GDPR-policy — Toveria
Version 2.0 — Juni 2026
Förordning (EU) 2016/679 från Europaparlamentet och Rådet av den 27 april 2016
Europeisk marknadsplats BtoC, CtoC, CtoB och BtoB — Försäljning från Europa till världen
1. Identitet och kontaktuppgifter för personuppgiftsansvarig
| |
|---|
| Personuppgiftsansvarig | Kamel DOURA (enskild näringsidkare Toveria) |
| Juridisk form | Enskild näringsidkare (EI) |
| Adress | 12 Rue de la Part-Dieu, 69003 Lyon, Frankrike |
| SIRET | 978 781 227 00019 |
| RCS | 978 781 227 R.C.S. Lyon |
| Momsnummer | FR 45 978 781 227 |
| E-post DPO | dpo@toveria.com |
| E-post GDPR | dpo@toveria.com |
| Tillsynsmyndighet | CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr |
2. Dataskyddsamordnare (DPO)
Toveria har utsett en dataskyddsamordnare (DPO) i enlighet med artikel 37 i GDPR.
Kontakt DPO :
📧 dpo@toveria.com
📮 Toveria — DPO (Kamel DOURA), 12 Rue de la Part-Dieu, 69003 Lyon, Frankrike
DPO är din huvudsakliga kontaktperson för alla frågor relaterade till skyddet av dina personuppgifter. DPO är också CNIL:s kontaktperson.
3. Register över behandlingsaktiviteter (art. 30 GDPR)
3.1 Hantering av användarkonton
| Fält | Detalj |
|---|
| Syfte | Skapande, autentisering och hantering av konton |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | Förnamn, efternamn, e-post, telefonnummer, födelsedatum, adress, land, användarnamn, avatar |
| Mottagare | Supabase (värd för databas), Twilio (SMS-verifiering) |
| Bevarandeperiod | Kontots livslängd + 3 år efter stängning |
| Överföring utanför EU | Twilio (USA) — EU-standardavtal |
3.2 Telefonverifiering (OTP)
| Fält | Detalj |
|---|
| Syfte | Verifiering av telefonnummer vid registrering och profiluppdatering |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) + partiell juridisk skyldighet KYC |
| Behandlade uppgifter | Telefonnummer (E.164-format), verifieringstidsstämpel |
| Mottagare | Twilio Verify (USA) |
| Bevarandeperiod | Kontots livslängd |
| Överföring utanför EU | Twilio (USA) — EU-standardavtal |
3.3 Multifaktorautentisering (2FA/TOTP)
| Fält | Detalj |
|---|
| Syfte | Förstärkning av kontosäkerhet |
| Rättslig grund | Berättigat intresse — säkerhet (art. 6.1.f) |
| Behandlade uppgifter | TOTP-hemlighet (krypterad), reservkoder (SHA-256-hashade), aktiveringsstidsstämpel |
| Mottagare | Supabase (krypterad lagring) |
| Bevarandeperiod | Kontots livslängd |
| Överföring utanför EU | Nej |
3.4 Publicering och hantering av annonser
| Fält | Detalj |
|---|
| Syfte | Publicering och hantering av försäljningsannonser |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | Titel, beskrivning, pris, foton, videor, kategori, plats (stad, land), hashtaggar, artikelstatus |
| Mottagare | Supabase Storage (foton), Supabase CDN |
| Bevarandeperiod | Publiceringsperiod. Efter borttagning av medlem: media tas bort omedelbar, annons raderas permanent efter 180 dagar. Annons kopplad till beställning: bevarad i 5 år (transaktionsbevis). |
3.5 Behandling av transaktioner och betalningar
| Fält | Detalj |
|---|
| Syfte | Säker betalningsbehandling, escrow, överföring till säljare |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | Belopp (artikel, avgifter, frakt), betalningsreferens, beställningsstatus, leveransadress, köparens namn, land |
| Mottagare | Stripe Inc. (betalningar, KYC Connect säljare) |
| Bevarandeperiod | 10 år (handelslagstiftning) |
