GDPR-erklaring
Gällande datum: 29 juni 2026 · Senaste uppdatering: 30 juni 2026
Zeptun Intelligence Limited (Hong Kong SAR) ("vi", "vi" eller "vårt") driver Unbox e-postplattformen på unbox.im och är engagerad i att skydda personuppgifter i samsyn med EU:s allmänna dataskyddsförordning (GDPR) och liknande lagar. Denna sida sammanfattar hur vi hanterar data för kunder i Europeiska ekonomiska området (EEA), Storbritannien och Schweiz. Den kompletterar vår Integritetspolicy och Servicevillkor.
Vem vi är
Zeptun Intelligence Limited (Hong Kong SAR) är dataansvarig för personuppgifter som behandlas via Unbox på unbox.im. För frågor om dataskydd kontaktar du privacy@unbox.im.
Vad Unbox är (och inte)
Unbox är en plattform för transaktionell e-post och domäninbox. Vi hjälper dig att skicka och hantera viktiga mejl – valideringskoder, lösenordsåterställningar, ordersamtal och teammeddelanden på dina egna domäner.
Vi inte erbjuder marknadsföring eller nyhetsbrevsfordon. Våra HTTP API och SMTP-överföringsvägar är begränsade till transaktionell e-post endast. Detta val minskar GDPR-marknadsföringsgodkännandets komplexitet: vi skickar inte promotoriska kampanjer på din vägn, och vi kräver inte marknadsföringsgodkännande eller avslagssystem för plattformens mejl.
Utgående API och SMTP – endast transaktionell e-post
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Tillåtna exempel
- Kontobekräftelse, återställning av lösenord och säkerhetsaviseringar
- Beställningsbekräftelser, kvitton, skickuppdateringar och betalningsmeddelanden
- Aviseringar som utlöstas av ett specifikt användare eller systemhändelse
- Team- och arbetsutrymmesmeddelanden (bjudningar, tilldelningar, interna aviseringar)
Förbjudna exempel
- Nyhetsbrev, promotoriska kampanjer eller broadcast-marknadsföring
- Kall utgående eller mail till köpta, skrapade eller icke-samtyckta listor
- Affiliate-spam, phishing eller bedräglig innehåll
- Villkor att undvika mottagargränser, sändningsgränser eller plankvoter
Takt och mottagargränser (policy)
För att förhindra faktiskt massmarknadsföring samtidigt som vi tillåter normella teammeddelanden är utgående API och SMTP-trafik underlagd nedanstående gränser i addition till planquoteringar. Gränserna tillämpas automatiskt och gäller per arbetsytan (ägare och teammedlemmar delar en daglig unik mottagarpool, återställs vid midnatt UTC):
- Mottagare per meddelande: Upp till 50 totalt (To + Cc + Bcc sammanlagt)
- Unika mottagare per dag: Upp till 1 000 per arbetsutrymme
- Sändningsförfrågans hastighet: Upp till 10 API- eller SMTP-överföringar per minut per domän
- Plan utgående kvot: Månadsutgående kvoter på din prenumeration gäller fortfarande
Dessa regler är en del av vår Acceptable Use Policy. Automatisk tillämpning är aktiv på webbkompositören, HTTP API och SMTP-överföring. Konton som skickar marknadsföring eller bulk-mail, eller annat missbruk av sändningsinfrastruktur, kan bli begränsade, satt i paus eller avslutades.
Vi övervakar leveranssignalerna. Sustained bounce rates över 3% eller klagorater över 0,1% kan utlösa en temporär sändningspaus eller manuell granskning.
Dessa regler är också beskrivna i våra Villkor.
Lagliga grundlägganden för behandling
- Kontrakt – för att erbjuda värd, DNS, inbox, API-sändning, fakturering och support som du prenumererat på.
- Legitima intressen – säkerhet, missbrukpreventiv, leveransövervakning och produktutveckling, balanserat mot dina rättigheter.
- Godkännande – där det krävs, t.ex. valfria AI-funktioner som skickar innehåll till molnmodellleverantörer, eller koppling till tredjeparts mejlkonton.
- Laglig skyldighet – skatt, fakturering och lagliga begäranden från myndigheter.
