Integritetspolicy för PulseImpact

Version: 0.1 – lanseringsutkast Senast uppdaterad: 10 juni 2026 Tjänst: PulseImpact Webbplats: https://pulseimpact.se Ansvarig verksamhet: PulseImpact Kontakt: info@pulseimpact.se Fullständiga organisationsuppgifter anges innan kommersiellt kundavtal ingås.

1. Om PulseImpact

PulseImpact är en B2B SaaS-plattform där företag kan skapa interna motionsutmaningar för medarbetare. Medarbetarnas registrerade eller importerade aktiviteter kan bidra till företagets gemensamma utmaningsmål och till donations- eller impactmål som företaget själv finansierar.

Denna integritetspolicy beskriver hur PulseImpact behandlar personuppgifter när du använder plattformen som superadmin, företagsadministratör eller medarbetare.

2. Roller enligt GDPR

För företagsutmaningar där ett kundföretag bjuder in sina medarbetare är kundföretaget normalt personuppgiftsansvarig för behandlingen av medarbetardata inom sin organisation. PulseImpact behandlar då personuppgifter som personuppgiftsbiträde enligt kundens instruktioner.

PulseImpact kan även vara personuppgiftsansvarig för viss egen behandling, exempelvis drift, säkerhet, support, fakturering, administration, produktförbättring och hantering av egna användarkonton.

Om något annat följer av ett separat avtal mellan PulseImpact och kundföretaget gäller det avtalet i första hand.

3. Vilka personuppgifter vi behandlar

PulseImpact kan behandla följande kategorier av personuppgifter:

Konto- och profildata

  • namn
  • e-postadress
  • användar-id
  • roll i plattformen, exempelvis superadmin, företagsadmin eller medarbetare
  • koppling till företag och eventuell medarbetarprofil
  • språkinställningar och distansenhet

Företags- och utmaningsdata

  • företagsnamn
  • inbjudningsstatus och deltagande i utmaningar
  • utmaningsnamn, start- och slutdatum, mål, valuta och aktivitetsregler
  • aggregerade framsteg, till exempel total distans och total genererad impact

Aktivitetsdata

  • aktivitetens datum
  • distans
  • distansenhet
  • aktivitetskälla, exempelvis manuell registrering eller Strava
  • intern matchning mellan aktivitet och aktiv utmaning
  • tekniska identifierare som behövs för deduplicering och synkronisering

PulseImpact ska inte i MVP:n lagra full Strava-payload, kartor, rutter, GPS-spår, pulsdata, tempo-/hastighetsströmmar eller detaljerad prestationsdata om det inte uttryckligen byggs och informeras om senare.

Integrationsdata för Strava

Om du väljer att ansluta Strava kan PulseImpact behandla:

  • Strava athlete-id
  • visningsnamn/användarnamn från Strava om tillgängligt
  • OAuth access token och refresh token, lagrade krypterat
  • beviljade Strava-scopes
  • token-utgångstid
  • synkstatus och senaste synktidpunkt
  • aktivitetsdatum och distans för aktiviteter som importeras
  • intern fingerprint/hash för att känna igen importerade eller raderade Strava-aktiviteter

PulseImpact använder inte Strava-data för AI-träning, maskininlärning, profilering eller för att skapa offentliga flöden.

Teknisk data och säkerhetsloggar

  • IP-adress och tekniska loggar vid behov för säkerhet och felsökning
  • felmeddelanden, händelseloggar och driftstatus
  • information om inloggning, behörighet och misslyckade åtgärder

Vi försöker minimera loggning av personuppgifter och undviker att logga Strava-tokens, full aktivitetsdata eller känsliga payloads.

4. Varför vi behandlar personuppgifter

Vi behandlar personuppgifter för att:

  • skapa och hantera användarkonton
  • ge rätt åtkomst baserat på roll och företag
  • låta företag skapa och följa upp interna aktivitetsutmaningar
  • låta medarbetare delta i utmaningar
  • registrera eller importera aktiviteter
  • räkna ut distans, deltagande, progress och impact
  • skapa aggregerade rapporter för företagsadministratörer
  • hantera Strava-anslutning, synkronisering, frånkoppling och radering
  • förebygga fel, missbruk och obehörig åtkomst
  • uppfylla avtal, rättsliga skyldigheter och säkerhetskrav

5. Rättslig grund

Beroende på sammanhang behandlas personuppgifter med följande rättsliga grunder:

  • Avtal: för att tillhandahålla PulseImpact enligt användarvillkor eller kundavtal.
  • Berättigat intresse: för säkerhet, felsökning, produktförbättring, administration och för att skydda tjänsten.
  • Samtycke eller användarinitierad anslutning: när du väljer att koppla Strava och godkänner OAuth-åtkomst hos Strava.
  • Rättslig skyldighet: om lag kräver viss behandling eller bevarande.
  • Kundens instruktioner: när PulseImpact behandlar medarbetardata som personuppgiftsbiträde för ett kundföretag.

6. Strava-integration

PulseImpact låter användare ansluta sitt Strava-konto för att importera verifierade aktiviteter. Syftet är att aktiviteter ska kunna bidra till aktiva företagsutmaningar utan att användaren behöver registrera dem manuellt.

