Toimitamme kaikkialle Eurooppaan
Ota yhteyttä saadaksesi tarjouksen
Tähän tietosuojaselosteeseen sovelletaan Ruotsin lakia, ja viittaukset säädöksiin tarkoittavat Ruotsin lainsäädäntöä, ellei toisin ole mainittu.
1.1 Tämä tietosuojaseloste kuvaa, miten Herbox AB, Y-tunnus 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg ("Herbox", "me"), huolehtii henkilötietojen suojasta kaikessa toiminnassaan.
1.2 Tavoitteena on varmistaa, että kaikki henkilötietojen käsittely tapahtuu lainmukaisesti, oikein ja läpinäkyvästi GDPR:n ja Ruotsin lainsäädännön mukaisesti, sekä luoda luottamusta asiakkaiden, käyttäjien ja yhteistyökumppaneiden keskuudessa tarjoamalla avoimuutta ja selkeyttä siitä, miten keräämme, käytämme, tallennamme ja suojaamme henkilötietoja.
1.3 Herbox työskentelee järjestelmällisesti tietosuojan parantamiseksi riskianalyysien, sisäisten menettelyjen, teknisten suojaustoimenpiteiden ja koulutuksen avulla. Pyrimme aina tietojen minimointiin ja säilytämme henkilötietoja vain niin kauan kuin se on tarpeen kutakin tarkoitusta varten.
| Käsite | Merkitys |
|---|---|
| Eväste |
Pienet tekstitiedostot, jotka tallennetaan selaimeen ja mahdollistavat toiminnallisuudet, tilastoinnin ja markkinoinnin. Käsitellään Herboxin erillisen evästekäytännön mukaisesti. |
| Henkilötieto |
Kaikki tiedot, jotka suoraan tai epäsuorasti voivat tunnistaa luonnollisen henkilön, kuten nimi, sähköpostiosoite, IP-osoite tai asiakasnumero. |
| Käsittely |
Jokainen toimenpide, jota suoritetaan henkilötiedoille, kuten kerääminen, tallentaminen, analysointi, jakaminen tai poistaminen, manuaalisesti tai automaattisesti. |
| Rekisterinpitäjä |
Tahot, jotka määrittelevät henkilötietojen käsittelyn tarkoituksen ja keinot. Yleensä Herbox AB. |
| Henkilötietojen käsittelijä |
Ulkopuolinen osapuoli, joka käsittelee tietoja Herboxin puolesta henkilötietojen käsittelysopimuksen (DPA) mukaisesti. |
| Oikeusperuste |
Lakisääteinen edellytys GDPR:n 6 artiklan mukaisesti (suostumus, sopimus, lakisääteinen velvoite tai oikeutettu etu). |
| Oikeutettu etu |
Kun Herboxilla on oikeutettu liiketoiminnallinen etu, kuten asiakasviestintä tai IT-turvallisuus, joka on painavampi kuin yksityisyydensuoja. Käsittelyissä, jotka perustuvat oikeutettuun etuun, Herbox suorittaa etujen tasapainotuksen (LIA), joka dokumentoidaan ja päivitetään tarpeen mukaan. |
| Arkaluonteiset henkilötiedot |
Erityiset henkilötietoryhmät (terveys, etninen alkuperä, poliittiset mielipiteet jne.) käsitellään vain poikkeustapauksissa. Herboxin palvelut eivät myöskään ole suunnattu lapsille, emmekä tietoisesti kerää alaikäisten henkilötietoja ilman huoltajan suostumusta. |
| Rekisteröity |