Vad vi redan gör
- Verifierad registrering – nya konton måste bekräfta e-post (enmalig kod eller magisk länk) innan inloggning.
- Encryption – TLS för data i transport; känsliga autentiseringsuppgifter och token krypterade vid vila; API-nycklar lagrade som hash.
- Dataminimering – utgående leveransloggar lagrar endast metadata (inga meddelandebröd). Externa kontoförhandsgranskningar förfaller efter sju dagar. Leveransloggar tas bort enligt en kort återhämtningsperiod (standard 14 dagar).
- Användarstyrd återhämtningsperiod – recycle bin, spamkvarentin och permanent raderingsflöden; du väljer hur länge raderat mejl ska behållas innan radering.
- DNS-autentisering – vi vägleder dig genom SPF, DKIM och DMARC-ansättning och blockerar skickande förrän din domän är verifierad.
- Operatoransvar – plattformens personalåtgärder i vår admin-console loggas i auditloggar; teammedlemsförändringar registreras i din arbetsytaaktivitetsflöde.
- Ingen sälj av personuppgifter – vi säljer inte din information till annonserare eller databrokerar.
Underprocessörer
Vi använder tillit värd infrastrukturpartnere för att köra Unbox. De behandlar data endast enligt våra instruktioner och kontraktuella skydd:
- Vercel — webbapplikationshosting och serverlösa funktioner
- Neon — PostgreSQL-databas
- Upstash — Redis (köer och taktbegränsning)
- Vercel Blob — bilaga och meddelande blob-lagring
- Amazon Web Services (SES) — inbunden och utgående e-postleverans
- Stripe — prenumerationsfakturering och fakturor
- OpenRouter — moln AI-inferens när du använder AI-funktioner som kräver fjärrmodeller
En uppdaterad lista finns i vår Integritetspolicy. Företagskunder som behöver en signerad Data Processing Agreement (DPA) kan begära en på privacy@unbox.im.
Internationella överföringar
Unbox är främst driftad från Singapore, med infrastruktur i AWS ap-southeast-1 och globala edge-platser som används av våra värdleverantörer. Var personal data överförs utanför EEU, förlitar vi oss på lämpliga skyddsmått som Standard Contractual Clauses och leverantörs DPAs. Vi planerar EU-regionlagring för kunder som kräver dataresidens i EU.
Dina rättigheter enligt GDPR
Om GDPR gäller för dig har du rätt att:
- Åtkomst till den personuppgifter vi har om dig
- Korrigera ogiltiga data
- Exportera dina data i ett portabelt format
- Radera dina data ("rätt att bli glömd")
- Begränsa eller försäkra om viss behandling
- Återkalla godkännande där behandling är baserad på godkännande
- Föra en skämt med din lokala övervakningsmyndighet
Hur du kan utöva dina rättigheter idag: e-post privacy@unbox.im från din registrerade adress. Vi svarar inom en månad. Self-service export och kontoavslutning i Inställningar är på vår roadmap — se nedan.
AI och din mail
När du använder AI-funktioner kan relevanta meddelandeinnehåll skickas till AI-leverantörer för sammanfattning, klassificering eller utkast. Vi minimerar vad som skickas och använder inte din mail för att träna offentliga modeller. Affärs-kunder kommer att kunna begränsa moln AI-behandling i kontoinställningar; förrän den växeln lanseras, kontakta oss för att avaktivera moln-inferens.
Säkerhet och brister
Vi håller tekniska och organisatoriska åtgärder, inklusive åtkomstkontroller, kryptering, MFA/passkey-stöd och incidenthanteringsprocedurer. Om en personuppgiftsbrist hotar dina rättigheter kommer vi att meddela påverkade användare och reglerare enligt lag.
Planerade förbättringar
Vi arbetar aktivt med att förstärka GDPR-förberedelser, inklusive:
- Self-service dataexport och kontoavslutning i Inställningar
- Lagrad godkännande i registrering med policyversionstracking
- Utgående skickningsgränser som förhindrar massmarknadsmissbruk medan de tillåter normal teammeddelanden (se ovan)
- Utöd sub-processörtransparens och kund DPA-mallar
- Valfritt EU-dataresidens
Kontakt
Dataskyddsfrågor: privacy@unbox.im
Allmänt stöd: hello@unbox.im