuppgifter som du aktivt lämnar:

  • Namn (förnamn och efternamn)
  • E-postadress
  • Lösenord (lagras krypterat med Argon2id — en modern, minneskrävande hashalgoritm. Lösenord lagras aldrig i klartext)
  • Telefonnummer (valfritt)
  • Adress och plats (land, region, stad)
  • Födelsedatum
  • Företagsinformation (om du registrerar dig som näringsidkare)
  • Profilbilder och annonsbilder du laddar upp
  • Annonsinformation: titlar, beskrivningar, priser och produktspecifikationer
  • Meddelanden du skickar via plattformens chattfunktion
  • Betyg och recensioner du lämnar
  • Bud och offerter du skickar eller tar emot

Om du använder TechFlips PC-servicetjänst samlar vi även in uppgifter som rör bokningar, arbetsordrar och fakturering.

2.2 Uppgifter vi samlar in automatiskt

När du använder Plattformen samlar vi automatiskt in viss teknisk information:

  • IP-adress (hashas normalt omedelbart med SHA-256 vid insamling för integritetsskydd. Vid detekterade säkerhetshot, se avsnitt 11.1, kan den råa IP-adressen lagras i krypterad form)
  • Enhetstyp (dator, mobil, surfplatta)
  • Webbläsare och operativsystem (normaliserad form, inte fullständig User-Agent-sträng)
  • Sidvisningar och navigeringsmönster
  • Sessionsinformation (tidpunkt för besök, besökets varaktighet)
  • Ungefärlig geografisk plats (land och stad baserat på IP-adress)
  • Hänvisningsinformation (varifrån du kom till Plattformen)
  • Cookiedata och liknande tekniker (se avsnitt 5 och vår cookiepolicy)
  • Push-notifikationsprenumerationer (enhetsidentifierare och krypterade endpoint-URL:er för att kunna leverera aviseringar till din enhet, om du aktiverar push-notiser)

2.3 Uppgifter från tredje part

Vi kan ta emot personuppgifter från följande tredjepartskällor:

  • Google (vid social inloggning): Om du väljer att logga in eller registrera dig med ditt Google-konto tar vi emot följande uppgifter från Google via OAuth 2.0:
    • Google-konto-ID (en unik identifierare som kopplar ditt TechFlip-konto till ditt Google-konto)
    • Namn (förnamn och efternamn)
    • E-postadress och verifieringsstatus
    • Profilbild (avatar-URL från Google)
    Vi lagrar ditt Google-konto-ID och din inloggningsmetod (auth_provider) i vår databas. Vi får aldrig tillgång till ditt Google-lösenord och kan inte agera i ditt Google-konto.

Om du använder PC-servicens betalningsfunktioner (Svea Checkout eller Swish) hanteras betalningsinformation av respektive betaltjänstleverantör. Vi lagrar aldrig fullständiga kort- eller bankuppgifter på våra servrar.

3. HUR ANVÄNDER VI DINA PERSONUPPGIFTER?

Vi behandlar dina personuppgifter för följande specifika ändamål:

  • Tillhandahålla, driva och administrera Plattformen och dess funktioner
  • Skapa, verifiera och hantera ditt användarkonto
  • Autentisera dig via e-post/lösenord eller via social inloggning (Google)
  • Möjliggöra kommunikation mellan köpare och säljare via meddelandesystemet
  • Hantera annonser, bud, offerter och transaktioner
  • Hantera bokningar, arbetsordrar och fakturering för PC-servicetjänsten
  • Behandla betalningar via Svea Checkout och Swish (enbart för PC-servicetjänsten)
  • Skicka push-notifikationer till din enhet (om du aktiverat det) via webbläsarens push-tjänst och/eller Expo Push (för mobilapp)
  • Säkerställa plattformens säkerhet och förebygga bedrägeri, missbruk och otillåten verksamhet
  • Förbättra våra tjänster, funktioner och användarupplevelse
  • Analysera anonymiserade användningsmönster för att optimera Plattformen
  • Skicka viktiga tjänstemeddelanden (t.ex. kontoändringar, systemuppdateringar, säkerhetsvarningar)
  • Skicka SMS-notifikationer i samband med PC-servicebokningar (via 46elks)
  • Efterleva rättsliga förpliktelser, inklusive bokföringslagen och skattelagstiftning
  • Hantera tvister mellan användare och tillhandahålla kundsupport
  • Upprätthålla våra allmänna villkor och plattformens regler

4. RÄTTSLIG GRUND FÖR BEHANDLING (ARTIKEL 6 GDPR)

Varje behandling av personuppgifter kräver en rättslig grund enligt artikel 6.1 GDPR. Nedan specificeras den rättsliga grunden för varje behandlingsaktivitet:

4.1 Fullgörande av avtal (artikel 6.1 b)

Behandling som är nödvändig för att fullgöra vårt avtal med dig (de allmänna villkoren):

  • Skapa och hantera ditt användarkonto (inklusive via Google-inloggning)
  • Publicera och hantera dina annonser
  • Möjliggöra kommunikation via chattfunktionen
  • Behandla bud, offerter och transaktioner
  • Hantera PC-servicebokningar, arbetsordrar och betalningar (via Svea Checkout och Swish)
  • Tillhandahålla kundsupport kopplad till din användning av tjänsten
  • Leverera push-notifikationer om händelser som rör dina annonser, bud, meddelanden och kontostatus (om du aktiverat det)

4.2 Berättigat intresse (artikel 6.1 f)

Behandling som är nödvändig för vårt berättigade intresse, efter en intresseavägning där vi bedömt att vårt intresse väger tyngre än ditt integritetsintresse:

  • Säkerställa plattformens IT-säkerhet och förebygga bedrägeri (berättigat intresse: skydda plattformen och användarna)
  • Logga IP-adresser temporärt för säkerhetsändamål (berättigat intresse: identifiera och förhindra säkerhetshot)
  • Lagra krypterade rå-IP-adresser vid detekterade cyberattacker för brandväggsblockering och samarbete med brottsbekämpande myndigheter (berättigat intresse: nät- och informationssäkerhet, stöd i skäl 49 GDPR. Se avsnitt 11.1 och vår bedömning av berättigat intresse)
  • Analysera anonymiserad besöksstatistik för tjänsteförbättring (berättigat intresse: förbättra användarupplevelsen)
  • Upprätthålla plattformens regler och moderera innehåll (berättigat intresse: skydda användare och plattformens integritet)
  • Hantera och förhindra missbruk av tjänsten (berättigat intresse: säkerställa en trygg marknadsplats)

4.3 Rättslig förpliktelse (artikel 6.1 c)

Behandling som krävs för att uppfylla rättsliga skyldigheter:

  • Lagra transaktionsregister enligt bokföringslagen (SFS 1999:1078) i minst 7 år
  • Tillhandahålla information till myndigheter vid laglig begäran
  • Uppfylla krav enligt EU:s förordning om digitala tjänster (DSA, EU 2022/2065)
  • Rapportera olagligt innehåll och verksamhet enligt tillämplig lagstiftning

4.4 Samtycke (artikel 6.1 a)

Behandling som grundas på ditt uttryckliga samtycke, som du när som helst kan återkalla:

  • Användning av analytiska cookies (för intern besöksstatistik)
  • Användning av funktionella cookies (för förbättrad användarupplevelse)
  • Eventuell framtida marknadsföring via e-post

Du kan återkalla ditt samtycke när som helst genom att ändra dina cookie-inställningar (via länken i sidfoten) eller kontakta oss på r*****@techflip.se. Återkallelse påverkar inte lagligheten av den behandling som skett innan återkallelsen (artikel 7.3 GDPR).

5. COOKIES OCH SPÅRNINGSTEKNOLOGI

Vi använder cookies i enlighet med lagen om elektronisk kommunikation (LEK, SFS 2022:482). För fullständig information om vilka cookies vi använder, se vår cookiepolicy.

I korthet använder vi:

  • Strikt nödvändiga cookies — för inloggning, autentisering och OAuth-flöden (inget samtycke krävs)
  • Funktionella cookies — för förbättrad användarupplevelse (kräver samtycke)
  • Analytiska cookies — för intern besöksstatistik (kräver samtycke, inga tredjepartstjänster)

Ditt cookie-samtycke lagras lokalt i din webbläsare (localStorage) och registreras även på vår server som revisionsspår. Du kan när som helst ändra dina inställningar via länken "Cookie-inställningar" i sidfoten.

6. DATALAGRINGSPERIODER

Vi lagrar dina personuppgifter i enlighet med principen om lagringsminimering (artikel 5.1 e GDPR) — inte längre än vad som är nödvändigt för ändamålet med behandlingen. Följande lagringsperioder gäller:

