Allmänna villkor för QRGeno av Paperphyte AB
Senast uppdaterad: 2026-06-14
Definitioner
I dessa Villkor ska följande begrepp ha nedan angiven innebörd: "Avtalet" avser dessa Villkor inklusive samtliga bilagor samt Bolagets vid var tid gällande integritetspolicy och cookiepolicy, vilka utgör en integrerad del av Avtalet. "Tjänsterna" avser de digitala tjänster som tillhandahålls av Bolaget, inklusive dynamiska QR-koder (typerna länk, Wi-Fi, värdekod och kontakt), QR-byggaren, scananalys ("impressions-tjänster"), bulkhantering av QR-koder, valfri beställning av trycksaker för Kundens räkning, samt tillhörande API:er. "Kunden" avser juridisk person som ingår avtal med Bolaget. "Kundens Data" avser all data, inklusive personuppgifter, som Kunden eller dess slutanvändare tillför Tjänsterna. "Personuppgifter" avser uppgifter enligt definitionen i Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR"). "Personuppgiftsansvarig" och "Personuppgiftsbiträde" ska ha den innebörd som följer av GDPR. "QRGeno API" avser Bolagets programmeringsgränssnitt, tillgängligt på Enterprise-planen. "SLA" avser servicenivååtaganden enligt dessa Villkor.
Tillgång till Tjänsterna
Bolaget upplåter till Kunden en icke-exklusiv, icke-överlåtbar och tidsbegränsad rätt att använda Tjänsterna i enlighet med Avtalet. Bolaget äger rätt att när som helst göra ändringar i Tjänsterna, förutsatt att sådana ändringar inte väsentligen försämrar funktionaliteten.
Registrera ett Företag
För att använda Tjänsterna ska Kunden registrera ett konto. Kunden ska vara en juridisk person (företag) med ett giltigt momsregistreringsnummer (VAT-nummer). Bolaget accepterar inte privatpersoner som kunder. Kunden ansvarar för att lämnade uppgifter, inklusive VAT-nummer, är korrekta, fullständiga och uppdaterade. Kunden ansvarar även för att skydda sina inloggningsuppgifter.
Betalning av Kundens Prenumeration
Avgifter ska erläggas i förskott via Mollie enligt gällande prislista. Angivna priser är exklusive moms. För svenska kunder läggs 25 % svensk moms till vid betalning. För övriga EU-kunder med ett momsregistreringsnummer som Bolaget har kunnat verifiera mot VIES-registret tillämpas omvänd skattskyldighet i enlighet med tillämplig momslagstiftning; om numret inte kan verifieras blockeras betalningen tills verifiering lyckas. Vid dröjsmål äger Bolaget rätt att debitera dröjsmålsränta enligt räntelagen.
Prenumeration och betalning
Prenumerationen löper månadsvis eller årsvis (beroende på plan) med automatisk förnyelse vid slutet av varje faktureringsperiod. Kunden kan säga upp prenumerationen när som helst från instrumentpanelen; uppsägningen träder i kraft vid slutet av innevarande faktureringsperiod och tillgången till Tjänsterna kvarstår fram tills dess. Efter uppsägning behålls Kundens QR-koder, designer och scanhistorik, men scans av Kundens QR-koder visar en 'prenumeration krävs'-sida tills Kunden återaktiverar.
Beställning av trycksaker för Kundens räkning
Bolaget tillhandahåller, på Kundens uttryckliga uppdrag, tjänster avseende beställning och förmedling av trycksaker. All sådan beställning sker uteslutande för Kundens räkning och i enlighet med av Kunden lämnade instruktioner. Kunden bär det fulla ansvaret för att lämnade specifikationer, inklusive men ej begränsat till material, format, upplaga och leveransadress, är korrekta och fullständiga vid tidpunkten för beställningen. Bolaget frånsäger sig allt ansvar för fel eller brister som kan hänföras till ofullständiga eller felaktiga instruktioner från Kunden. Samtliga priser för trycksaker angivna av Bolaget är exklusive mervärdesskatt (moms). Tillämplig moms tillkommer och debiteras i enlighet med vid var tid gällande skattelagstiftning.
Användning av Tjänsterna
Kunden får inte: • bryta mot tillämplig lag • försöka kringgå säkerhetsmekanismer • använda Tjänsterna på ett sätt som orsakar överbelastning
Kundens datormiljö
Kunden ansvarar för kompatibilitet, säkerhet och funktion i egen IT-miljö.
Särskilt gällande QRGeno API
API-åtkomst ingår i Enterprise-planen och tillgängliggörs som del av ett enterprise-upplägg. Bolaget äger rätt att införa rate limits och andra tekniska begränsningar för att skydda Tjänsten. Missbruk kan leda till omedelbar avstängning.
SLA och tillgänglighet
Bolaget eftersträvar hög tillgänglighet men garanterar inte oavbruten drift. Planerat underhåll ska i möjligaste mån aviseras.
