Artigan - effektiva system med AI
Kontakta oss nu

Integritetspolicy – Artigan Affärssystem AB (English version below)

Senast uppdaterad: 2026-02-17

Artigan Affärssystem AB (“Artigan”, “vi”, “oss”) utvecklar och driver ett SaaS-system samt mobilapparna My Journey, Tour Flow och Insights som används av flera olika researrangörer (“Arrangörer”). Vi tar integritet på stort allvar och vill här förklara hur personuppgifter behandlas i samband med våra appar och tjänster.

1. Vem är personuppgiftsansvarig?

För resenärers och bokningsrelaterade uppgifter (t.ex. uppgifter som behövs för att administrera och genomföra en resa) är respektive Arrangör personuppgiftsansvarig. Artigan agerar då normalt som personuppgiftsbiträde och behandlar uppgifter på arrangörens instruktioner enligt ett personuppgiftsbiträdesavtal (DPA).

För vissa uppgifter kan Artigan vara personuppgiftsansvarig, exempelvis när vi:

  • hanterar vår egen kundrelation med Arrangörer (avtal, fakturering, kontaktpersoner),

  • administrerar konton för arrangörspersonal i våra system (beroende på upplägg),

  • bedriver support, incidenthantering och IT-säkerhetsarbete,

  • behandlar tekniska drift- och säkerhetsloggar i syfte att förebygga missbruk, felsöka och upprätthålla säker drift.

I apparna och i samband med din resa kan du normalt se vilken Arrangör som är ansvarig för just din resa. Om du är osäker – kontakta Arrangören.

Kontaktuppgifter Artigan
Artigan Affärssystem AB
Vasagatan 18
SE-411 24 Göteborg
Sweden
support@artigan.se
+46 72 810 02 80

2. Vilka kategorier av personuppgifter behandlas?

Vilka uppgifter som behandlas varierar beroende på om du är resenär, reseledare/guide, eller arrangörspersonal.

A) Resenärer (My Journey) – typiska uppgifter:

  • Identitets- och kontaktuppgifter: namn, e-post, telefon, adress (om Arrangören samlar in det)

  • Res- och bokningsinformation: bokningsreferens, resedatum, deltagare i bokningen, valda tillval

  • Kommunikation: meddelanden, kundserviceärenden och annan kontakt kopplad till resan

  • Tekniska uppgifter: enhetsinformation, appversion, språk, tidszon, IP-adress, loggar kopplade till funktion/säkerhet

B) Reseledare/operativ personal (Tour Flow) – typiska uppgifter:

  • Konto- och behörighetsuppgifter: namn, e-post, användar-ID, roll/behörighet

  • Operativ information: tilldelade uppdrag, arbetsrelaterad kommunikation och rapportering i appen

  • Tekniska uppgifter: enhets- och logguppgifter för drift/säkerhet

C) Arrangörspersonal (Insights) – typiska uppgifter:

  • Konto- och behörighetsuppgifter: namn, e-post, användar-ID, roll/behörighet

  • Administration: åtgärder i systemet (audit trail), inställningar, rapporter kopplade till verksamheten

  • Tekniska uppgifter: loggar för drift/säkerhet

Särskilda kategorier av personuppgifter (känsliga uppgifter)
I reseverksamhet kan Arrangören behöva hantera uppgifter om t.ex. specialkost, allergier eller hälsorelaterad information för att kunna genomföra resan på ett säkert sätt. Sådana uppgifter behandlas i regel av Arrangören som personuppgiftsansvarig, och Artigan behandlar dem då endast som biträde och enligt DPA.

3. Varifrån kommer uppgifterna?

Uppgifter kan komma från:

  • dig (när du registrerar dig, använder appen eller kontaktar support),

  • Arrangören (t.ex. boknings- och resedata),

  • tekniska system (loggar, diagnostik, säkerhetsdata).

4. Varför behandlas personuppgifter och vilken rättslig grund används?

  • Nedan är exempel på vanliga ändamål och rättsliga grunder. Arrangören fastställer normalt ändamål och rättslig grund för resenärers rese-/bokningsuppgifter.

För att leverera funktionerna i appar och system

  • Ändamål: skapa konto, ge åtkomst, visa reseinformation, genomföra resans tjänster, möjliggöra kommunikation.

  • Rättslig grund: avtal (för att fullgöra avtal med Arrangören och/eller dig), alternativt berättigat intresse.

För kundservice och support

  • Ändamål: hantera frågor, felsökning, incidenter, förbättra tjänsten.

  • Rättslig grund: berättigat intresse och/eller avtal.

För säkerhet, förebyggande av missbruk och drift

  • Ändamål: loggning, övervakning av drift, säkerhetsåtgärder, åtkomstkontroll, bedrägeriförebyggande.

  • Rättslig grund: berättigat intresse och i vissa fall rättslig förpliktelse.

För att uppfylla rättsliga krav

  • Ändamål: bokföring, myndighetskrav, rättsliga anspråk.

  • Rättslig grund: rättslig förpliktelse.

