Integritetspolicy — Toveria
Version 2.0 — Juni 2026
I enlighet med GDPR (EU) 2016/679, dataskyddslagen
och tillämpliga förordningar för internationell dataöverföring
1. Personuppgiftsansvarigs identitet
Toveria — enskild näringsidkare (EI) driven av Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, Frankrike
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) är personuppgiftsansvarig för personuppgifter som samlas in via Toveria-plattformen (toveria.com) och dess mobilapplikation, i egenskap av en BtoC-, CtoC-, CtoB- och BtoB-marknadsplats som verkar från Europa till världen över.
2. Dataskyddombud (DPO)
Dataskyddombuden är din kontaktperson för alla frågor om skyddet av dina personuppgifter.
3. Insamlade uppgifter
3.1 Registreringsuppgifter — Alla användare
| Uppgift | Obligatorisk | Ändamål |
|---|---|---|
| Förnamn och efternamn | Ja | Identifiering, DAC7, fakturering |
| Födelsedatum | Ja (privatpersoner) | Verifiering av myndighet, DAC7 |
| E-postadress | Ja | Autentisering, meddelanden |
| Telefonnummer | Ja | Identitetsverifiering, säkerhet, OTP |
| Fullständig postadress | Ja | Leverans, fakturering, DAC7 |
| Bosättningsland | Ja | Skattereglering, internationell moms |
| Användarnamn | Ja | Visning på plattformen |
| Avatar | Nej | Personalisering |
| Biografi | Nej | Offentlig säljarprofil |
3.2 Ytterligare uppgifter — Professionella konton
| Uppgift | Obligatorisk | Ändamål |
|---|---|---|
| Företagsnamn | Ja | Juridisk överensstämmelse, BtoB-fakturering |
| Juridisk form | Ja | Juridisk överensstämmelse |
| SIRET / motsvarande EU-register | Ja | Verifiering av företagsidentitet |
| Intragemenskapsnummer för moms | Ja (om skattskyldig) | VIES, BtoB-fakturering |
| Land för lagring av varor | Ja | DAC7-överensstämmelse, moms |
| Kbis eller motsvarande europeisk handling | Ja | Verifiering av företagsidentitet |
| IBAN (överföringskonto) | Via Stripe | Säljarbetalning (Stripe Connect) |
| DAC7-certifiering | Ja | Regelkrav |
| Stripe KYC-dokument | Via Stripe | Verifiering av Connect-identitet |
3.3 Uppgifter som samlas in vid användning
- Annonser : titel, beskrivning, pris, foton, videor, kategori, plats
- Transaktioner : köp-/försäljningshistorik, belopp, betalningsreferenser, transportörer, spårningsnummer
- Konversationer : meddelanden utbytta mellan medlemmar
- Beteende : besökta sidor, sökningar, visade annonser, favoriter
- Teknisk : IP-adress, enhetstyp, webbläsare, operativsystem, språk, tidszon
- Tullrelaterad : information från CN22/CN23-deklarationer för internationella försändelser
3.4 Betalningsuppgifter
Behandlas uteslutande av Stripe. Toveria lagrar inte bankuppgifter. Toveria mottar endast tokeniserade identifierare och transaktionsbekräftelser.
3.5 Uppgifter för köpare utanför EU
För köpare utanför EU samlar Toveria in endast de uppgifter som är strikt nödvändiga för transaktionen: namn, e-post, leveransadress, land. Dessa uppgifter behandlas i enlighet med GDPR och, om tillämpligt, lokala dataskyddslagar (PDPA Thailand, LGPD Brasilien, PIPEDA Kanada, etc.).
3.6 Skattenummer (NIF / Tax ID)
Samlas in för säljare som överskrider DAC7-trösklarna (30 transaktioner eller 2 000 €/år). Samlas också in för BtoB-transaktioner som kräver en faktura med skattidentifiering.
3.7 Push-meddelandeuppgifter
Om du aktiverar push-meddelanden genereras en enhetsidentifierare (FCM-token) av Firebase Cloud Messaging (Google) och sparas för att skicka meddelanden relaterade till din aktivitet (meddelanden, erbjudanden, försäljningar, orderuppföljning). Denna identifierare innehåller ingen direkt personlig information. Aktiveringen är valfri och baseras på ditt uttryckliga samtycke (tillstånd som efterfrågas av din webbläsare, föregånget av information i appen); ingen identifierare överförs till Google före detta samtycke. Du kan inaktivera meddelanden när som helst från din enhet eller appmenyn.
