Integritetspolicy

För att Kartly ska kunna hjälpa dig hitta billigaste maten nära dig samlar vi in ett begränsat antal uppgifter. Vi försöker hålla datamängden så liten som möjligt och behandlar bara det vi faktiskt behöver.

• Kontodata: namn, e-postadress, lösenord (hashat) och postnummer. Postnummer är frivilligt men gör att vi kan rekommendera butiker i närheten.
• Beteendedata: dina sökningar, frågor till AI-assistenten, varor du lägger i listor och vilka butiker du klickar dig vidare till.
• Enhetsdata: operativsystem, webbläsare, skärmstorlek och IP-adress — används för säkerhet, felsökning och att rendera sidan korrekt.
• Platsinformation: endast ditt postnummer. Vi efterfrågar aldrig GPS-position utan ditt uttryckliga samtycke, och då bara för den enskilda sessionen.

Vi samlar inte in känsliga personuppgifter som hälsodata, politiska åsikter eller religiös tillhörighet.

Uppgifterna används för tydligt avgränsade ändamål:

• Tillhandahålla tjänsten. Visa butiker, priser och listor som är relevanta för dig.
• Personalisera rekommendationer. Anpassa förslag efter var du bor och vad du brukar handla.
• Förbättra AI-modellen. Anonymiserade frågor används för att träna våra språkmodeller att förstå svenska matvaror och recept bättre.
• Statistik och produktutveckling. Aggregerad data hjälper oss se vilka funktioner som fungerar.
• Säkerhet. Upptäcka missbruk, skydda konton och förhindra bedrägerier.

All behandling sker med stöd av dataskyddsförordningen (GDPR). Vi stödjer oss på tre huvudsakliga rättsliga grunder:

• Avtal (artikel 6.1 b). När du skapar ett konto ingår du avtal med oss och vi behöver behandla dina uppgifter för att leverera tjänsten.
• Berättigat intresse (artikel 6.1 f). Används för säkerhet, förbättring av tjänsten och aggregerad analys. Vi gör alltid en intresseavvägning och väljer den minst integritetskränkande metoden.
• Samtycke (artikel 6.1 a). Används för GPS, marknadsföring via e-post och icke-nödvändiga cookies. Du kan återkalla samtycket när som helst.

Vi sparar inte uppgifter längre än nödvändigt. Riktlinjerna nedan styr vår lagringstid:

• Kontodata: så länge du har ett aktivt konto och därefter i högst 12 månader för att kunna återaktivera kontot om du ångrar dig.
• Sök- och frågedata: kopplad till ditt konto i 90 dagar, därefter anonymiseras den och går inte att spåra tillbaka till dig.
• Tekniska loggar: 30 dagar, sedan raderas de automatiskt.
• Fakturor och kvitton: 7 år enligt bokföringslagen.

När du raderar ditt konto påbörjas en automatisk rensning. Oundvikliga undantag — exempelvis bokföringsmaterial — behåller vi endast så länge lagen kräver.

Vi säljer aldrig dina personuppgifter. Vi delar dem bara med leverantörer som hjälper oss driva tjänsten, och då under skriftliga personuppgiftsbiträdesavtal.

• Infrastruktur: Amazon Web Services (AWS) i Stockholm (eu-north-1) för databaser och Vercel för webbhosting.
• Analys: Plausible Analytics (självhostad i EU), som inte använder cookies och inte samlar in personuppgifter.
• E-post: Postmark för transaktionsmejl som välkomstbrev och lösenordsåterställning.
• Betalningar: Stripe hanterar betalkort och prenumerationer. Vi ser aldrig ditt fullständiga kortnummer.

Vid myndighetsbegäran eller domstolsbeslut kan vi behöva lämna ut uppgifter. Vi gör alltid en rättslig bedömning först och informerar dig om det är tillåtet.

GDPR ger dig omfattande rättigheter när vi behandlar dina personuppgifter. Du har rätt att:

• Få tillgång till en kopia av de uppgifter vi har om dig.
• Få felaktiga uppgifter rättade utan onödigt dröjsmål.
• Bli raderad ("rätten att bli bortglömd") när uppgifterna inte längre behövs för ändamålet.
• Invända mot behandling som sker på grund av berättigat intresse.
• Begära dataportabilitet — få ut dina uppgifter i ett strukturerat, maskinläsbart format (JSON).
• Begränsa behandlingen medan ett ärende utreds.
• Återkalla samtycke du tidigare har lämnat.

Kontakta oss på integritet@kartly.se så återkommer vi inom 30 dagar. I regel svarar vi betydligt snabbare.

All primär lagring sker inom EU, främst i AWS regionen Stockholm. Vissa leverantörer — exempelvis Stripe — kan behöva bearbeta uppgifter i USA.

När vi överför uppgifter utanför EU/EES använder vi EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) och kompletterar med tekniska skyddsåtgärder som kryptering och pseudonymisering. Vi gör en överföringskonsekvensbedömning (TIA) för varje mottagarland innan överföringen sker.

Vi skyddar dina uppgifter med samma metoder som banker och större SaaS-plattformar:

• Kryptering i transit: TLS 1.3 på all trafik mellan din webbläsare och Kartly.
• Kryptering i vila: AES-256 på databaser och filsystem.
• Tvåfaktorsautentisering (2FA): finns tillgängligt för alla konton — aktivera i dina inställningar.
• Minsta privilegium: endast anställda med driftansvar har tillgång till produktionssystem, och all åtkomst loggas.
• Årlig granskning: extern säkerhetsrevision och kontinuerliga automatiska sårbarhetsscanningar.

Vid en personuppgiftsincident som kan innebära risk för dig meddelar vi dig och Integritetsskyddsmyndigheten (IMY) inom 72 timmar, i enlighet med GDPR artikel 33–34.

Kartly är inte avsett för barn under 16 år. Vi samlar inte medvetet in uppgifter om minderåriga. Om du är vårdnadshavare och misstänker att ditt barn har registrerat ett konto, kontakta integritet@kartly.se så raderar vi kontot utan dröjsmål.

Vi kan behöva uppdatera denna integritetspolicy när tjänsten utvecklas eller lagstiftningen ändras. Mindre justeringar — till exempel klargöranden av existerande formuleringar — publicerar vi löpande med ett nytt datum högst upp på sidan.

Vid väsentliga förändringar — exempelvis nya ändamål för behandlingen eller nya underbiträden — meddelar vi dig via e-post minst 30 dagar innan ändringen träder i kraft, så att du hinner ta ställning.

Personuppgiftsansvarig är Kartly AB (org.nr 559XXX–XXXX), med adress Birger Jarlsgatan 12, 114 34 Stockholm. Vårt dataskyddsombud nås på dpo@kartly.se.

Är du inte nöjd med hur vi hanterar dina uppgifter har du alltid rätt att lämna klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY). Vi uppskattar dock om du hör av dig till oss först — det mesta går att lösa snabbt genom ett mejl.