PulseImpact begär behörigheterna read och activity:read_all. activity:read_all används för att en användare ska kunna ha aktiviteter privata på Strava men ändå delta med verifierad aktivitetsdata i PulseImpact.

PulseImpact använder Strava-data endast för att:

  • identifiera användarens anslutna Strava-konto
  • importera aktivitetsdatum och distans
  • koppla aktiviteter till aktiva utmaningar som användaren deltar i
  • uppdatera eller ta bort importerade aktiviteter när Strava skickar webhook-events
  • hantera frånkoppling och radering

Företagsadministratörer ska inte se individuella Strava-aktiviteter, Strava-rutter, kartor eller detaljerad prestationsdata. De ska endast se aggregerad progress och rapportering på utmanings- eller företagsnivå.

Du kan när som helst koppla från Strava i PulseImpact. När du kopplar från Strava tas dina Strava-tokens bort från PulseImpact. Du kan även radera importerad Strava-data i PulseImpact.

Om du återkallar åtkomst direkt i Strava kan PulseImpact få ett deauthorization-event från Strava och därefter ta bort kopplingen och relaterade importerade Strava-aktiviteter.

7. Vem kan se din data?

Du som medarbetare

Du kan se din egen profil, dina egna aktiviteter, dina egna utmaningar och din egen Strava-status.

Företagsadministratör

Företagsadministratörer kan se information som behövs för att administrera företagets utmaningar, exempelvis deltagande, progress, rapporter och aggregerade resultat. Individuella Strava-aktiviteter, Strava-rutter och detaljerad Strava-data ska inte visas för arbetsgivaren.

PulseImpact

PulseImpact kan få åtkomst till personuppgifter när det krävs för drift, support, säkerhet, felsökning, avtalshantering eller lagkrav. Åtkomst ska begränsas till personer som behöver informationen för sitt arbete.

8. Underleverantörer och tredjepartstjänster

PulseImpact använder externa tjänster för att tillhandahålla plattformen, exempelvis:

  • hosting och deployment, exempelvis Vercel
  • databas, autentisering och lagring, exempelvis Supabase
  • aktivitetsintegration, exempelvis Strava när användaren själv ansluter sitt konto
  • e-post eller notifieringar, om sådana används

PulseImpact ska endast använda underleverantörer som behövs för tjänsten och ska eftersträva lämpliga säkerhetsåtgärder och avtal.

Strava är en extern tjänst som användaren själv väljer att koppla. Stravas egen behandling av data i Strava regleras av Stravas egna villkor och integritetspolicy.

9. Lagring och gallring

Personuppgifter sparas så länge det behövs för de ändamål som beskrivs i denna policy, så länge konto eller kundrelation är aktiv, eller så länge lag kräver det.

Som huvudregel gäller:

  • användarkonton och profiler sparas så länge kontot är aktivt
  • aktivitetsdata sparas så länge den behövs för deltagande, rapportering och historik i kundens utmaningar
  • Strava-tokens tas bort när användaren kopplar från Strava eller återkallar åtkomst
  • importerad Strava-data kan raderas av användaren i PulseImpact
  • raderade företagskonton kan hanteras med soft-delete och gallras som huvudregel senast efter 90 dagar, om inte annat följer av kundavtal, lag eller dokumenterat behov
  • säkerhets- och driftloggar sparas endast så länge de behövs för säkerhet, felsökning och regelefterlevnad

10. Säkerhet

PulseImpact använder tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, exempelvis:

  • rollbaserad behörighetsstyrning
  • radnivåsäkerhet i databasen där det är tillämpligt
  • kryptering av Strava access tokens och refresh tokens
  • begränsad lagring av Strava-data
  • separering mellan företag
  • principen om minsta möjliga åtkomst
  • skydd mot obehörig åtkomst och felaktig exponering

Ingen tjänst kan garantera absolut säkerhet, men PulseImpact ska arbeta systematiskt med säkerhet och dataminimering.

11. Internationella överföringar

Vissa underleverantörer kan behandla data utanför EU/EES. Om personuppgifter överförs utanför EU/EES ska PulseImpact eftersträva att det finns en giltig överföringsmekanism, exempelvis EU-kommissionens standardavtalsklausuler eller annat tillämpligt skydd.

12. Dina rättigheter

Beroende på situation och rättslig grund kan du ha rätt att:

  • få information om hur dina personuppgifter behandlas
  • begära tillgång till dina personuppgifter
  • begära rättelse av felaktiga uppgifter
  • begära radering
  • invända mot viss behandling
  • begära begränsning av behandling
  • begära dataportabilitet
  • återkalla samtycke eller koppla från Strava

Om behandlingen sker för ett kundföretags räkning kan PulseImpact behöva hänvisa din begäran till kundföretaget som personuppgiftsansvarig.

13. Klagomål

Du kan kontakta PulseImpact via info@pulseimpact.se. Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) eller annan behörig dataskyddsmyndighet.

14. Ändringar i denna policy

PulseImpact kan uppdatera denna integritetspolicy. Vid väsentliga ändringar informerar vi på lämpligt sätt, exempelvis i tjänsten eller via e-post.