Integritetspolicy

Funkify AB, org.nr 559105-4084, Sweden. Kontakta oss på support@funkify.se.

Kvittla är en mobilförst webbtjänst som genererar ett digitalt köpekvitto för andrahandsköp mellan privatpersoner. Vi behandlar bara de uppgifter som krävs för att skapa kvittot och för att det ska ha tillräckligt bevisvärde.

• Parternas uppgifter: namn (obligatoriskt), och valfritt person- eller organisationsnummer samt adress. Skrivs in av användaren själv.
• Köpets uppgifter: datum, pris, beskrivning, ort, betalreferens (t.ex. Swish-meddelande).
• Bilagor: skärmdumpar eller PDF som du laddar upp på annonsen. Dessa kan innehålla säljarens namn, ort och bilder.
• Signaturer: ritsignatur (canvas → SVG) per part, tillsammans med IP-adress, webbläsare (user-agent) och tidpunkt vid signeringen — utgör digitalt audit-spår enligt eIDAS art. 26 (SES) och bevisvärdet enligt avtalslagen.
• Betaluppgifter: hanteras direkt av Stripe. Kvittla ser endast Stripe-sessionens id och om betalningen lyckats; vi tar aldrig emot eller lagrar kortuppgifter.
• Cookie: en strikt nödvändig session-cookie (kvittla_role_*) som håller reda på om du är säljare eller köpare i den pågående transaktionen. Innehåller inga spårnings- eller analysparametrar och kräver inte samtycke.

• Avtal (art. 6.1.b GDPR): behandling av parternas uppgifter och köpets innehåll för att kunna leverera kvittot du beställt.
• Berättigat intresse (art. 6.1.f GDPR): IP-adress, user-agent och tidsstämplar i signaturens audit-spår, för att kvittot ska ha bevisvärde och kunna åberopas vid en tvist. Detta är standard för enkla elektroniska signaturer.
• Rättslig förpliktelse (art. 6.1.c GDPR): bokföring av Kvittlas egna intäkter (din betalning till oss) enligt bokföringslagen.

Sessionen lagras tillfälligt i Upstash Redis och raderas automatiskt:

• 1 timme om betalningen aldrig genomförs.
• Upp till 14 dygn medan köpet är pågående (förlängs vid varje inmatning) — så att båda parter hinner signera.
• 24 timmar efter att kvittot är klart, så båda parter hinner ladda ner sin kopia.

Vi har inga backup-kopior och ingen historik. När sessionen är borta är den borta — ladda ner PDF:en innan dess.

Stripe sparar betalningsinformation enligt egna villkor och tillämpliga finansregler. Bokföringsmaterial som rör Kvittlas egna intäkter sparas i sju år enligt bokföringslagen 7 kap. 2 §.

Vi använder följande leverantörer för att driva tjänsten. Var och en har egna avtal och säkerhetsåtaganden gentemot oss.

• Stripe Payments Europe Ltd.
  Betalbehandling (Stripe Embedded Checkout, kvitto-länk).
  Irland (EU). Viss vidareöverföring till USA under SCC.
• Anthropic, PBC
  AI-extraktion av annonsfält från uppladdad bild eller PDF (modell Claude Haiku 4.5).
  USA. Standardavtalsklausuler (SCC). Retention 30 dagar enligt Anthropics villkor.
• Vercel Inc.
  Hosting av webbtjänsten och edge/serverless-funktioner.
  USA / EU edge. SCC.
• Upstash Inc.
  Tillfällig sessionslagring (Redis) under pågående köp.
  EU-region. SCC vid eventuell support.
• FreeTSA
  RFC 3161-tidsstämpling av PDF-hash (endast hash skickas, ingen personuppgift).
  Tyskland (EU).

Anthropic kan enligt sina villkor lagra inskickad data i upp till 30 dagar i abuse- och säkerhetssyfte. Bilden eller PDF:en du laddar upp för AI-extraktion skickas alltså till Anthropic i USA. Vill du undvika detta — skriv in fälten manuellt i stället för att ladda upp en skärmdump.

Stripe, Anthropic och Vercel kan behandla data i USA. Sådan överföring sker under EU-kommissionens standardavtalsklausuler (SCC) och, där tillämpligt, EU-US Data Privacy Framework.

Du har rätt att begära tillgång, rättelse, radering, begränsning och dataportabilitet av dina personuppgifter, samt att invända mot behandling som sker på berättigat intresse. Eftersom Kvittla inte har konton och raderar sessioner snabbt har vi i praktiken sällan kvar några uppgifter att lämna ut — kontakta oss ändå om du har frågor.

Är du missnöjd med hur vi behandlar dina personuppgifter har du rätt att klaga till Integritetsskyddsmyndigheten (IMY).

All trafik är krypterad (TLS). Sessionen är åtkomlig endast via dess slumpgenererade id. Vi profilerar inte, säljer inte data, och kör inga annonsspårare.

Större ändringar i denna policy publiceras på den här sidan. Datumet längst upp uppdateras vid varje materiell ändring.