Integritetspolicy

1. Inledning

Denna integritetspolicy beskriver hur Smokify AB (organisationsnummer 559445-1386) ("Smokify", "vi", "oss") behandlar personuppgifter i samband med användning av vår webbplats och våra tjänster.

Vi värnar om din personliga integritet och behandlar dina personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s dataskyddsförordning (GDPR). Genom att använda vår webbplats www.smokify.se accepterar du vår behandling av personuppgifter enligt denna policy.

2. Personuppgiftsansvarig

Smokify AB är personuppgiftsansvarig för behandlingen av dina personuppgifter. Se kontaktuppgifter längst ner.

3. Personuppgifter vi samlar in

Vi samlar in följande typer av personuppgifter:

a) Uppgifter du själv lämnar:

• Namn
• Personnummer (vid BankID-verifiering)
• Adress (folkbokföringsadress)
• E-postadress
• Telefonnummer
• Betalningsinformation (hanteras via betalningsleverantör)

b) Uppgifter som genereras vid köp:

• Orderhistorik
• Leveransinformation
• Betalningsstatus

c) Vid kontakt via formulär eller e-post:

• Namn
• E-postadress
• Meddelandeinnehåll

d) Tekniska uppgifter:

• IP-adress
• Enhetsinformation
• Cookies (se avsnitt om cookies)

4. Varför vi behandlar dina uppgifter

Vi behandlar personuppgifter för att:

Hantera och leverera beställningar

Vi använder dina personuppgifter för att hantera din beställning, registrera ordern, kommunicera med dig samt hantera reklamationer och returer. Vi behandlar även uppgifter för att administrera prenumerationer.

Om du inte lämnar nödvändiga uppgifter kan vi inte genomföra din beställning.

Ålderskontroll och identitetsverifiering

Vi behandlar dina personuppgifter för att kontrollera din ålder och säkerställa att du uppfyller lagstadgade krav för att handla våra produkter.

Ålderskontroll sker i flera steg:

• Vid beställning och skapande av konto genom användning av digital identifieringstjänst, såsom BankID
• Vid utlämning av varor genom kontroll av giltig legitimationshandling

Om leverans sker via ombud eller hemleverans kan du behöva uppvisa giltig ID-handling i samband med mottagandet. Vid leverans till paketbox kan ålderskontroll istället ske genom ett digitalt verifieringsflöde som aktiveras genom att du skannar en QR-kod vid utlämningsstället.

Om ålderskontroll inte kan genomföras kan beställningen inte lämnas ut. För att möjliggöra ålderskontroll använder vi externa identifieringstjänster (t.ex. BankID), vilket innebär att relevanta personuppgifter delas med dessa leverantörer i den utsträckning som krävs för att verifiera din identitet och ålder.

Den rättsliga grunden för behandlingen är att fullgöra avtal med dig samt att uppfylla rättsliga skyldigheter.

Hantera betalningar

Vi behandlar personuppgifter för att kunna ta betalt för dina beställningar och hantera betalningstransaktioner på ett säkert sätt.

Detta innefattar exempelvis:

• behandling av betalningsinformation i samband med köp
• verifiering av betalning och genomförande av transaktioner
• hantering av återbetalningar och krediteringar
• förebyggande och upptäckt av bedrägerier och obehöriga transaktioner
• uppfyllande av rättsliga krav kopplade till betalningar

För att genomföra betalningar använder vi externa betalningsleverantörer såsom Stripe och Klarna. Detta innebär att nödvändiga personuppgifter delas med dessa leverantörer för att kunna genomföra betalningen.

Vid kortbetalning och digitala betalningar kan ytterligare verifiering krävas i enlighet med gällande regler om stark kundautentisering (SCA), exempelvis via BankID eller engångskod.

Smokify lagrar inte några fullständiga kortuppgifter. Betalningsinformationen hanteras av respektive betalningsleverantör i enlighet med deras säkerhetskrav och villkor.

Den rättsliga grunden för behandlingen är att fullgöra avtal med dig samt att uppfylla rättsliga skyldigheter.

Ge kundservice

Vi behandlar dina personuppgifter för att kunna ge support och hantera ärenden som uppstår i samband med ditt köp eller användning av våra tjänster.

Detta innefattar exempelvis:

• kommunikation med dig via e-post, telefon eller kontaktformulär
• hantering av frågor, klagomål och supportärenden
• hantering av reklamationer, returer och ångerrätt
• verifiering av din identitet i samband med kundärenden
• uppföljning av ärenden och förbättring av vår kundservice

Vi kan i samband med kundservice komma att behandla uppgifter såsom namn, kontaktuppgifter, orderinformation och annan information som du själv lämnar till oss.

Den rättsliga grunden för behandlingen är att fullgöra avtal med dig samt vårt berättigade intresse av att kunna ge dig god service och hantera kundärenden på ett effektivt sätt.

Förbättra vår webbplats och användarupplevelse

Vi behandlar vissa tekniska uppgifter för att kunna säkerställa att vår webbplats fungerar korrekt, är säker att använda och kontinuerligt kan förbättras.

Detta kan exempelvis innefatta:

• felsökning och åtgärdande av tekniska problem
• förbättring av webbplatsens funktionalitet och prestanda
• anpassning av innehåll och funktioner utifrån hur tjänsten används
• förebyggande av missbruk, intrång och andra säkerhetsrisker

Den behandling som sker inom detta ändamål baseras inte på analys- eller marknadsföringscookies, utan på nödvändiga tekniska funktioner och vårt berättigade intresse av att tillhandahålla en säker och fungerande tjänst.

Uppfylla lagkrav, förebygga bedrägeri och missbruk

Vi behandlar dina personuppgifter om det är nödvändigt för att hantera och bemöta ett rättsligt krav, t.ex. i samband med en tvist eller en rättsprocess. För detta syfte kan vi dela viss information med andra mottagare.

Vi behandlar personuppgifter i syfte att förebygga, upptäcka och utreda bedrägerier, obehörig användning och annat missbruk av våra tjänster.

Detta innefattar exempelvis:

• verifiering av identitet och ålder vid köp, bland annat genom BankID
• kontroll av betalningar och transaktioner för att upptäcka misstänkt aktivitet
• analys av order- och beteendemönster för att identifiera potentiellt missbruk
• förebyggande av åldersfusk, bedrägeri och otillåten användning av betalningsmedel
• loggning och analys av teknisk information, såsom IP-adress och enhetsdata, i syfte att skydda våra system

Personuppgifter kan i detta sammanhang delas med våra betalningsleverantörer, såsom Stripe och Klarna, samt andra relevanta aktörer i den utsträckning det är nödvändigt för att förhindra eller utreda bedrägerier.

Den rättsliga grunden för behandlingen är vårt berättigade intresse av att skydda vår verksamhet och våra kunder från bedrägerier, samt att uppfylla rättsliga skyldigheter.

5. Rättslig grund för behandling

Vi behandlar dina personuppgifter med stöd av följande rättsliga grunder:

• Fullgörande av avtal – Vi behandlar dina personuppgifter när det är nödvändigt för att ingå och fullgöra avtal med dig, till exempel för att hantera din beställning, leverera varor och administrera din prenumeration.
• Rättslig förpliktelse – NärVi behandlar dina personuppgifter när det krävs för att uppfylla rättsliga skyldigheter som åligger oss, till exempel enligt bokföringslagstiftning eller krav på ålderskontroll.
• Samtycke – I vissa fall behandlar vi dina personuppgifter baserat på ditt samtycke, till exempel om du väljer att prenumerera på nyhetsbrev. Du har rätt att när som helst återkalla ditt samtycke.
• Intresseavvägning – Vi kan behandla dina personuppgifter baserat på vårt berättigade intresse, exempelvis för att kommunicera med dig, ge kundservice, förebygga bedrägerier eller förbättra våra tjänster. I sådana fall gör vi en intresseavvägning för att säkerställa att vårt intresse väger tyngre än ditt intresse av att inte få dina uppgifter behandl. 