Marknadsföring
Artigan skickar normalt inte marknadsföring till resenärer baserat på reseuppgifter. Arrangören ansvarar för sin egen marknadsföring. Om Artigan skulle behandla uppgifter för egen marknadsföring riktad till arrangörskunder sker det enligt gällande lag och med möjlighet att invända/avregistrera.

5. Delning av personuppgifter

Vi kan dela personuppgifter med:

  • Respektive Arrangör (när det behövs för att administrera resan/tjänsten)

  • IT-leverantörer och underbiträden som hjälper oss drifta tjänsterna (t.ex. hosting, loggning, supportverktyg), under avtal som säkerställer lämpligt skydd

  • Myndigheter när vi är skyldiga enligt lag eller behöver hantera rättsliga anspråk

Vi säljer inte personuppgifter.

6. Betalningar (t.ex. Apple Pay / Google Pay)

Om betalning sker via Apple Pay eller Google Pay behandlas betalningsuppgifter i första hand av Apple/Google och relevanta betalningsaktörer enligt deras egna villkor och integritetspolicys. Artigan och/eller Arrangören får normalt endast den information som behövs för att bekräfta betalningen (t.ex. betalningsstatus och referenser), inte fullständiga kortuppgifter.

7. Lagringstid

Personuppgifter sparas inte längre än nödvändigt för ändamålen. När uppgifter inte längre behövs raderas eller anonymiseras de enligt våra och/eller Arrangörens rutiner.

Typiskt gäller:

  • Rese- och bokningsuppgifter: lagringstid bestäms av Arrangören (t.ex. för att hantera resan, reklamationer och rättsliga krav).

  • Konton för personal: så länge kontot behövs och därefter enligt rimliga rensningsrutiner.

  • Loggar/säkerhetsdata: sparas normalt under begränsad tid för felsökning och säkerhet, och längre endast vid behov (t.ex. pågående incident/utredning eller rättsligt krav).

  • Avtals- och fakturaunderlag: sparas enligt bokföringsregler och andra rättsliga krav.

8. Överföring till länder utanför EU/EES

Våra leverantörer och underbiträden kan i vissa fall behandla personuppgifter utanför EU/EES. I så fall säkerställer vi att överföringen sker med lämpliga skyddsåtgärder, t.ex. EU-kommissionens standardavtalsklausuler (SCC) och vid behov kompletterande skyddsåtgärder.

Observera att Arrangörens egna samarbetspartners (t.ex. hotell, transportbolag) kan finnas utanför EU/EES. Det ansvarar Arrangören för som personuppgiftsansvarig.

9. Dina rättigheter

Beroende på vem som är personuppgiftsansvarig har du rätt att:

  • begära tillgång till dina personuppgifter (registerutdrag),

  • få felaktiga uppgifter rättade,

  • begära radering (i vissa fall),

  • begära begränsning av behandling,

  • invända mot behandling som sker med stöd av berättigat intresse,

  • få ut uppgifter i ett strukturerat format (dataportabilitet) när tillämpligt,

  • återkalla samtycke när behandling baseras på samtycke,

  • klaga till Integritetsskyddsmyndigheten (IMY).

Viktigt: För uppgifter som Arrangören är personuppgiftsansvarig för (vanligen resenärers rese-/bokningsuppgifter) ska du i första hand kontakta Arrangören. Artigan hjälper Arrangören att uppfylla dina rättigheter enligt DPA.

För frågor som rör Artigans behandling som personuppgiftsansvarig kan du kontakta oss via uppgifterna ovan.

10. Säkerhet

Vi arbetar med tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, t.ex. åtkomstkontroller, loggning, kryptering där lämpligt samt rutiner för incidenthantering.

11. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy vid behov, t.ex. om funktioner ändras eller om lagkrav påverkar behandlingen. Den senaste versionen finns alltid tillgänglig på denna sida.

Privacy Policy (English) – Artigan Affärssystem AB

Last updated: 17 February 2026

Artigan Affärssystem AB (“Artigan”, “we”, “us”) develops and operates a SaaS platform and the mobile apps My Journey, Tour Flow, and Insights, used by multiple tour operators (“Operators”). We take privacy seriously and explain below how personal data is processed in connection with our apps and services.

1. Who is the data controller?

For travellers’ and booking-related data (i.e., data needed to administer and deliver a trip), the relevant Operator is the data controller. In those cases, Artigan typically acts as a data processor and processes personal data on the Operator’s instructions under a Data Processing Agreement (DPA).

For certain processing activities, Artigan may act as an independent data controller, for example when we:

  • manage our own customer relationship with Operators (contracts, invoicing, contacts),

  • administer accounts for Operator staff in our systems (depending on setup),

  • provide support, incident handling, and IT security,

  • process technical operational and security logs to prevent abuse, troubleshoot, and maintain secure service operation.

In the apps and in connection with your trip, you can normally see which Operator is responsible for your trip. If you are unsure, please contact the Operator.

