Integritetspolicy
Den här policyn förklarar vilka personuppgifter sSystm behandlar, varför och vilka rättigheter du har. Den är skriven för att spegla hur sSystm faktiskt fungerar — med utgångspunkt i att din affärsdata ligger i ditt eget moln, inte hos oss.
Senast uppdaterad:
01Kort version
sSystm är en Bring-Your-Own-Cloud-plattform. Dina affärsuppgifter ligger i en databas på ditt eget Cloudflare-konto — vi har ingen central kopia. Centralt behandlar vi bara en liten mängd personuppgifter som behövs för att driva plattformen: din identitet (från Cloudflare), ditt organisationsmedlemskap och operativ metadata om projekt, fakturering och dokument.
02Vem som är ansvarig
Personuppgiftsansvarig för den begränsade mängd personuppgifter som sSystm behandlar centralt är ZORC AB, org.nr 559481-8857, Sverige. Du når oss på support@ssystm.com (märk integritetsärenden med "Privacy").
För affärsdata som ligger i ditt eget Cloudflare-konto är rollerna annorlunda — se nästa avsnitt.
03BYOC-skillnaden — vem som kontrollerar vad
sSystms arkitektur förändrar den vanliga databehandlingsbilden, så det är värt att vara tydlig om två olika datamängder:
Data i ditt eget moln (du är personuppgiftsansvarig)
Din affärsdata i workspace — till exempel CRM-kontakter och affärer samt kalenderposter — lagras i en dedikerad D1-databas på ditt eget Cloudflare-konto. För denna data är du personuppgiftsansvarig och infrastrukturinnehavare. sSystm agerar endast som personuppgiftsbiträde, med begränsad, OAuth-avgränsad, återkallelig åtkomst, och Cloudflare är underbiträde / infrastrukturleverantör. Förhållandet regleras av vårt personuppgiftsbiträdesavtal.
Data vi behandlar centralt (vi är personuppgiftsansvariga)
För att driva själva plattformen håller vi en begränsad mängd konto- och operativ data centralt — beskrivet nedan. För den datan är ZORC AB personuppgiftsansvarig.
04Vad vi behandlar centralt
- Identitet och konto: de kontoidentifierare Cloudflare delar när du loggar in (till exempel ditt konto-ID och e-post), som används för att skapa och autentisera din sSystm-inloggning. Vi lagrar inga lösenord.
- Organisationsmedlemskap: vilka användare som tillhör vilken organisation och deras roll, så att vi kan dirigera åtkomst korrekt.
- Operativ metadata: metadata om projekt, fakturering och dokument som behövs för att driva plattformen och, där det är tillämpligt, fakturera premiummoduler.
- Åtkomsttoken: dina Cloudflare OAuth-token, lagrade krypterade (AES-256-GCM) så att vi kan agera å dina vägnar, och återkalleliga av dig när som helst.
- Support och kommunikation: meddelanden du skickar till oss och e-postadressen du anger på väntelistan.
- Tekniska loggar: begränsade operativa och säkerhetsloggar (till exempel en post över infrastrukturåtgärder — vem som gjorde vad, och när).
Dina CRM- och kalenderuppgifter finns inte i detta centrala lager — de ligger i ditt eget Cloudflare-konto.
06Rättsliga grunder (GDPR)
- Fullgörande av avtal — för att tillhandahålla den tjänst du registrerat dig för (konton, medlemskap, etablering, metadata).
- Berättigat intresse — för att säkra plattformen, förebygga missbruk, föra revisionsloggar och förbättra tjänsten, avvägt mot dina rättigheter.
- Samtycke — där det krävs, till exempel vid anmälan till väntelistan; du kan när som helst återkalla det.
- Rättslig förpliktelse — där vi måste behålla uppgifter för att följa lagen.
07AI-behandling
När du använder den inbyggda Build AI behandlas relevant kontext av Anthropics modeller via Cloudflares AI Gateway och Workers AI. När du kopplar din egen AI via MCP behandlar den AI-leverantören det du skickar enligt ditt eget avtal med dem. Vi använder inte din affärsdata för att träna grundmodeller. AI-assisterade infrastrukturåtgärder som inte är bevisligen skrivskyddade förbereds för mänskligt godkännande.
