GDPR

GDPR (Dataskyddsförordningen, EU 2016/679) reglerar hur personuppgifter får behandlas inom EU. Det gäller för all verksamhet, inklusive bokföring — och kräver att företag både följer reglerna för sina egna behandlingar och förstår sitt ansvar gentemot personer vars data behandlas.

I Redofy-kontext är tre roller viktiga: du (personuppgiftsansvarig), Redofy (personuppgiftsbiträde), den registrerade (personer vars uppgifter behandlas).

Roller

Personuppgiftsansvarig — du

Du är personuppgiftsansvarig för de data du lägger in i Redofy:

• Kundernas namn, organisationsnummer, personnummer (ROT/RUT).
• Leverantörernas kontaktuppgifter.
• Anställdas löner och skatteinformation.
• Dina egna användaruppgifter.

Det innebär att du:

• Ska ha laglig grund för varje typ av behandling.
• Ska informera de registrerade om att deras uppgifter behandlas.
• Ska svara på förfrågningar från registrerade (utlämning, rättelse, radering).
• Ska anmäla incidenter till IMY inom 72 timmar.
• Ska dokumentera behandlingarna i en registerförteckning.

Personuppgiftsbiträde — Redofy

Redofy är biträde åt dig — vi behandlar uppgifterna på dina vägnar och enligt dina instruktioner:

• Följer PUB-avtalet som du signerar när du registrerar dig.
• Lagrar data säkert enligt standardkrav.
• Informerar dig om incidenter utan oskäligt dröjsmål.
• Tillhandahåller verktyg för dig att uppfylla dina GDPR-förpliktelser.

Vi fattar inte självständiga beslut om din data — vi är en förvaltare, inte en ägare.

Den registrerade

Personer vars uppgifter behandlas. De har rättigheter:

• Rätt till insyn — få veta vilka uppgifter som behandlas.
• Rätt till rättelse — få felaktiga uppgifter rättade.
• Rätt till radering (rätten att bli glömd) — få uppgifter raderade i vissa fall.
• Rätt till begränsning av behandling.
• Rätt till dataportabilitet — få uppgifter i strukturerat format.
• Rätt att invända mot behandling.
• Rätt till information om profilering och automatiserat beslutsfattande.

Laglig grund för behandling

Varje behandling måste ha en laglig grund. I bokföringskontext är de vanligaste:

• Avtal (art 6.1.b) — du har ett avtal med kunden eller leverantören.
• Rättslig förpliktelse (art 6.1.c) — BFL och andra lagar kräver att du bokför.
• Berättigat intresse (art 6.1.f) — ditt företags legitima intresse av att driva verksamhet.
• Samtycke (art 6.1.a) — bara om annan grund inte passar. Samtycke kan alltid återkallas.

För känsliga uppgifter (hälsodata, etnisk ursprung, fackföreningstillhörighet, m.fl.) gäller strängare regler. I bokföringen är lönehantering ett område som ofta berör känslig data.

Personuppgifter i bokföring

Typiska personuppgifter som hanteras:

Kunder

• Företagskunder — kontaktpersonens namn, e-post, telefon. Grunden är ofta “berättigat intresse”.
• Privatkunder (ROT/RUT) — namn, personnummer, adress, telefon. Grunden är “rättslig förpliktelse” (SKV kräver personnumret).

Leverantörer

• Kontaktpersoner — namn, e-post. Grunden är avtal eller berättigat intresse.

Anställda

• Löneinformation — namn, personnummer, lön, skatt, sociala avgifter. Grunden är avtal + rättslig förpliktelse.
• Kontonummer för löneutbetalning. Grunden är avtal.
• Eventuella förmåner — bil, bostad, sjukvård.

Användare av Redofy

• Inloggningsuppgifter — namn, e-post, telefon.
• Behörigheter — vilka företag, vilka roller.
• Sessionsloggar — IP, webbläsare.

PUB-avtalet

PUB = Personuppgiftsbiträdesavtal. Reglerar relationen mellan dig (personuppgiftsansvarig) och Redofy (biträde):

• Syfte — behandling av personuppgifter för bokföringsändamål.
• Kategorier av personuppgifter — vad som behandlas.
• Kategorier av registrerade — vem.
• Säkerhetsåtgärder — vad Redofy gör för att skydda data.
• Underbiträden — vilka andra företag Redofy använder (R2, Stripe, Anthropic).
• Varaktighet — så länge abonnemanget är aktivt + retention enligt BFL.

PUB-avtalet accepteras när du registrerar dig och finns tillgängligt som PDF i Inställningar → Compliance.

Underbiträden

Redofy använder följande underbiträden:

• Cloudflare R2 — dokumentlagring. EU-region.
• Anthropic — AI-modellanrop. EU-region. Inget data lagras långsiktigt.
• Stripe — betalningshantering. EU-region. Bara betalningsrelaterad data.
• SKV och Bolagsverket — myndighetskommunikation. Svensk jurisdiktion.
• Tink och Nordigen — bankkopplingar. Bara bankdata, inte annan PII.

Alla underbiträden har egen DPA med Redofy och är bundna av samma GDPR-krav som vi.

DPIA — dataskyddsfolder

Data Protection Impact Assessment (DPIA) är en obligatorisk konsekvensanalys för behandlingar som kan innebära hög risk:

• Behandling av stora mängder personuppgifter.
• Automatiserat beslutsfattande med rättsliga följder.
• Regelbunden övervakning av individer.