  • Kontoinformation (namn, e-post, profil): Så länge ditt konto är aktivt, plus 14 dagar efter begäran om radering (ångerperiod)
  • Lösenord (krypterat med Argon2id): Så länge ditt konto är aktivt
  • Google-konto-ID (vid social inloggning): Så länge ditt konto är aktivt
  • Annonser och annonsbilder: Så länge annonsen är aktiv eller kontot är öppet
  • Chattmeddelanden: Så länge ditt konto är aktivt
  • Push-notifikationsprenumerationer: Så länge prenumerationen är aktiv, raderas automatiskt efter 90 dagars inaktivitet
  • Intern besöksstatistik: 90 dagar, därefter automatisk radering
  • IP-adresser: Hashas normalt omedelbart med SHA-256 vid insamling. Vid detekterade säkerhetshot lagras den råa IP-adressen krypterad i högst 90 dagar (se avsnitt 11.1)
  • Transaktionsregister och fakturor: Minst 7 år efter räkenskapsårets slut (krav enligt 7 kap. 2 § bokföringslagen, SFS 1999:1078)
  • Granskningsloggar (audit logs): 7 år (för säkerhet och rättsliga krav)
  • Cookie-samtyckesinformation: 5 år (för att visa laglig grund för behandling)
  • Villkorsacceptans och samtyckeshistorik: Bevaras så länge relevant för att visa laglig grund

Efter att lagringsperioden löpt ut raderas eller anonymiseras dina personuppgifter. Vissa uppgifter kan behållas längre om det krävs enligt lag eller för att hantera rättsliga anspråk.

7. DELNING AV PERSONUPPGIFTER

Vi säljer aldrig dina personuppgifter. Vi delar personuppgifter med tredje part enbart i de situationer som beskrivs nedan, och alltid med lämpliga skyddsåtgärder.

7.1 Med andra användare på Plattformen

Viss information görs tillgänglig för andra användare som en del av Plattformens funktion: ditt visningsnamn, betyg, verifieringsstatus och annonsinnehåll är synligt för andra användare. Chattmeddelanden delas med den användare du kommunicerar med.

7.2 Personuppgiftsbiträden (artikel 28 GDPR)

Vi anlätar följande personuppgiftsbiträden som behandlar personuppgifter för vår räkning och enligt våra instruktioner:

  • EU-baserad infrastrukturleverantör — Serverhosting och objektlagring för bilder. Servrar i EU. Alla personuppgifter stannar inom EU/EES.
  • Google LLC — Två funktioner: (1) Google Fonts (alla besökare) — din webbläsare hämtar typsnitt från Googles servrar, varvid din IP-adress överförs. (2) Social inloggning via Google OAuth 2.0 (enbart om du väljer att logga in/registrera med Google) — vi utbyter en autentiseringskod mot ditt namn, e-postadress och profilbild. Om du inte använder Google-inloggning sker ingen OAuth-dataöverföring. Google är certifierat under EU–US Data Privacy Framework (beslut C(2023) 4745, 10 juli 2023). Se avsnitt 8 om tredjelandsföringar.
  • Svea Ekonomi AB — Betalningshantering via Svea Checkout (enbart för PC-servicetjänsten). Svenskt bolag, all data behandlas inom EU/EES.
  • Getswish AB — Betalningshantering via Swish (enbart för PC-servicetjänsten). Svenskt bolag, all data behandlas inom Sverige.
  • 46elks AB — SMS-notifikationer i samband med PC-servicebokningar. Svenskt bolag, behandlar telefonnummer för att leverera SMS.
  • SMTP-tjänst (WallinSolutions infrastruktur) — E-postleverans för kontoverifiering, återställning och tjänstemeddelanden. Behandlar e-postadresser och meddelandeinnehåll.
  • Expo (650 Industries, Inc.)Enbart om du aktiverar push-notiser i mobilappen. Push-tokens (översatta enhetsidentifierare) och notifikationsinnehåll överförs till Expos servrar för leverans. Om du inte aktiverar push-notiser sker ingen överföring. Expo är ett amerikanskt bolag. Se avsnitt 8 om tredjelandsföringar.
  • Webbläsarleverantörers push-tjänsterEnbart om du aktiverar push-notiser i webbläsaren. Notiser levereras via din webbläsarleverantörs push-tjänst (Google Firebase Cloud Messaging för Chrome, Mozilla Push Service för Firefox, Apple Push Notification service för Safari). Notifikationsinnehåll krypteras end-to-end mellan vår server och din webbläsare (Web Push-protokollet, RFC 8291), men push-tjänsten ser metadata (tidpunkt, storlek). Om du inte aktiverar push-notiser sker ingen överföring. Detta är en del av hur push-notifikationer fungerar på webben och kontrolleras av din webbläsare, inte av oss.

Vi använder inga tredjepartsverktyg för spårning eller analys (som Google Analytics, Meta Pixel eller liknande). All besöksstatistik hanteras av vårt eget interna system.

Vi använder Google Search Console för att övervaka hur Plattformen indexeras i Googles sökresultat. Google Search Console samlar inte in personuppgifter från våra användare och sätter inga cookies på Plattformen.

7.3 Rättsliga krav och myndigheter

Vi kan vara skyldiga att lämna ut personuppgifter om det krävs enligt lag, domstolsbeslut eller bindande begäran från behörig myndighet (t.ex. polis, åklagare eller skattemyndighet). Vi gör alltid en bedömning av om begäran är proportionerlig och laglig innan utlämnande sker.

