Integritetspolicy
Senast uppdaterad: 9 maj 2025 · Gäller från: 9 maj 2025
SverigeProvet ("vi", "oss") är personuppgiftsansvarig för behandlingen av dina personuppgifter. Denna policy förklarar vilka uppgifter vi samlar in, varför, hur länge vi lagrar dem och vilka rättigheter du har enligt EU:s dataskyddsförordning (GDPR, förordning 2016/679) och kompletterande svensk lagstiftning (dataskyddslagen 2018:218).
Kontaktuppgifter: hello@sverigeprovet.se
1. Vilka personuppgifter vi behandlar och varför
1.1 Inloggning och kontoadministration
Uppgifter: e-postadress, krypterat lösenordshash (hanteras av Supabase Auth), tidsstämpel för skapad konto.
Rättslig grund: GDPR art. 6(1)(b) — nödvändigt för att fullgöra avtalet med dig.
Lagringstid: Tills kontot raderas. Vid radering anonymiseras e-postadressen omedelbart.
1.2 Studieprogress och svar
Uppgifter: svar på övningsfrågor, bokmärken, SRS-tillstånd (spaced repetition), provresultat.
Rättslig grund: GDPR art. 6(1)(b) — kärntjänsten kräver detta för att beräkna framsteg.
Lagringstid: Tills kontot raderas.
1.3 Enhetsregistrering
Uppgifter: anonymt SHA-256-fingeravtryck av webbläsarens User-Agent, skärmstorlek, språk och tidszon; enhetsnamn (valfritt, sätts av dig); tidsstämpel för senast sedd.
Rättslig grund: GDPR art. 6(1)(f) — berättigat intresse att förhindra obehörig kontodelning (begränsat till 2 enheter per licens).
Lagringstid: 90 dagar efter senaste aktivitet, eller tills enheten återkallas eller kontot raderas.
1.4 Betalning och prenumeration
Uppgifter: Stripe kundID, prenumerationsplan och status, faktureringshistorik. Vi lagrar aldrig kortuppgifter — dessa hanteras uteslutande av Stripe.
Rättslig grund: GDPR art. 6(1)(b) (avtalet) och art. 6(1)(c) (bokföringsskyldighet).
Lagringstid: 7 år efter transaktionen i enlighet med bokföringslagen (1999:1078) 7 kap. 2 §. Denna skyldighet gäller även om du raderar ditt konto.
1.5 Push-notiser (om du aktiverat det)
Uppgifter: push-prenumerationsnyckel (endpoint, p256dh, auth) lagrad i din webbläsare och på våra servrar.
Rättslig grund: GDPR art. 6(1)(a) — samtycke som du ger via det tvåstegs-medgivande som visas innan webbläsarens behörighetsdialog.
Lagringstid: Tills du avaktiverar notiser (i inställningar) eller raderar kontot. Du kan när som helst återkalla samtycket.
1.6 Analysdata (PostHog)
Uppgifter: pseudonymiserat event-ID, sida-URL, händelsetyp (t.ex. "quiz_completed"). Ingen data skickas förrän du accepterat icke-nödvändiga cookies i vår cookiebanner.
Rättslig grund: GDPR art. 6(1)(a) — samtycke via cookiebanner.
Lagringstid: 12 månader, sedan automatisk radering.
2. Underbiträden (sub-processorer)
| Tjänst | Syfte | Plats | Skyddsåtgärd |
|---|---|---|---|
| Supabase | Auth, databas, fillagring | EU (Frankfurt) | DPA, SCCs |
| Stripe | Betalning, fakturering | USA/EU | DPA, EU-US DPF |
| Vercel | Hosting, edge-funktioner | USA/EU | DPA, SCCs |
| Resend | Transaktionsmejl | USA | DPA, SCCs |
| PostHog | Produktanalys (opt-in) | EU | DPA, SCCs |
SCCs = EU Standard Contractual Clauses (beslut 2021/914). DPF = EU-US Data Privacy Framework.
3. Dina rättigheter (GDPR art. 15–22)
- Tillgång (art. 15) — Begär en kopia av dina uppgifter via inställningar → "Ladda ner min data" eller maila oss.
- Rättelse (art. 16) — Korrigera felaktiga uppgifter via inställningar eller e-post.
- Radering (art. 17) — Radera kontot i inställningar. Aktivitetsdata raderas omedelbart; betalningsdata behålls 7 år (bokföringslagen).
- Begränsning (art. 18) — Kontakta oss för att begränsa behandlingen under utredning av klagomål.
- Dataportabilitet (art. 20) — Exportera dina data i maskinläsbart JSON-format via inställningar.
- Invändning (art. 21) — Invända mot behandling baserad på berättigat intresse (art. 6(1)(f)), t.ex. enhetsfingeravtryck.
- Återkallande av samtycke (art. 7(3)) — Dra tillbaka samtycke till push-notiser eller analyscookies när som helst utan att det påverkar tidigare behandlings laglighet.
Kontakta oss på hello@sverigeprovet.se för att utöva dina rättigheter. Vi svarar inom 30 dagar.
Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm, imy.se.
4. Säkerhet
All kommunikation sker via TLS 1.3. Lösenord lagras som bcrypt-hash. Databastillgång kräver RLS-policy (Row Level Security). Tjänstekontonycklar förvaras i miljövariabler och exponeras aldrig i klientkod.
5. Cookies och lokal lagring
Se vår cookiepolicy för en fullständig förteckning. Du kan ändra ditt samtycke när som helst via länken "Hantera cookies" i sidfoten.
6. Ändringar av denna policy
Väsentliga ändringar meddelas via e-post minst 14 dagar i förväg. Datum för senaste ändring visas alltid längst upp.