Den här policyn förklarar hur KH Produktion AB behandlar personuppgifter när du använder Structio — vårt operativsystem för byggproduktion.
Vi har försökt skriva detta så enkelt som möjligt. Om något är oklart, mejla info@structio.se så förklarar vi.
1. Vem är ansvarig för dina uppgifter?
KH Produktion AB är personuppgiftsansvarig för behandlingen av personuppgifter som beskrivs i denna policy.
| Bolag | KH Produktion AB |
|---|---|
| Organisationsnummer | 559247-5635 |
| Adress | C/o Fidelis Ekonomi AB, Stormbyvägen 6, 163 55 Spånga |
| E-post | info@structio.se |
| Telefon | 076-161 02 15 |
| Tjänstenamn | Structio |
KH Produktion AB driver Structio som verksamhet. När vi i den här policyn skriver "vi", "oss" eller "Structio" menar vi KH Produktion AB i rollen som tillhandahållare av Structio-tjänsten.
Vi har inget formellt dataskyddsombud (DPO), eftersom vår storlek inte når tröskelvärdena i GDPR artikel 37. Du når oss direkt via e-posten ovan för alla frågor om personuppgifter.
2. Vilka uppgifter samlar vi in och varför?
Structio är en SaaS-plattform där byggföretag hanterar projekt, personal, underentreprenörer, ekonomi och kvalitet. Olika uppgifter behandlas beroende på din roll.
2.1 Om du är anställd hos ett företag som använder Structio
Vi behandlar:
- Identitet: namn, e-postadress, personnummer (när det krävs för lön eller rapportering)
- Anställning: lön, lönenivåer, titel, utbildningar och certifikat
- Aktivitet i plattformen: tidregistreringar, frånvaro, dagboksanteckningar, formulärsignaturer
Varför: Din arbetsgivare är personuppgiftsansvarig för anställningsförhållandet och vi är personuppgiftsbiträde åt dem. Vi behandlar uppgifterna för att tillhandahålla Structio-tjänsten enligt avtalet med din arbetsgivare.
Rättslig grund:
- Avtal (GDPR artikel 6.1.b) mellan din arbetsgivare och KH Produktion AB
- Lagligt krav (artikel 6.1.c) för bokföring, skatt, arbetsmiljö och personalliggare
Känsliga uppgifter: Sjukfrånvaro kan ibland klassas som hälsoinformation enligt GDPR artikel 9. Vi hanterar sådana uppgifter med restriktiv åtkomst och endast när det krävs för arbetsmiljöansvar eller lönehantering.
2.2 Om du arbetar för en underentreprenör som är inkopplad i Structio
Vi behandlar:
- Identitet: namn, personnummer (när tillgängligt), ID06-kortnummer
- Kontakt: e-post, telefon (när tillgängligt)
- Anställningsförhållande hos ditt UE-företag
- Uppladdade dokument: certifikat, försäkringar, ID06-handlingar
- Aktivitet: när du arbetat på huvudentreprenörens projekt
Varför: För att huvudentreprenören (som är vår kund) ska kunna säkerställa rätt behörigheter, dokumentation och närvaroregistrering på sina projekt.
Rättslig grund:
- Avtal mellan ditt UE-företag och huvudentreprenören
- Lagligt krav: personalliggare enligt Skatteförfarandelagen 39 kap
2.3 Om du är slutkund hos ett företag som använder Structio
Du kan vara antingen privatperson eller kontaktperson hos ett företag.
För privatkunder:
- Identitet: namn, personnummer (för ROT/RUT-avdrag — Skatteverkets krav)
- Kontakt: adress, telefon, e-post
- Fastighetsbeteckning (för ROT/RUT)
- Faktureringshistorik
För kontaktpersoner hos företagskunder:
- Namn, befattning, e-post, telefon
- Företagsdata (organisationsnummer är inte personuppgift men förekommer i samma sammanhang)
Varför: För att det företag som anlitat dig (vår kund) ska kunna fakturera, offerera, dokumentera projekt och uppfylla rapporteringskrav till Skatteverket.
