Vi levererar till hela Europa
Kontakta oss för offert
1.1 Denna integritetspolicy beskriver hur Herbox AB, org.nr 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg (”Herbox”, ”vi”, ”oss”) värnar om skyddet av personuppgifter i all vår verksamhet.
1.2 Syftet är att säkerställa att all behandling sker lagligt, korrekt och öppet enligt GDPR och svensk lagstiftning, samt att skapa förtroende hos kunder, användare och samarbetspartners genom transparens och tydlighet kring hur vi samlar in, använder, lagrar och skyddar personuppgifter.
1.3 Herbox arbetar systematiskt med integritetsskydd genom riskanalyser, interna rutiner, tekniska säkerhetsåtgärder och utbildning. Vi strävar alltid efter dataminimering och bevarar personuppgifter endast så länge det behövs för respektive ändamål.
| Begrepp | Betydelse |
|---|---|
| Cookie |
Små textfiler som lagras i webbläsaren för att möjliggöra funktioner, statistik och marknadsföring. Hanteras enligt Herbox separata Cookiepolicy. |
| Personuppgift |
All information som direkt eller indirekt kan identifiera en fysisk person, t.ex. namn, e-post, IP-adress, kundnummer. |
| Behandling |
Varje åtgärd som utförs på personuppgifter, såsom insamling, lagring, analys, delning eller radering, manuellt eller automatiserat. |
| Personuppgiftsansvarig |
Den som bestämmer syfte och medel för behandlingen. Vanligen Herbox AB. |
| Personuppgiftsbiträde |
Extern part som behandlar uppgifter för Herbox räkning enligt biträdesavtal (DPA). |
| Rättslig grund |
Juridisk förutsättning enligt art. 6 GDPR (samtycke, avtal, rättslig förpliktelse eller berättigat intresse). |
| Berättigat intresse |
När Herbox har ett legitimt affärsintresse, t.ex. kundkommunikation eller IT-säkerhet, som väger tyngre än integritetsintresset. Vid behandling som grundas på berättigat intresse gör Herbox en intresseavvägning (LIA) som dokumenteras och uppdateras vid behov. |
| Känsliga personuppgifter |
Särskilda kategorier (hälsa, etnicitet, politiska åsikter m.m.) behandlas endast i undantagsfall. Herbox tjänster riktar sig heller inte till barn och vi samlar inte medvetet in personuppgifter från minderåriga utan vårdnadshavares samtycke. |
| Registrerad |
Den person vars uppgifter behandlas (kund, användare, anställd, leverantör etc.). |
| SCC / DPF |
EU:s Standard Contractual Clauses och EU-US Data Privacy Framework, båda mekanismer för skydd vid tredjelandsöverföring. |
Dataskyddsansvarig (DPO)
Herbox AB
Att: Dataskyddsansvarig
E-post: info@herbox.se
Adress: Sven Hultings Plats 5, 412 58 Göteborg
Kontakt kan också tas enligt följande:
| Ärende | Kontakt | Kommentar |
|---|---|---|
| Allmänna frågor |
info@herbox.se |
Vi bekräftar inom 2 arbetsdagar och svarar normalt inom 30 dagar. |
| GDPR-begäran |
info@herbox.se |
Vi kan begära identifiering (BankID eller ID-kopia). |
| Incidentrapportering |
info@herbox.se |
Återkoppling inom 24 timmar |
| Tillsynsmyndighet |
Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm |
Ytterligare info på www.imy.se |
4.1 Vid besök på vår webbplats
| När och varför | Personuppgifter | Rättslig grund | Lagringstid |
|---|---|---|---|
| Leverera webbplatsen |
IP‑adress, tekniska loggar |
Berättigat intresse (nödvändig drift) |
2 månader |
| Statistik och analys (Microsoft Clarity) |
IP (trunkerad), händelser, cookie‑ID |
Samtycke (ePrivacy) |
90 dagar |
| Annons‑ och plattformspixlar |
Hashad e‑post, enhets‑/cookie‑ID |
Samtycke / berättigat intresse (kunder) |
Upp till 24 månader |
4.2 Vid kontakt med befintliga och potentiella kunder
| När och varför | Personuppgifter | Rättslig grund | Lagringstid |
|---|---|---|---|
| Kundrelation och support |
Namn, e-post, avtal, kommunikation |
Avtal / berättigat intresse |
Upp till 10 år (bokföring 7 år) |
| Marknadsföring till kunder |
Kontaktuppgifter, interaktionsdata |
Berättigat intresse (opt-out) |
Tills opt-out eller 36 mån inaktivitet |
| Prospektmarknadsföring |
Kontakt, yrkesroll, interaktioner |
Samtycke (e-post) / berättigat intresse |
36 månader |
4.3 Automatisering och AI‑stöd
| När och varför | Personuppgifter | Rättslig grund | Lagringstid |
|---|---|---|---|
| Automatisering av arbetsflöden |
Minimerade fält beroende på Zapier |
Berättigat intresse |
Kortvarig lagring i Zapier |
| AI‑utkast för e‑post (OpenAI) |
Begränsade e‑postutdrag |
Berättigat intresse |
Endast process, ingen varaktig lokal lagring |