08Underbiträden
Vi förlitar oss på ett litet antal granskade leverantörer för att leverera tjänsten. Den aktuella listan — inklusive syfte och plats — finns på vår sida om underbiträden. Sammanfattningsvis:
- Cloudflare — infrastruktur, hosting och AI (globalt, med EU-jurisdiktionsalternativ).
- Resend — transaktionsmejl och utgående mejl när du aktiverar e-posttillägget.
- Anthropic — Claude-modellerna bakom den inbyggda AI:n (via Cloudflares AI Gateway).
- Meta Platforms Ireland — endast om du kopplar ett Instagram-konto via den valfria Social-modulen.
09Internationella överföringar och datalagring
Vid inloggning kan du välja en EU-datalagringsjurisdiktion för din databas, verkställd på infrastruktur-nivå av Cloudflares D1-jurisdiktionsgaranti — inte bara ett policylöfte. Där personuppgifter överförs utanför EES (till exempel av ett underbiträde) förlitar vi oss på lämpliga skyddsåtgärder som Europeiska kommissionens standardavtalsklausuler. Se PUB-avtalet för detaljer.
10Lagring
Vi behåller centrala konto-, medlems- och metadata så länge ditt workspace är aktivt, och under en begränsad period därefter vid behov för säkerhet, tvistlösning och rättsliga förpliktelser. Din affärsdata i ditt eget Cloudflare-konto behålls av dig, under din kontroll — att återkalla OAuth-behörigheten låser oss ute medan din data stannar hos dig. Du kan radera workspace-data direkt i ditt eget konto när som helst.
11Dina rättigheter
Med förbehåll för tillämplig lag kan du ha rätt att:
- få tillgång till de personuppgifter vi har om dig;
- rätta felaktiga uppgifter;
- radera uppgifter ("rätten att bli bortglömd") där det inte längre finns rättslig grund att behålla dem;
- få dina uppgifter i ett portabelt format och, där det är möjligt, få dem överförda;
- begränsa eller invända mot viss behandling; samt
- återkalla samtycke där behandlingen grundar sig på det.
För att utöva någon av dessa rättigheter, kontakta support@ssystm.com. För data i ditt eget Cloudflare-konto kan du också agera direkt där. Du kan lämna klagomål till din tillsynsmyndighet — i Sverige Integritetsskyddsmyndigheten (IMY).
13Kontakt
Frågor om den här policyn eller dina uppgifter? Mejla support@ssystm.com. Vi har inte utsett något dataskyddsombud enligt lag; integritetsfrågor når teamet via den här adressen.
14Ändringar
Vi kan uppdatera den här policyn i takt med att tjänsten utvecklas. Väsentliga ändringar uppdaterar datumet "senast uppdaterad" ovan och, där det är lämpligt, meddelar vi dig.
05Kopplade sociala konton (valfritt)
Om en organisationsadministratör kopplar ett socialt konto via Social-modulen — till exempel Facebook Pages och Instagram Professional-konton via Metas OAuth, en LinkedIn-sida eller ett TikTok-konto — lagrar vi, krypterat, åtkomst- och uppdateringstoken, kontots identifierare och visningsnamn, tokenets utgångsdatum och de behörigheter som beviljats. Vi använder dessa uppgifter för ett enda syfte: att publicera det innehåll du skapar, på din uttryckliga begäran ("Publicera nu") eller enligt det schema du anger. Vi läser inte direktmeddelanden, bläddrar inte i ditt flöde, modererar inte kommentarer eller samlar in analyser/insights, och vi använder dem aldrig för reklam eller profilering.
TikTok
TikTok-kopplingen använder TikToks Login Kit och Content Posting API med scope
user.info.basicochvideo.publish. Med ditt medgivande får vi åtkomst till din grundprofil (ditt TikTok-visningsnamn och kontoidentifierare) och, omedelbart före varje publicering, ditt kontos publiceringsbehörighet — så att vi kan publicera de videor och foton du skapar till ditt eget TikTok-konto på din instruktion. Vår åtkomst till och användning av TikTok-information följer TikToks användarvillkor och TikToks policyer. Vi säljer inte TikTok-data, delar den inte med tredje part och använder den inte till något annat syfte än den publicering du begärt.