Integritetspolicy

Codebrain AB (organisationsnummer 559122-0677, Kalmar, Sverige) är personuppgiftsansvarig för behandlingen av personuppgifter som rör kontoinnehavare och deras anställda i tjänsten Thredo. För innehåll som kunden publicerar (inlägg, kommentarer från läsare) är kunden ansvarig; vi fungerar som personuppgiftsbiträde.

• Konto: namn, e-post, lösenord (hashat), roll i organisationen, senaste inloggning.
• Organisation: organisationsnamn, slug, tema, prenumerationsstatus, Stripe customer-ID.
• Betalning: hanteras av Stripe — kortnummer passerar aldrig våra servrar. Vi sparar sist fyra siffror och korttyp för visning.
• Användningsdata: antal AI-anrop per månad för kvot- och overage-beräkning.
• Läsardata (embed): IP för rate-limiting och anti-spam, kommentarer, reaktioner, prediktioner. Inga spårande cookies sätts i inbäddningen.

• Tillhandahålla tjänsten (avtal, GDPR art 6.1.b) — kontohantering, rapportering, fakturering.
• Säkerhet och missbruksskydd (berättigat intresse, GDPR art 6.1.f) — rate-limiting, moderation, inloggningslogg.
• Kommunikation (avtal/berättigat intresse) — trans­aktionsmail som inloggningskoder, fakturakvitton, driftstörningar.

Följande underbiträden används:

• Stripe (betalning, fakturor) — USA, DPF-certifierad.
• SendGrid (e-post­leverans) — USA, DPF-certifierad.
• Anthropic (Claude) (AI-assistans, moderation) — USA.
• api-sports.io (match-data) — EU. Hämtar offentlig liga-data, inga personuppgifter skickas in.
• DigitalOcean (drift och databaser) — datacenter inom EU (Frankfurt).

Personuppgifter lämnas inte ut till någon annan utom om svensk myndighet begär det enligt lag.

• Aktivt konto: så länge kontot är öppet.
• Avslutat konto: raderas inom 90 dagar efter uppsägning, bortsett från fakturadata som sparas i 7 år enligt bokföringslagen.
• Läsar-kommentarer i embed: så länge kunden inte raderar dem eller säger upp sin prenumeration.
• Inloggningskoder: raderas 30 dagar efter utgång.

Du har rätt att få ett registerutdrag, begära rättelse, invända mot behandling, begära radering (”rätten att bli glömd”) och dataportabilitet. Kontakta [email protected] så återkommer vi inom 30 dagar. Klagomål till tillsyn: Integritetsskyddsmyndigheten (IMY).

Administrationsgränssnittet använder en teknisk sessionscookie för inloggning. Ingen spårning sker. Inbäddningen på kundens sajt sätter inga spårande cookies. Push-notiser kräver browser-nivå tillåtelse (Notification.requestPermission()) som läsaren själv ger åt sin webbläsare — ingen separat samtyckesbanner visas i inbäddningen. Tipp-funktionen sparar läsarens egen inmatning i webbläsarens localStorage; behandlingen sker på legitim-intresse-grund (GDPR art. 6.1.f) eftersom läsaren explicit valt att lämna sin gissning, och kan invändas mot via [email protected].

All kommunikation sker över HTTPS. Lösenord hashas med bcrypt. Kortbetalningar hanteras av Stripe enligt PCI-DSS. Databaser är krypterade i vila hos driftleverantören.

Väsentliga ändringar aviseras via e-post 30 dagar före ikraftträdandet.

[email protected] för integritetsfrågor.