Integritetspolicy
Senast uppdaterad: 2026-05-02
Den här policyn beskriver hur Värmeverket behandlar personuppgifter när du besöker varmeverket.com, ansöker om medlemskap, bokar lokaler, köper biljetter eller på andra sätt interagerar med vår verksamhet. Vi följer EU:s dataskyddsförordning (GDPR) och svensk lagstiftning.
1. Vem vi är
Personuppgiftsansvarig för behandlingen är Stiftelsen Värmeverket, organisationsnummer 802482-0477, med säte på Bredängsvägen 203, 127 34 Skärholmen.
Frågor om personuppgifter, eller önskemål om att utöva dina rättigheter, skickas till integritet@varmeverket.com.
2. Vad omfattas av policyn
Policyn gäller behandling som sker via varmeverket.com, vår medlemsportal samt de bakomliggande systemen för bokning, fakturering, fysisk passage och kommunikation. Den gäller inte tjänster från tredje part som du når via länkar härifrån — där ansvarar respektive leverantör för sin egen behandling.
3. Vilka uppgifter vi behandlar och varifrån de kommer
Vi behandlar följande kategorier av personuppgifter om dig:
- Identitet — namn, pronomen, födelsedatum.
- Kontaktuppgifter — e-post, telefonnummer, adress.
- Ekonomiska uppgifter — Stripe-kund-ID, faktureringsadress, betalningar och prenumerationsstatus.
- Tekniska uppgifter — IP-adress, webbläsartyp, cookie-ID:n och loggdata vid besök på webbplatsen.
- Beteendedata — analyshändelser om du har samtyckt, samt eventuella konversationer med vår AI-baserade chattfunktion.
- Ansökningsinnehåll — uppgifter du själv lämnar vid medlemskapsansökan, inklusive porträtt, motivation, bakgrund och frivilliga fält. Vissa fält kan innehålla uppgifter som angränsar till känsliga kategorier (t.ex. tillhörighet till minoritetsgrupp). Sådana fält är frivilliga.
- Passagedata — händelser från vårt passersystem (in- och utpassering kopplade till nyckel eller PIN-kod).
- Bild — profilbild om du laddar upp en sådan.
Uppgifterna kommer i första hand från dig själv när du registrerar ett konto, fyller i ett formulär eller använder våra tjänster. Vi tar även emot uppgifter från Stripe (betalningsmetadata), Skedda (importerade bokningar via iCal) samt vårt passersystem (logghändelser).
4. Varför vi behandlar dina uppgifter
Nedan listar vi de ändamål för vilka vi behandlar personuppgifter och den rättsliga grunden för respektive behandling.
| Ändamål | Rättslig grund |
|---|---|
| Hantera medlemskap, konto och inloggning (inklusive engångslänkar via e-post). | Avtal; berättigat intresse av identitetskontroll. |
| Tillhandahålla fysisk passage via nycklar, PIN-koder och passersystem. | Avtal; berättigat intresse av säkerhet. |
| Hantera bokningar av lokaler och rum, inklusive kvoter och kösystem. | Avtal. |
| Fakturering, prenumerationer och beräkning av automatisk moms. | Avtal; rättslig förpliktelse (bokföring och skatt). |
| Skicka transaktionsmejl (kvitton, bekräftelser, lösenordsåterställning) och logga leverans. | Avtal. |
| Skicka nyhetsbrev och marknadsföring via SendGrid Marketing Campaigns. | Samtycke. Du kan när som helst avregistrera dig. |
| Hantera medlemskapsansökningar (manuell granskning). | Samtycke vid inskickad ansökan; berättigat intresse av att utvärdera ansökningar. |
| AI-stödd taggning av medlemsprofiler för att ge personaliserade rekommendationer av evenemang och kurser, samt för att hitta medlemmar med relevanta intressen eller färdigheter inför evenemang. | Berättigat intresse av att tillgängliggöra och matcha medlemmars intressen och färdigheter. |
| Sälja och kontrollera evenemangsbiljetter, inklusive QR-skanning och loggning av skanningstillfällen. | Avtal; berättigat intresse av att förebygga bedrägeri. |
| Hantera värvningsprogram (vän värvar vän) och tillhörande rabattkoder. | Avtal. |