Support
Support tillhandahålls enligt vid var tid publicerad beskrivning.
Begränsning av åtkomst till Tjänsterna
Bolaget får begränsa åtkomst vid brott mot Avtalet eller säkerhetsrisk.
Ansvarsbegränsning
Bolaget ansvarar endast för direkt skada. Bolaget ansvarar inte för: • indirekt skada • förlust av data • utebliven vinst Maximalt ansvar är begränsat till 12 månaders avgifter.
Friskrivning för fel
Tjänsterna tillhandahålls "i befintligt skick" utan garantier.
Force Majeure
Part ansvarar inte för händelser utanför dess kontroll.
Immateriella rättigheter
Samtliga rättigheter tillhör Bolaget.
Överlåtelse
Kunden får inte överlåta Avtalet utan skriftligt godkännande.
Ändringar
Bolaget får ändra Villkoren. Väsentliga ändringar ska meddelas.
Meddelanden
Ska ske skriftligen via e-post.
Ogiltighet
Ogiltig bestämmelse påverkar inte övriga.
Behandling av personuppgifter
Behandling sker enligt GDPR, integritetspolicy och cookiepolicy.
Kundens Data
Kunden ansvarar för laglighet och riktighet.
Lagring av kundens Data
Sker enligt integritetspolicyn.
Sekretess
Parterna ska iaktta sekretess.
Avtalsperiod och uppsägning
Kunden kan när som helst säga upp prenumerationen från instrumentpanelen. Uppsägningen träder i kraft vid slutet av innevarande faktureringsperiod; ingen ytterligare debitering sker. Bolaget får säga upp Avtalet med trettio (30) dagars skriftligt varsel, utom vid väsentligt avtalsbrott där omedelbar uppsägning kan tillämpas. Kundens administratör kan dessutom när som helst permanent ta bort kontot från instrumentpanelen (Profil → Konto → "Ta bort konto"). Kontoborttagning avslutar eventuell aktiv prenumeration, anonymiserar kontoinformationen, mjukraderar de QR-koder som kontot äger och tar bort Auth0-identiteten. Bokföringsuppgifter som Bolaget enligt lag är skyldigt att bevara (t.ex. enligt Bokföringslagen) sparas under den lagstadgade tiden.
Tvistlösning och tillämplig lag
Tvist avgörs av SCC. Svensk lag gäller.
Personuppgiftsbiträdesavtal
Bolaget agerar som personuppgiftsbiträde. (Se bilagor nedan)
Bilagor
Bilaga 1 – Databehandlingsinstruktioner (harmoniserad med integritetspolicyn) Bilaga 2 – Säkerhetsåtgärder (ISO/IEC 27001-anpassad) Bilaga 3 – Underbiträden: • Amazon Web Services • Auth0 • Mollie • CloudPrinter • Sanity.io • Mailgun • InnoCraft (Matomo Cloud) Bilaga 4 – Tredjelandsöverföringar: EU-residens som standard; SCC + TIA tillämpas där USA-registrerade leverantörer förekommer; Nya Zeeland (Matomo Cloud) omfattas av ett adekvansbeslut.
Rangordning mellan dokument
Vid konflikt mellan dokument ska följande rangordning gälla: 1. Personuppgiftsbiträdesavtal 2. Dessa Villkor 3. Integritetspolicy 4. Cookiepolicy Detta Avtal är upprättat i enlighet med svensk rätt och praxis.
Bilaga 1 – Databehandlingsinstruktioner
1. Ändamål med behandlingen Bolaget ska behandla personuppgifter för att tillhandahålla Tjänsterna, inklusive: • Drift av dynamiska QR-koder • Insamling och hantering av impressions-data (scananalys) • Analys och statistik • Valfri API-funktionalitet (QRGeno API, Enterprise-planen) • Valfri beställning av trycksaker för Kundens räkning 2. Kategorier av registrerade • Kundens användare (administratörer) • Slutanvändare som interagerar med QR-koder • Mottagare av trycksaker (där Kunden tillhandahållit leveransuppgifter) 3. Kategorier av personuppgifter • IP-adress • Teknisk information (enhetskategori, operativsystem, webbläsare, anonymiserad user-agent) • Geografisk information (land; stad och region för betalplaner) • Kontoinformation för Kundens administratörer (namn, e-post, företag, VAT) • Leveransuppgifter för trycksaker (där Kunden tillhandahållit sådana) • Uppgifter som Kunden själv tillför 4. Behandlingens art • Insamling • Registrering • Strukturering • Lagring • Analys • Radering 5. Behandlingens varaktighet Behandling sker under avtalstiden samt enligt integritetspolicyn och tillämplig lag. 6. Instruktioner Behandling sker endast enligt: • Dessa instruktioner • Kundens dokumenterade instruktioner • Tillämplig lag 7. Underbiträden Bolaget får anlita underbiträden i enlighet med artikel 28 GDPR. Aktuell förteckning framgår av Bilaga 3.