7.4 Vid överlåtelse av verksamheten

Om TechFlip helt eller delvis överlåts till annan part, eller om verksamheten omstruktureras, kan personuppgifter komma att överföras till den nya parten. I sådana fall informeras du i förväg och den nya parten åtar sig att följa denna integritetspolicy eller informerar dig om eventuella ändringar.

8. INTERNATIONELLA ÖVERFÖRINGAR (TREDJELANDSFÖRINGAR)

Huvuddelen av dina personuppgifter behandlas och lagras inom EU/EES. Våra servrar och huvudsakliga tjänsteleverantörer är baserade i EU (Tyskland, Finland och Sverige).

Följande behandlingar innebär överföring till USA. Inte alla gäller alla användare — vi anger tydligt nedan vilka som är villkorade:

Överföringar som gäller ALLA besökare:

  • Google Fonts (typsnitt): Vid varje sidbesök hämtar din webbläsare typsnitt från fonts.googleapis.com och fonts.gstatic.com, varvid din IP-adress överförs till Google LLC (USA). Vi lagrar inga personuppgifter från denna förfrågan, men Google tar emot din IP-adress. Google är certifierat under EU–US Data Privacy Framework (DPF), vilket innebär att EU-kommissionen har bedömt att USA erbjuder adekvat skyddsnivå för överföringar till DPF-certifierade företag (beslut C(2023) 4745 av den 10 juli 2023, artikel 45 GDPR).

Överföringar som ENBART sker om du aktivt väljer en specifik funktion:

  • Google OAuth (social inloggning) — enbart om du väljer att logga in/registrera via Google: När du klickar på "Logga in med Google" utbyter vår server en autentiseringskod med Googles servrar (oauth2.googleapis.com) och tar emot ditt namn, din e-postadress och profilbild. Om du aldrig använder Google-inloggning sker ingen sådan överföring. Skyddas av DPF.
  • Expo/650 Industries, Inc. (push-notifikationer, mobilapp) — enbart om du aktiverar push-notiser i mobilappen: Push-tokens och notifikationsinnehåll överförs till Expos servrar i USA för leverans. Om du inte aktiverar push-notiser sker ingen överföring. Överföringen baseras på standardavtalsklausuler (SCCs, artikel 46.2 c GDPR) eller DPF-certifiering där tillämpligt.
  • Google Firebase Cloud Messaging (webbläsar-push) — enbart om du aktiverar push-notiser i Chrome: När du aktiverar push-notifikationer i Chrome-webbläsaren dirigeras dessa via Googles FCM-servrar. Notifikationsinnehållet är krypterat end-to-end (Web Push, RFC 8291), men metadata (tidpunkt, storlek) är synlig för Google. Använder du Firefox dirigeras notiser via Mozillas servrar (EU). Använder du Safari dirigeras de via Apples servrar. Om du inte aktiverar push-notiser sker ingen överföring. Skyddas av DPF.

8.1 Skyddsåtgärder

För samtliga tredjelandsföringar säkerställer vi en laglig överföringsmekanism:

  • EU-kommissionens beslut om adekvat skyddsnivå via EU–US Data Privacy Framework (artikel 45 GDPR) — gäller Google LLC
  • Standardavtalsklausuler (SCCs) i enlighet med artikel 46.2 c GDPR — där DPF ej är tillämpligt
  • Kompletterande skyddsåtgärder enligt Europeiska dataskyddsstyrelsens rekommendationer

Om EU–US Data Privacy Framework ogiltigförklaras av EU-domstolen i framtiden (liknande Schrems I och Schrems II) kommer vi omedelbart att övergå till standardavtalsklausuler eller upphöra med den aktuella överföringen.

9. DINA RÄTTIGHETER ENLIGT GDPR (ARTIKLARNA 15–22)

Du har följande rättigheter enligt GDPR. Du kan utöva dessa rättigheter genom att kontakta oss på r*****@techflip.se. Vi besvarar din begäran utan onödigt dröjsmål och senast inom en (1) månad (artikel 12.3 GDPR), med möjlighet till förlängning med ytterligare två månader vid komplicerade ärenden.