| Ta emot och besvara förfrågningar via formulär (kontakt, lokalförfrågan, förening m.fl.). | Samtycke; berättigat intresse av att besvara förfrågan. |
| Hantera supportärenden kopplade till lokaler eller passage. | Avtal; berättigat intresse av drift. |
| Logga åtgärder för intern revision och säkerhetsövervakning, samt blockera misstänkt missbruk (404-loggning). | Berättigat intresse av säkerhet och revisionsspår. |
| Mäta webbplatstrafik via Google Analytics och Sitebehaviour samt mäta annonsering via LinkedIn Insight Tag. | Samtycke (cookies-bannern). |
| Tillhandahålla AI-baserad chattfunktion på webbplatsen. | Samtycke; avtal när du är inloggad. |
| Generera operativa insikter (aggregerad statistik) för intern uppföljning. | Berättigat intresse av verksamhetsstyrning. |
| Automatiserad rättighetshantering (RBAC), kvotkontroll för bokningar och automatisk momsberäkning. | Avtal; rättslig förpliktelse (skatt). |
5. Vilka vi delar uppgifter med
Vi anlitar utvalda leverantörer (personuppgiftsbiträden) som behandlar uppgifter för vår räkning och enligt våra instruktioner. Leverantörerna är bundna av personuppgiftsbiträdesavtal.
| Leverantör | Roll | Plats för behandling |
|---|---|---|
| Stripe | Betalningar, prenumerationer, automatisk moms. | EU/USA |
| SendGrid (Twilio) | Transaktionsmejl och leveranshändelser. | USA |
| SendGrid Marketing Campaigns | Nyhetsbrev och marknadsföring (endast efter samtycke). | USA |
| EVVA AirKey Cloud | Molnbaserad styrning av lås. | EU (Österrike) |
| Skedda | Bokningskalender (iCal-synk). | Australien/USA |
| DigitalOcean Spaces | Lagring av profilbilder och övriga mediefiler. | EU (Frankfurt) |
| DigitalOcean AI Inference | AI-modell för chatt, taggning av medlemsprofiler och insikter. | Enligt DigitalOceans driftområde |
| Sitebehaviour | Värmekartor och beteendeanalys (endast efter samtycke). | Indien/USA |
| Google (Sheets, Analytics) | Export av medlems- och ansökningsdata; webbanalys (endast efter samtycke). | USA |
| LinkedIn (LinkedIn Ireland) | Annonsmätning och målgrupper (endast efter samtycke). | EU/USA |
| Kalas | Plattform för publik hantering av evenemang och gästlistor. | Enligt leverantörens uppgift |
Vi använder dessutom egen infrastruktur för passersystemet (NOX R9), vår databas och vår applikationsserver. Personuppgifter kan lämnas ut till myndigheter när det krävs enligt lag (t.ex. Skatteverket vid bokföringsärenden eller Polismyndigheten vid rättslig begäran).
Överföringar utanför EU/EES
Flera av leverantörerna ovan är baserade i USA eller behandlar uppgifter där. Sådana överföringar sker med stöd av EU-kommissionens standardavtalsklausuler (SCC) och, där tillämpligt, ramverket EU–U.S. Data Privacy Framework. Vi tar löpande ställning till eventuella kompletterande skyddsåtgärder.
6. Hur länge vi sparar uppgifterna
| Kategori | Lagringstid |
|---|---|
| Bokföringsmaterial (fakturor, betalningar, kvitton). | 7 år enligt bokföringslagen (1999:1078). |
| Aktivt medlemskap (kontodata, profil, prenumeration). | Så länge medlemskapet är aktivt, plus rimlig tid för avslut. |
| Avslagen medlemskapsansökan. | Upp till 12 månader, därefter raderas eller anonymiseras. |
| Passageloggar (in- och utpassering). | Upp till 24 månader. |
| Säkerhets- och 404-loggar. | Upp till 12 månader. |
| E-postlogg och leveranshändelser. | Upp till 24 månader. |
| Webbanalys (Google Analytics). | Standardretention 26 månader. |
| Cookie-samtycke. | 12 månader, därefter visas bannern på nytt. |
7. Cookies och liknande tekniker
Vi delar in cookies i tre kategorier. Endast nödvändiga cookies aktiveras automatiskt — övriga laddas först när du har gett ditt samtycke. Du kan ändra ditt val via i sidfoten.