| Överföring utanför EU | Stripe (USA) — EU-standardavtal + Privacy Shield 2.0 |
3.6 KYC-verifiering av säljare (Stripe Connect)
| Fält | Detalj |
|---|
| Syfte | Verifiering av säljarnas identitet för överföringar (AML-skyldighet) |
| Rättslig grund | Juridisk skyldighet (art. 6.1.c) — Antimörkningsriktlinje |
| Behandlade uppgifter | Identitetshandling, IBAN, SIRET, skatteuppgifter — behandlade enbart av Stripe |
| Mottagare | Stripe Connect |
| Bevarandeperiod | 5 år efter stängning av Stripe Connect-konto (Stripes skyldighet) |
| Överföring utanför EU | Stripe (USA) — EU-standardavtal |
3.7 Meddelanden och konversationer
| Fält | Detalj |
|---|
| Syfte | Förbindelse mellan köpare och säljare |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | Textmeddelanden, delade foton, prisofferter, tidsstämpel |
| Mottagare | Supabase Realtime |
| Bevarandeperiod | Aktiv fas 6 månader efter senaste meddelande, sedan mellanlagring med begränsad åtkomst, sedan borttagning: 24 månader (utan beställning) eller 5 år (med beställning). |
| Överföring utanför EU | Nej (EU-servrar) |
3.8 Transaktionsmejl-meddelanden
| Fält | Detalj |
|---|
| Syfte | Skicka beställnings-, leverans-, offermeddelanden osv. |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | E-post, förnamn, data för relevant transaktion |
| Mottagare | Resend Inc. (USA) |
| Bevarandeperiod | Skickningsloggar: 30 dagar |
| Överföring utanför EU | Resend (USA) — EU-standardavtal |
3.9 Push-meddelanden
| Fält | Detalj |
|---|
| Syfte | Skicka webpush-meddelanden |
| Rättslig grund | Samtycke (art. 6.1.a) — valfritt, återkallbart |
| Behandlade uppgifter | Enhetsidentifierare (OneSignal Player ID), meddelandeinställningar |
| Mottagare | OneSignal Inc. (USA) |
| Bevarandeperiod | Kontots livslängd |
| Överföring utanför EU | OneSignal (USA) — EU-standardavtal |
3.10 DAC7-efterlevnad — Skattedeklarationer
| Fält | Detalj |
|---|
| Syfte | Årlig deklaration till DGFiP för säljare som överskrider lagliga trösklar |
| Rättslig grund | Juridisk skyldighet (art. 6.1.c) — Direktiv (EU) 2021/514 |
| Behandlade uppgifter | Förnamn, efternamn, adress, födelsedatum, NIF, SIRET, moms, årsinkomst, antal transaktioner |
| Mottagare | DGFiP (Frankrike) |
| Bevarandeperiod | 10 år |
| Överföring utanför EU | Nej |
3.11 Momsnummerverifiering (VIES)
| Fält | Detalj |
|---|
| Syfte | Verifiering av giltigheten för inomeuropeiska momsnummer |
| Rättslig grund | Juridisk skyldighet (art. 6.1.c) |
| Behandlade uppgifter | Momsnummer, verifieringsresultat |
| Mottagare | VIES API — Europeiska kommissionen |
| Bevarandeperiod | Professionell kontos livslängd |
| Överföring utanför EU | Nej |
3.12 Hantering av recensioner och betyg
| Fält | Detalj |
|---|
| Syfte | Förtroendesystem mellan medlemmar |
| Rättslig grund | Berättigat intresse (art. 6.1.f) |
| Behandlade uppgifter | Betyg (1-5), kommentar, transaktionsreferens, tidsstämpel |
| Mottagare | Supabase |
| Bevarandeperiod | Anonymisering efter 5 år (betyg och kommentar bevarad, författarens identitet avskild). |
| Överföring utanför EU | Nej |
3.13 Referralprogram
| Fält | Detalj |
|---|
| Syfte | Hantering av referralbelöningar |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) |
| Behandlade uppgifter | Referralkod, referrer/referral-identifierare, belöningshistorik |
| Mottagare | Supabase |
| Bevarandeperiod | 3 år |
| Överföring utanför EU | Nej |