  • Rätt till tillgång (artikel 15 — registerutdrag)
    Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter, och i så fall få tillgång till uppgifterna samt information om behandlingen.
  • Rätt till rättelse (artikel 16)
    Du har rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Du kan korrigera de flesta uppgifter själv via dina kontoinställningar.
  • Rätt till radering — "rätten att bli glömd" (artikel 17)
    Du har rätt att begära radering av dina personuppgifter under vissa omständigheter. Observera att vissa uppgifter kan behöva behållas på grund av rättsliga förpliktelser (t.ex. bokföringslagens krav på 7 års lagring).
  • Rätt till begränsning av behandling (artikel 18)
    Du har rätt att begära att behandlingen av dina uppgifter begränsas, t.ex. medan vi utreder en invändning eller kontrollerar uppgifternas korrekthet.
  • Rätt till dataportabilitet (artikel 20)
    Du har rätt att få ut de personuppgifter du tillhandahållit oss i ett strukturerat, allmänt använt och maskinläsbart format (t.ex. JSON eller CSV). Denna rätt gäller uppgifter som behandlas med stöd av samtycke eller avtal och som behandlas automatiserat. Kontakta oss på r*****@techflip.se för att begära dataexport.
  • Rätt att göra invändningar (artikel 21)
    Du har rätt att invända mot behandling som baseras på berättigat intresse (artikel 6.1 f). Vid en invändning måste vi visa att det finns tvingande berättigade skäl för behandlingen, annars upphör vi med behandlingen.
  • Rätt att inte bli föremål för automatiserade beslut (artikel 22)
    Du har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling som har rättsliga följder eller på liknande sätt i betydande grad påverkar dig.
  • Rätt att klaga till tillsynsmyndigheten
    Om du anser att vår behandling av dina personuppgifter strider mot GDPR har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY). Se kontaktuppgifter i avsnitt 16.

10. SÅ RADERAR DU DITT KONTO

Du kan radera ditt konto direkt via Plattformen:

  1. Logga in på ditt konto
  2. Gå till Kontoinställningar
  3. Scrolla ner till sektionen "Radera konto"
  4. Klicka på "Radera mitt konto"
  5. Bekräfta genom att skriva "RADERA"

Du kan också begära radering genom att kontakta oss på r*****@techflip.se med ämnesraden "Kontoborttagning".

Ångerperiod: Du har 14 dagar att ångra dig och återaktivera ditt konto innan all data raderas permanent.

Vad som raderas permanent:

  • All personlig information (namn, e-post, adress, telefonnummer)
  • Google-konto-ID och koppling till ditt Google-konto (om du använde social inloggning)
  • Alla annonser och tillhörande bilder
  • Alla chattmeddelanden
  • Alla bud, offerter och betyg
  • Din profilbild
  • Alla push-notifikationsprenumerationer

Vad som INTE raderas (rättslig grund: rättslig förpliktelse, artikel 6.1 c):

  • Anonymiserade granskningsloggar (behövs för plattformssäkerhet)
  • Transaktionsregister som omfattas av bokföringslagen (sparas minst 7 år efter räkenskapsårets slut)
  • Anonymiserad statistik som inte kan kopplas till dig

11. DATASÄKERHET (ARTIKEL 32 GDPR)

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 GDPR. Dessa åtgärder inkluderar:

  • Krypterade lösenord med Argon2id (minneskrävande hashalgoritm med 64 MiB minneskrav — lösenord lagras aldrig i klartext)
  • HTTPS/TLS-kryptering för all datatrafik mellan din webbläsare och våra servrar
  • Strikt HTTP-säkerhetsheaders (HSTS, X-Frame-Options, Content-Security-Policy m.fl.)
  • Omedelbar IP-hashning med SHA-256 vid insamling (pseudonymisering)
  • Rollbaserad åtkomstkontroll och behörighetssystem
  • Skyddade databasservrar inom EU/EES
  • JWT-baserad autentisering med säkra, kortlivade tokens och tokenrotation
  • Tvåfaktorsautentisering (2FA) via TOTP för ökad kontosäkerhet
  • Rate limiting på alla publika endpoints för att förebygga missbruk
  • SvelteKit:s inbyggda skydd mot CSRF-attacker via origin-validering
  • Web Push-kryptering (RFC 8291) för notifikationsinnehåll end-to-end mellan server och webbläsare
  • Dataskydd genom design och dataskydd som standard (artikel 25 GDPR)

Trots dessa säkerhetsåtgärder kan ingen dataöverföring över internet eller elektroniskt lagringssystem garanteras vara 100 % säker. Om du misstänker att ditt konto har blivit komprometterat, kontakta oss omedelbart på r*****@techflip.se.

11.1 Säkerhetsloggning av IP-adresser

När TechFlip upptäcker en misstänkt cyberattack — exempelvis SQL-injektion, cross-site scripting (XSS), brute force-attacker eller automatiserad skrapning — loggas den angripande IP-adressen i krypterad form för att möjliggöra aktivt skydd av plattformen och dess användare.

Rättslig grund

Berättigat intresse enligt artikel 6.1 f GDPR, med uttryckligt stöd i skäl 49 (nät- och informationssäkerhet). En fullständig bedömning av berättigat intresse (Legitimate Interest Assessment) finns dokumenterad internt.