4. Rättsliga grunder för behandling
| Behandling | Rättslig grund |
|---|---|
| Kontohantering | Avtalets genomförande (art. 6.1.b) |
| Betalningsbehandling | Avtalets genomförande (art. 6.1.b) |
| Transaktionsmeddelanden | Avtalets genomförande (art. 6.1.b) |
| BtoB-fakturering | Avtalets genomförande + juridisk förpliktelse |
| DAC7-överensstämmelse | Juridisk förpliktelse (art. 6.1.c) |
| VIES-momsverifiering | Juridisk förpliktelse (art. 6.1.c) |
| Tulldeklarationer | Juridisk förpliktelse (art. 6.1.c) |
| Överensstämmelse med internationella sanktioner | Juridisk förpliktelse (art. 6.1.c) |
| Bedrägeribekämpning | Berättigat intresse (art. 6.1.f) |
| Tjänsteförbättring | Berättigat intresse (art. 6.1.f) |
| Marknadsföringsmail | Samtycke (art. 6.1.a) |
| Analytiska cookies | Samtycke (art. 6.1.a) |
| Personaliserade rekommendationer | Samtycke (art. 6.1.a) |
| Push-meddelanden (Firebase Cloud Messaging) | Samtycke (art. 6.1.a) |
5. Ändamål för behandling
5.1 Kontohantering och autentisering
Kontoskapande, identitetsverifiering (e-post OTP, SMS OTP), säker inloggning, multifaktorautentisering (TOTP), kontoberedskap.
5.2 Marknadsplatsens funktion
Publicering och hantering av annonser, realtidsmeddelandeöverföring mellan medlemmar, transaktionsbehandling (alla typer: BtoC, CtoC, CtoB, BtoB), parthantering, orderhistorik.
5.3 Betalningar och säljartransferering
Säker betalningsbehandling (Stripe), kvittogenerering, överföring av medel till säljare (Stripe Connect), hantering av Pro-prenumerationer, fakturering av boosts.
5.4 BtoB-fakturering
Automatisk generering av överensstämmande fakturor (sekvensnummer, fullständiga skattuppgifter för båda parter, tillämplig moms) för transaktioner mellan professionella konton.
5.5 Regelefterlevnad
DAC7-deklarationer till DGFiP, momsverifiering via VIES, DSA-överensstämmelse, verifiering av internationella sanktionslistor (via OpenSanctions, före betalning), efterlevnad av tullförordningar. En geografisk begränsning utesluter dessutom länder under embargo (registrering och leverans blockerad), enligt tillämpliga internationella sanktioner (OFAC, EU, FN) och exportkontroll; det angivna landet behandlas för detta ändamål.
5.6 Internationella transaktioner
Hantering av uppgifter som är nödvändiga för tulldeklarationer (CN22/CN23), beräkning av tillämpliga skatter (IOSS, tullavgifter), verifiering av export-/importbegränsningar.
5.7 Säkerhet och bedrägeribekämpning
Upptäckt av bedrägligt beteende, verifiering av kontoäkthet, skydd mot olagligt innehål, kontroller mot bedrägerier vid remisser, verifiering av internationella sanktioner.
5.8 Kundservice och tvister
Behandling av supportförfrågningar, medling mellan köpare och säljare, arkivering av utbyten som är nödvändiga för tvistlösning, inklusive för internationella tvister.
5.9 Kommersiell kommunikation
Skicka obligatoriska transaktionsmail, skicka marknadsföringsmail med föregående samtycke (kan återkallas när som helst).
