Integritetspolicy
BigUp Technical Solution AB Senast uppdaterad: 2026-02-10
1. Personuppgiftsansvarig
| Personuppgiftsansvarig | BigUp Technical Solution AB |
| Organisationsnummer | 559181-4564 |
| Adress | Gamla Torget 1, 602 23 Norrköping |
| Dataskyddsombud (DPO) | Joakim Sternander |
| Kontakt DPO | joakim@bigup.se |
BigUp Technical Solution AB ("BigUp", "vi", "oss") driver plattformen BigUp för byggprojektledning. Denna integritetspolicy beskriver hur vi samlar in, använder, lagrar och skyddar dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR, förordning 2016/679) och kompletterande svensk lagstiftning, inklusive Dataskyddslagen (2018:218).
2. Personuppgifter vi samlar in
2.1 Kontouppgifter
- För- och efternamn, e-postadress, telefonnummer, födelsedatum
- Företagstillhörighet, språkinställning, profilbild
2.2 Svensk identitetsdata
- Personnummer, insamlat via BankID-autentisering
- ID06-kortinformation
- Organisationsnummer
2.3 Byggarbetsplatsåtkomst
- In- och utcheckningstider
- GPS-koordinater (latitud, longitud, noggrannhet, altitud) vid in-/utcheckning
- Dessa uppgifter utgör en del av den elektroniska personalliggaren enligt Skatteförfarandelagen
2.4 Nödkontakter
- Namn, telefonnummer och e-postadress till utsedda nödkontakter per projekt
2.5 Aktivitets- och granskningsdata
- Aktivitetsloggar som registrerar vem som ändrat vad och när
- Läskvittenser för dokument och filer
- Leveransstatus och bekräftelser för meddelanden
2.6 Autentiseringsdata
- Sessionscookies och tokens
- OAuth-åtkomst- och uppdateringstokens
- BankID-autentiseringsdata
- Enhetstoken för push-notiser
2.7 Kommunikationsdata
- Inbjudningar (e-postadress, namn)
- Externa delningsmottagare
- Kommentarsomnämnanden
2.8 Adresser
- Gatuadress, postnummer, ort, land
- Geografiska koordinater (latitud/longitud) för adresser
2.9 Kontakter och kunder
- Kontakt- och kundnamn, organisationsnummer, e-postadresser, telefonnummer
2.10 Certifikat
- Certifikatnamn, typ, utfärdare, giltighetsdatum och tillhörande filer
2.11 Sessionsinspelningar
- Skärminspelningar av användarinteraktioner i plattformen, inklusive formulärinmatningar och navigeringsmönster
- Metadata från nätverksförfrågningar som fångas under sessioner
- IP-adresser vid inspelningstillfället
- Användare identifieras i inspelningar med ID, e-post, namn och telefonnummer
2.12 Foton, video och ljud
- Foton tagna med enhetens kamera för byggrapporter och dokumentation
- Videoinspelningar (upp till 30 sekunder, med ljud) för platsdokumentation
- Dessa filer bifogas rapporter, uppgifter eller andra projektposter
2.13 Lokal datalagring på enheten
- OAuth-tokens och push-notistokens lagrade på din enhet
- Åtkomstnycklar för arbetsplatser, projektidentifierare och språkinställningar lagrade lokalt i din webbläsare eller app
- Dessa krävs för att applikationen ska fungera och överförs inte till tredje part
3. Rättslig grund för behandling
Vi behandlar dina personuppgifter baserat på följande rättsliga grunder enligt GDPR artikel 6.1:
| Behandling | Rättslig grund |
|---|
| Kontoskapande och plattformsdrift | Art. 6.1 b – Nödvändigt för fullgörande av avtal |
