Integritetspolicy – Vaccinkoll
Senast uppdaterad: 2026-03-24 | Version: 1.1
1. Personuppgiftsansvarig
Vaccinkoll är en tjänst som drivs av:
Leonin AB
Organisationsnummer: 559578-2375
E-post: privacy@vaccinkoll.se
Webbplats: https://vaccinkoll.se
Leonin AB är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i denna policy.
2. Vilka uppgifter vi samlar in och varför
2.1 Kontoinformation
Uppgifter: Namn, e-postadress, lösenord (hashat), telefonnummer, land, föredragsspråk, kontotyp, datum för senaste inloggning.
Syfte: Skapa och hantera ditt användarkonto, autentisering och kommunikation kring tjänsten.
Rättslig grund: Avtal (artikel 6.1 b GDPR) – behandlingen är nödvändig för att fullgöra det avtal som uppstår när du registrerar ett konto.
2.2 Vaccinationsuppgifter (hälsodata)
Uppgifter: Vaccinnamn, tillverkare, dosnummer, administrationsdatum, vårdgivare, batchnummer, klinik/sjukhus, land där vaccinet gavs, anteckningar samt uppladdade vaccinationsbevis (bilder eller PDF-filer).
Syfte: Spara och visa din vaccinationshistorik, skicka påminnelser om kommande doser, och möjliggöra export av dina uppgifter.
Rättslig grund: Uttryckligt samtycke (artikel 9.2 a GDPR). Vaccinationsuppgifter är hälsodata och utgör en känslig personuppgiftskategori enligt artikel 9 GDPR. Vi behandlar dessa uppgifter enbart efter att du aktivt lämnat ditt uttryckliga samtycke vid registrering. Du kan när som helst återkalla ditt samtycke, vilket innebär att vi avslutar behandlingen och raderar dina uppgifter (se avsnitt 7).
2.3 Familjeprofiler (premiumfunktion)
Uppgifter: Familjemedlemmars namn, relation, åtkomstbehörighet och deras respektive vaccinationsuppgifter.
Syfte: Möjliggöra att en kontohavare hanterar vaccinationsuppgifter för familjemedlemmar.
Rättslig grund: Uttryckligt samtycke (artikel 9.2 a GDPR) för hälsodata. Du ansvarar för att du har rätt att registrera uppgifter om familjemedlemmar, och i förekommande fall att deras samtycke är inhämtat.
2.4 Betalning och prenumeration
Uppgifter: Prenumerationsplan, betalningsstatus, Stripe-kund-ID, Stripe-prenumerations-ID. Vi lagrar inga kortnummer eller fullständiga betalningsuppgifter – dessa hanteras uteslutande av vår betalningsleverantör Stripe.
Syfte: Hantera din prenumeration på premiumtjänsten och genomföra betalningar.
Rättslig grund: Avtal (artikel 6.1 b GDPR).
2.5 Påminnelser och notifikationer
Uppgifter: Påminnelsetyp, förfallodatum, leveransstatus, e-postadress.
Syfte: Skicka påminnelser om kommande vaccinationer eller boosterdoser.
Rättslig grund: Avtal (artikel 6.1 b GDPR) samt ditt samtycke till hälsodata (se 2.2).
2.6 Tekniska loggar och säkerhet
Uppgifter: IP-adress, tidpunkt för åtgärder (t.ex. inloggning, skapande och radering av poster, dataexport), enhetstyp (endast vid behov för felsökning).
Syfte: Säkerhet, felsökning och uppfyllande av vår skyldighet att dokumentera behandling av känsliga uppgifter.
Rättslig grund: Berättigat intresse (artikel 6.1 f GDPR) – att upprätthålla säkerheten i tjänsten och skydda användarna.