6. Mottagare av uppgifter
6.1 Tekniska leverantörer (databehandlare)
| Leverantör | Roll | Plats | Garantier |
|---|---|---|---|
| Supabase | Databas, autentisering, lagring | EU (Frankfurt) | GDPR DPA-avtal |
| Stripe | Betalningar, KYC, Connect | USA | EU SCC — Privacy Shield 2.0 |
| Resend | Transaktionsmail | USA | EU SCC |
| Google (Firebase Cloud Messaging) | Push-meddelanden | USA | EU SCC |
| Anthropic | AI-assistans (bildsökning, generering av annonserbeskrivningar, supportassistent), på användarens begäran | USA | EU SCC |
| Vercel | Applikationvärd | USA / EU | EU SCC |
| OpenSanctions | Filtrering av internationella sanktionslistor (OFAC, FN, EU) före betalning | EU (Tyskland) | Begränsade uppgifter till identitet — GDPR DPA |
6.2 Offentliga myndigheter
- DGFiP (Frankrike) : årliga DAC7-deklarationer
- ARCOM (Frankrike) : DSA-förfrågningar
- Tullmyndigheter : uppgifter från CN22/CN23-deklarationer
- Behöriga myndigheter : svar på domstolsbeslut
- Regulatorer i tredjeland : om krävs av tillämplig lokal lag för transaktionen
6.3 Delning mellan medlemmar
Endast offentlig profil är synlig: användarnamn, avatar, stad, biografi, betyg, antal försäljningar. Verkligt namn, adress, e-post och telefonnummer delas aldrig direkt med andra medlemmar (leveransuppgifter överförs till säljaren endast efter bekräftad betalning, endast för leveransändamål).
6.4 Köpare utanför EU
När en köpare utanför EU genomför en transaktion delas uppgifter som är nödvändiga för leverans (namn, leveransadress) med säljaren och, vid behov, med transportören. Dessa uppgifter kan omfattas av tullförordningarna i destinationslandet.
7. Överföringar utanför Europeiska unionen
Överföringar till tredjeland (särskilt USA) regleras av:
- Standardavtalsklausuler (SCC) godkända av Europeiska kommissionen (adequacy decision 2021/914)
- EU-US Privacy Shield 2.0-ramverk (adequacy decision från juli 2023) för överföringar till USA
För uppgifter om köpare bosatta utanför EU tillämpar Toveria samma skyddsstandarder som för europeiska invånare, inom gränserna för vad som tillåts enligt tillämplig lokal lagstiftning.
8. Lagringsperiod för uppgifter
Varje uppgift lagras för den tid som är strikt nödvändig för sitt ändamål, och raderas eller anonymiseras därefter. I enlighet med CNIL:s rekommendationer genomgår vissa uppgifter, efter sin aktiva användningsfas, mellanliggande arkivering med begränsad åtkomst (tillgänglig endast för att uppfylla juridiska förpliktelser eller hantera en tvist) före slutlig radering.
| Kategori | Lagringsperiod |
|---|---|
| Aktiva kontouppgifter | Kontons livslängd |
| Kontouppgifter efter stängning | Radering av personuppgifter vid stängning; uppgifter som omfattas av juridisk förpliktelse lagras separat för sin egen varaktighet |
| Transaktions-/orderuppgifter | 10 år (handelslagstiftning, skattelagstiftning) |
| BtoB-fakturor | 10 år (handelslagstiftning) |
| Konversationer (meddelanden) | Aktiv fas på 6 månader efter senaste meddelande, sedan mellanliggande arkivering med begränsad åtkomst, sedan radering: 24 månader (konversation utan order) eller 5 år (konversation kopplad till order) |
| Meddelandebilagor (foton) | Raderas med motsvarande meddelande |
| Annonser borttagna av medlem | Media borttagna omedelbar; slutlig radering av annons 180 dagar efter |
| Annonser sålda / kopplade till order | Bevarade som transaktionsbevis (upp till 5 år / redovisningsförpliktelser) |
| Recensioner och betyg | Anonymisering efter 5 år (betyg och kommentar bevarad, författarens identitet avskild) |
| DAC7- och skattuppgifter | 10 år |
| Tulluppgifter | 5 år (tulllagstiftning) |
| Tekniska loggar (API-fel) | 90 dagar (automatisk daglig rensning) |
| Logg över betalningsförsök (bedrägeribekämpning) | 7 dagar (automatisk daglig rensning) |
| Övriga säkerhetsjournaler | 12 månader högst |
| Analytiska cookies | 13 månader högst |
| Remissuppgifter | 3 år |
| Stripe KYC (identitetsdokument) | Enligt Stripe-förpliktelser / 5 år |
| Push-meddelandetoken (FCM) | Till inaktivering eller invalidering; utgångna tokens rensas automatiskt |
Pågående tvist eller juridisk förpliktelse (« legal hold ») : alla uppgifter som är nödvändiga för att lösa en tvist, uppfylla en juridisk förpliktelse eller svara på en begäran från en behörig myndighet lagras tills denna förpliktelse upphör, med avvikelse från ovanstående perioder.
