01 Sammanfattning
Vi gör två saker med data:
- Vi lagrar era bilder så att ni kan se dem och ladda ner dem efteråt
- Vi skickar ett fåtal mejl (bekräftelser, kvitto, påminnelser innan radering)
Vi använder inte era bilder för att träna AI. Vi säljer aldrig data. Vi visar inga annonser. Vi använder inga tredjeparts-analystjänster eller spårningsverktyg. Vi delar bara data med de driftsleverantörer som krävs för att köra tjänsten — och bara så mycket de behöver.
Personuppgiftsansvarig: Vlaski AB (org.nr 559398-3306), Jönköping. Dataskyddsfrågor: info@momentix.se.
02 Vad vi samlar in
Från arrangören
- Kontouppgifter
- Namn, e-postadress, lösenord (hashat). Valfritt: telefonnummer för SMS-påminnelser.
- Eventuppgifter
- Eventnamn, datum, plats (om ni anger). Dessa är bara synliga för er och gästerna ni bjuder in.
- Betalinformation
- Hanteras uteslutande av Stripe. Vi lagrar bara ett kvittonummer och de fyra sista siffrorna i kortet.
Från gästerna
- Smeknamn
- Det de själva skriver när de laddar upp — t.ex. "Mormor Ingrid". Inget krav på fullständigt namn.
- Uppladdade bilder & videor
- Inklusive EXIF-data (kamera, tid, plats om telefonen delar det). EXIF raderas i förhandsvisningar men behålls i originalet ni laddar ner.
- IP-adress
- Loggas temporärt (30 dagar) för säkerhet och missbruksprevention.
Automatiskt
- Driftloggar
- Tekniska loggar (HTTP-förfrågningar, IP-adress, tidsstämpel) som krävs för att leverera tjänsten och förebygga missbruk. Inga tredjeparts-analystjänster.
03 Syfte & laglig grund
| Syfte | Data | Laglig grund |
|---|---|---|
| Leverera tjänsten | Konto, event, bilder | Avtal (art. 6.1.b GDPR) |
| Fakturering | Betalinformation | Avtal & rättslig skyldighet |
| Säkerhet & missbruksprevention | IP, loggar | Berättigat intresse (art. 6.1.f) |
| Påminnelser innan radering | E-post | Avtal |
04 Vem får se datan
Som huvudregel: bara ni och era gäster. För drift använder vi följande personuppgiftsbiträden:
| Leverantör | Syfte | Region |
|---|---|---|
| Supabase | Databas, autentisering, edge functions | EU — Stockholm |
| Cloudflare R2 | Bild- och videolagring (originaler + förhandsvisningar) | EU-jurisdiktion |
| Stripe | Betalning + momshantering (Stripe Tax, OSS) | Irland / USA (SCC + DPF) |
| Resend | Transaktionsmejl (kvitton, påminnelser, alerts) | USA (SCC + DPF) |
| Railway | Frontend-hosting (statiska sidor) | EU-region |
Samtliga har signerade eller publicerade personuppgiftsbiträdesavtal (DPA). Vi använder ingen analytics, ingen tredjeparts-spårning och inga AI-bolag. Vi delar aldrig data med marknadsförare eller datamäklare.
05 Lagringstid
- Bilder & videor: 30 dagar (Gratis), 12 månader (Komplett), 24 månader (Premium). Eventet markeras som arkiverat när tiden gått ut och raderas därefter inom 30 dagar.
- Kontouppgifter: Så länge kontot är aktivt. Efter radering: 30 dagars uppskov, sedan borta.
- Fakturaunderlag: 7 år (bokföringslagen).
- Systemloggar: 30 dagar.
- Säkerhetskopior: 30 dagar efter radering, sedan överskrivna.
06 Överföring utanför EU
All bildlagring sker inom EU (Cloudflare R2 EU-jurisdiktion). Databas och edge functions körs i Supabases EU-region (Stockholm). Stripe och Resend kan överföra vissa metadata till USA — detta sker med EU-godkända Standard Contractual Clauses och Data Privacy Framework. Vi överväger löpande alternativa EU-leverantörer.
07 Dina rättigheter
Enligt GDPR har du rätt att:
- Få tillgång till din data (registerutdrag)
- Rätta felaktig information
- Radera din data ("rätten att bli glömd")
- Begränsa behandlingen
- Flytta din data till annan leverantör
- Invända mot behandling baserad på berättigat intresse
- Dra tillbaka samtycke när som helst
Mejla info@momentix.se så löser vi det inom 30 dagar. Du kan också vända dig till Integritetsskyddsmyndigheten (IMY) om du inte är nöjd med hur vi hanterar ärendet.
08 Bilder på barn
Vi bygger i första hand för privata event där barn ofta syns på bilder. Arrangören ansvarar för att ha samtycke från vårdnadshavare att bilder samlas in och visas i eventgalleriet. Vi rekommenderar att ni informerar gäster om detta vid inbjudan.
Gäster under 13 år bör inte själva ladda upp utan förälders hjälp. Vid anmälan om olämpligt innehåll som rör barn agerar vi inom 24 timmar.
09 Säkerhet
- TLS 1.3 för all trafik
- Kryptering i vila (AES-256) för alla bilder
- Isolerade tenant-buckets per event
- PIN-skyddade gallerier som standardval
- Regelbundna penetrationstester (externt)
- Access-loggar för alla admin-åtkomster
10 Incident & kontakt
Skulle något hända — dataincident, misstänkt åtkomst, läckage — informerar vi berörda användare inom 72 timmar enligt GDPR, och rapporterar till IMY.
Dataskyddskontakt: info@momentix.se
Personuppgiftsansvarig: Vlaski AB, org.nr 559398-3306, Jönköping