3. Hur länge vi sparar uppgifterna
| Kategori | Lagringsperiod |
|---|---|
| Kontoinformation | Så länge kontot är aktivt. Raderas inom 30 dagar efter att kontot avslutas. |
| Vaccinationsuppgifter | Så länge kontot är aktivt. Raderas omedelbart vid radering av enskild post eller inom 30 dagar efter att kontot avslutas. |
| Uppladdade filer (vaccinationsbevis) | Samma som vaccinationsuppgifter. |
| Betalningsuppgifter | 7 år efter avslutat abonnemang, i enlighet med bokföringslagen. |
| Påminnelsehistorik | Raderas inom 30 dagar efter att kontot avslutas. |
| Säkerhets- och åtkomstloggar | 12 månader. |
4. Vem vi delar uppgifterna med
Vi säljer aldrig dina personuppgifter. Vi anlitar följande personuppgiftsbiträden för att driva tjänsten, med vilka vi har tecknat personuppgiftsbiträdesavtal (DPA):
| Biträde | Tjänst | Plats |
|---|---|---|
| Supabase, Inc. | Databas, autentisering, fillagring | EU (Frankfurt, Tyskland) |
| Fly.io, Inc. | Webbapplikation och serverdrift | EU (Stockholm, Sverige) |
| Stripe, Inc. | Betalningshantering | USA (med standardavtalsklausuler, se avsnitt 5) |
| Resend, Inc. | Transaktionsbaserad e-post och vaccinationspåminnelser | EU-region |
| Proton AG | Företagets e-postlådor | Schweiz (land med adekvat skyddsnivå) |
Vi kan vidare komma att lämna ut uppgifter om vi är rättsligt förpliktade att göra det (t.ex. på begäran av domstol eller myndighet).
5. Överföring till tredjeland
Stripe är ett amerikanskt företag. Överföringen av betalningsrelaterade uppgifter till Stripe sker med stöd av EU:s standardavtalsklausuler (SCC, artikel 46.2 c GDPR) som är intagna i Stripes dataskyddsavtal. Stripe är certifierat under PCI DSS och behandlar inga fullständiga kortuppgifter på våra vägnar.
Supabase och Fly.io behandlar all persondata inom EU/EEA.
6. Säkerhet
Vi vidtar tekniska och organisatoriska åtgärder för att skydda dina uppgifter, inklusive:
- Kryptering av data i vila (AES-256) och under transport (TLS 1.2+).
- Applikationsnivå-kryptering av de känsligaste fälten (t.ex. anteckningar, batchnummer, hälsovårdspersonal).
- Radbaserad åtkomstkontroll (Row Level Security) i databasen – du kan endast läsa och skriva dina egna uppgifter.
- Privat fillagring med tidsbegränsade signaturer för vaccinationsbevis.
- Revisionsloggning av känsliga åtgärder (skapande, radering, export).
- Regelbunden säkerhetsöversyn.
7. Dina rättigheter
Som registrerad har du följande rättigheter enligt GDPR:
Rätt till tillgång (artikel 15): Du kan begära en kopia av de personuppgifter vi behandlar om dig. Du kan också exportera dina uppgifter direkt under Inställningar i tjänsten.
Rätt till rättelse (artikel 16): Du kan begära att felaktiga uppgifter rättas eller ofullständiga uppgifter kompletteras. Du kan även göra detta direkt i tjänsten.
Rätt till radering (artikel 17): Du kan begära att vi raderar dina uppgifter. Du kan radera enskilda vaccinationsuppgifter direkt i tjänsten, eller avsluta och radera hela ditt konto under Inställningar. Vi raderar alla personuppgifter inom 30 dagar, med undantag för uppgifter vi är skyldiga att behålla enligt lag (t.ex. bokföringsunderlag).
Rätt att återkalla samtycke (artikel 7.3): Du kan när som helst återkalla ditt samtycke till behandlingen av hälsodata. Återkallelse påverkar inte lagligheten av den behandling som skett innan återkallelsen. Återkallelse innebär att vi raderar dina hälsouppgifter och att du inte längre kan använda tjänstens kärnfunktioner.
Rätt till begränsning av behandling (artikel 18): Du kan begära att vi begränsar behandlingen av dina uppgifter under vissa omständigheter.
Rätt till dataportabilitet (artikel 20): Du kan begära att få ut dina uppgifter i ett maskinläsbart format (JSON) direkt från tjänsten under Exportera data, eller via en skriftlig begäran till oss.
Rätt att invända (artikel 21): Du kan invända mot behandling som grundas på berättigat intresse.
För att utöva dina rättigheter, kontakta oss på privacy@vaccinkoll.se. Vi besvarar förfrågningar inom 30 dagar.
8. Klagomål
Om du anser att vi behandlar dina uppgifter i strid med dataskyddslagstiftningen har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY):
Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
imy@imy.se
www.imy.se
9. Ändringar i denna policy
Vi kan komma att uppdatera denna integritetspolicy. Vid väsentliga ändringar meddelar vi dig via e-post eller ett tydligt meddelande i tjänsten innan ändringen träder i kraft. Datum för senaste uppdatering framgår alltid överst i dokumentet.
10. Kontakt
Har du frågor om hur vi behandlar dina personuppgifter är du välkommen att kontakta oss: