INTEGRITETSPOLICY
Aourly AB | Senast uppdaterad: 2026-03-17
1. Personuppgiftsansvarig
| Personuppgiftsansvarig | Aourly AB |
| Organisationsnummer | 559515-8774 |
| Adress | Frejgatan 4 bv, 114 20 Stockholm |
| Dataskyddsombud (DPO) | Tommie Lagerroos, CTO |
| Kontakt DPO | support@aourly.com |
Aourly AB (”Aourly”, ”vi”, ”oss”) driver plattformen Aourly för tidsrapportering, utläggshantering, fakturering och ekonomisk administration riktad till konsulter och konsultbolag. Denna integritetspolicy beskriver hur vi samlar in, använder, lagrar och skyddar dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR, förordning 2016/679) och kompletterande svensk lagstiftning, inklusive Dataskyddslagen (2018:218).
2. Roller: Personuppgiftsansvarig och Personuppgiftsbiträde
Ansvaret för dina personuppgifter varierar beroende på din relation till Aourly:
Aourly som Personuppgiftsansvarig (PA): Vi är personuppgiftsansvariga när vi bestämmer syftet med behandlingen. Detta gäller exempelvis:
- När du registrerar dig som Solo-konsult och använder Aourly för din egen verksamhet.
- När vi behandlar dina uppgifter för fakturering, betalning, kundservice eller marknadsföring av våra tjänster.
- När vi samlar in webbplatsstatistik via Google Analytics (med ditt samtycke).
- När vi hanterar din kontoinformation och autentisering.
Aourly som Personuppgiftsbiträde (PB): Vi agerar som personuppgiftsbiträde när vi behandlar personuppgifter på uppdrag av våra kunder (konsultbolagen). Konsultbolaget är då personuppgiftsansvarig och ansvarar för att ha laglig grund för behandlingen av sina konsulters data. Vi behandlar denna data enligt instruktioner i vårt Personuppgiftsbiträdesavtal (PUB-avtal) med konsultbolaget.
3. Personuppgifter vi behandlar
3.1 Kontoinformation
- För- och efternamn, e-postadress, födelsedatum
- Lösenord (lagras i hashad form, aldrig i klartext)
- Onboarding-data (genomförda steg vid registrering)
3.2 Svensk identitetsdata
- Personnummer, insamlat via BankID-autentisering
- Uppgifterna lagras med mjuk radering för spårbarhet
3.3 Företagsuppgifter
- Företagsnamn, organisationsnummer, momsregistreringsnummer
- E-postadress, telefonnummer
- Adress, postnummer, stad, landskod
- Företagslogotyp
3.4 Klient- och kunddata
- Kontaktuppgifter: namn, e-postadress, faktura-e-post, telefonnummer
- Företagsuppgifter: organisationsnummer, kundnummer, momsregistreringsnummer
- Adress, postnummer, stad, landskod
- Kontaktperson
3.5 CV-data
- Titel, sammanfattning
- Arbetslivserfarenhet (titel, företag, start-/slutdatum)
- Utbildning (skola, studieområde, datum)
- Kompetenser, språk, platser
3.6 Bankkontouppgifter
- IBAN, BIC, bankgiro, Swish-nummer (företagsnivå)
- Kontonummer och clearingnummer (krypterade, för Worknode-användare)
3.7 Tidsrapportering och utlägg
- Tidsposter med timmar, timkostnad, kommentarer och godkännanden
- Utlägg med kategori, belopp och deltagare
- Kvitton (filuppladdning med metadata: filnamn, storlek, MIME-typ)
3.8 Fakturering och bokföring
- Fakturor, betalningar, bokföringsverifikationer
- Betalningsvillkor och faktureringshistorik
- SIE4-exportdata
3.9 Mobila enheter
- Enhets-ID (genererat unikt per enhet)
- Push-tokens (Firebase Cloud Messaging och Expo)
- Enhetsinformation (plattform, version, modell)
- Tidsstämpel för senaste aktivitet
3.10 Notifikationspreferenser
- Notifikationsinställningar per användare och företag
- Tidsstämplar för aktivering och avaktivering samt metod
- Registrering av vem som ändrade inställningen
3.11 Aktivitets- och granskningsdata
- Aktivitetsloggar som registrerar ändringar av klient-, uppdrags-, utläggs- och notifikationsdata (vem som ändrade vad och när)
3.12 Autentiseringsdata