Uppgifter som sparas
  • IP-adress — krypterad med AES-256-GCM. Lagras aldrig i klartext i databasen.
  • Attacktyp — kategorisering av den detekterade säkerhetshändelsen
  • Tidpunkt — när händelsen inträffade
  • User-Agent — webbläsar- eller verktygsidentifiering
  • Sökväg — vilken del av plattformen som attacken riktades mot

Rå-IP-adresser loggas enbart vid detekterade säkerhetshändelser. Vid normal användning av plattformen hashas IP-adresser omedelbart med SHA-256 och den råa adressen lagras inte.

Lagringstid

Säkerhetsincidenter inklusive krypterade rå-IP-adresser raderas automatiskt efter 90 dagar via ett schemalagt jobb.

Åtkomstkontroll

Enbart administratörer med behörigheten admin eller owner kan se dekrypterade IP-adresser. Varje gång en administratör visar en dekrypterad IP-adress loggas denna åtkomst i systemets revisionslogg med information om vem som tittade och vid vilken tidpunkt.

Ändamål
  • Blockera angripande IP-adresser i brandväggen för att stoppa pågående och framtida attacker
  • Skydda plattformens användare och deras personuppgifter mot dataintrång
  • Möjliggöra samarbete med brottsbekämpande myndigheter vid dataintrång enligt 4 kap. 9c § brottsbalken (SFS 1962:700)
  • Korrelera attackmönster och identifiera koordinerade attackkampanjer
Rätt att invända

Du har rätt att invända mot denna behandling enligt artikel 21.1 GDPR. Vi kan dock visa tvingande berättigade skäl för behandlingen, eftersom den syftar till att skydda samtliga användares personuppgifter och är nödvändig för att uppfylla våra säkerhetsskyldigheter enligt artikel 32 GDPR.

12. BARN OCH MINDERÅRIGA

12.1 Ålderskrav för kontoregistrering

Du måste vara minst 18 år (myndig enligt svensk lag) för att skapa ett konto och använda Plattformens tjänster. Detta är ett krav enligt våra allmänna villkor, då handel på Plattformen innebär att ingå rättsligt bindande avtal. Enligt 9 kap. 1 § föräldrabalken (SFS 1949:381) saknar omyndiga rättslig handlingsförmåga att självständigt ingå sådana avtal.

12.2 Besökare under 18 år

Plattformen kan besökas (läsa annonser) av personer som är minst 13 år, men utan rätt att skapa konto, köpa, sälja eller delta i transaktioner. Besökare under 13 år ska inte använda Plattformen alls. Enligt 2 kap. 4 § dataskyddslagen (SFS 2018:218), som implementerar artikel 8 GDPR, är åldersgränsen för giltigt samtycke till informationssamhällets tjänster i Sverige 13 år.

13. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING (ARTIKEL 22 GDPR)

13.1 Nuvarande användning

TechFlip fattar för närvarande INGA beslut som enbart grundas på automatiserad behandling (inklusive profilering) som har rättsliga följder eller på liknande sätt i betydande grad påverkar dig.

13.2 Automatiserade funktioner som inte omfattas av artikel 22

Vi använder viss automatiserad behandling som INTE utgör automatiserat beslutsfattande i GDPR:s mening, eftersom de inte producerar rättsliga eller likvärdigt betydande effekter:

  • Automatisk sortering och filtrering av annonser baserat på dina sökkriterier
  • Automatisk modereringsfiltrering av innehåll som kan strida mot plattformens regler (med mänsklig granskning)
  • Rate limiting för att förhindra missbruk (tillfällig automatisk blockering vid misstänkt missbruk)
  • Automatiska säkerhetsnotifieringar vid misstänkt kontoaktivitet
  • Önskelista-matchning (meddelar dig om nya annonser som matchar dina bevakningskriterier)

14. PERSONUPPGIFTSINCIDENTER (ARTIKLARNA 33–34 GDPR)

Vi tar personuppgiftsincidenter (dataintrång) på största allvar och har etablerat rutiner för hantering i enlighet med artiklarna 33 och 34 GDPR.

14.1 Anmälan till tillsynsmyndigheten (artikel 33)

Vid en personuppgiftsincident som sannolikt leder till risk för fysiska personers rättigheter och friheter anmäler vi incidenten till Integritetsskyddsmyndigheten (IMY) utan onödigt dröjsmål och om möjligt senast 72 timmar efter att vi fått kännedom om incidenten.

14.2 Information till dig som registrerad (artikel 34)

Om en personuppgiftsincident sannolikt leder till hög risk för dina rättigheter och friheter, informerar vi dig utan onödigt dröjsmål med en tydlig och begriplig beskrivning av vad som hänt, vilken data som berörts, vilka konsekvenser incidenten kan ha för dig, och vilka åtgärder vi vidtagit och du själv kan vidta.