Henkilö, jonka tietoja käsitellään (asiakas, käyttäjä, työntekijä, toimittaja jne.). |
| SCC / DPF |
EU:n vakiosopimuslausekkeet ja EU–Yhdysvallat Data Privacy Framework -järjestely, molemmat mekanismeja tietosuojan varmistamiseksi henkilötietojen siirrossa kolmansiin maihin. |
Tietosuojavastaava (DPO)
Herbox AB
Vastaanottaja: Tietosuojavastaava
Sähköposti: info@herbox.se
Osoite: Sven Hultings Plats 5, 412 58 Göteborg
Yhteyttä voidaan ottaa myös seuraavilla tavoilla:
| Asia | Yhteyshenkilö | Kommentti |
|---|---|---|
| Yleiset kysymykset |
info@herbox.se |
Vahvistamme vastaanoton kahden työpäivän kuluessa ja vastaamme yleensä 30 päivän sisällä. |
| GDPR-pyyntö |
info@herbox.se |
Voimme pyytää henkilöllisyyden vahvistamista (BankID tai kopio henkilöllisyystodistuksesta). |
| Tietoturvaloukkausten ilmoittaminen |
info@herbox.se |
Palaute 24 tunnin kuluessa |
| Valvontaviranomainen |
Ruotsin tietosuojaviranomainen (Integritetsskyddsmyndigheten, IMY), Box 8114, 104 20 Stockholm |
Lisätietoja osoitteessa www.imy.se |
4.1 Kun vierailet verkkosivustollamme
| Milloin ja miksi | Henkilötiedot | Oikeusperuste | Säilytysaika |
|---|---|---|---|
| Verkkosivuston tarjoaminen |
IP-osoite, tekniset lokitiedot |
Oikeutettu etu (välttämätön toiminta) |
2 kuukautta |
| Tilastot ja analytiikka (Microsoft Clarity) |
IP-osoite (lyhennetty), tapahtumat, eväste-tunnus |
Suostumus (ePrivacy) |
90 päivää |
| Mainos- ja alustapikselit |
Hashattu sähköpostiosoite, laite- tai eväste-tunnus |
Suostumus / oikeutettu etu (asiakkaat) |
Enintään 24 kuukautta |
4.2 Kun olemme yhteydessä nykyisiin ja potentiaalisiin asiakkaisiin
| Milloin ja miksi | Henkilötiedot | Oikeusperuste | Säilytysaika |
|---|---|---|---|
| Asiakassuhde ja tuki |
Nimi, sähköpostiosoite, sopimus, viestintä |
Sopimus / oikeutettu etu |
Enintään 10 vuotta (kirjanpito 7 vuotta) |
| Markkinointi asiakkaille |
Yhteystiedot, vuorovaikutustiedot |
Oikeutettu etu (opt-out) |
Kunnes opt-out tai 36 kuukauden passiivisuus |
| Prospektimarkkinointi |
Yhteystiedot, ammattirooli, vuorovaikutukset |
Suostumus (sähköposti) / oikeutettu etu |
36 kuukautta |
4.3 Automaatio ja tekoälyavusteinen käsittely
| Milloin ja miksi | Henkilötiedot | Oikeusperuste | Säilytysaika |
|---|---|---|---|
| Työnkulkujen automaatio |
Minimoidut tietokentät Zapierin mukaisesti |
Oikeutettu etu |
Lyhytaikainen tallennus Zapierissa |
| Sähköpostiluonnokset tekoälyn avulla (OpenAI) |
Rajoitetut sähköpostikatkelmat |
Oikeutettu etu |
Vain käsittely, ei pysyvää paikallista tallennusta |
4.4 Rekrytoinnin, työsuhteen ja HR-hallinnon yhteydessä
| Milloin ja miksi | Henkilötiedot | Oikeusperuste | Säilytysaika |
