Integritetspolicy

Personuppgiftsansvarig

AccoZen AB, org.nr 559544-8159, är personuppgiftsansvarig för behandlingen av dina personuppgifter när du använder vår bokföringstjänst ("Tjänsten"). Vi värnar om din integritet och behandlar alltid dina uppgifter i enlighet med EU:s dataskyddsförordning (GDPR) och svensk dataskyddslagstiftning.

1. Vilka personuppgifter vi behandlar

Vi samlar in och behandlar följande kategorier av personuppgifter:

Kontouppgifter

• Namn och e-postadress
• Lösenord (krypterat)
• Telefonnummer (valfritt)

Företagsuppgifter

• Företagsnamn och organisationsnummer
• Adress och kontaktuppgifter
• Bankkontouppgifter för integration

Bokföringsdata

• Fakturor, kvitton och andra verifikat
• Banktransaktioner (via direktkoppling eller importerade CSV-filer)
• Skattekontotransaktioner (via direktkoppling med Skatteverket eller importerade CSV/SKV-filer)
• Kund- och leverantörsuppgifter
• Bokföringsposter och verifikationer

Löneuppgifter (om Kundens anställda)

När Kunden använder lönehanteringsmodulen behandlas följande uppgifter om Kundens anställda. För dessa uppgifter är Kunden personuppgiftsansvarig och AccoZen personuppgiftsbiträde.

• Personnummer och anställningsnummer
• Namn, adress och e-postadress
• Bankkontouppgifter (clearingnummer och kontonummer) för löneutbetalning
• Anställningsdatum, eventuellt slutdatum, personalkategori (arbetare/tjänsteman)
• Skatteuppgifter (skattetabell, skattekolumn, skatteform inkl. SINK/A-SINK, eventuell skatteprocent)
• Lön, förmåner, avdrag, ersättningar och löneartiklar per lönekörning
• Semesterdagar (rätt, betalda, sparade, uttagna)
• Frånvarouppgifter, inklusive föräldraledighet och vård av sjukt barn (VAB), enligt vad Kunden registrerar för AGI-rapportering
• FORA-uppgifter (FOK-kod, startdatum, eventuellt undantag från FORA-rapportering)
• Ingående värden från tidigare lönesystem (årets bruttolön, skatt, arbetsgivaravgifter)

Tekniska uppgifter

• IP-adress och enhetsuppgifter
• Webbläsartyp och inställningar
• Användningsloggar och aktivitetsdata
• Inloggningshistorik

2. Hur vi samlar in uppgifter

Vi samlar in personuppgifter på följande sätt:

• Direkt från dig: När du registrerar ett konto, uppdaterar dina uppgifter eller kontaktar vår support
• Genom uppladdade dokument: Fakturor, kvitton och andra verifikat som du laddar upp till Tjänsten
• Via e-postinmatning av leverantörsfakturor och kvitton: PDF- och bildbilagor som du eller dina leverantörer skickar till företagets unika ingest-adresser för leverantörsfakturor (inv-{token}@invoices.accozen.se), bankkvitton (bank-{token}@…) eller kreditkortskvitton (cc-{token}@…). Se avsnitt 5f nedan
• Via bankkoppling: Banktransaktioner som hämtas automatiskt när du kopplar din bank via vår Open Banking-integration
• Via skattekontokoppling: Skattekontotransaktioner och saldon som hämtas när du kopplar ditt skattekonto via Skatteverkets API med e-legitimation (BankID eller Freja eID+)
• Via import: Bank- och skattekontotransaktioner som du importerar via CSV-filer
• Via lönehanteringsmodulen: Uppgifter om dina anställda som du registrerar manuellt eller importerar från BL Anställdakort (Excel)
• Automatiskt: Tekniska uppgifter som samlas in när du använder Tjänsten

3. Varför vi behandlar uppgifter

Vi behandlar dina personuppgifter för följande ändamål och med följande rättsliga grunder enligt GDPR:

4. AI-funktioner och databehandling

AccoZen använder AI-teknik för att automatisera och förenkla bokföringsprocesser. Detta inkluderar:

• Automatisk tolkning av fakturor och kvitton (OCR och dokumenttolkning)
• Automatiska kontoförslag baserat på historik, mönster och AI-analys
• AI-assisterad bokföringsvägledning
• Automatisk kategorisering av utgifter

AI-leverantörer: Vi använder etablerade AI-leverantörer, inklusive OpenAI, Google Cloud och Alibaba Cloud, som underleverantörer för AI-funktioner. Dessa agerar som personuppgiftsbiträden och behandlar data enligt våra instruktioner och strikta säkerhetskrav.

Opt-out: Du kan välja att inte använda AI-funktionerna genom att manuellt mata in och kontera dina verifikat. Kontakta vår support om du önskar stänga av AI-funktioner för ditt konto.

Lönedata behandlas inte med AI: Personuppgifter som hanteras i lönehanteringsmodulen (anställdas personnummer, namn, bankkonton, löner, förmåner, skatte- och frånvarouppgifter m.m.) skickas inte till AccoZen:s AI-leverantörer. Skatteberäkning, arbetsgivaravgifter, AGI-, FORA- och banktillförningsfiler genereras med deterministisk programkod, inte med AI-modeller.

5. Tredjepartsleverantörer

Vi delar personuppgifter med följande kategorier av tredjeparter som behandlar uppgifter på vårt uppdrag (personuppgiftsbiträden):

*För överföring till USA och andra länder utanför EU/EES säkerställer vi lämpliga skyddsåtgärder enligt GDPR, inklusive standardavtalsklausuler (SCC) och EU-U.S. Data Privacy Framework där tillämpligt.

5b. Direkt bankkoppling (Open Banking)

AccoZen erbjuder direkt bankkoppling via Open Banking (PSD2) för automatisk hämtning av banktransaktioner. Denna tjänst tillhandahålls i samarbete med Enable Banking Oy, en licensierad leverantör av kontoinformationstjänster (AIS) inom EU.

Hur det fungerar

• Du initierar bankkopplingen i AccoZen och omdirigeras till din banks inloggningssida
• Du autentiserar dig direkt hos din bank (AccoZen ser aldrig dina bankinloggningsuppgifter)
• Efter godkännande hämtas transaktioner och saldon automatiskt
• Kopplingen är giltig i upp till 180 dagar, därefter krävs förnyat samtycke

Vilka uppgifter som hämtas

• Kontonamn och kontonummer
• Kontosaldo
• Transaktionshistorik (belopp, datum, motpart, referens)

Ditt samtycke: Bankkopplingen baseras på ditt uttryckliga samtycke som du lämnar via din banks autentiseringsprocess. Du kan när som helst avsluta bankkopplingen i AccoZen, vilket omedelbart stoppar hämtning av nya transaktioner.

Säkerhet: Enable Banking är auktoriserade av Finansinspektionen i Finland och följer strikta säkerhetskrav enligt PSD2-direktivet. Inga bankinloggningsuppgifter lagras av AccoZen eller Enable Banking.

5c. Direkt skattekontokoppling (Skatteverket)

AccoZen erbjuder direkt koppling till ditt skattekonto hos Skatteverket via deras Skattekonto Partner API. Tjänsten gör det möjligt att synka skattekontotransaktioner och saldon direkt, utan manuell import av CSV- eller SKV-filer.

Hur det fungerar

• Du initierar kopplingen i AccoZen och omdirigeras till Skatteverkets inloggningssida
• Du autentiserar dig med e-legitimation (BankID eller Freja eID+) direkt hos Skatteverket – AccoZen ser aldrig dina inloggningsuppgifter
• Efter autentisering hämtas skattekontotransaktioner och saldo automatiskt
• Varje synkning kräver ny autentisering med e-legitimation – ingen permanent koppling lagras

Vilka uppgifter som hämtas

• Skattekontotransaktioner (belopp, datum, beskrivning, transaktionsidentitet)
• Dagssaldo på skattekontot

Vilka uppgifter som skickas

• Företagets organisationsnummer (krävs av Skatteverkets API för att identifiera skattekontot)

Ditt samtycke: Kopplingen baseras på ditt uttryckliga samtycke som du lämnar genom att autentisera dig med e-legitimation hos Skatteverket. Ingen permanent koppling eller åtkomsttoken lagras – varje synkning är en fristående engångsåtgärd.

Säkerhet: Kommunikationen sker via Skatteverkets officiella OAuth2-API med krypterad anslutning. Temporära autentiseringsuppgifter (auth state) raderas automatiskt efter 15 minuter och kan inte återanvändas.

5d. Lönehantering – externa filer och rapportering

När Kunden använder lönehanteringsmodulen genererar AccoZen filer som innehåller personuppgifter om Kundens anställda. Filerna laddas ner av Kunden och lämnas in eller laddas upp av Kunden själv till respektive mottagare. För dessa överföringar är Kunden personuppgiftsansvarig.

AGI – Arbetsgivardeklaration på individnivå

AGI-filen är en XML-fil enligt Skatteverkets schema och innehåller per anställd: personnummer, redovisad bruttolön, förmåner, avdragen skatt, arbetsgivaravgifter samt eventuella frånvarouppgifter (föräldraledighet och vård av barn). Kunden laddar ner filen från Tjänsten och lämnar in den till Skatteverket via Skatteverkets filöverföring. AccoZen överför inte AGI-filer till Skatteverket.

FORA – Månadsrapport arbetare

FORA-filen är en JSON-fil enligt FORA:s aktuella filspecifikation och innehåller per anställd: personnummer, namn, FOK-kod, startdatum samt månadens bruttolön. Kunden laddar ner filen och laddar upp den till FORA:s portal Mina sidor. AccoZen överför inte FORA-filer till FORA. För årsrapportering av tjänstemän tillhandahåller Tjänsten en sammanställning som Kunden själv för in manuellt på fora.se.

Banktillförningsfil (ISO20022 pain.001)

Banktillförningsfilen är en XML-fil enligt ISO20022-standarden och innehåller per anställd: namn, bankkonto (clearingnummer och kontonummer) samt nettolön att utbetala. Filen innehåller inte anställdas personnummer. Kunden laddar ner filen och laddar upp den till sin egen bank. AccoZen överför inte filen till någon bank.

Utskick av lönebesked via e-post

Tjänsten kan skicka lönebesked till anställda via e-post. PDF-filerna innehåller anställdas personnummer, lön, förmåner, avdragen skatt, semesterdagar och eventuella meddelanden. Utskicket sker via vår e-postleverantör Postmark (ActiveCampaign), USA, som agerar personuppgiftsbiträde under standardavtalsklausuler.

Lösenordsskyddade PDF:er: Kunden kan välja att skicka lönebesked som AES-256-krypterade PDF-filer. Lösenordet utgörs av antingen de fyra sista siffrorna i den anställdas personnummer eller hela personnumret, enligt Kundens val i Tjänstens inställningar. Detta är en grundläggande skyddsåtgärd mot obehörig åtkomst om e-postmeddelandet hamnar fel; den ersätter inte stark autentisering och bör kompletteras med säker e-postleverans där så krävs.

5e. Personnummer och anställdas uppgifter

Behandling av personnummer förutsätter enligt 3 kap. 10 § dataskyddslagen (2018:218) att behandlingen är klart motiverad med hänsyn till ändamålet, vikten av säker identifiering eller annat beaktansvärt skäl. För lönehantering är behandlingen motiverad eftersom personnummer krävs för korrekt skatteavdrag, arbetsgivaravgifter, AGI-rapportering och FORA-rapportering.

Kundens ansvar: När Kunden använder lönehanteringsmodulen är Kunden personuppgiftsansvarig för uppgifter om sina anställda. Kunden ansvarar för att ha rättslig grund enligt artikel 6 GDPR, för att informera de anställda enligt artiklarna 13–14 GDPR, samt för att hantera anställdas begäran om tillgång, rättelse och radering. AccoZen biträder Kunden vid sådana begäranden i den utsträckning det är tekniskt möjligt.

Frånvarouppgifter: Tjänsten gör det möjligt att registrera frånvaro av typen föräldrapenning och tillfällig föräldrapenning (VAB) för AGI-rapportering. Sådan information kan avslöja uppgifter om familjeförhållanden och i vissa fall hälsa. Kunden ansvarar för att ha laglig grund för behandlingen, typiskt arbetsrättslig förpliktelse enligt artikel 9.2 b GDPR, samt för att begränsa registrering till det som krävs för rapporteringen.

Begränsningar: AccoZen använder uppgifter om Kundens anställda enbart för att tillhandahålla Tjänsten. Vi använder inte dessa uppgifter för marknadsföring och, som anges i avsnitt 4 ovan, skickas de inte till våra AI-leverantörer.

5f. E-postinmatning av leverantörsfakturor och kvitton

Tjänsten tilldelar varje företag tre unika ingest-adresser som delar samma token, där lokala delens prefix avgör hur den inkomna bilagan hanteras:

• inv-{token}@invoices.accozen.se – leverantörsfakturor (flödet "Leverantörsfakturor")
• bank-{token}@invoices.accozen.se – bankkvitton (Underlag bankkonto)
• cc-{token}@invoices.accozen.se – kreditkortskvitton (Underlag kreditkort)

token är en slumpmässigt genererad sträng. Mejl till någon av adresserna läggs automatiskt upp i motsvarande flöde och tolkas med samma AI-pipeline som manuellt uppladdade dokument.

Hur det fungerar

• Mejl till någon av adresserna tas emot av vår e-postleverantör Postmark, som tolkar MIME-strukturen och extraherar bilagor
• Postmark skickar därefter en strukturerad förfrågan (webhook) till AccoZen med bilagorna och tillhörande metadata. AccoZen avgör därefter, utifrån prefixet i mottagaradressen, om bilagan ska hanteras som leverantörsfaktura eller som bank- eller kreditkortskvitto
• AccoZen sparar bilagorna i samma S3-baserade dokumentlagring som vid manuell uppladdning (EU, Stockholm) och kör samma AI-tolkning, FY-validering och kontoförslag
• Leverantörsfakturor visas under fliken "Leverantörsfakturor"; kvitton hamnar i motsvarande underlagsflöde och föreslås automatiskt att matchas mot transaktioner med samma belopp och datum. Ingen automatisk bokföring sker utan Kundens åtgärd

Vilka uppgifter som behandlas

• Bilagornas innehåll (PDF- och bildfiler upp till 10 MB per bilaga, övriga filtyper avvisas)
• Avsändarens e-postadress, ärenderad och Postmarks meddelande-ID – sparas som metadata på den genererade uppladdningsjobbet för revision och dubblettkontroll
• Ingen tolkning av e-postmeddelandets brödtext görs – mejl utan giltiga bilagor kasseras tyst

Avsändare som tredje part

När Kunden ber sina leverantörer skicka fakturor direkt till ingest-adressen blir leverantörens e-postadress en personuppgift som behandlas av AccoZen för Kundens räkning. Behandlingen sker i syfte att tillhandahålla Tjänsten samt för spårbarhet i händelse av support- eller säkerhetsärenden. Kunden ansvarar för att informera leverantörer som använder ingest-adressen om att deras avsändaradress hanteras av AccoZen i denna kontext.

Skydd mot missbruk

• Ingest-adressen innehåller en oförutsägbar token (~50 bitars entropi) för att försvåra obehöriga utskick
• Frekvensbegränsning per adress (för närvarande 100 mejl/timme) för att begränsa konsekvenserna av eventuell adressläcka
• AI-kvotkontroll innan tolkning startar – samma månadskvot som vid manuell uppladdning
• Bilagor som inte är PDF- eller bildfiler avvisas vid validering

Om adressen läcker: Kontakta vår support på support@accozen.se så hjälper vi till att generera en ny ingest-adress.

5g. Intresseanmälan och kontaktformulär

När du fyller i ett kontakt- eller intresseanmälningsformulär på vår webbplats (t.ex. formuläret för AccoZen Fullservice eller vårt allmänna kontaktformulär) behandlar vi följande uppgifter:

• Organisationsnummer
• E-postadress
• Mobilnummer
• Eventuella val du gör i formuläret (t.ex. om du redan är kund)
• Eventuellt fritextmeddelande

Ändamål och rättslig grund: Uppgifterna behandlas för att kunna återkomma till dig om din förfrågan och, vid intresseanmälan för Fullservice, för att inleda eventuella förhandlingar om ett uppdragsavtal. Rättslig grund är åtgärder före avtal (GDPR art. 6.1 b) och berättigat intresse (GDPR art. 6.1 f) av att besvara din kontakt.

Mottagare: Intresseanmälan för Fullservice landar i mailboxen fullservice@accozen.se. Övriga kontaktförfrågningar landar i support@accozen.se. Båda mailboxar drivs av AccoZen AB. Vi delar inte uppgifterna med utomstående parter utöver vår e-postleverantör Postmark (se avsnitt 5).

Bekräftelse: För intresseanmälan via Fullservice-formuläret skickas en automatisk bekräftelse till den angivna e-postadressen.

Lagringstid: Vi sparar uppgifter från intresseanmälningar och kontaktformulär i upp till 12 månader efter senaste kontakt om inget uppdragsavtal ingås. Om uppdragsavtal tecknas övergår uppgifterna till kunddata och hanteras enligt avtalets villkor och denna policy.