14.3 Dokumentation

Vi dokumenterar alla personuppgiftsincidenter, oavsett om de anmäls till IMY eller inte. Denna dokumentation hålls tillgänglig för IMY vid begäran.

15. ÄNDRINGAR AV INTEGRITETSPOLICYN

Vi kan komma att uppdatera denna integritetspolicy för att återspegla ändringar i vår verksamhet, teknik eller tillämplig lagstiftning. Då TechFlip befinner sig i en uppstartsfas kan tjänster och tekniska lösningar förändras. Vid väsentliga ändringar som påverkar hur dina personuppgifter behandlas kommer vi att:

  • Meddela dig via e-post och/eller genom ett tydligt meddelande på Plattformen minst 30 dagar innan ändringarna träder i kraft
  • Tydligt markera vad som ändrats
  • Begära nytt samtycke där det krävs enligt lag
  • Uppdatera datumet "Senast uppdaterad" överst i policyn

Vi rekommenderar att du regelbundet granskar denna policy. Om du inte accepterar ändringarna har du rätt att radera ditt konto.

16. KONTAKTA OSS OCH TILLSYNSMYNDIGHET

Personuppgiftsansvarig

WallinSolutions AB
Org.nr: 559576-2112
E-post: r*****@techflip.se
Webbplats: wallinsolutions.se | Tjänst: techflip.se
Ange ämnesraden "GDPR-förfrågan" vid dataskyddsrelaterade ärenden.
Vi besvarar alla förfrågningar utan onödigt dröjsmål och senast inom en (1) månad.

Tillsynsmyndighet

Du har alltid rätt att vända dig till den svenska tillsynsmyndigheten för dataskyddsfrågor:

Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
Telefon: 08-657 61 00
E-post: imy@imy.se
Webbplats: www.imy.se

SAMMANFATTNING

  • TechFlip drivs av WallinSolutions AB (org.nr 559576-2112)
  • Vi samlar in personuppgifter för att tillhandahålla marknadsplatstjänsten och PC-servicetjänsten, baserat på tydliga rättsliga grunder
  • Du kan logga in med e-post/lösenord eller med ditt Google-konto — vi får då namn, e-post och profilbild från Google
  • Vi använder cookies — nödvändiga cookies kräver inget samtycke, analytiska cookies kräver ditt samtycke
  • Huvuddelen av dina personuppgifter lagras inom EU/EES. Viss data överförs till USA (Google, Expo) med stöd av EU–US Data Privacy Framework eller standardavtalsklausuler
  • Betalningar för PC-servicetjänsten hanteras av Svea Checkout och Swish (svenska bolag)
  • Vi använder inga tredjepartsspårningsverktyg (ingen Google Analytics, ingen Meta Pixel)
  • Push-notifikationer levereras via webbläsarens push-tjänst (Chrome/FCM, Firefox/Mozilla, Safari/APNs) och Expo (mobilapp)
  • Du har full kontroll över dina data enligt GDPR (tillgång, rättelse, radering, portabilitet m.m.)
  • Du kan radera ditt konto när som helst via kontoinställningarna (14 dagars ångerperiod)
  • Vid detekterade cyberattacker loggas angripande IP-adresser krypterat i 90 dagar för brandväggsblockering och brottsbekämpning (berättigat intresse, GDPR skäl 49)
  • Vi fattar inga automatiserade beslut med rättsliga eller betydande effekter för dig
  • Vid personuppgiftsincidenter anmäler vi till IMY inom 72 timmar och informerar berörda användare
  • Du måste vara 18 år för att registrera konto, besökare 13–17 år kan läsa annonser
  • Vi säljer aldrig dina personuppgifter till tredje part
  • Du kan alltid klaga till Integritetsskyddsmyndigheten (IMY) om du är missnöjd med vår behandling
  • TechFlip befinner sig i en uppstartsfas — funktioner och tjänsteleverantörer kan förändras över tid

9. Webshop-specifik behandling

Nytt avsnitt i v2.1 (2026-04-16) — beskriver personuppgiftsbehandling som tillkommer i samband med lansering av TechFlip webshop.