3.14 Tvistesystem
| Fält | Detalj |
|---|
| Syfte | Medling och lösning av tvister mellan köpare och säljare |
| Rättslig grund | Avtalets fullgörande (art. 6.1.b) + berättigat intresse |
| Behandlade uppgifter | Tvistorsak, utbytta meddelanden, tillhandahållen bevis, lösningsbeslut |
| Mottagare | Supabase, Toverias modereringsteam |
| Bevarandeperiod | 5 år efter tvistets avslutande |
| Överföring utanför EU | Nej |
3.15 Verifiering av internationella sanktioner
| Fält | Detalj |
|---|
| Syfte | Efterlevnad av embargo och sanktioner från OFAC/EU/FN |
| Rättslig grund | Juridisk skyldighet (art. 6.1.c) |
| Behandlade uppgifter | Förnamn, efternamn, land (jämförelse med sanktionslistor) |
| Mottagare | OpenSanctions API (Europa) |
| Bevarandeperiod | Varningar: 5 år |
| Överföring utanför EU | Nej (europeisk API) |
3.16 Säkerhetsloggar och bedrägeribekämpning
| Fält | Detalj |
|---|
| Syfte | Upptäckt av bedrägligt beteende och plattformssäkerhet |
| Rättslig grund | Berättigat intresse (art. 6.1.f) |
| Behandlade uppgifter | IP-adress, anslutningarnas tidsstämpel, misstänkta åtgärder, Stripe Radar-data |
| Mottagare | Supabase, Stripe Radar |
| Bevarandeperiod | Tekniska felloggar: 90 dagar. Betalningsförsök (bedrägeribekämpning): 7 dagar. Automatisk daglig rensning. Övriga säkerhetsloggar: 12 månader. |
| Överföring utanför EU | Stripe (USA) — EU-standardavtal |
3.17 Cookies och spårare
| Fält | Detalj |
|---|
| Syfte | Plattformsfunktion (obligatorisk) + publikanalys (valfri) |
| Rättslig grund | Teknisk nödvändighet (obligatorisk) / Samtycke (analys) |
| Behandlade uppgifter | Användarsession, inställningar, analysidentifierare |
| Mottagare | Supabase (session), analystjänst (om aktiverad) |
| Bevarandeperiod | Session (funktionell) / 13 månader max (analys) |
| Överföring utanför EU | Beroende på använd analystjänst |
3.18 Marknadsföringskommunikation (valfri)
| Fält | Detalj |
|---|
| Syfte | Skicka nyhetsbrev och marknadsföringskommunikation |
| Rättslig grund | Samtycke (art. 6.1.a) — separat opt-in-ruta vid registrering |
| Behandlade uppgifter | E-post, förnamn, kommunikationsinställningar |
| Mottagare | Resend Inc. |
| Bevarandeperiod | Tills avprenumeration + 3 år |
| Överföring utanför EU | Resend (USA) — EU-standardavtal |
4. Personuppgiftsbiträden (art. 28 GDPR)
Alla personuppgiftsbiträden har undertecknat ett databehandlingsavtal i enlighet med art. 28.
| Personuppgiftsbiträde | Roll | Land | Garanti |
|---|
| Supabase Inc. | Databas, auth, lagring, realtime | 🇩🇪 Tyskland (eu-west-3) | GDPR DPA undertecknad |
| Stripe Inc. | Betalningar, Billing, Connect, Radar | 🇺🇸 USA | EU-standardavtal + Privacy Shield 2.0 |
| Resend Inc. | Transaktionsmejl | 🇺🇸 USA | EU-standardavtal |
| OneSignal Inc. | Push-meddelanden | 🇺🇸 USA | EU-standardavtal |
| Vercel Inc. | Webbapplikationsvärding | 🇺🇸/🇪🇺 | EU-standardavtal |
| Twilio Inc. | SMS OTP (Twilio Verify) | 🇺🇸 USA | EU-standardavtal |
| OpenSanctions | Verifiering av sanktionslistor | 🇩🇪 Tyskland | Inbyggd GDPR |
5. Överföringar utanför Europeiska unionen (art. 44-49 GDPR)
Överföringar till USA regleras av:
- EU-standardavtal (SCCs) — Kommissionens genomförandebeslut (EU) 2021/914
- EU-US Data Privacy Framework — Adequacy Decision från den 10 juli 2023
För varje överföring säkerställer Toveria att personuppgiftsbiträdet erbjuder tillräckliga skyddsgarantier.
6. De registrerades rättigheter
6.1 Tabell över rättigheter
| Rättighet | Rättslig grund | Villkor | Tidsfrist |
|---|
| Åtkomst (art. 15) | — | Identifiering krävs | 30 dagar |
| Rättelse (art. 16) | — | — | 30 dagar |
| Radering (art. 17) | — | Utom juridiska bevarandekrav | 30 dagar |
| Begränsning (art. 18) | — | Under tvist eller klagomål | 30 dagar |
| Dataportabilitet (art. 20) | Avtal eller samtycke | JSON/CSV-format | 30 dagar |
| Invändning (art. 21) | Berättigat intresse eller offentlig uppgift | Legitima skäl att åberopa | 30 dagar |
| Återkallelse av samtycke | Samtycke | När som helst, utan retroaktiv effekt | Omedelbar |
| Direktiv efter döden | Fransk dataskyddslag | — | — |
6.2 Hur du utövar dina rättigheter
Via e-post: dpo@toveria.com
Rekommenderad ämnesrad: [GDPR-rättighet] Ditt namn — Typ av begäran
Via post:
Toveria — GDPR Service
12 Rue de la Part-Dieu, 69003 Lyon, Frankrike
Identitetshandling: en kopia kan krävas för att verifiera din identitet (skannad, utan dokumentnummer om du föredrar).
Svarstid: 30 kalenderdagar. Kan förlängas med ytterligare 60 dagar för komplexa begäranden, med förhandsmeddelande.
6.3 Rätt att lämna klagomål till CNIL
Om du anser att dina rättigheter inte respekteras:
CNIL — Commission Nationale de l'Informatique et des Libertés
🌐 cnil.fr/fr/plaintes
📮 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
📞 +33 (0)1 53 73 22 22
7. Bevarandeperioder
| Kategori | Period | Grund |
|---|
| Data för aktivt konto | Kontots livslängd | Avtal |
| Data för konto (efter stängning) | Radering vid stängning (data under juridisk skyldighet bevarad separat) | Minimering / juridiska skyldigheter |
| Transaktionsdata | 10 år | Handelslagstiftning (art. L.123-22) |
| BtoB-fakturor | 10 år | Allmän skattelagstiftning |
| DAC7- och skattedata | 10 år | DAC7-direktiv |
| Tulldata | 5 år | Unionens tullkodex |
| Annonser borttagna av medlem | 180 dagar (media tas bort omedelbar) | Minimering |
| Annonser sålda / kopplade till beställning | Upp till 5 år | Transaktionsbevis |
| Konversationer mellan medlemmar | 6 månader aktiv, sedan begränsad mellanlagring, sedan radering vid 24 månader (utan beställning) / 5 år (med beställning) | Minimering / civilrättslig preskription |
| Recensioner och betyg | Anonymisering efter 5 år | Berättigat intresse |
| Tvister | 5 år efter avslutande | Juridisk preskription |
| Tekniska loggar (API-fel) | 90 dagar (automatisk daglig rensning) | Minimering |
| Betalningsförsök (bedrägeribekämpning) | 7 dagar (automatisk daglig rensning) | Minimering |
| Övriga säkerhetsloggar | 12 månader | CNIL-rekommendation |
| KYC-dokument (Stripe) | 5 år | Stripe-skyldighet / AML |
| Sanktionsvarningar | 5 år | Regelkrav |
| Analyskookies | 13 månader maximum | CNIL-rekommendation |
| Samtycken (opt-in marknadsföring) | 3 år efter senaste interaktion | CNIL-rekommendation |
Mellanlagring (CNIL) : efter sin aktiva fas går konversationer genom ett arkiv med begränsad åtkomst (reserverat för juridiska skyldigheter / tvister) innan slutlig radering.
Legal hold : all data kopplad till en öppen tvist, juridisk skyldighet eller myndighetsbegäran bevaras tills denna skyldighet avslutas, som undantag från ovanstående perioder.
