Integritetspolicy

Senast uppdaterad: 28 maj 2026

1. Vilka uppgifter samlar vi in?

Vi samlar in följande personuppgifter:

• Kontouppgifter: Namn, e-postadress
• Kalasuppgifter: Information om kalas du skapar (datum, plats, tema)
• Gästinformation: Namn och kontaktuppgifter för gäster du bjuder in
• Betalningsuppgifter: Hanteras säkert av Stripe

2. Känsliga personuppgifter (hälsodata)

Vid OSA-svar kan gäster frivilligt ange allergi- och kostinformation. Denna information räknas som hälsorelaterade uppgifter enligt GDPR och hanteras med extra omsorg:

• Frivilligt: Fältet är valfritt att fylla i
• Begränsad åtkomst: Endast kalasarrangören kan se informationen
• Syfte: Används endast för att planera mat och aktiviteter
• Radering: Informationen raderas automatiskt senast 7 dagar efter kalasdagen
• Rättslig grund: Samtycke genom att fylla i fältet (GDPR Art. 9.2a)

2.5 AI-genererade temabilder (EU AI Act art. 50)

Premiumfunktionen “AI Tema” använder Googles bildgenereringsmodell Gemini 2.5 Flash Image för att skapa ett kalastema utifrån din textbeskrivning. När du använder funktionen interagerar du med ett AI-system (EU AI Act art. 50.1.a).

• Vart prompten skickas: Texten du skriver vidarebefordras till Google LLC (USA) via Geminis API. Skriv därför inte in person- eller hälsouppgifter i beskrivningen.
• Märkning: Genererade bilder märks som AI-genererade både visuellt (badge på inbjudningssidan) och maskinläsbart (role="img" med aria-label samt data-ai-generated="true" i koden), i enlighet med EU AI Act art. 50.2.
• Lagring: Promptens text och den genererade bilden sparas i vår databas så att du kan visa bilden på inbjudningssidan. Du kan radera bilden när som helst i kalas­inställningarna.
• Rättslig grund: Avtal — vi levererar den premiumfunktion du köpt (GDPR art. 6.1.b).
• Begränsning: Max 3 generationer per kalas.

3. Hur använder vi uppgifterna?

Vi använder dina uppgifter för att:

• Tillhandahålla och förbättra vår tjänst
• Skicka inbjudningar och påminnelser på dina vägnar
• Kommunicera med dig om ditt konto och tjänsten
• Hantera betalningar

4. Delning av uppgifter

För att kunna driva tjänsten anlitar vi följande personuppgiftsbiträden. Vissa behandlar personuppgifter utanför EU/EES. För sådana överföringar tillämpar vi EU­-kommissionens standardavtalsklausuler (SCC, 2021/914) och, där tillämpligt, EU­-US Data Privacy Framework (DPF).

Vi delar även information som du själv väljer att dela med inbjudna gäster (t.ex. kalasdatum, plats, ditt barns förnamn). Vi säljer aldrig dina personuppgifter till tredje part. En aktuell förteckning över personuppgiftsbiträden kan begäras via policy@maivor.ai.

5. Lagring och säkerhet

Vår produktionsdatabas (Supabase) är hostad inom EU. Personuppgifter som behandlas av våra biträden för SMS (Twilio), e-post (Resend), betalning (Stripe), AI-temageneration (Google Gemini), webbanalys (Google Analytics 4) och delar av felspårningen (Sentry) kan dock överföras till USA — se §4 för transparens kring var varje leverantör behandlar data och vilken överföringsmekanism vi tillämpar.

Vi använder branschstandard för kryptering i transport (TLS 1.2+) och vid lagring (AES­-256 i Supabase och hos våra biträden). Åtkomst till produktionsmiljön är skyddad med stark autentisering och loggas.

6. Lagringsperioder

Vi behåller dina uppgifter bara så länge de behövs. Följande automatiska raderingsregler gäller:

• Allergiuppgifter: Raderas automatiskt 7 dagar efter kalasdagen
• Verifieringskoder (OTP): Raderas efter 24 timmar
• E-postbekräftelser: Raderas efter 7 dagar
• Borttagna gäster: Raderas permanent efter 30 dagar
• Ofullständiga registreringar: Raderas efter 90 dagar

Du kan när som helst exportera alla dina uppgifter via kontoinställningarna. Du kan också begära radering av ditt konto och all tillhörande data.

7. Dina rättigheter

Enligt GDPR har du rätt att:

• Begära tillgång till dina personuppgifter
• Begära rättelse av felaktiga uppgifter
• Begära radering av dina uppgifter
• Begära begränsning av behandling
• Invända mot behandling
• Begära dataportabilitet

8. Cookies och spårning

Vi använder nödvändiga cookies för att tjänsten ska fungera, såsom autentisering och sessionshantering. Dessa kräver inget samtycke.

Vi använder Google Analytics 4 (GA4) för att analysera hur vår webbplats används. För att vara robusta mot annonsblockerare proxyar vi GA4­-skript och mätbeacons via vår egen domän (/stats/*). Mätdata vidarebefordras därefter till Google LLC (USA), som är personuppgifts­ansvarig för data i GA4. Proxyn ändrar inte vilken aktör som tar emot eller behandlar uppgifterna.

GA4 anonymiserar IP-adressen vid insamling. Vi har stängt av Google Signals och annonsrelaterad behandling (ad_storage, ad_user_data och ad_personalization är satta till denied), och vi aktiverar ads_data_redaction så att eventuella annons­ identifierare strippas innan data lämnar din enhet. GA4 samlar in uppgifter om sidvisningar, sessioner, enhetsinformation och ungefärlig plats. Spårningen aktiveras först efter ditt samtycke via cookiebannern. Överföring till USA sker enligt EU­- kommissionens standardavtalsklausuler (SCC, 2021/914) samt EU­- US Data Privacy Framework (DPF).

Sentry används för felspårning och prestandaövervakning. Sentry sätter cookies för att identifiera sessioner vid felrapporter.

Både Google Analytics och Sentry är valfria och aktiveras först efter att du gett ditt samtycke via vår cookiebanner. Du kan när som helst ändra dina cookieinställningar genom att rensa webbläsarens lokala lagring.

9. Ändringar av policyn

Vi kan uppdatera denna policy vid behov. Väsentliga ändringar meddelas via e-post.

10. Tillsynsmyndighet

Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).

Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
www.imy.se

11. Kontakt

För frågor om hur vi hanterar dina personuppgifter, kontakta oss på policy@maivor.ai