- Sessionscookies och tokens
- BankID-autentiseringsdata
- API-tokens (Sanctum) för mobilappen
- Engångskoder för mobil inloggning
3.13 Företagsdokument
- Ansvarsförsäkring och allmänna villkor (PDF-uppladdningar)
- Dokumentmetadata: filnamn, storlek, MIME-typ, aktiveringsstatus
4. Rättslig grund för behandling
Vi behandlar dina personuppgifter baserat på följande rättsliga grunder enligt GDPR artikel 6.1:
| Behandling | Rättslig grund | GDPR-artikel |
|---|---|---|
| Kontoskapande och plattformsdrift | Nödvändigt för fullgörande av avtal | Art. 6.1(b) |
| BankID-identitetsverifiering | Avtal + Berättigat intresse | Art. 6.1(b), 6.1(f) |
| Personnummer (BankID) | Nödvändigt för entydig identifiering | Art. 87 + Dataskyddslagen 3 kap. 10 § |
| Tidsrapportering, utlägg, fakturering | Nödvändigt för fullgörande av avtal | Art. 6.1(b) |
| Betalningshantering (Stripe) | Nödvändigt för fullgörande av avtal | Art. 6.1(b) |
| Företags-/identitetsverifiering (Roaring) | Nödvändigt för fullgörande av avtal | Art. 6.1(b) |
| Bokföring och ekonomisk data | Rättslig förpliktelse (Bokföringslagen) | Art. 6.1(c) |
| Open banking (Enable Banking) | Nödvändigt för fullgörande av avtal | Art. 6.1(b) |
| CV-parsning med AI (OpenAI) | Samtycke | Art. 6.1(a) |
| Push-notifikationer (Firebase/Expo) | Samtycke | Art. 6.1(a) |
| Webbanalys (Google Analytics) | Samtycke (via cookie-samtycke) | Art. 6.1(a) |
| Felspårning och diagnostik (Sentry) | Berättigat intresse | Art. 6.1(f) |
| Aktivitets- och granskningsloggar | Berättigat intresse (säkerhet och ansvarsskyldighet) | Art. 6.1(f) |
| Systemsäkerhetskopior | Berättigat intresse | Art. 6.1(f) |
Där vi stödjer oss på berättigat intresse (art. 6.1(f)) har vi genomfört intresseavvägningar för att säkerställa att våra intressen inte åsidosätter dina grundläggande rättigheter och friheter. Du kan begära information om dessa bedömningar genom att kontakta vårt dataskyddsombud.
5. Tredjepartsleverantörer (underbiträden)
Vi använder följande tredjepartsleverantörer (personuppgiftsbiträden) för att driva plattformen. Samtliga biträden är bundna av personuppgiftsbiträdesavtal i enlighet med GDPR artikel 28.
| Biträde | Ändamål | Land/Region | Skyddsåtgärd vid överföring |
|---|---|---|---|
| Finansiell ID-Teknik BID AB (BankID) | Digital identitetsautentisering | Sverige | Ej tillämpligt (EU/EES) |
| Fortnox AB | Bokföring och ekonomiintegration | Sverige | Ej tillämpligt (EU/EES) |
| Visma eAccounting (Spiris) | Bokföring och ekonomiintegration | Sverige | Ej tillämpligt (EU/EES) |
| Roaring | Företags- och identitetsverifiering | Sverige | Ej tillämpligt (EU/EES) |
| Enable Banking | Open banking, kontoaggregering | EU | Ej tillämpligt (EU/EES) |
| Stripe | Betalningshantering och prenumerationer | USA | EU-US Data Privacy Framework / SCC |
| Brevo (Sendinblue) | Transaktionell e-postleverans | Frankrike (EU) | Ej tillämpligt (EU/EES) |
| Google LLC (Firebase/FCM) | Push-notifikationer till mobilenheter | USA/EU | EU-US Data Privacy Framework / SCC |
| Google LLC (Google Analytics) | Webbanalys (kräver samtycke) | USA/EU | EU-US Data Privacy Framework / SCC |
| Functional Software Inc. (Sentry) | Felspårning och diagnostik (EU-datacenter, ingen PII som standard) | USA (EU datacenter) | EU-US Data Privacy Framework / SCC + EU data residency |
| OpenAI | AI-driven CV-parsning | USA | SCC / DPA |
| Amazon Web Services (S3) | Säkerhetskopior (krypterade) | EU-region | Ej tillämpligt (EU-region) |
Vid överföring av personuppgifter till länder utanför EU/EES (främst USA) stödjer vi oss på EU-US Data Privacy Framework och/eller standardavtalsklausuler (SCC) antagna av Europeiska kommissionen, i enlighet med GDPR artiklarna 44–49.