8. Datasäkerhet (art. 32 GDPR)
8.1 Tekniska åtgärder
| Åtgärd | Implementering |
|---|
| Kryptering under överföring | HTTPS / TLS 1.3 på all kommunikation |
| Kryptering i vila | Supabase-databas krypterad (AES-256) |
| Databasåtkomstkontroll | Row Level Security (RLS) — åtkomst per rad enligt autentiserad användare |
| Autentisering | E-post OTP + SMS OTP obligatorisk vid registrering |
| Dubbelautentisering | TOTP (Google Authenticator-kompatibel) — valfritt för användare |
| 2FA-reservkoder | SHA-256-hashade i databas |
| Bankdata | Delegerad till Stripe (PCI DSS Level 1) — aldrig lagrad av Toveria |
| JWT-tokens | Supabase Auth — begränsad livslängd |
| Sessionsrensning | Radering av 15 localStorage-nycklar + cookies vid utloggning |
| Webhook-signaturverifiering | HMAC-SHA256 på alla inkommande webhooks (Stripe) |
8.2 Organisatoriska åtgärder
| Åtgärd | Detalj |
|---|
| Åtkomst till personuppgifter | Begränsad till endast behöriga anställda enligt principen om minsta behörighet |
| Utbildning | GDPR-medvetenhet för alla anställda med åtkomst till data |
| Granskning | Supabase RLS-granskning planerad före kommersiell lansering |
| Loggning | Åtkomstloggar för känslig data bevarad 12 månader |
| Penetrationstestning | Pentest planerad före lansering (budget 3 000-10 000 €) |
| Bug bounty | Ansvarsfull rapporteringsprocess under utveckling |
8.3 Procedur för dataintrångsmeddelande
I enlighet med art. 33 GDPR förbinder sig Toveria att meddela CNIL inom 72 timmar efter att ett dataintrång som kan utgöra en risk för de registrerades rättigheter och friheter upptäcks.
Om intrånget kan utgöra en högriskfara informeras de registrerade också utan onödig försening (art. 34 GDPR).
Intern procedur :
- Upptäckt → omedelbar varning till DPO
- Riskklassificering (< 4h)
- CNIL-meddelande om nödvändigt (< 72h)
- Meddelande till registrerade om högrisk (< 72h)
- Dokumentation av incident (intrångsregister)
9. Konsekvensbedömning (DPIA — art. 35 GDPR)
En konsekvensbedömning för dataskyddet krävs för behandlingar som utgör högrisk.
| Behandling | DPIA krävs | Status |
|---|
| Sanktionsverifiering (scoring) | Ja — profilering | ⏳ Att genomföra |
| Skattedata DAC7 | Ja — känslig data + stor skala | ⏳ Att genomföra |
| KYC säljare (identitetshandling) | Ja — potentiell biometrisk data | ⏳ Delegerad till Stripe |
| Beteendespårning (om analys) | Ja — om distribuerad | Att utvärdera |
10. Data för minderåriga
Toveria-plattformen är strikt reserverad för personer 18 år eller äldre.
Födelsedatum samlas in vid registrering för att verifiera myndighet. Registrering av minderårig leder till omedelbar radering av konto och associerad data.
Rapportering : dpo@toveria.com — Ämne: [Minderårig]
11. Cookies och spårare
Strikt nödvändiga cookies (inget samtycke krävs)
| Cookie | Syfte | Period |
|---|
sb-auth-token | Supabase-autentiseringssession | Session / 1 vecka |
toveria-ref | Referrallänk | 30 dagar |
toveria-lang | Visningsspråk | 1 år |
toveria-mr-rates | Transportörtariffer (localStorage) | Tills radering |
Analyskookies (med förhandssamtycke)
Aktiveras endast efter implementering av en CNIL-kompatibel cookie-banner (CNIL-rekommendation från den 1 oktober 2020).
12. Ändringar av denna policy
Väsentliga ändringar meddelas via e-post med 30 dagars förvarning.
Datumet för senaste uppdatering anges i sidhuvudet. Fortsatt användning av plattformen efter ikraftträdandet utgör godkännande.
13. Kontakter
Europeisk marknadsplats BtoC, CtoC, CtoB och BtoB — Försäljning från Europa till världen
Försäljning från Europa till världen
CNIL-registreringsnummer: [Att fylla i efter anmälan]
Senast uppdaterad: Juni 2026
Fransk version — vid avvikelse mellan denna översättning och den franska versionen gäller den franska versionen.