|---|---|---|---|
| Hakemusten vastaanottaminen ja arviointi |
Ansioluettelo, yhteystiedot, muistiinpanot |
Oikeutettu etu (rekrytointi) + suostumus pidempään säilytykseen |
24 kuukautta (pidempään suostumuksella) |
| Suosittelujen tarkistus ja taustaselvitys |
Suosittelijoiden yhteystiedot, muistiinpanot suosittelukeskusteluista, koulutuksen tai työsuhteen varmennustiedot |
Suostumus (hakijalta ennen yhteydenottoa) + oikeutettu etu varmistaa asianmukainen rekrytointi |
24 kuukautta rekrytointiprosessin päättymisen jälkeen (tai pidempään hakijan nimenomaisella suostumuksella) |
| Työsuhteen ja HR-hallinnon yhteydessä |
Yhteystiedot, palkkatiedot, poissaolot, osaamistiedot ja omaisten tiedot |
Käsittely suoritetaan työsopimuksen täyttämiseksi, lakisääteisten velvoitteiden (esim. vero- ja työlainsäädäntö) noudattamiseksi sekä Herboxin oikeutetun edun perusteella HR-prosessien hallinnoimiseksi. |
Työsuhteen aikana ja sen jälkeen 2–10 vuotta tietotyypistä riippuen (esim. palkka- ja kirjanpitotiedot 7 vuotta, sopimukset jopa 10 vuotta, yhteystiedot 2 vuotta) |
4.5 Lakisääteisten velvoitteiden täyttäminen ja oikeudellisten etujen turvaaminen
| Lakisääteinen velvoite | Esimerkkejä käsiteltävistä tiedoista | Sovellettava laki / sääntely | Säilytysaika |
|---|---|---|---|
| Kirjanpito ja tilinpäätös |
Asiakas- ja toimittajalaskut, maksutiedot, tositteet |
Kirjanpitolaki (1999:1078) |
7 vuotta tilikauden päättymisen jälkeen |
| Velan vanhentuminen / riita-asiat |
Sopimusasiakirjat, viestintä, maksuhistoria |
Vanhentumislaki (1981:130) |
Enintään 10 vuotta |
| Verotus- ja maksuraportointi |
Palkkatiedot, laskut, maksutapahtumat |
Verotusmenettelylaki (2011:1244) |
7 vuotta |
| Oikeudelliset vaatimukset ja viranomaisasiat |
Kirjeenvaihto, selvitysaineisto |
GDPR 17 artikla 3 e kohta (oikeudellisten vaatimusten puolustaminen) |
Kunnes asia on ratkaistu |
| Työsuhdedokumentaatio |
Työsopimukset, palkka- ja eläketiedot |
Työlainsäädäntö |
2–10 vuotta asiakirjatyypistä riippuen |
Herbox ylläpitää myös rekisteriä kaikista käsittelytoimista GDPR:n 30 artiklan mukaisesti, ja tietosuojavastaava (DPO) päivittää sitä säännöllisesti.
| Henkilötietojen käsittelijä / Vastaanottaja | Kategoria | Käsiteltävät henkilötiedot | Rooli | Erityiset suojaustoimenpiteet |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM ja markkinointi |
Nimi, sähköpostiosoite, viestintähistoria, mieltymykset |
Henkilötietojen käsittelijä |
Salaus, käyttöoikeuksien rajoittaminen, DPA-sopimus |
| Google Workspace |
Sähköposti ja tuottavuus |
Nimi, sähköpostiosoite, asiakirjat, tiedostot, metadata |
Henkilötietojen käsittelijä |
DPF-sertifiointi, MFA, tietojen minimointi |
| Zapier |
Automaatio |
Rajoitetut tietokentät järjestelmäintegraatiota varten |
Henkilötietojen käsittelijä |
Salaus siirron aikana, SCC-sopimuslausekkeet |
| OpenAI |
Tekoälyanalyysi ja automaattinen tuki |
Lyhyet tekstikatkelmat (minimoidut) |
Henkilötietojen käsittelijä |
DPF-sertifiointi, estetty mallikoulutuksessa käyttö |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity ym. |
Mainonta ja mittaus |
Hashattu sähköpostiosoite, eväste-ID, IP-osoite, laitetiedot |
Itsenäiset rekisterinpitäjät |
Suostumuksen hallinta GTM:n kautta, DPF/SCC |
| TeamTailor |
Rekrytointi |
Nimi, yhteystiedot, ansioluettelo, haastattelumuistiinpanot |
Henkilötietojen käsittelijä |
DPA-sopimus, tietojen minimointi, automaattinen tietojen poisto |
| Tilitoimisto, tilintarkastaja, kuljetus- ja huoltokumppanit |
Taloushallinto ja toimitus |
Nimi, osoite, maksutiedot, laskutusaineisto |
Käsittelijät / itsenäiset rekisterinpitäjät |
Salassapitosopimus, salattu viestintä, lakisääteinen tietojen poisto |
| Alue | Tietotyyppi / käsittely | Tekniset ja organisatoriset suojaustoimenpiteet | Säilytysaika / poistamisen määräaika |
|---|---|---|---|
| Tekninen tietoturva |
Järjestelmätiedot, käyttöoikeuslokit, varmuuskopiot |
Salaus siirron ja tallennuksen aikana, roolipohjainen käyttöoikeuksien hallinta, monivaiheinen tunnistautuminen (MFA), lokitus ja säännöllinen käyttöoikeuksien tarkastus |
Lokit 12 kuukautta, varmuuskopiot IT-politiikan mukaisesti (enintään 12 kuukautta) |
| Organisatorinen tietoturva |
Kaikki henkilötiedot |
Salassapitosopimukset, jatkuva koulutus, tietoturvaloukkausten käsittelyprosessi, vuosittainen menettelyjen tarkastus |
Jatkuvasti työsuhteen tai toimeksiannon aikana |
| Tietoturvaloukkausten hallinta |
Tiedot, jotka sisältyvät tietoturvaraportteihin |
Tietosuojavastaavan (DPO) valvoma prosessi, sisäinen lokitus, ilmoitus IMY:lle 72 tunnin kuluessa, jos yksilöiden oikeudet ovat vaarassa, sekä tiedotus asianomaisille rekisteröidyille GDPR:n artiklojen 33–34 mukaisesti |
Dokumentaatio säilytetään 5 vuotta tapauksen päättymisen jälkeen |
| CRM ja asiakastiedot |
Kirjeenvaihto, selvitysaineisto |
GDPR 17 artikla 3 e kohta (oikeudellisten vaatimusten puolustaminen) |
Kunnes asia on ratkaistu |
| Työsuhdedokumentaatio |
Työsopimukset, palkka- ja eläketiedot |
Työlainsäädäntö |
2–10 vuotta asiakirjatyypistä riippuen |
Herbox käsittelee henkilötietoja pääasiassa EU-/ETA-alueen sisällä. Jotkut palveluntarjoajat käyttävät kuitenkin infrastruktuuria tai tukipalveluita Yhdysvalloissa. Kaikki tietojen siirrot suoritetaan GDPR:n luvun V mukaisesti ja siirtovaikutusten arvioinnin (TIA) jälkeen.
| Kategoria / Palveluntarjoaja | Henkilötietojen tyyppi | Käsittelypaikka (ensisijainen) | Siirtomekanismi |
|---|---|---|---|
| Google Workspace |
Nimi, sähköpostiosoite, asiakirjat, metadata |
Yhdysvallat (DPF-sertifioitu) |
EU–Yhdysvallat Data Privacy Framework (DPF) |
| Microsoft Clarity / Microsoft Ads |
IP-osoite (lyhennetty), eväste-ID, analytiikkatiedot |
Yhdysvallat (DPF-sertifioitu) |
EU–Yhdysvallat Data Privacy Framework (DPF) |
| OpenAI (API/Team) |
Lyhyet tekstikatkelmat (minimoidut) |
Yhdysvallat (DPF-sertifioitu) |
EU–Yhdysvallat Data Privacy Framework (DPF) |
| Zapier Inc. |
Rajoitetut tietokentät järjestelmäintegraatiota varten |
Yhdysvallat (ei DPF-sertifioitu) |
Vakiolausekkeet (SCC) + täydentävät suojatoimet |
| Mailchimp (Intuit Inc.) |
Nimi, sähköpostiosoite, vuorovaikutustiedot |
Yhdysvallat (DPF-sertifioitu) |
EU–Yhdysvallat Data Privacy Framework (DPF) |
| Oikeus | Artikla | Merkitys | Kuinka käytät oikeuttasi |
|---|---|---|---|
| Tarkastusoikeus |
Art. 15 |
Saat kopion henkilötiedoistasi ja tietoa niiden käsittelystä. |
Pyydä osoitteesta info@herbox.se. |
| Oikaisu |
Art. 16 |
Korjaa virheelliset tai puutteelliset tiedot. |
Ota meihin yhteyttä sähköpostitse tai puhelimitse. |
| Poistaminen ("oikeus tulla unohdetuksi") |
Art. 17 |
Tietojen poistaminen, kun niitä ei enää tarvita tai kun suostumus peruutetaan. |
Lähetä sähköpostia osoitteeseen info@herbox.se. |
| Käsittelyn rajoittaminen |
Art. 18 |
Käsittelyn väliaikainen keskeyttäminen, jos tietojen paikkansapitävyydestä tai lainmukaisuudesta on erimielisyyttä. |
Merkitse sähköpostin aiheeksi "Rajoittaminen". |
| Tietojen siirrettävyys |
Art. 20 |
Saat tietosi jäsennellyssä muodossa tai voit siirtää ne toiselle toimijalle. |
Pyydä vientiä (CSV/JSON). |
| Vastustamisoikeus |
Art. 21 |
Vastusta käsittelyä, joka perustuu oikeutettuun etuun tai suoramarkkinointiin. |
Käytä opt-out-linkkejä tai ota meihin yhteyttä. |
| Suostumuksen peruuttaminen |
Art. 7.3 |
Peruuta suostumus ilman, että se vaikuttaa ennen peruuttamista tehtyyn käsittelyyn. |
Evästebannerin kautta tai sähköpostitse. |
| Automaattiset päätökset |
Art. 22 |
Pyydä manuaalista tarkastelua päätöksille, joilla on oikeudellisia vaikutuksia. |
Lähetä sähköpostia osoitteeseen info@herbox.se. |
9.1 Herbox tarkistaa tämän tietosuojaselosteen vähintään kerran vuodessa tai tarvittaessa, esimerkiksi jos:
a) uusi tai muutettu lainsäädäntö tulee voimaan,
b) toiminta muuttuu tavalla, joka vaikuttaa henkilötietojen käsittelyyn,
c) otetaan käyttöön uusia järjestelmiä, palveluntarjoajia tai käsittelytoimia, tai
d) Ruotsin tietosuojaviranomainen (IMY) tai EU:n viranomaiset antavat uusia ohjeita tai päätöksiä.
9.2 Tarkastuksen suorittaa Herboxin tietosuojavastaava (DPO) yhteistyössä johdon ja asiaankuuluvien järjestelmäomistajien kanssa. Tietosuojavastaava vastaa päivitystarpeiden tunnistamisesta, muutosten dokumentoinnista sekä siitä, että uudet versiot noudattavat voimassa olevaa lainsäädäntöä ja Herboxin sisäistä tietoturvapolitiikkaa.
9.3 Kun merkittäviä muutoksia tehdään, tiedotamme seuraavasti:
a) Sisäisesti kaikille työntekijöille sähköpostitse ja/tai intranetin kautta, ja
b) Ulkoisesti asiakkaille, yhteistyökumppaneille ja rekisteröidyille verkkosivustomme (herbox.se) kautta ja tarvittaessa myös suoraviestinnällä.
9.4 Jokaiselle uudelle versiolle annetaan tarkastuspäivämäärä ja versionumero, ja aiempi versio arkistoidaan Herboxin asiakirjahallintamenettelyjen mukaisesti.
9.5 Voimassa oleva versio on aina julkaistu osoitteessa www.herbox.se
Päivitetty viimeksi: 28. lokakuuta 2025