Rättslig grund:
- Avtal mellan dig och vår kund
- Berättigat intresse (artikel 6.1.f) för affärskontakt
- I detta sammanhang är vår kund personuppgiftsansvarig och KH Produktion AB är personuppgiftsbiträde
2.4 Personalliggare — närvaro på byggarbetsplats
Structio registrerar in- och uttider per byggprojekt enligt Skatteförfarandelagen 39 kap. Detta är ett lagstadgat krav som omfattar alla som arbetar på en byggarbetsplats i Sverige.
Vi behandlar: personidentifiering (ID06 eller via Structio-konto), in- och uttider per projekt, företagstillhörighet.
Rättslig grund: Lagligt krav (artikel 6.1.c) — Skatteförfarandelagen 39 kap. Skatteverket har lagstadgad rätt att granska personalliggar-data vid revision.
2.5 Säkerhets- och granskningsloggar
För att kunna spåra ändringar, utreda incidenter och felsöka problem loggar vi handlingar i plattformen.
Vi behandlar: användar-ID, vilken åtgärd som utförts, vilken post som ändrats, värden före och efter, tidsstämpel.
Vi loggar inte: IP-adresser, webbläsarinformation eller annan teknisk identifierare.
Rättslig grund: Berättigat intresse (artikel 6.1.f) — säkerhet och incidenthantering.
2.6 Om du kontaktar oss via formulär eller e-post
När du mejlar oss på info@structio.se eller fyller i ett eventuellt kontaktformulär på structio.se behandlar vi det namn, företag, telefon och e-post du anger, plus själva meddelandet.
Rättslig grund: Berättigat intresse (försäljning, support) eller samtycke (artikel 6.1.a) om du explicit kryssar i samtyckesruta.
3. Vilka delar vi uppgifter med?
För att leverera Structio anlitar vi följande personuppgiftsbiträden. Alla har personuppgiftsbiträdesavtal (DPA) med oss enligt GDPR artikel 28.
| Biträde | Vad de gör för oss | Var data behandlas |
|---|---|---|
| Render Services, Inc. | Hosting av applikationen, databas och filuppladdningar | Frankfurt, EU |
| Google Ireland Ltd / Google LLC | E-post (Gmail) och utskick av systemmail från Structio | EU och USA (under EU SCC) |
| Anthropic Ireland, Limited | AI-funktioner för fakturamatchning (claim reconciliation) | Irland, EU |
| Loopia AB | Domännamn (DNS) för structio.se | Sverige |
Vi delar aldrig dina uppgifter med:
- Reklamnätverk eller annonsörer
- Försäljare av kund-listor
- Tredje parter utan rättslig grund och avtal
3.1 Anthropic AI — vad skickas dit?
När du eller din arbetsgivare använder Structios AI-funktion för fakturamatchning skickar vi:
- Fakturarader (beskrivning, belopp, period)
- Underentreprenörsanmälningar (timmar, material, beskrivningar) som potentiella matchningar
Vi skickar inte namn, personnummer eller e-postadresser direkt. Anthropic får inte träna sina AI-modeller på vår data (enligt avtal).
3.2 Överföring utanför EU/EES
Render och Anthropic är formellt EU-baserade motparter (Frankfurt respektive Irland). Vissa underbiträden kan behandla data i USA.
För Google Workspace gäller att vi använder Business Starter, där data kan behandlas globalt. Vi har godkänt EU:s standardavtalsklausuler (SCC) som överföringsmekanism.
Alla överföringar till tredjeland sker under EU:s standardavtalsklausuler (EU SCC) enligt Kommissionens beslut 2021/914, vilket är den lagliga mekanismen efter Schrems II-domen.
