GDPR-erklæring
Ikrafttredelsesdato: 29. juni 2026 · Sist oppdatert: 30. juni 2026
Zeptun Intelligence Limited (Hong Kong SAR) ("vi," "oss," eller "vår") driver Unbox e-postplattformen på unbox.im og er forpliktet til å beskytte personopplysninger i samsvar med EUs generelle databeskyttelsesforordning (GDPR) og lignende lover. Denne siden oppsummerer hvordan vi håndterer data for kunder i Det europeiske økonomiske samarbeidsområdet (EØS), Storbritannia og Sveits. Den utfyller vår Personvernerklæring og Brukervilkår.
Hvem vi er
Zeptun Intelligence Limited (Hong Kong SAR) er behandlingsansvarlig for personopplysninger som behandles gjennom Unbox på unbox.im. For spørsmål om databeskyttelse, kontakt privacy@unbox.im.
Hva Unbox er (og ikke er)
Unbox er en transaksjonell e-post- og domeneinnboksplattform. Vi hjelper deg med å sende og administrere viktig e-post – bekreftelseskoder, tilbakestilling av passord, ordreoppdateringer og teamvarsler på dine egne domener.
Vi tilbyr ikke markedsføring eller nyhetsbrevutsendelser. Vår HTTP-API og SMTP-innsending er begrenset til transaksjonell e-post kun. Dette produktvalget reduserer GDPR-kompleksiteten knytt til markedsføringssamtykke: vi sender ikke reklamekampanjer på dine vegne, og vi krever ikke markedsføringsamtykke eller avmeldingsflyt for plattformens e-post.
Utgående API og SMTP – kun transaksjonelt
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Tillatte eksempler
- Kontobekreftelse, tilbakestilling av passord og sikkerhetsvarsler
- Ordrebekreftelser, kvitteringer, fraktoppdateringer og betalingsmeldinger
- Varsler utløst av en bestemt bruker- eller systemhendelse
- Team- og arbeidsområdemeldinger (invitasjoner, oppgaver, interne varsler)
Forbudte eksempler
- Nyhetsbrev, kampanjer eller kringkastingsmarkedsføring
- Kald oppsøking eller e-post til kjøpte, skrapte eller ikke-samtykkende lister
- Affiliatespam, phishing eller villedende innhold
- Ethvert forsøk på å omgå mottakertak, rategrenser eller plankvoter
Hastighets- og mottakergrenser (policy)
For å forhindre reell masseutsendelse, samtidig som normale teamvarsler tillates, er utgående API- og SMTP-trafikk underlagt grensene nedenfor i tillegg til plankvoter. Grensene håndheves automatisk og gjelder per arbeidsområde (eier og teammedlemmer deler én daglig unik-mottakerpulje, tilbakestilles ved midnatt UTC):
- Mottakere per melding: Opptil 50 totalt (Til + Kopi + Skjult kopi)
- Unike mottakere per dag: Opptil 1 000 per arbeidsområde
- Sendingsfrekvens: Opptil 10 API- eller SMTP-innsendinger per minutt per domene
- Planens utsendelseskvote: Månedlige sendegrenser på abonnementet ditt gjelder fortsatt
Disse reglene er en del av vår akseptable brukspolicy. Automatisert håndheving er aktiv i nettskriveren, HTTP API og SMTP-innsending. Kontoer som sender markedsføring eller massepost, eller på annen måte misbruker sendingsinfrastruktur, kan bli begrenset, suspendert eller avsluttet.
Vi overvåker leverbarhetssignaler. Vedvarende avvisningsrater over 3 % eller klagerater over 0,1 % kan utløse en midlertidig sendepause eller manuell gjennomgang.
Disse reglene er også angitt i våre Bruksvilkår.
Behandlingsgrunnlag
- Avtale – for å levere hosting, DNS, innboks, API-utsendelse, fakturering og støtte du har registrert deg for.
- Berettiget interesse – sikkerhet, misbruksforebygging, leveringsovervåking og produktforbedring, avveid mot dine rettigheter.
- Samtykke – der det kreves, for eksempel valgfrie AI-funksjoner som sender innhold til skymodell-leverandører, eller tilkobling av tredjeparts e-postkontoer.
- Lovpålagt plikt – skatt, fakturering og lovlige forespørsler fra myndigheter.
Hva vi allerede gjør
- Verifisert registrering – nye kontoer må bekrefte e-post (engangskode eller magisk lenke) før innlogging.
