Integritetspolicy
Senast uppdaterad: 30 april 2026
1. Vem är personuppgiftsansvarig?
Vem som ansvarar för dina uppgifter beror på vilken kategori av data det rör sig om:
- Boende-data hos din förening — namn, lägenhet, e-post, PIN, bokningar och ärenden. Här är din bostadsrättsförening personuppgiftsansvarig. Bag of Marshmallows AB (org.nr 559320-6294) är personuppgiftsbiträde och behandlar uppgifterna på föreningens uppdrag.
- Kvarter-feed-data — din opt-in-status, redemptions och favoriter. Här är Bag of Marshmallows personuppgiftsansvarig, eftersom detta är data som hör till dig som individ — inte till föreningen.
- Lokal partner-data — kontaktuppgifter, uppladdat innehåll och statistik. Här är Bag of Marshmallows personuppgiftsansvarig.
2. Vilka uppgifter behandlar vi?
Som boende
- Förnamn, efternamn, e-postadress, profilbild (frivillig)
- Lägenhet, byggnad, person-typ (ägare, delägare, första hand, andra hand, hushållsmedlem)
- Personlig PIN-kod för bokningssystemet — används enbart på fysiska skärmar i föreningen
- Bokningar och ärenden du registrerar
- Anonymiserad öppningsstatistik när du läser inlägg och e-post från föreningen — visas bara aggregerat till styrelsen, aldrig per individ
- Tekniska data: IP-adress, sessions-cookies och device-typ (för säkerhet och felsökning)
Som styrelsemedlem (admin)
- Allt som gäller boende, plus
- Din roll i styrelsen visas i styrelselistan på föreningens informationsskärmar
Som kvarter-feed-användare (om aktiverad)
- Tidpunkt för opt-in och opt-out
- Vilka erbjudanden du löst in och när
- Eventuella favoritmarkeringar
Som lokal partner
- Företagsnamn, organisationsnummer, kontaktperson, e-post, telefon
- Innehåll du laddar upp (text, bilder, video, erbjudanden)
- Aggregerad statistik om dina inlägg (visningar, redemptions per kvarter — alltid på gruppnivå, aldrig om enskilda boende)
3. Varför behandlar vi data?
| Kontext | Ändamål | Rättslig grund |
|---|---|---|
| Boende-data | Bokning, ärenden, kommunikation | Avtal med föreningen |
| Tekniska data | Säkerhet, felsökning | Berättigat intresse |
| Kvarter-feed | Visa lokala erbjudanden du valt | Ditt samtycke |
| Öppningsstatistik | Återkoppling på BRF-kommunikation | Berättigat intresse |
| Aggregerad statistik | Visa partners deras prestation | Berättigat intresse |
| Lokal partner | Driva partner-panelen | Avtal med partnern |
4. Var lagras data?
Primärdatabasen driftas av Convex med servrar i Irland (EU). Underbiträden för autentisering, hosting, e-post och eventuella AI-funktioner kan behandla data utanför EU/EEA under EU-US Data Privacy Framework (DPF) och standardavtalsklausuler (SCC).
5. Underbiträden
Vi använder följande leverantörer för att drifta Tjänsten:
| Leverantör | Syfte | Plats |
|---|---|---|
| Convex | Databas och backend | Irland (EU) |
| Clerk | Autentisering | EU-US DPF |
| Vercel | Hosting och CDN | EU-US DPF |
| bunny.net (BunnyWay d.o.o.) | Lagring och CDN för bilder och filer | Stockholm (EU) |
| Resend | Transaktionell e-post | EU-US DPF |
Villkorade underbiträden — endast vid AI-funktioner:
| Leverantör | Syfte | Plats |
|---|---|---|
| Anthropic (Claude) | AI-agenter, protokoll, triagering | EU-US DPF |
| OpenAI | AI-agenter (alternativ modell) | EU-US DPF |
| Google (Gemini) | AI-agenter (alternativ modell) | EU-US DPF |
| xAI (Grok) | AI-agenter (alternativ modell) | SCC |
| Exa | Sökning och retrieval för AI-agenter | EU-US DPF |
AI-leverantörer används endast om föreningen aktiverat AI-funktioner. Vi prioriterar leverantörer som inte använder kundens data för att träna modeller.
6. Delning av data
Vi säljer aldrig dina personuppgifter. Vi delar bara i följande fall:
- Med underbiträden — för att drifta Tjänsten (se §5).
- Inom föreningen — admins ser de boende-uppgifter som krävs för administration. Styrelsemedlemmars namn och roll visas på föreningens informationsskärmar. Admins ser även aggregerad öppningsstatistik per inlägg och e-post — aldrig per individ.
- Med lokala partners — endast aggregerad statistik på gruppnivå. Aldrig kontaktdata, individdata eller information som kan kopplas till enskilda boende.
- Med myndigheter — om vi är skyldiga enligt lag.
7. Lagringstid
- Boende-data sparas så länge du är registrerad i föreningen. Vid utflytt raderas eller anonymiseras uppgifterna inom 30 dagar enligt föreningens instruktioner.
- Kvarter-feed-data sparas så länge du har feeden aktiverad. När du stänger av raderas dina personliga redemption-kopplingar; aggregerad statistik kvarstår anonymt.
- Lokal partner-data sparas så länge avtalet är aktivt, plus 12 månader för bokföringsskäl.
8. Dina rättigheter
Som registrerad har du rätt att:
- begära tillgång till dina uppgifter;
- begära rättelse av felaktiga uppgifter;
- begära radering ("rätt att bli glömd");
- begära begränsning av behandlingen;
- invända mot behandling baserad på berättigat intresse;
- begära dataportabilitet;
- dra tillbaka samtycke (gäller kvarter-feeden).
Hur du gör:
- För boende-data — kontakta i första hand din bostadsrättsförening, eftersom föreningen är personuppgiftsansvarig. Vi som biträde kan inte radera uppgifter utan föreningens instruktion. Notera att föreningen kan ha rätt att behålla vissa uppgifter så länge du bor där.
- För kvarter-feed-data — stäng av feeden i dina inställningar, eller kontakta oss direkt.
- För lokal partner-data — kontakta oss direkt.
Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att dina uppgifter behandlas felaktigt.
9. Personalåtkomst hos oss
Endast behörig personal hos Bag of Marshmallows har åtkomst till data, och bara för support, säkerhet, felsökning och drift. All åtkomst sker under tystnadsplikt.
10. Säkerhet
Data krypteras under transport (TLS) och i vila. Vi tillämpar tekniska och organisatoriska säkerhetsåtgärder enligt GDPR Art 32. Vid personuppgiftsincident underrättar vi din förening utan onödigt dröjsmål.
11. Cookies
Vi använder enbart nödvändiga cookies för autentisering, sessionhantering och säkerhet. Vi använder inga spårnings- eller marknadsföringscookies.
12. Kontakt
Bag of Marshmallows AB
E-post: kontakt@kvarteret.app