Artigan contact details
Artigan Affärssystem AB
Vasagatan 18
SE-411 24 Göteborg
Sweden
support@artigan.se
+46 72 810 02 80

2. What categories of personal data are processed?

The data processed varies depending on whether you are a traveller, a tour leader/guide, or Operator staff.

A) Travellers (My Journey) – typical categories:

  • Identity and contact details: name, email, phone, address (if collected by the Operator)

  • Trip and booking data: booking reference, travel dates, participants, selected add-ons

  • Communications: messages, customer service cases and other trip-related communications

  • Technical data: device information, app version, language, time zone, IP address, logs related to functionality/security

B) Tour leaders / operational staff (Tour Flow) – typical categories:

  • Account and access data: name, email, user ID, role/permissions

  • Operational data: assigned tasks, work-related communications and reporting in the app

  • Technical data: device and log data for operations/security

C) Operator staff (Insights) – typical categories:

  • Account and access data: name, email, user ID, role/permissions

  • Administration: actions in the system (audit trail), settings, reports connected to operations

  • Technical data: logs for operations/security

Special categories of personal data (sensitive data)
In the travel industry, the Operator may need to handle data such as dietary requirements, allergies, or health-related information in order to deliver the trip safely. Such data is generally processed by the Operator as data controller, while Artigan processes it only as processor and under the DPA.

3. Where does the data come from?

Personal data may come from:

  • you (when you register, use the app, or contact support),

  • the Operator (e.g., booking and trip data),

  • technical systems (logs, diagnostics, security data).

4. Why do we process personal data and what is the legal basis?

Below are examples of common purposes and legal bases. The Operator generally determines the purpose and legal basis for travellers’ trip/booking data.

To deliver app and platform functionality

  • Purpose: create accounts, provide access, display trip information, deliver travel services, enable communication.

  • Legal basis: performance of a contract (with the Operator and/or you), or legitimate interests.

Customer service and support

  • Purpose: respond to inquiries, troubleshoot, handle incidents, improve the service.

  • Legal basis: legitimate interests and/or performance of a contract.

Security, abuse prevention, and operations

  • Purpose: logging, monitoring service operation, security measures, access control, fraud/abuse prevention.

  • Legal basis: legitimate interests, and in some cases legal obligation.

Legal compliance

  • Purpose: accounting, regulatory requirements, legal claims.

  • Legal basis: legal obligation.

Marketing
Artigan normally does not market to travellers based on trip data. Operators are responsible for their own marketing. If Artigan processes data for its own marketing aimed at Operator customers, this is done in accordance with applicable law and with an option to object/unsubscribe where relevant.

5. Sharing of personal data

We may share personal data with:

  • the relevant Operator (as needed to administer the trip/service),

  • IT providers and sub-processors supporting hosting and operations (e.g., hosting, logging, support tools) under agreements ensuring appropriate protection,

  • authorities when required by law or to handle legal claims.

We do not sell personal data.

6. Payments (e.g., Apple Pay / Google Pay)

If payments are made via Apple Pay or Google Pay, payment data is primarily processed by Apple/Google and relevant payment actors under their own terms and privacy policies. Artigan and/or the Operator typically receive only the information needed to confirm the payment (e.g., payment status and references), not full card details.

7. Retention (how long we keep data)

We retain personal data only as long as necessary for the purposes described. When data is no longer needed, it is deleted or anonymised according to our and/or the Operator’s routines.

Typically:

  • Trip and booking data: retention is determined by the Operator (e.g., to deliver the trip, handle complaints, and meet legal requirements).

  • Staff accounts: as long as the account is needed, then according to reasonable deletion routines.

  • Logs/security data: typically retained for a limited period for troubleshooting and security, longer only when needed (e.g., ongoing incident/investigation or legal requirement).

  • Contract and invoicing records: retained according to accounting rules and other legal requirements.

8. Transfers outside the EU/EEA

Our providers and sub-processors may in some cases process personal data outside the EU/EEA. Where this occurs, we ensure appropriate safeguards such as EU Standard Contractual Clauses (SCCs) and, where needed, supplementary measures.

Please note that the Operator’s own partners (e.g., hotels, transport companies) may be located outside the EU/EEA. This is handled by the Operator as data controller.

9. Your rights

Depending on who is the data controller, you have the right to:

  • access your personal data,

  • have incorrect data rectified,

  • request erasure (in certain cases),

  • request restriction of processing,

  • object to processing based on legitimate interests,

  • receive data in a structured, commonly used format (data portability) when applicable,

  • withdraw consent when processing is based on consent,

  • lodge a complaint with the relevant supervisory authority (in Sweden: IMY).

Important: For data where the Operator is the data controller (typically travellers’ trip/booking data), you should primarily contact the Operator. Artigan assists the Operator in fulfilling your rights under the DPA.

For questions about Artigan’s processing as an independent controller, contact us using the details above.

10. Security

We use technical and organizational measures to protect personal data, such as access controls, logging, encryption where appropriate, and incident management routines.

11. Changes to this policy

We may update this Privacy Policy from time to time, for example if features change or legal requirements are updated. The latest version is always available on this page.