4. Hur länge sparar vi uppgifter?
Lagringstiderna nedan är våra standardvärden. Bokföringslagen 7 kap §2 är dominerande för data som ingår i räkenskapsinformation.
| Kategori | Lagringstid | Grund |
|---|---|---|
| Anställda hos kunder (tid, formulär, lön) | Aktivt + 7 år efter avtalsslut | Bokföringslagen 7 kap §2 |
| UE-personal | Aktivt + 7 år | Bokföringslagen + personalliggar-koppling |
| Slutkunder (privat och företag) | Aktivt + 7 år | Bokföringslagen 7 kap §2 |
| Personalliggare (närvarodata) | Minst 2 år (lagminimum) + 5 år bokföring = 7 år totalt | Skatteförfarandelagen 39 kap §11 + Bokföringslagen |
| Säkerhets- och granskningsloggar | 12 månader | Berättigat intresse |
| Inloggningssessioner (cookies) | 30 dagar inaktivitet | Berättigat intresse |
| Kontakt- och leadförfrågningar | 24 månader efter senaste kontakt | Berättigat intresse / samtycke |
| Filuppladdningar (foton, ritningar, bilagor) | Som projektet — 7 år efter projektets slut | Bokföringslagen |
Personnummer på privatkunder kan anonymiseras efter 5 år om du begär det — men själva faktura-raderna (utan PII) behålls full bokföringstid.
5. Dina rättigheter
Enligt GDPR har du följande rättigheter när det gäller dina personuppgifter:
| Rättighet | Vad det innebär |
|---|---|
| Rätt till åtkomst (art. 15) | Du har rätt att få veta vilka uppgifter vi har om dig och få en kopia |
| Rätt till rättelse (art. 16) | Du kan begära att vi rättar felaktiga uppgifter |
| Rätt till radering (art. 17) | Du kan be oss radera dina uppgifter ("rätten att glömmas"), med vissa undantag för bokföringskrav |
| Rätt till begränsning (art. 18) | Du kan begära att vi tillfälligt slutar behandla dina uppgifter under tvist |
| Rätt till portabilitet (art. 20) | Du kan få ut dina uppgifter i ett strukturerat, maskinläsbart format |
| Rätt att invända (art. 21) | Du kan invända mot behandling som sker på grund av berättigat intresse |
| Rätt att klaga | Du kan klaga till Integritetsskyddsmyndigheten (IMY) — se nedan |
Hur du utövar dina rättigheter
Skicka ett mejl till info@structio.se eller ring 076-161 02 15 med:
- Vad du vill (åtkomst, radering, rättelse osv.)
- Hur du kan identifieras (e-post du har konto med, eller annan info som hjälper oss hitta dina uppgifter)
Vi svarar inom 30 dagar enligt GDPR artikel 12.3. Vid komplexa förfrågningar kan vi förlänga med ytterligare två månader, då meddelar vi dig orsaken.
Klagomål till tillsynsmyndighet
Du har alltid rätt att klaga till Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlat dina personuppgifter felaktigt:
- Webbplats: imy.se
- E-post: imy@imy.se
- Telefon: 08-657 61 00
- Kontaktinformation: imy.se/om-oss/kontakta-oss/
- Klagomål online: imy.se/privatperson/utfora-arenden/lamna-ett-klagomal/
Vi uppmuntrar dig att kontakta oss först så vi får chans att lösa det, men det är inget krav.
7. Säkerhet
Vi skyddar dina uppgifter genom:
- Kryptering i vila — all databas och alla filer är krypterade med AES-standarden via Render
- Kryptering vid överföring — TLS 1.2 eller högre för all trafik
- Åtkomstkontroll — minsta-rättighet-princip, single sign-on och multifaktor där tekniskt möjligt
- Säker drift — Render har certifieringar enligt SOC 2 och ISO 27001
- Behörighetssystem — multi-tenant isolering där varje kunds data är strikt separerad
Vid en personuppgiftsincident anmäler vi till IMY inom 72 timmar enligt GDPR artikel 33, och informerar berörda registrerade om incidenten medför hög risk för deras rättigheter (artikel 34).
8. Ändringar i policyn
Den här policyn kan komma att uppdateras när:
- Vi inför nya tjänster eller funktioner som påverkar databehandlingen
- Vi byter eller lägger till personuppgiftsbiträden
- Regler eller praxis från IMY/EDPB ändras
Vid väsentliga ändringar informerar vi aktiva kunder via e-post minst 30 dagar i förväg. Datum för senaste uppdatering anges överst på denna sida.
9. Kontakt
Frågor om denna policy eller om dina personuppgifter:
KH Produktion AB
C/o Fidelis Ekonomi AB
Stormbyvägen 6
163 55 Spånga
E-post: info@structio.se
Telefon: 076-161 02 15