| Kategori | Innehåll | Lagringstid |
|---|---|---|
| Nödvändiga | Sessionscookie för inloggning, samtyckes-cookien (vv_consent), CSRF-skydd. | Session till 12 månader. |
| Analys | Google Analytics 4 och Sitebehaviour (värmekartor). | Upp till 13 månader (standard hos respektive tjänst). |
| Annonsering | LinkedIn Insight Tag för annonsmätning och målgrupper. | Upp till 6 månader (LinkedIn). |
8. Dina rättigheter
Du har, under förutsättningarna i GDPR, rätt att:
- Få tillgång till de personuppgifter vi behandlar om dig (registerutdrag).
- Få felaktiga uppgifter rättade eller kompletterade.
- Få uppgifter raderade när det inte finns någon laglig grund för fortsatt behandling.
- Begära begränsning av behandlingen i vissa situationer.
- Invända mot behandling som sker med stöd av berättigat intresse.
- Få ut eller överföra dina uppgifter (dataportabilitet) i de fall behandlingen sker automatiserat med stöd av samtycke eller avtal.
- Återkalla samtycke när som helst, utan att det påverkar lagligheten av behandling som skett innan återkallelsen.
Skicka din begäran till integritet@varmeverket.com. Vi kan behöva be dig styrka din identitet innan vi besvarar förfrågan.
9. Säkerhet
Vi skyddar dina uppgifter med tekniska och organisatoriska åtgärder, bland annat krypterad överföring (HTTPS), behörighetsstyrning (RBAC), hashade lösenord, begränsad fysisk åtkomst till våra serverutrymmen samt logg- och övervakningsrutiner. Vi delar aldrig uppgifter med tredje part i andra syften än de som beskrivs i denna policy.
10. Barn
Våra tjänster riktar sig inte till barn under 16 år. Om du är under 16 ska en vårdnadshavare ge sitt samtycke innan du lämnar personuppgifter till oss. Om vi får kännedom om att vi behandlar uppgifter om ett barn utan giltigt samtycke raderar vi dem.
11. Automatiserade beslut och profilering
Vi använder vissa automatiserade rutiner i den dagliga driften:
- Behörighetsstyrning (RBAC) — systemet avgör automatiskt vilka uppgifter du kan se eller ändra utifrån din roll (medlem, personal m.fl.).
- Bokningskvoter — systemet räknar automatiskt av ditt utnyttjande mot den kvot som ingår i din prenumeration.
- Automatisk moms — Stripe beräknar momsen automatiskt baserat på din faktureringsadress, för att vi ska uppfylla skatterättsliga krav.
- AI-stödd taggning för medlemsmatchning — fritextfält du fyller i vid medlemskapsansökan kan skickas till DigitalOcean AI för att modellen ska föreslå taggar som beskriver dina intressen och färdigheter. Taggarna används för att ge dig personaliserade rekommendationer av evenemang och kurser, samt för att vi ska kunna hitta medlemmar som kan vara intresserade av en kurs eller passa för att uppträda eller bidra på ett evenemang. Taggarna används inte för att bedöma din medlemskapsansökan — den granskningen är helt manuell.
Ingen av dessa rutiner fattar beslut som har rättsliga eller motsvarande betydande effekter för dig i den mening som avses i artikel 22 GDPR. Du har ändå rätt att höra av dig om du vill ha mer information om hur en automatiserad rutin har påverkat dig.
12. Ändringar i denna policy
Vi kan komma att uppdatera policyn när våra tjänster eller regelverket förändras. Den senaste versionen finns alltid på den här sidan, med ett datum högst upp som visar när den uppdaterades. Vid väsentliga ändringar informerar vi dig via e-post eller via ett tydligt meddelande på webbplatsen.
13. Kontakt och klagomål
Vid frågor om vår behandling av dina personuppgifter når du oss på integritet@varmeverket.com.
Om du anser att vi har behandlat dina uppgifter i strid med GDPR har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige. Aktuella kontaktuppgifter finns på www.imy.se.