9. Dina rättigheter
I enlighet med GDPR (EU-invånare) och, i tillämplig omfattning, lokala dataskyddslagar (invånare utanför EU), har du följande rättigheter:
9.1 GDPR-rättigheter (EU-invånare)
- Åtkomst (art. 15) — få en kopia av dina uppgifter
- Rättelse (art. 16) — korrigera felaktiga uppgifter
- Radering (art. 17) — radering förutom juridisk bevarandeplikt
- Begränsning (art. 18) — tillfällig upphängning av behandling
- Portabilitet (art. 20) — export i strukturerat format (JSON/CSV)
- Invändning (art. 21) — invändning mot behandlingar baserade på berättigat intresse
- Återkallelse av samtycke — kan återkallas när som helst
9.2 Rättigheter för invånare utanför EU
Toveria utökar, i möjligaste mån, GDPR-skyddet till invånare utanför EU. Invånare i länder med specifik lagstiftning (LGPD Brasilien, PDPA Thailand, PIPEDA Kanada, CCPA Kalifornien, etc.) kan utöva de rättigheter som föreskrivs i deras lagstiftning genom att kontakta dpo@toveria.com.
9.3 Utövande av rättigheter
📧 dpo@toveria.com — Ämne: [GDPR-rättigheter] Din begäran
Svarstid: 30 dagar (kan förlängas med 2 månader för komplexa begäranden). Ett identitetsbevis kan krävas.
9.4 Överklagande
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies och spårare
Strikt nödvändiga cookies (inget samtycke krävs)
| Cookie | Ändamål | Varaktighet |
|---|---|---|
| Sessionsautentisering | Upprätthålla inloggning | Session |
| Användarinställningar | Språk, visning | 1 år |
| Varukorg / parti | Komma ihåg urval | Session |
| Säkerhet | CSRF, bedrägeribekämpning | Session |
Cookiesamtycke (toveria_cookie_consent) | Komma ihåg ditt val | 6 månader |
Analytiska cookies (med samtycke)
| Cookie | Ändamål | Varaktighet |
|---|---|---|
| Publikanalys | Tjänsteförbättring | 13 månader |
Inga analytiska eller reklamcookies är aktiva för närvarande: de kommer endast att placeras efter ditt uttryckliga samtycke.
För fullständig information (kategorier, varaktigheter, återkallelse), se vår Cookiehanteringspolicy. Hanteringen är tillgänglig när som helst via knappen « Hantera cookies » (meny och botten på varje juridisk sida).
11. Datasäkerhet
- Kryptering under överföring : HTTPS / TLS 1.3
- Kryptering i vila : Supabase-databas krypterad
- Autentisering : e-post OTP + SMS OTP + TOTP (2FA)
- Åtkomstkontroll : Row Level Security (RLS) Supabase
- Betalningar : Stripe PCI DSS Level 1
- Begränsad åtkomst : personuppgifter tillgängliga endast för behörig personal
- Loggning : säkerhetsjournaler bevarade 12 månader
- Bedrägeribekämpning : Stripe Radar, remisskontrroller, sanktionsverifiering
Vid en dataintrång som kan skapa risk informerar Toveria dig inom 72 timmar.
12. Minderårigas uppgifter
Plattformen är reserverad för personer 18 år eller äldre. Rapportering: dpo@toveria.com.
13. Ändringar
Väsentliga ändringar meddelas via e-post med 30 dagars förvarning.
14. Kontakt
📧 dpo@toveria.com — Dataskydd
📧 dpo@toveria.com — Dataskyddombud
Toveria — Europeisk BtoC-, CtoC-, CtoB- och BtoB-marknadsplats
SIRET : [Att fylla i] — CNIL-registreringsnummer : [Att fylla i]
Senast uppdaterad: Juni 2026
Fransk version — vid avvikelse mellan denna och en översättning gäller den franska versionen.