Integritetspolicy

Version 1.0 · Senast uppdaterad 2026-05-22

1. Personuppgiftsansvarig

Expi AB ("vi", "oss", "Expi"), org.nr 559415-3917, med säte på Vångvägen 1, 267 71 Billesholm, är personuppgiftsansvarig för behandlingen av personuppgifter som beskrivs i denna policy.

Frågor om dataskydd och denna policy ställs till support@skytteadmin.se.

2. Vår dubbla roll: ansvarig och biträde

SkytteAdmin är en plattform för svenska skytteföreningar. Vår roll i förhållande till personuppgifter beror på vilka uppgifter det gäller:

  • Personuppgiftsansvarig är vi för plattformsanvändare — klubbadministratörer, styrelseledamöter och plattformsadministratörer som loggar in i SkytteAdmin. Det är våra direkta kontoanvändare.
  • Personuppgiftsbiträde är vi för medlemsdata som föreningarna sparar i plattformen. Den anslutna föreningen är personuppgiftsansvarig för sina egna medlemmar; vi behandlar medlemsdata på föreningens uppdrag enligt vårt personuppgiftsbiträdesavtal (se /dpa).

Denna policy beskriver främst hur vi behandlar plattformsanvändares uppgifter. För medlemsdata gäller föreningens egen integritetspolicy mot medlemmen.

3. Vilka uppgifter samlas in

3.1 Plattformsanvändare

  • Namn (för- och efternamn)
  • E-postadress
  • Klubb-tillhörighet och roll (klubbadmin, styrelse, plattformsadmin)
  • Inloggningstider och senaste aktivitet
  • IP-adress vid inloggning och vid DPA-acceptans

3.2 Medlemsdata (som biträde åt föreningarna)

Föreningens medlemsdata som vi behandlar på föreningens uppdrag kan omfatta:

  • Personnummer
  • Namn, adress, kontaktuppgifter
  • Klubbtillhörighet, medlemskapsstart, avgiftskategori
  • Betalningshistorik (faktureringsuppgifter, betalda avgifter, OCR-referenser)
  • Kompetenser, vapenlicens-status (framtida funktioner)

Vi behandlar dessa uppgifter endast enligt föreningens dokumenterade instruktioner och vårt DPA.

4. Ändamål och laglig grund

| Behandling | Ändamål | Laglig grund (GDPR art. 6) | |---|---|---| | Plattformsinloggning | Tillhandahålla SkytteAdmin-tjänsten | Avtal (6.1.b) | | Fakturering till föreningen | Administration av betalningar | Avtal (6.1.b) | | Säkerhetsloggning | Skydda mot intrång och missbruk | Berättigat intresse (6.1.f) | | Bokföringsdata | Uppfylla bokföringslag (1999:1078) | Rättslig förpliktelse (6.1.c) | | Marknadsföring | Information om nya funktioner | Samtycke (6.1.a) — n/a idag, vi marknadsför inte |

5. Mottagare och underbiträden

Vi delar uppgifter med följande underbiträden (se /dpa Bilaga 1 för fullständig lista):

| Mottagare | Funktion | Land | Överföringsgrund | |---|---|---|---| | Supabase | Databas + autentisering | EU (Frankfurt) | Inom EU | | Stripe | Kortbetalningar via Stripe Connect | USA | Standard Contractual Clauses (2021/914) | | Swish (Getswish AB) | Mobilbetalningar | Sverige | Inom EU | | Bankgirot | Bankgiroavstämning (BGMax) | Sverige | Inom EU | | Postmark (framtida) | Transaktionell e-post | USA | Standard Contractual Clauses (2021/914) |

Vi säljer eller delar inte personuppgifter med tredjepart för marknadsföring.

6. Lagringstid

| Datatyp | Lagringstid | |---|---| | Fakturadata och betalningsspår | 7 år (bokföringslag 1999:1078, 7 kap. 2 §) | | Aktivt medlemskap | Så länge medlemskapet är aktivt + 1 år | | Inloggningsloggar | 30 dagar | | DPA-acceptanslogg | Så länge föreningen är aktiv + 7 år (bokföringsrelaterat) |

Efter slutet av lagringstiden raderas eller anonymiseras uppgifterna.

7. Dina rättigheter

Enligt GDPR (art. 15-22) har du rätt att:

  • Få information om hur dina uppgifter behandlas
  • Begära registerutdrag över dina egna uppgifter
  • Begära rättelse av felaktiga eller ofullständiga uppgifter
  • Begära radering av uppgifter ("rätten att bli bortglömd")
  • Begära begränsning av behandlingen
  • Dataportabilitet — få ut dina uppgifter i ett maskinläsbart format
  • Invända mot behandling baserad på berättigat intresse
  • Återkalla samtycke om behandlingen sker med ditt samtycke som grund

För att utöva dessa rättigheter, kontakta support@skytteadmin.se. Vi besvarar din begäran inom 30 dagar.

Om du har klagomål på vår behandling kan du vända dig till Integritetsskyddsmyndigheten (IMY): imy.se.

8. Cookies

SkytteAdmin sätter endast strict-necessary-cookies som behövs för inloggning och sessionshantering. Inga tredjepartscookies. Ingen analytics. Ingen tracking.

| Cookie | Syfte | Lagringstid | Sätts av | |---|---|---|---| | sb-access-token | Supabase auth-session | Session | Vår server | | sb-refresh-token | Förlängning av session | 7 dagar | Vår server |

Eftersom dessa cookies är tekniskt nödvändiga för tjänsten krävs inget samtycke enligt ePrivacy-direktivet (2002/58/EG art. 5.3).

9. Säkerhet

Vi tillämpar tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, bland annat:

  • Multi-tenant isolation via Postgres Row Level Security (RLS) — varje förenings data är isolerad i databasen
  • TLS-kryptering för all dataöverföring
  • Lösenordslös inloggning (magic link via e-post) — minskar risken för komprometterade lösenord
  • Audit-logg (planerad framtida funktion) som registrerar känsliga ändringar
  • Behörighetskontroll baserad på roller (klubbadmin, styrelse, plattformsadmin)

10. Ändringar i denna policy

När vi gör väsentliga ändringar i denna policy:

  • Bumpar vi versionsnumret högst upp
  • Notifierar plattformsanvändare via e-post
  • Visar en banner i plattformen i 30 dagar efter ändring

Du kan alltid se den senaste versionen på denna sida.