- Kryptering – TLS for data under overføring; sensitive legitimasjoner og tokens krypteres i hvile; API-nøkler lagres hashet.
- Dataminimering – leveringslogger for utgående e-post lagrer kun metadata (ingen meldingsinnhold). Forhåndsvisning av eksterne kontoer utløper etter syv dager. Leveringslogger slettes etter kort oppbevaringstid (standard 14 dager).
- Brukerstyrt oppbevaring – papirkurv, søppelpost-karantene og permanent sletting; du velger hvor lenge slettet e-post beholdes før den fjernes.
- DNS-autentisering – vi veileder deg gjennom SPF, DKIM og DMARC-oppsett og blokkerer sending inntil domenet ditt er verifisert.
- Operatøransvar – plattformansattes handlinger i vår administrasjonskonsoll blir logget med revisjonsspor; teammedlemskapsendringer registreres i arbeidsområdets aktivitetslogg.
- Ingen salg av personopplysninger – vi selger ikke informasjonen din til annonsører eller datameglere.
Underbehandlere
Vi bruker pålitelige infrastrukturpartnere for å drive Unbox. De behandler data kun i henhold til våre instruksjoner og kontraktsmessige sikkerhetstiltak:
- Vercel — vertstjeneste for webapplikasjoner og serverløse funksjoner
- Neon — PostgreSQL-database
- Upstash — Redis (køer og hastighetsbegrensning)
- Vercel Blob — lagring av vedlegg og meldingsblobber
- Amazon Web Services (SES) — inn- og utgående e-postlevering
- Stripe — abonnementsfakturering og fakturaer
- OpenRouter — skybasert AI-inferens når du bruker AI-funksjoner som krever eksterne modeller
En oppdatert liste finnes i vår personvernpolicy. Bedriftskunder som trenger en signert databehandleravtale (DPA), kan be om dette på privacy@unbox.im.
Internasjonale overføringer
Unbox drives primært fra Singapore, med infrastruktur i AWS ap-southeast-1 og globale kantlokasjoner brukt av våre vertsleverandører. Der personopplysninger overføres utenfor EØS, støtter vi oss på egnede sikkerhetstiltak som standard kontraktsklausuler og leverandørers databehandleravtaler. Vi planlegger lagringsalternativer i EU-regionen for kunder som krever dataopphold i EU.
Dine rettigheter under GDPR
Hvis GDPR gjelder for deg, kan du ha rett til å:
- Få tilgang til personopplysningene vi har om deg
- Rette uriktige opplysninger
- Eksportere dataene dine i et bærbart format
- Slette dataene dine («retten til å bli glemt»)
- Begrense eller motsette deg bestemt behandling
- Trekke tilbake samtykke der behandlingen er samtykkebasert
- Sende inn en klage til din lokale tilsynsmyndighet
Slik utøver du rettighetene dine i dag: e-post privacy@unbox.im fra din registrerte adresse. Vi svarer innen én måned. Selvbetjent eksport og kontosletting i Innstillinger er på vei – se nedenfor.
AI og e-posten din
Når du bruker AI-funksjoner, kan relevant meldingsinnhold sendes til AI-leverandører for oppsummering, klassifisering eller utkast. Vi minimerer hva som sendes og bruker ikke e-posten din til å trene offentlige modeller. Bedriftskunder vil kunne begrense skybasert AI-behandling i kontoinnstillinger; inntil den funksjonen er tilgjengelig, kontakt oss for å reservere deg mot skyinferens.
Sikkerhet og brudd
Vi opprettholder tekniske og organisatoriske tiltak, inkludert tilgangskontroll, kryptering, MFA/passnøkkel-støtte og rutiner for hendelseshåndtering. Hvis et personopplysningsbrudd utgjør en risiko for dine rettigheter, vil vi varsle berørte brukere og tilsynsmyndigheter som påkrevd ved lov.
Planlagte forbedringer
Vi jobber aktivt med å styrke GDPR-beredskapen, inkludert:
- Selvbetjent dataeksport og kontosletting i Innstillinger
- Lagrede samtykkeregistreringer ved registrering med sporing av policyversjon
- Utgående sendegrenser som forhindrer masseutsendelse av markedsføring, samtidig som normale teamvarsler tillates (se ovenfor)
- Utvidet underbehandlertransparens og kundemaler for databehandleravtale
- Valgfri EU-dataopphold
Kontakt
Databeskyttelseshenvendelser: privacy@unbox.im
Generell støtte: hello@unbox.im