6. Lagringstid

Vi lagrar dina personuppgifter enligt följande principer:

• Kontodata: Så länge ditt konto är aktivt och prenumerationen pågår
• Vid kontoborttagning: Dina personuppgifter raderas eller anonymiseras efter 7 dagars betänketid
• Intresseanmälningar och kontaktförfrågningar: Upp till 12 månader efter senaste kontakt om inget uppdragsavtal ingås (se avsnitt 5g)
• Faktureringshistorik: 7 år efter avslutat räkenskapsår enligt bokföringslagen
• Lönerelaterad räkenskapsinformation: Lönebesked, lönejournaler, AGI-inlämningar (XML och submission-poster), FORA-rapporter och frånvaroregistreringar sparas i 7 år efter avslutat räkenskapsår enligt bokföringslagen (1999:1078)
• Supportärenden: Upp till 2 år efter ärendets avslut
• Tekniska loggar: Upp till 12 månader

Viktigt: Innan du avslutar ditt konto rekommenderar vi att du exporterar din bokföringsdata i SIE-format. Enligt svensk bokföringslag (1999:1078) måste räkenskapsinformation sparas i minst 7 år – detta är ditt ansvar som företagare.

7. Dina rättigheter

Enligt GDPR har du följande rättigheter avseende dina personuppgifter:

• Rätt till tillgång: Du kan begära information om vilka personuppgifter vi behandlar om dig
• Rätt till rättelse: Du kan begära att felaktiga uppgifter korrigeras
• Rätt till radering: Du kan begära att dina uppgifter raderas ("rätten att bli glömd")
• Rätt till dataportabilitet: Du kan begära att få ut dina uppgifter i ett maskinläsbart format (t.ex. SIE-export)
• Rätt till begränsning: Du kan begära att behandlingen av dina uppgifter begränsas
• Rätt att invända: Du kan invända mot behandling som grundas på berättigat intresse
• Rätt att återkalla samtycke: Om behandlingen grundas på samtycke kan du när som helst återkalla det

Radering av användarkonto

Du kan själv begära radering av ditt användarkonto direkt i Tjänsten:

• Webbappen: Gå till "Mitt användarkonto" och välj "Radera konto"
• Mobilappen: Gå till Profil och välj "Radera konto"

När du begär radering av ditt konto träder en 7-dagars betänketid i kraft. Under denna tid kan du avbryta raderingen genom att kontakta vår support. Efter betänketiden raderas eller anonymiseras dina personuppgifter permanent.

Observera: Företag du äger hanteras separat enligt ägarskaps- och datalagringskrav. Om du är ensam ägare eller administratör av ett företag eller en byrå med aktiva klientföretag, måste du först överföra ägarskapet eller radera dessa innan du kan radera ditt användarkonto.

För övriga förfrågningar om dina rättigheter, kontakta oss på support@accozen.se.

Klagomål: Om du är missnöjd med hur vi behandlar dina personuppgifter har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY): www.imy.se

8. Säkerhet

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust eller förstöring:

• Kryptering: All data krypteras vid överföring (TLS/HTTPS) och vid lagring (AES-256)
• EU-lagring: All primärdata lagras på AWS-servrar i Stockholm-regionen
• Åtkomstkontroll: Strikt behörighetsstyrning och tvåfaktorsautentisering för administration
• Säkerhetskopiering: Regelbunden automatisk backup av alla data
• Övervakning: Kontinuerlig övervakning av säkerhetsincidenter

9. Cookies

Vi använder cookies och liknande tekniker för att förbättra din upplevelse av Tjänsten:

• Nödvändiga cookies: Krävs för att Tjänsten ska fungera (t.ex. sessionshantering, inloggning)
• Funktionscookies: Sparar dina preferenser och inställningar
• Analyscookies: Hjälper oss förstå hur Tjänsten används för att kunna förbättra den

Du kan hantera cookies via din webbläsares inställningar. Observera att blockering av nödvändiga cookies kan påverka Tjänstens funktionalitet.

10. Ändringar av integritetspolicyn

Vi kan komma att uppdatera denna integritetspolicy vid behov. Vid väsentliga ändringar meddelar vi dig minst 30 dagar i förväg via e-post eller genom ett meddelande i Tjänsten.

Datumet för senaste uppdatering anges överst på denna sida. Vi rekommenderar att du regelbundet granskar denna policy för att hålla dig informerad om hur vi skyddar din information.