4.4 I samband med rekrytering, anställning och HR-administration
| När och varför | Personuppgifter | Rättslig grund | Lagringstid |
|---|---|---|---|
| Mottagning och bedömning av ansökningar |
CV, kontaktuppgifter, noteringar |
Berättigat intresse (rekrytering) + samtycke för längre lagring |
24 månader (längre med samtycke) |
| Referenstagning och bakgrundskontroll |
Kontaktuppgifter till referenser, anteckningar från referenssamtal, |
Samtycke (från kandidaten innan kontakt tas) + berättigat intresse att säkerställa korrekt rekrytering |
24 månader efter avslutad rekryteringsprocess (eller längre med |
| Vid anställning och HR-administration |
Kontaktuppgifter, lön, frånvaro, kompetensdata, och uppgifter om anhöriga |
Behandling sker för att fullgöra anställningsavtal, rättsliga skyldigheter (t.ex. skatte- och arbetsrätt), samt Herbox berättigade intresse att administrera HR- |
Under anställningen och därefter 2–10 år |
4.5 Vid fullgörande av rättsliga skyldigheter och för att tillvarata rättsliga intressen
| Rättslig skyldighet | Exempel på berörda uppgifter | Tillämplig lag / regelverk | Lagringstid |
|---|---|---|---|
| Bokföring och redovisning |
Kund- och leverantörsfakturor, |
Bokföringslagen (1999:1078) |
7 år efter räkenskapsårets slut |
| Preskription av fordran / tvist |
Avtalsunderlag, kommunikation, |
Preskriptionslagen (1981:130) |
Upp till 10 år |
| Skatte- och avgiftsrapportering |
Löneunderlag, fakturor, utbetalningar |
Skatteförfarandelagen (2011:1244) |
7 år |
| Rättsliga anspråk och myndighetsärenden |
Korrenspondens, utredningsmaterial |
GDPR art. 17.3 e (försvar av rättsliga anspråk) |
Tills ärendet avslutats |
| Anställningsdokumentation |
Anställningsavtal, löne- och |
Arbetsrättslig lagstiftning |
2-10 år beroende på dokumenttyp |
Herbox för också ett register över samtliga behandlingar enligt artikel 30 GDPR som uppdateras av DPO.
| Personuppgiftsbiträde / Mottagare | Kategori | Personuppgifter som behandlas | Roll | Särskilda skyddsåtgärder |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM och marknadsföring |
Namn, e-post, kommunikationshistorik, preferenser |
Personuppgiftsbiträde |
Kryptering, åtkomstbegränsning, DPA |
| Google Workspace |
E-post och produktivitet |
Namn, e-post, dokument, filer, metadata |
Personuppgiftsbiträde |
DPF-certifiering, MFA, dataminimering |
| Zapier |
Automatisering |
Begränsade datafält för systemintegration |
Personuppgiftsbiträde |
Kryptering vid överföring, SCC |
| OpenAI |
AI-analys och automatiserat stöd |
Kortare textutdrag (minimerade) |
Personuppgiftsbiträde |
DPF-certifiering, spärr mot modellträning |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity m.fl. |
Annonsering och mätning |
Hashad e-post, cookie-ID, IP- adress, enhetsdata |
Självständigt ansvariga |
Samtyckesstyrning via GTM, DPF/SCC |
| TeamTailor |
Rekrytering |
Namn, kontaktuppgifter, CV, intervjunoteringar |
Personuppgiftsbiträde |
DPA, dataminimering, automatisk gallring |
| Redovisningsbyrå, revisor, frakt- och servicepartners |
Ekonomi och leverans |
Namn, adress, betalningsuppgifter, fakturaunderlag |
Biträden / självständigt ansvariga |
Sekretessavtal, krypterad kommunikation, lagstadgad gallring |
| Område | Typ av uppgift / behandling | Tekniska och organisatoriska skyddsåtgärder | Lagringstid / gallringsfrist |
|---|---|---|---|
| Teknisk säkerhet |
Systemdata, åtkomstloggar, |
Kryptering vid överföring och lagring, rollstyrd åtkomst, |
Loggar 12 mån, backuper enligt IT-policy (max 12 mån) |
| Organisatorisk säkerhet |
Alla personuppgifter |
Sekretessavtal, löpande utbildning, incidentprocess, årlig kontroll av rutiner |
Kontinuerligt under anställning / uppdrag |
| Incidenthantering |
Uppgifter som ingår i incidentrapporter |
DPO-övervakad process, intern loggning, anmälan till IMY inom 72 timmar vid risk för individers rättigheter, information till berörda registrerade enligt art. 33–34 GDPR |
Dokumentation sparas 5 år efter avslutat ärende |
| CRM och kunddata |
Korrenspondens, utredningsmaterial |
GDPR art. 17.3 e (försvar av rättsliga anspråk) |
Tills ärendet avslutats |
| Anställningsdokumentation |
Anställningsavtal, löne- och |
Arbetsrättslig lagstiftning |
2-10 år beroende på dokumenttyp |
Herbox behandlar huvudsakligen personuppgifter inom EU/EES. Vissa leverantörer använder dock infrastruktur eller support i USA. Alla överföringar sker enligt kapitel V GDPR och efter TIA-bedömning.