9.1 Beställningsdata

När du lägger en beställning i TechFlip webshop behandlar vi följande uppgifter:

  • Kontaktuppgifter: för- och efternamn, e-postadress, telefonnummer.
  • Leveransadress: gatuadress, postnummer, ort, eventuell uthämtningsplats.
  • Fakturaadress: (endast B2B och vid avvikande från leveransadress).
  • Beställningshistorik: orderinnehåll, produkter, kvantiteter, priser, rabatter.
  • Betalningsdata: Swish-referens, fakturanummer, betaldatum. Vi lagrar inte kortnummer eller PIN-kod — Swish-transaktionen hanteras av Swish/Getswish AB.
  • Accepterade villkorsversioner: per order sparas de exakta versionsnummer du godkänt (t.ex. webshop_terms v1.0, webshop_returns v1.0, privacy v2.1) tillsammans med tidsstämpel, hashad IP-adress och normaliserad User-Agent. Detta är nödvändigt för att dokumentera avtalets innehåll enligt avtalslagen och för fullgörelse av rättslig förpliktelse (GDPR art. 6.1 c, BFL 7:2).

Laglig grund: avtalsuppfyllelse (GDPR art. 6.1 b) samt rättslig förpliktelse (GDPR art. 6.1 c).

Lagringstid: hela beställningsdata (order, orderrader, betalning, terms_acceptances) sparas i åtta (8) år efter räkenskapsårets utgång i enlighet med bokföringslagen (1999:1078) 7 kap 2 §. Vi tillämpar denna längre tid (BFL kräver 7 år + innevarande, vi räknar 8 för säkerhetsmarginal). Därefter raderas eller anonymiseras data.

9.2 Cookies och session-tokens för webshop

Webshopen använder följande cookies/tokens (se även Cookiepolicyn v2.1 för fullständig lista):

  • webshop_cart — HttpOnly, Secure, SameSite=Lax. Lagrar en opak session-token (256-bitars entropi). Livslängd: 14 dagar (förnyas vid aktivitet). Syfte: koppla din varukorg till servern oberoende av inloggning. Nödvändig för drift av webshopen.
  • webshop_consent_v — lagrar versionsnummer på accepterad cookie-policy. Livslängd: 12 månader. Nödvändig.
  • webshop_compare — session-cookie för produktjämförelse. Livslängd: till webbläsaren stängs. Functional (kräver samtycke).

9.3 Personuppgiftsbiträden (webshop-specifika)

Utöver de biträden som listas i avsnitt 4 anlitar vi följande för webshopen:

  • Hetzner Cloud GmbH (Tyskland) — hosting av applikation, databas och Object Storage (produktbilder). Biträdesavtal (DPA) enligt GDPR art. 28.
  • Getswish AB (Sverige) — Swish Handel-betalning. Självständig personuppgiftsansvarig för själva betalningstransaktionen enligt Swish-villkor.
  • PostNord Sverige AB (Sverige) — leverans och utlämning. Självständig personuppgiftsansvarig för transportdata.
  • 46elks AB (Sverige) — SMS-notiser (t.ex. leveransaviseringar). Biträde.
  • Eget SMTP-serverhus — e-postnotiser (orderbekräftelse, leveransbekräftelse m.fl.). Ingen tredjepart — drivs av WallinSolutions AB.

Inga överföringar till tredjeland sker för webshop-data. All infrastruktur är inom EU/EES.

9.4 Automatiserade beslut och profilering

Webshopen tillämpar ingen automatiserad profilering eller automatiserat beslutsfattande enligt GDPR art. 22. Priser är statiska per produkt; rabatter tillämpas endast via generella kampanjkoder; B2B-kreditlimit sätts manuellt av WallinSolutions AB efter individuell prövning.

9.5 Dina rättigheter — särskilt för webshop

Dina rättigheter enligt GDPR (art. 15–22) gäller i full utsträckning också för webshop-data. Vid begäran om radering tillämpas dock följande undantag:

  • Bokföringsdata som omfattas av BFL 7 kap 2 § (order, fakturor, betalningar) behålls tills dess att den lagstadgade arkiveringstiden löpt ut (8 år). Efter detta raderas eller anonymiseras data.
  • Övriga uppgifter (t.ex. kontoinställningar, varukorgs-session, önskelista, kundreview) raderas eller anonymiseras inom fjorton (14) dagar från din begäran genom databasfunktionen webshop_anonymize_user_data().

Begäran ställs skriftligen till r*****@techflip.se eller via inloggat konto under "Mina uppgifter → Radera konto".

9.6 Ändringslogg

  • v2.1 (2026-04-16): nytt kapitel 9 — webshop-specifik behandling, cookies, biträden, arkiveringstid 8 år (BFL).
  • v1.1 (tidigare): se avsnitt 11.1 om säkerhets-IP-loggning.
  • v1.0 (tidigare): grundversion.

Dokumentversion: 2.1 · Gäller från: 2026-04-16 · Utfärdare: WallinSolutions AB

Övriga juridiska dokument:

AnvändarvillkorCookiepolicyServicevillkorServicevillkor Företag

Wir verwenden Cookies, um deine Anmeldung zu sichern und dein Erlebnis zu verbessern. Mehr erfahren in unserer Cookie-Richtlinie.