Integritetspolicy

Earius International AB (org.nr 559060-9748), nedan kallat “Rius Legacy”, är personuppgiftsansvarig för behandlingen av dina personuppgifter. Vi behandlar dina uppgifter i enlighet med EU:s dataskyddsförordning (GDPR) och kompletterande svensk lagstiftning.

Postadress: Hermelinsvägen 21, 132 46 Saltsjö-Boo, Sverige
Kontakt: info@riuslegacy.com

När du gör ett köp: namn, e-postadress, telefonnummer, leverans- eller hämtadress, betalningsinformation. Fullständiga kortuppgifter hanteras av Stripe — vi tar aldrig emot eller lagrar dem.

När du kontaktar oss eller ansöker: de uppgifter du själv anger i formuläret (typiskt namn, e-post, telefon och meddelande).

När du prenumererar på nyhetsbrev: din e-postadress, som synkroniseras med vår e-postleverantör Klaviyo.

När du registreras som säljare i ett lag: ditt namn och (frivilligt) din e-postadress. Lagadministratören anger detta — du blir säljare på lagets initiativ.

När du är lagadministratör: ditt namn, e-postadress, telefonnummer, fakturaadress, organisationsuppgifter, lagets Swish-nummer.

IP-adress: samlas in tillfälligt för rate-limiting (skydd mot missbruk) via Upstash. Lagras max 24 timmar och raderas automatiskt. Ett undantag: när en lag-kontaktperson ansöker om samarbete sparar vi IP-adress och tidsstämpel som bevis på att samarbetsvillkoren godkändes — se lagringstiderna i sektion 4.

Cookies och lokal lagring: ett begränsat antal tekniskt nödvändiga cookies för kundvagn, inloggning och samtyckesval. Detaljer i sektion 12 nedan.

Tekniska fellogg: vid tekniska fel skickas stack-trace till Sentry för felsökning. Innehåller URL, browsertyp och eventuell felmeddelandetext — inga formulärvärden eller fullständig kunddata.

Vi använder ingen webbanalys eller marknadsförings-tracking idag. Cookie-bannerns alternativ “Tillåt alla” reserverar möjligheten att i framtiden aktivera webbstatistik — om det sker uppdaterar vi denna policy först.

För att uppfylla GDPR-kravet på transparens listar vi varje syfte med den rättsliga grunden vi stöder oss på och hur länge uppgifterna sparas:

När du handlar via ett lags webbshop (URL i formatet riuslegacy.com/lag/[lagnamn] eller /lag/[lagnamn]/[säljare]) delar vi dina kontakt- och leveransuppgifter med lagadministratören och den säljare som är kopplad till köpet. Detta är nödvändigt för att lagets utdelning av produkterna ska fungera och för att de ska kunna nå dig om det uppstår frågor om beställningen.

Vad som delas: namn, e-postadress, telefonnummer, leveransadress, beställda produkter, totalbelopp, betalningsstatus.

Vad som INTE delas: ditt personnummer, dina betalkortsuppgifter, ditt IP-adresshistorik eller annan information vi inte behöver för att hantera lag-köpet.

Denna delning sker endast efter ditt uttryckliga samtycke — vid lag-köp kryssar du i en separat ruta i kassan utöver de allmänna villkoren. Utan kryss går köpet inte att slutföra.

Vi anlitar följande leverantörer som behandlar personuppgifter för vår räkning. Vi har personuppgiftsbiträdesavtal (DPA) med samtliga enligt GDPR art. 28.

• Stripe Payments Europe Ltd (Irland, kortbetalningar och betalningsprocessering)
• Supabase Inc. (databashosting, EU-region; bolaget är registrerat i USA)
• Vercel Inc. (webbhosting och CDN, EU-region; bolaget är registrerat i USA)
• Resend (transaktionell e-post som orderbekräftelser, EU-region)
• Klaviyo Inc. (e-postnyhetsbrev, USA — DPF-certifierad)
• Upstash Inc. (Redis för rate-limiting och e-postkö, EU-region)
• Sentry / Functional Software Inc. (felsöknings­logg, EU-region)
• Fraktbolag (Early Bird, PostNord, DHL) — namn och adress för leverans, endast vid hemleverans

Vi säljer aldrig dina personuppgifter till tredje part.

När laget mottagit dina kontakt- och leveransuppgifter enligt sektion 5 är laget självständigt personuppgiftsansvarig för sin egen behandling av uppgifterna — främst för att kontakta dig kring leverans eller utdelning och för att hantera eventuella frågor om beställningen.

Lagets behandling regleras av samma GDPR-principer som vår egen. Vi ställer som krav i våra samarbetsvillkor att lagen endast får använda uppgifterna för att fullfölja beställningen och måste radera eller återlämna dem när syftet är uppfyllt. Om du har frågor om hur ett specifikt lag hanterar dina uppgifter kan du kontakta lagets administratör direkt eller höra av dig till oss så förmedlar vi kontakten.

Flera av våra leverantörer är amerikanska bolag (Stripe, Supabase, Vercel, Klaviyo, Upstash, Sentry). I de fall data faktiskt överförs till USA stöder vi oss på följande skyddsmekanismer enligt GDPR art. 44–49:

• EU-US Data Privacy Framework (DPF) — för leverantörer som är certifierade (t.ex. Klaviyo). DPF är EU-kommissionens adekvansbeslut sedan 2023.
• Standardavtalsklausuler (SCC) — för leverantörer som ännu inte är DPF-certifierade. SCC innehåller bindande avtalsskydd godkända av EU-kommissionen.
• EU-regionhostning — för Supabase, Vercel, Resend, Upstash och Sentry hostas data i deras EU-regioner (Frankfurt, Stockholm eller Irland), vilket minimerar faktisk tredjelandsöverföring.

Vi har vidtagit lämpliga tekniska och organisatoriska åtgärder enligt GDPR art. 32:

• Kryptering i transit — all trafik till sajten går över HTTPS/TLS 1.2+
• Kryptering i vila — databas och backups krypteras av Supabase
• Åtkomstkontroll på radnivå — Row Level Security i databasen säkerställer att ett lag aldrig kan läsa ett annat lags data
• Lösenord — hashas med bcrypt av Supabase Auth; klartext lagras aldrig
• PCI DSS — kortbetalningar hanteras av Stripe (PCI DSS Level 1-certifierad); vi exponeras aldrig för kortdata
• Rate-limiting — skydd mot brute-force på inloggning, kontakt och checkout
• Loggövervakning — fel rapporteras via Sentry för snabb upptäckt av eventuella säkerhetshändelser

Du har rätt att:

• Begära registerutdrag (vilka uppgifter vi har om dig)
• Begära rättelse av felaktiga uppgifter
• Begära radering (“rätten att bli glömd”)
• Begära begränsning av behandling
• Invända mot behandling baserad på berättigat intresse
• Dataportabilitet (få dina uppgifter i maskinläsbart format)
• Återkalla samtycke när som helst

Kontakta oss på info@riuslegacy.com för att utöva dina rättigheter. Vi svarar inom 30 dagar.

Vid begäran om radering: bokföringsmaterial enligt sektion 4 måste vi behålla i 7 år (bokföringslagen 7 kap. 2 §) men vi anonymiserar personlig identifierande information så att kvarvarande data inte kan kopplas till dig.

Vi använder inte automatiserat beslutsfattande eller profilering som har rättsliga konsekvenser för dig enligt GDPR art. 22.

Stripe använder automatisk bedrägeridetektering (Radar) på kortbetalningar för att blockera misstänkta transaktioner. Denna bedömning kan i sällsynta fall leda till att en betalning nekas. Vid fall där detta drabbar dig kan du kontakta oss för manuell granskning.

När du besöker webbplatsen får du välja mellan “Endast nödvändiga” och “Tillåt alla” via cookie-bannern. Ditt val sparas och du kan ändra det när som helst via “Hantera cookies” i sidfoten.

Nödvändiga cookies (alltid aktiva): kundvagn (rius_cart_v1), consent-val (rius_cookie_consent), inloggnings-session för lagadministratörer och säljare (Supabase Auth), aktivt-lag-cookie för multi-team-admins (rius_active_team), CSRF-skydd.

Vid “Tillåt alla” kan vi i framtiden aktivera webbstatistik. Ingen sådan tracking är aktiv idag.

Stripe placerar tekniskt nödvändiga cookies för betalningsprocessen — undantagna från samtyckeskravet enligt LEK § 6 kap. 18a (cookies som krävs för att leverera en tjänst användaren begärt).

Detaljerad cookie-information finns på vår cookie-sida.

Vi riktar oss inte primärt till barn under 16 år. Eftersom vi säljer kläder via fundraising-kampanjer där spelare/elever kan vara unga är det vårt antagande att en vårdnadshavare är inblandad vid köp.

Om vi får kännedom om att en person under 13 år har lämnat personuppgifter direkt till oss utan vårdnadshavares samtycke (GDPR art. 8 + svenska 13-årsgränsen för digitalt samtycke) raderar vi dessa uppgifter utan dröjsmål. Kontakta info@riuslegacy.com vid frågor.

Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt kan du lämna klagomål till Integritetsskyddsmyndigheten (IMY) på imy.se.

Vi tar alltid gärna emot dina synpunkter direkt på info@riuslegacy.com.

Denna policy uppdaterades senast i maj 2026. Vid väsentliga ändringar informerar vi befintliga kunder via e-post eller via tydligt meddelande på webbplatsen.