| Kategori / Leverantör | Typ av personuppgifter | Behandlingsplats (huvudsaklig) | Överföringsmekanism |
|---|---|---|---|
| Google Workspace |
Namn, e-post, dokument, metadata |
USA (DPF-certifierat) |
EU-US Data Privacy Framework (DPF) |
| Microsoft Clarity / Microsoft Ads |
IP-adress (trunkerad), cookie-ID, analysdata |
USA (DPF-certifierat) |
EU-US Data Privacy Framework (DPF) |
| OpenAI (API/Team) |
Kortare textutdrag (minimerade) |
USA (DPF-certifierat) |
EU-US Data Privacy Framework (DPF) |
| Zapier Inc. |
Begränsade datafält för |
USA (ej DPF-certifierat) |
Standardavtalsklausuler (SCC) + kompletterande åtgärder |
| Mailchimp (Intuit Inc.) |
Namn, e-postadress, interaktionsdata |
USA (DPF-certifierat) |
EU-US Data Privacy Framework (DPF) |
| Rättighet | Artikel | Betydelse | Hur du utövar rättigheten |
|---|---|---|---|
| Tillgång |
Art. 15 |
Få kopia av personuppgifter och |
Begär via info@herbox.se. |
| Rättelse |
Art. 16 |
Korrigera felaktiga eller ofullständiga uppgifter. |
Kontakta oss via e‑post eller telefon. |
| Radering (”bli bortglömd”) |
Art. 17 |
Radering när uppgifterna inte längre behövs eller när samtycke återkallas. |
Mejla info@herbox.se. |
| Begränsning |
Art. 18 |
Tillfälligt stoppa behandling vid tvist om riktighet eller laglighet. |
Märk e‑posten ”Begränsning”. |
| Dataportabilitet |
Art. 20 |
Få data i strukturerat format eller överföra till annan aktör. |
Begär export (CSV/JSON). |
| Invändning |
Art. 21 |
Invänd mot berättigat intresse eller direktmarknadsföring. |
Använd opt‑out‑länkar eller kontakta oss. |
| Återkalla samtycke |
Art. 7.3 |
Dra tillbaka samtycke utan att det påverkar tidigare behandling. |
Via cookie‑banner eller e‑post. |
| Automatiserade beslut |
Art. 22 |
Begär manuell granskning av beslut med rättsverkan. |
Mejla info@herbox.se. |
9.1 Herbox ser över denna integritetspolicy minst en gång per år eller vid behov, till exempel om:
a) Ny eller ändrad lagstiftning träder i kraft,
b) Verksamheten förändras på ett sätt som påverkar personuppgiftsbehandlingen,
c) Nya system, leverantörer eller behandlingar införs, eller
d) Integritetsskyddsmyndigheten (IMY) eller EU-myndigheter utfärdar nya riktlinjer eller beslut.
9.2 Granskningen utförs av Herbox dataskyddsansvarige (DPO) i samråd med ledningen och relevanta systemägare. DPO ansvarar för att identifiera behov av uppdatering, dokumentera ändringar samt säkerställa att nya versioner följer gällande rätt och Herbox interna informationssäkerhetspolicy.
9.3 När väsentliga förändringar görs informerar vi:
a) Internt till alla medarbetare via e-post och/eller intranät, och
b) Externt till kunder, samarbetspartners och registrerade via vår webbplats (herbox.se) och, om det är relevant, via direktutskick.
9.4 Varje ny version får ett revisionsdatum och en versionsbeteckning, och den tidigare versionen arkiveras i enlighet med Herbox dokumenthanteringsrutiner.
9.5 Den gällande versionen finns alltid publicerad på www.herbox.se.
Senast uppdaterad: 28 oktober 2025