6. Lagring av personuppgifter

Vi sparar dina uppgifter:

• Orderdata: I upp till 7 år för bokföringsändamål.
• Kundkonto: Så länge kontot är aktivt.
• Prenumerationsdata: Under aktiv prenumeration + rimlig tid därefter.
• Tills du återkallar ditt samtycke.

När uppgifterna inte längre behövs raderas eller anonymiseras de.

7. Delning av uppgifter

Vi delar endast uppgifter med:

• Betaltjänstleverantörer (Stripe, Klarna)
• Frakt- och logistikföretag
• IT-leverantörer
• Myndigheter när lagen kräver det

Vi säljer aldrig dina personuppgifter till tredje part.

8. Cookies

Vi använder endast nödvändiga cookies som krävs för att webbplatsen ska fungera korrekt.

Dessa används exempelvis för:

• varukorg
• inloggning och session
• säkerhet
• betalning  

Eftersom vi endast använder nödvändiga cookies krävs inget samtycke.

Du kan själv blockera cookies via din webbläsare, men vissa funktioner på webbplatsen kan då sluta fungera korrekt.

Mer information finns i vår cookiepolicy.

9. Dina rättigheter

Du har rätt att:

• Rätt till tillgång (registerutdrag) – Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter samt få en kopia av dessa.
• Rätt till rättelse – Du har rätt att få felaktiga eller ofullständiga uppgifter rättade.
• Rätt till radering – Du har i vissa fall rätt att få dina personuppgifter raderade, exempelvis om uppgifterna inte längre är nödvändiga för ändamålet.
• Rätt till begränsning av behandling – Du har rätt att begära att behandlingen av dina uppgifter begränsas i vissa situationer.
• Rätt att invända – Du har rätt att invända mot behandling som grundar sig på vårt berättigade intresse.
• Rätt till dataportabilitet – Du har rätt att få ut de personuppgifter du själv har lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format, samt att få dem överförda till en annan personuppgiftsansvarig där det är tekniskt möjligt.
• Rätt att inge klagomål – Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlar dina personuppgifter i strid med gällande lagstiftning.

Se integritetsskyddsmyndigheten för vad den registrerade, vars peronuppgifter behandlar, har för rättigheter.

Om du vill utöva någon av dina rättigheter är du välkommen att kontakta oss via kontaktuppgifterna längst ned i denna policy.

10. Var vi behandlar personuppgifter

Vi strävar efter att behandla och lagra dina personuppgifter inom EU/EES. I vissa fall kan dina personuppgifter komma att överföras till och behandlas av mottagare utanför EU/EES, exempelvis i samband med användning av externa tjänsteleverantörer såsom betalningsleverantörer.

För att hantera betalningar använder vi Stripe som betalningsleverantör. Vid genomförande av betalning behandlas dina personuppgifter av Stripe, inklusive uppgifter såsom namn, kontaktuppgifter och betalningsinformation. Vi använder tekniska lösningar där kortuppgifter hanteras direkt av Stripe via säkra och krypterade anslutningar. Smokify lagrar inte några kortuppgifter.

För att möjliggöra återkommande betalningar, exempelvis vid prenumerationer, kan vi lagra referenser till dina betalningsuppgifter i form av ett kund-ID (customerId) och betalningsmetod-ID (paymentMethodId) från Stripe.

Eftersom Stripe är ett globalt bolag kan personuppgifter komma att behandlas utanför EU/EES, exempelvis i USA, främst på grund av risk/fraud-system, support eller redundans. När personuppgifter överförs utanför EU/EES säkerställer vi att lämpliga skyddsåtgärder vidtas i enlighet med gällande dataskyddslagstiftning. Detta kan innefatta:

• EU-kommissionens standardavtalsklausuler (SCC)
• andra godkända skyddsmekanismer enligt GDPR

11. Säkerhet

Vi använder lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust, ändring eller spridning.