Bilaga 2 – Säkerhetsåtgärder
1. Åtkomstkontroll • Least privilege • Säker autentisering (MFA) 2. Kryptering • TLS (data i transit) • Kryptering i vila där tillämpligt 3. Loggning och övervakning • Loggning av systemåtkomst • Övervakning av säkerhetshändelser 4. Sårbarhetshantering • Regelbundna säkerhetsgranskningar • Patchning och scanning 5. Backup och återställning • Regelbunden backup • Disaster recovery-processer 6. Incidenthantering • Incidentdetektion • Rapportering utan onödigt dröjsmål 7. Organisationsåtgärder • Interna säkerhetspolicys • Personalutbildning • Sekretessåtaganden Åtgärderna anpassas löpande enligt risk och standarder såsom ISO/IEC 27001.
Bilaga 3 – Underbiträden
Leverantörer • Amazon Web Services EMEA SARL (AWS) – Infrastruktur, applikationsdrift och lagring. Region: eu-north-1 (Stockholm). • Auth0, Inc. (Okta-koncernen) – Autentisering och identitet. EU-tenant. • Mollie B.V. – Betalningshantering. Huvudkontor i Nederländerna (EU). • CloudPrinter ApS – Tryckproduktion och leverans av trycksaker som beställts via Tjänsterna. Huvudkontor i Danmark (EU). • Sanity.io – Content delivery för marknadsförings- och juridiska sidor samt produktkatalog. EU-region. • Mailgun (Sinch Email) – Transaktionell e-post för kontaktformuläret. EU-servrar (Mailgun EU API). • Vercel Inc. – Hosting och global edge-leverans av den publika webbplatsen och webbappen. Huvudkontor i USA; trafik betjänas från regionala edge-noder inklusive EU. • Google LLC – Google Fonts-tjänsten används för typografi på den publika webbplatsen. Huvudkontor i USA. Personuppgifter som behandlas: besökarens IP-adress och User-Agent vid hämtning av typsnitt. • InnoCraft Ltd (Matomo Cloud) – Integritetsvänlig webbanalys för den publika webbplatsen. Huvudkontor i Nya Zeeland, som omfattas av ett adekvansbeslut från Europeiska kommissionen. Laddas endast med besökarens samtycke och aldrig på QR-kodsidor (impressions). Personuppgifter som behandlas: anonymiserad IP-adress, besökta sidor, hänvisare, enhets-/webbläsartyp. Villkor • Samtliga underbiträden omfattas av databehandlingsavtal enligt artikel 28 GDPR. • Bolaget ansvarar för efterlevnad. Ändringar Bolaget får uppdatera listan och informerar Kunden vid väsentliga förändringar.
Bilaga 4 – Överföring till tredje land (EU – USA)
1. Rättslig grund • Standard Contractual Clauses (SCC) där tillämpligt • Adekvansbeslut där tillämpligt 2. Standardplacering Bolaget konfigurerar samtliga underbiträden att använda EU-regioner där sådana erbjuds (AWS eu-north-1, Auth0 EU-tenant, Mollie NL, CloudPrinter DK, Sanity EU, Mailgun EU). Kundens Data lagras och behandlas inom EU/EES vid normal drift. Den publika webbplatsen levereras via Vercels globala edge-nätverk; besökare som betjänas från EU-edgenoder får sina förfrågningar hanterade inom EU. Analys av den publika webbplatsen (Matomo Cloud, InnoCraft Ltd) driftas i Nya Zeeland. 3. Skyddsåtgärder • Kryptering i vila och i transit • Begränsad åtkomst (least privilege) • Tekniska och organisatoriska kontroller 4. Underbiträden med USA-närvaro I de fall ett underbiträdes moderbolag är registrerat i USA (t.ex. AWS, Auth0/Okta, Vercel Inc., Google LLC) krävs EU-residens enligt avtal där sådan erbjuds och SCC samt en Transfer Impact Assessment (TIA) tillämpas. Google LLC (Google Fonts) används enbart som CDN för statiska resurser; de enda personuppgifter som överförs till USA i detta sammanhang är besökarens IP-adress och User-Agent vid hämtning av en typsnittsfil. Vercel Inc. levererar den publika webbplatsen från regionala edge-noder; användarinnehåll (konto, QR-koder, skanningsloggar) lagras inte hos Vercel. 5. Underbiträden i adekvansländer InnoCraft Ltd (Matomo Cloud) är registrerat i Nya Zeeland, som omfattas av ett adekvansbeslut från Europeiska kommissionen enligt artikel 45 GDPR; överföringar kräver därför inte SCC. Matomo-analys laddas endast med besökarens samtycke. 6. Skydd av registrerade Bolaget säkerställer att registrerades rättigheter enligt GDPR upprätthålls. Slutbestämmelse Dessa bilagor utgör en integrerad del av Personuppgiftsbiträdesavtalet och därmed av de Allmänna villkoren för Paperphyte AB.