| BankID-identitetsverifiering | Art. 6.1 c – Rättslig förpliktelse; Art. 9.2 g – Viktigt allmänt intresse (svenska krav på identitetsverifiering) |
| Elektronisk personalliggare och byggarbetsplatsloggar | Art. 6.1 c – Rättslig förpliktelse enligt Skatteförfarandelagen (2011:1244) |
| GPS-position vid in-/utcheckning | Art. 6.1 c – Rättslig förpliktelse (krav för personalliggare); Art. 6.1 f – Berättigat intresse (verifiering av närvaro på plats) |
| Ekonomiska uppgifter och bokföringsintegration | Art. 6.1 c – Rättslig förpliktelse enligt Bokföringslagen (1999:1078), 7 års arkivering |
| Aktivitets- och granskningsloggar | Art. 6.1 f – Berättigat intresse (plattformssäkerhet, integritet och ansvarsskyldighet) |
| Felspårning och diagnostik | Art. 6.1 f – Berättigat intresse (tjänstens tillförlitlighet och förbättring) |
| Sessionsinspelning och UX-analys (Smartlook) | Art. 6.1 f – Berättigat intresse (tjänsteförbättring, UX-analys, felsökning) |
| Adressgeokodning (Google Maps) | Art. 6.1 b – Nödvändigt för fullgörande av avtal (adresssökning för projekt och byggarbetsplatser) |
| Kamera-, video- och ljudinspelning | Art. 6.1 b – Nödvändigt för fullgörande av avtal (dokumentation av byggarbete) |
| Lokal datalagring (tokens, inställningar) | Art. 6.1 b – Nödvändigt för fullgörande av avtal (applikationens funktionalitet) |
| Push-notiser | Art. 6.1 b – Nödvändigt för fullgörande av avtal (leverans av plattformstjänster) |
| Nödkontaktinformation | Art. 6.1 f – Berättigat intresse (arbetsmiljösäkerhet på byggarbetsplatser) |
Där vi stödjer oss på berättigat intresse (art. 6.1 f) har vi genomfört intresseavvägningar för att säkerställa att våra intressen inte åsidosätter dina grundläggande rättigheter och friheter. Du kan begära information om dessa bedömningar genom att kontakta vårt dataskyddsombud.
4. Lagringstider
Vi behåller personuppgifter bara så länge det är nödvändigt för de ändamål de samlades in, eller så länge lagen kräver:
| Datakategori | Lagringstid | Grund |
|---|
| Känsliga personuppgifter (t.ex. personnummer) | 90 dagar efter senaste användning, eller vid kontoborttagning | Plattformens säkerhetspolicy |
| Aktivitets-/granskningsloggar | 365 dagar | Plattformens integritet |
| Användarsessioner | 120 minuters inaktivitet | Sessionshantering |
| OAuth-åtkomsttokens | 1 dag | Autentiseringssäkerhet |
| OAuth-uppdateringstokens | 30 dagar | Autentiseringssäkerhet |
| Token för lösenordsåterställning | 60 minuter | Säkerhet |
| Korttidssäkerhetskopior | 7 dagar | Katastrofåterställning |
| Långtidssäkerhetskopior | 32 dagar | Katastrofåterställning |
| Personalliggare (byggarbetsplatsloggar) | Minst 2 år | Skatteförfarandelagen (2011:1244) |
| Bokföringsmaterial | 7 år | Bokföringslagen (1999:1078) |
Efter att lagringstiden löpt ut raderas eller anonymiseras uppgifterna. Vissa uppgifter kan behållas i anonymiserad form för statistiska ändamål.
5. Tredjepartsbiträden
Vi använder följande tredjepartsleverantörer (personuppgiftsbiträden) för att driva plattformen. Samtliga biträden är bundna av personuppgiftsbiträdesavtal i enlighet med GDPR artikel 28.