Redofy har gjort DPIA för sin AI-användning eftersom automatiserade beslut om bokföring (även om mänsklig godkännande krävs) kan påverka företagets ekonomi. DPIA:n finns som dokument i Compliance-fliken.

Din DPIA-skyldighet: om du behandlar personuppgifter för speciella ändamål (t.ex. marknadsföringsprofilering, anställd-övervakning) måste du göra din egen DPIA. Redofy hjälper inte med detta — det är din egen bedömning.

Artikel 22 — automatiserat beslutsfattande

“Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling…”

Redofys position: Agenterna fattar inga slutliga beslut om registrerade — de föreslår, du godkänner. Den principiella “agenten föreslår, du bokför”-regeln är direkt motivaiton från Artikel 22.

Specifikt:

• Bankagentens klassificering är förslag, ingen slutlig bokföring.
• Kvittoagentens OCR är förslag, du granskar.
• Skattagentens deklarationsutkast signeras av firmatecknaren.
• Revisoragentens flaggor är rekommendationer, inte beslut.

Ingen registrerad (kund, leverantör, anställd) blir direkt beslutad om av AI:n. Eventuella indirekta effekter (t.ex. att en leverantör blir kategoriserad på ett visst sätt) är alltid mänskligt godkända.

Rätten att bli glömd

En registrerad kan begära att få sina uppgifter raderade. Men rätten är inte absolut:

• BFL kräver 7 års arkivering. Denna går före GDPR för bokföringsrelaterad data.
• Efter 7 år kan radering ske enligt GDPR.
• Icke-bokföringsrelaterad data (t.ex. marknadsföringslistor) kan raderas direkt.

Redofys process:

1. Begäran tas emot (du som ägare hanterar den).
2. Du identifierar vilka data som omfattas.
3. Data under BFL-retention pseudonymiseras men raderas inte fysiskt.
4. Övrig data raderas inom 30 dagar.
5. Loggen dokumenterar raderingen.

Caution

Att radera för tidigt kan bryta mot BFL. Att radera för sent kan bryta mot GDPR. Balans är nyckeln — BFL:s 7-årsperiod är allmänt accepterad som tillräcklig lag för att skjuta upp GDPR-radering.

Incidenthantering

Om dina eller Redofys system drabbas av en personuppgiftsincident:

1. 72 timmar — anmäl till IMY om incidenten innebär risk för den registrerade.
2. Snarast möjligt — informera de registrerade om incidenten är av hög risk.
3. Dokumentera — registrera incidenten, orsak, åtgärd.

Redofy:

• Informerar dig inom 24 timmar vid en incident som påverkar din data.
• Tillhandahåller all teknisk information du behöver för din IMY-anmälan.
• Tar hand om incidenter på infrastruktursidan som inte rör specifik kund.

IMY-registret

Du ska föra en registerförteckning över dina behandlingar (GDPR art 30):

• Vilken typ av personuppgifter behandlas.
• För vilka ändamål.
• Med vilken laglig grund.
• Vilka kategorier av mottagare.
• Hur länge data sparas.

Redofy hjälper dig bygga denna via Inställningar → Compliance → Registerförteckning med förifyllda fält för de behandlingar som Redofy involverar.

Rätten till dataportabilitet

En registrerad kan begära att få sina uppgifter i strukturerat, maskinläsbart format. För de flesta bokföringsrelaterade data är detta enkelt:

• Transaktionshistorik för en kund — exporteras som CSV eller JSON.
• Lönehistorik för en anställd — samma.
• Kvitton och fakturor — som ZIP av PDF-filer.

Redofy har inbyggd export för dessa ändamål. Hittar du inte rätt exportvariant kontakta supporten.

Rätten till insyn

En registrerad kan fråga “Vilka uppgifter om mig har ni?” och du är skyldig att svara inom 1 månad.

Redofy har en GDPR-rapportgenerator som letar upp alla förekomster av en specifik person (via personnummer eller namn) i din data och sammanställer det som rapport. Den finns under Inställningar → Compliance → GDPR-rapport.

Säkerhetsåtgärder

Redofy implementerar lämpliga tekniska och organisatoriska åtgärder enligt GDPR art 32:

• Kryptering i vila och transport.
• Access control via RBAC.
• Audit logs enligt Behandlingshistorik-sidan.
• Backups geo-redundant.
• Säkerhetsgranskningar regelbundna pentests.
• Personalens tillgång till data begränsad till behov.

Dessa åtgärder beskrivs i PUB-avtalet och uppdateras löpande.

Överföringar utanför EU

Redofy strävar efter att hålla all data inom EU. Några undantag:

• Anthropic (AI-modeller) — europeisk processing via Anthropic EU.
• Cloudflare — EU-region men har global infrastruktur. EU-regionen ger rättsligt skydd.
• Stripe — EU Sweden processing.

Vid överföring utanför EU tillämpas standardavtalsklausuler (SCC) eller andra GDPR-godkända mekanismer.

Ansvarsfrågan vid tvist

Om GDPR-tillsyn (IMY) riktar kritik:

• Du är primärt ansvarig — du är personuppgiftsansvarig.
• Redofy är ansvarig om bristen ligger hos Redofy:s behandling (t.ex. säkerhetsbrist i plattformen).
• Regressrätt — du kan i vissa fall rikta skadeståndsanspråk mot Redofy om bristerna är Redofys ansvar enligt PUB-avtalet.

I praktiken är GDPR-bedömningar ofta samarbete mellan ansvarig och biträde. Redofy är tillgängliga för att stödja dig vid en tillsyn.