6. Cookies och sessionsdata
6.1 Cookies
Aourly använder nödvändiga cookies samt statistikcookies som kräver samtycke.
| Cookie | Ändamål | Typ | Varaktighet |
|---|---|---|---|
aourly_session | Sessionshantering | Nödvändig, HttpOnly, Secure, SameSite=lax | 120 minuter |
XSRF-TOKEN | CSRF-skydd | Nödvändig | Session |
cookie_consent | Lagrar cookie-samtyckesinställningar (JSON) | Nödvändig | 90 dagar |
_ga | Google Analytics — särskiljer användare | Statistik (kräver samtycke) | 2 år |
_gid | Google Analytics — särskiljer användare | Statistik (kräver samtycke) | 24 timmar |
Sessionsdata lagras i databasen (inte i cookien). Cookie-samtycke hanteras via en banner med möjlighet att acceptera alla, neka alla eller hantera inställningar per tjänst.
6.2 Lokal datalagring i mobilappen
Aourlys mobilapp (React Native/Expo) lagrar följande data lokalt på din enhet via krypterad lagring (expo-secure-store):
| Lagringsmekanism | Data | Ändamål |
|---|---|---|
| expo-secure-store | aourly_device_id | Enhetsidentifiering |
| expo-secure-store | mobile_api_token, mobile_api_token_expiry | Autentisering |
Denna data finns kvar på din enhet och delas inte med tredje part. Den rensas när du loggar ut.
7. Lagringstider
Vi behåller personuppgifter bara så länge det är nödvändigt för de ändamål de samlades in, eller så länge lagen kräver:
| Datakategori | Lagringstid | Grund |
|---|---|---|
| Kontoinformation | Så länge kontot är aktivt + 30 dagar efter avslut | Avtal |
| Personnummer (BankID) | Raderas vid kontoborttagning (mjuk radering) | Dataskyddslagen |
| Bokföringsmaterial (fakturor, verifikationer, SIE4-export) | 7 år plus innevarande kalenderår | Bokföringslagen (7 kap. 2 §) |
| CV-data | Tills användaren raderar | Samtycke |
| Bankkontouppgifter | Så länge kontot är aktivt, raderas vid avslut | Avtal |
| Aktivitets-/granskningsloggar | 2 år | Berättigat intresse |
| Användarsessioner | 120 minuters inaktivitet | Sessionshantering |
| Cookie-samtycke | 90 dagar | Nödvändigt |
| Säkerhetskopior (korttid) | Enligt backup-schema | Berättigat intresse |
| Säkerhetskopior (långtid) | Enligt backup-schema | Berättigat intresse |
Efter att lagringstiden löpt ut raderas eller anonymiseras uppgifterna. Vissa uppgifter kan behållas i anonymiserad form för statistiska ändamål.
8. Mobilappen
Aourlys mobilapp är en React Native/Expo-applikation som primärt fungerar som en WebView-wrapper för webbplattformen.
Data som samlas in av mobilappen:
- Enhets-ID (genererat lokalt, lagras krypterat på enheten)
- Push-notifikationstokens (Firebase Cloud Messaging) — överförs till servern vid registrering
- Enhetsinformation (plattform, modell, version) — skickas vid push-tokenregistrering
Felspårning:
- Sentry används för kraschrapportering med EU-datacenter (ingest.de.sentry.io)
- Ingen personligt identifierbar information (PII) skickas som standard
- Sessionsinspelning med maskering av bilder och synlig text (för felsökning)
- Prestationsövervakning med 10 % sampling i produktion
Enhetsbehörigheter:
| Behörighet | Ändamål |
|---|---|
| Push-notifikationer | Ta emot aviseringar om projektuppdateringar, godkännanden och meddelanden |
Mobilappen begär inte åtkomst till kamera, mikrofon, GPS eller kontakter. Du kan återkalla push-notifikationsbehörigheten via enhetens inställningar.