| Biträde | Ändamål | Land/Region | Skyddsåtgärd vid överföring |
|---|
| Finansiell ID-Teknik BID AB (BankID) | Digital identitetsautentisering | Sverige | Ej tillämpligt (EU/EES) |
| 46elks AB | SMS-leverans | Sverige | Ej tillämpligt (EU/EES) |
| Fortnox AB | Bokföring och ekonomiintegration | Sverige | Ej tillämpligt (EU/EES) |
| BunnyWay d.o.o. (Bunny.net) | Video-CDN | Slovenien (EU) | Ej tillämpligt (EU/EES) |
| Met.no (Norska meteorologiska institutet) | Väderdata | Norge (EES) | Ej tillämpligt (EU/EES) |
| Oderland Webbhotell AB | Applikationshosting (hanterade servrar) | Sverige | Ej tillämpligt (EU/EES) |
| Hetzner Online GmbH | Objektlagring (S3) och säkerhetskopior | Tyskland (EU) | Ej tillämpligt (EU/EES) |
| Scaleway (Iliad Group) | Objektlagring (S3) och säkerhetskopior | Frankrike (EU) | Ej tillämpligt (EU/EES) |
| Smartlook.com s.r.o. (Smartlook) | Sessionsinspelning och UX-analys – registrerar användarinteraktioner, formulärinmatningar, nätverksförfrågningar och IP-adresser | Tjeckien (EU) | Ej tillämpligt (EU/EES) |
| Google LLC (Google Maps Platform) | Geokodning, omvänd geokodning och adresssökning för byggarbetsplatser och projekt | USA/EU | EU-US Data Privacy Framework / SCC |
| Tolgee s.r.o. (Tolgee) | Översättnings- och lokaliseringsplattform | Tjeckien (EU) | Ej tillämpligt (EU/EES) |
| Functional Software Inc. (Sentry) | Felspårning och diagnostik – samlar in felrapporter, användarfeedback med skärmdumpar, prestandaspårning i webbläsaren och releaseversion; användare identifieras med namn och e-post | USA | EU-US Data Privacy Framework / SCC |
| Google LLC (Firebase/FCM) | Push-notiser | USA/EU | EU-US Data Privacy Framework / SCC |
| E-postleverantör (Mailgun/Postmark/SES) | Transaktionell e-postleverans | USA/EU | EU-US Data Privacy Framework / SCC |
| Techlove Dev AB | Plattformsutveckling och datahantering | Sverige | Ej tillämpligt (EU/EES) |
| HiQ Accelerated Concept Evaluation AB | Plattformsutveckling och datahantering | Sverige | Ej tillämpligt (EU/EES) |
| Typesense | Sökindexering | Sverige | Ej tillämpligt (EU/EES) |
| Google Cloud | Översättnings-API | USA/EU | EU-US Data Privacy Framework / SCC |
| Autodesk Inc. | 3D-modellbehandling (BIM) | USA | EU-US Data Privacy Framework / SCC |
Vid överföring av personuppgifter till länder utanför EU/EES (främst USA) stödjer vi oss på EU-US Data Privacy Framework och/eller standardavtalsklausuler (SCC) antagna av Europeiska kommissionen, i enlighet med GDPR artiklarna 44–49.
6. Cookies
BigUp använder enbart nödvändiga och funktionella cookies. Vi använder inga marknadsförings-, reklam- eller tredjepartsspårningscookies.
| Cookie | Ändamål | Typ | Varaktighet |
|---|
| bigup_session | Sessionshantering | Nödvändig | 120 minuter |
| XSRF-TOKEN | CSRF-skydd | Nödvändig | Session |
| Kom-ihåg-mig-token | Beständig inloggning (om användaren väljer det) | Funktionell | Beständig |
Eftersom vi enbart använder strikt nödvändiga och funktionella cookies krävs ingen cookiebanner enligt ePrivacy-direktivet artikel 5.3.
Lokal datalagring på enheten
Utöver cookies lagrar BigUps mobil- och webbapp följande data lokalt på din enhet:
| Lagringsmekanism | Data | Typ | Ändamål |
|---|
| localStorage | site_access_key, construction_site_id, theme, project_id, locale | Nödvändig | Applikationsstatus och inställningar |
| IndexedDB (Ionic Storage) | access_token, push_token | Nödvändig | Autentisering och push-notiser |
Denna data finns kvar på din enhet och delas inte med tredje part. Den rensas när du loggar ut eller avinstallerar applikationen.
7. Enhetsbehörigheter
BigUps mobilapp kan begära följande enhetsbehörigheter. Varje behörighet begärs först när den behövs för en specifik funktion och kan hanteras via enhetens inställningar.
| Behörighet | Ändamål |
|---|
| Kamera | Fotografering för byggrapporter, uppgiftsdokumentation och platsregister |
| Mikrofon | Ljudinspelning som del av videoinspelningar för platsdokumentation |
| Platsåtkomst (GPS) | Bestämma din position för fältrapporter, in-/utcheckning på byggarbetsplats och verifiering av närvaro |
| Push-notiser (Firebase FCM) | Ta emot realtidsaviseringar om projektuppdateringar, uppgifter och meddelanden |
Du kan när som helst återkalla dessa behörigheter via enhetens inställningar. Att återkalla en behörighet kan begränsa funktionaliteten för motsvarande funktion.
8. Dina rättigheter som registrerad
Enligt GDPR artiklarna 15–22 har du följande rättigheter avseende dina personuppgifter:
8.1 Rätt till tillgång (art. 15)
Du har rätt att begära en kopia av de personuppgifter vi har om dig, tillsammans med information om hur de behandlas.
8.2 Rätt till rättelse (art. 16)
Du har rätt att begära korrigering av felaktiga eller ofullständiga personuppgifter. Du kan uppdatera de flesta kontouppgifter direkt i plattformen.
8.3 Rätt till radering (art. 17)
Du har rätt att begära radering av dina personuppgifter, med förbehåll för lagstadgade arkiveringskrav (t.ex. personalliggare som måste sparas i 2 år, bokföringsmaterial i 7 år).
8.4 Rätt till begränsning av behandling (art. 18)
Du har rätt att begära begränsning av behandlingen under vissa omständigheter, till exempel när du bestrider uppgifternas korrekthet.
8.5 Rätt till dataportabilitet (art. 20)
Du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Förfrågningar om dataportabilitet hanteras för närvarande manuellt av vårt dataskyddsombud – kontakta joakim@bigup.se.
8.6 Rätt att göra invändningar (art. 21)
Du har rätt att invända mot behandling som grundar sig på berättigat intresse (art. 6.1 f). Vi upphör med behandlingen om vi inte kan påvisa tvingande berättigade skäl.
8.7 Rätt att inte bli föremål för automatiserat beslutsfattande (art. 22)
BigUp använder inte automatiserat beslutsfattande eller profilering som har rättsliga effekter eller på liknande sätt i betydande grad påverkar dig.
Så utövar du dina rättigheter
Kontakta vårt dataskyddsombud:
- E-post: joakim@bigup.se
- Post: BigUp Technical Solution AB, Att: Dataskyddsombud, Gamla Torget 1, 602 23 Norrköping
Vi besvarar din begäran inom 30 dagar. Om vi behöver mer tid (upp till 60 ytterligare dagar vid komplexa förfrågningar) informerar vi dig inom den inledande 30-dagarsperioden.
Tillsynsmyndighet
Om du inte är nöjd med vårt svar har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY):
9. Kontoborttagning
Du kan ta bort ditt konto direkt i BigUp-plattformen. När du tar bort ditt konto genomförs följande:
- Alla autentiseringstokens och enhetstoken återkallas och raderas
- Ditt personnummer raderas permanent
- Ditt namn ersätts med "Deleted User"
- Din e-postadress ersätts med en icke-funktionell platsadress
- Ditt telefonnummer, födelsedatum och push-notistokens tas bort
- Din profilbild raderas
Observera:
- Personalliggareuppgifter som omfattas av lagstadgad arkivering behålls under den lagstadgade perioden men kopplas inte längre till ditt identifierbara konto
- Bokföringsmaterial som krävs enligt Bokföringslagen behålls i 7 år
- Mjukraderade poster kan behållas för revisionsändamål där lag kräver det
10. Säkerhetsåtgärder
Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter i enlighet med GDPR artikel 32:
- Lösenordssäkerhet: Bcrypt-hashningsalgoritm
- Sessionssäkerhet: HTTP-only-cookies med SameSite=Lax
- CSRF-skydd: Tokenbaserat skydd mot cross-site request forgery
- Skydd av identitetsdata: Personnummer raderas permanent vid kontoborttagning
- Åtkomstkontroll: Rollbaserad åtkomstkontroll (RBAC) genom hela plattformen
- Säkerhetskopior: Krypterade säkerhetskopior med definierade lagringstider
- Integritetsskydd vid felspårning: Insamling av personligt identifierbar information (PII) är inaktiverad som standard i felspårningen
- Transportkryptering: All data överförs via HTTPS/TLS
11. Ändringar av denna policy
Vi kan komma att uppdatera denna integritetspolicy. Väsentliga ändringar meddelas via plattformen eller per e-post. Datumet "Senast uppdaterad" högst upp i detta dokument anger när policyn senast reviderades.
12. Kontakt
Vid frågor om denna integritetspolicy eller vår personuppgiftsbehandling, kontakta:
BigUp Technical Solution AB
Att: Dataskyddsombud
Gamla Torget 1, 602 23 Norrköping
E-post: joakim@bigup.se