9. Dina rättigheter som registrerad
Enligt GDPR artiklarna 15–22 har du följande rättigheter avseende dina personuppgifter:
9.1 Rätt till tillgång (art. 15)
Du har rätt att begära en kopia av de personuppgifter vi har om dig, tillsammans med information om hur de behandlas.
9.2 Rätt till rättelse (art. 16)
Du har rätt att begära korrigering av felaktiga eller ofullständiga personuppgifter. Du kan uppdatera de flesta kontouppgifter direkt i plattformen.
9.3 Rätt till radering (art. 17)
Du har rätt att begära radering av dina personuppgifter, med förbehåll för lagstadgade arkiveringskrav (t.ex. bokföringsmaterial som måste sparas i 7 år).
9.4 Rätt till begränsning av behandling (art. 18)
Du har rätt att begära begränsning av behandlingen under vissa omständigheter, till exempel när du bestrider uppgifternas korrekthet.
9.5 Rätt till dataportabilitet (art. 20)
Du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Bokföringsdata kan exporteras i SIE4-format via plattformen. Övriga förfrågningar om dataportabilitet hanteras av vårt dataskyddsombud — kontakta support@aourly.com.
9.6 Rätt att göra invändningar (art. 21)
Du har rätt att invända mot behandling som grundar sig på berättigat intresse (art. 6.1(f)). Vi upphör med behandlingen om vi inte kan påvisa tvingande berättigade skäl.
9.7 Rätt att återkalla samtycke (art. 7.3)
Om vår behandling bygger på ditt samtycke har du rätt att när som helst återkalla detta. Detta påverkar inte lagenligheten av behandling som utförts innan samtycket återkallades. Du kan exempelvis återkalla cookie-samtycke via inställningarna i cookie-bannern.
9.8 Rätt att inte bli föremål för automatiserat beslutsfattande (art. 22)
Aourly använder inte automatiserat beslutsfattande eller profilering som har rättsliga effekter eller på liknande sätt i betydande grad påverkar dig. CV-parsning med AI sker enbart som ett hjälpmedel och resulterar inte i automatiserade beslut.
Så utövar du dina rättigheter
Kontakta vårt dataskyddsombud:
- E-post: support@aourly.com
- Telefon: +46 70 740 07 54
- Post: Aourly AB, Att: Dataskyddsombud, Frejgatan 4 bv, 114 20 Stockholm
Vi besvarar din begäran inom 30 dagar. Om vi behöver mer tid (upp till 60 ytterligare dagar vid komplexa förfrågningar) informerar vi dig inom den inledande 30-dagarsperioden.
Tillsynsmyndighet
Om du inte är nöjd med vårt svar har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY):
- Webbplats: https://www.imy.se
- E-post: imy@imy.se
- Adress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
10. Säkerhetsåtgärder
Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter i enlighet med GDPR artikel 32:
- Lösenordssäkerhet: Bcrypt-hashningsalgoritm (12 rundor)
- Kryptering av känslig data: Bankkontouppgifter krypteras vid lagring
- Transportkryptering: All data överförs via HTTPS/TLS
- Sessionssäkerhet: HttpOnly-cookies med SameSite=lax, databaslagrade sessioner
- CSRF-skydd: Tokenbaserat skydd mot cross-site request forgery
- Identitetsdata: Personnummer raderas vid kontoborttagning (mjuk radering för spårbarhet)
- Åtkomstkontroll: Rollbaserad åtkomstkontroll per företag (multi-tenancy med global scope-isolering)
- Säkerhetskopior: Krypterade säkerhetskopior till AWS S3 (EU-region) med separata kort- och långtidsscheman
- Ändringsloggar: Spatie Activity Log spårar ändringar på kritiska datamodeller
- Felspårning: Sentry konfigurerat utan PII som standard; EU-datacenter
11. Ändringar av denna policy
Vi kan komma att uppdatera denna integritetspolicy. Väsentliga ändringar meddelas minst 30 dagar i förväg via e-post eller meddelande i Tjänsten. Datumet ”Senast uppdaterad” högst upp i detta dokument anger när policyn senast reviderades.
12. Kontaktuppgifter
Vid frågor om denna integritetspolicy eller vår personuppgiftsbehandling, kontakta:
Aourly AB Att: Dataskyddsombud (Tommie Lagerroos) Frejgatan 4 bv, 114 20 Stockholm E-post: support@aourly.com Telefon: +46 70 740 07 54 Organisationsnummer: 559515-8774