Fångstrapport.se
Om

Integritetspolicy

Vilka uppgifter Fångstrapport samlar in, varför, hur länge de sparas och vilka rättigheter du har enligt GDPR.

Uppdaterad 21 maj 2026

Personuppgiftsansvarig

Fångstrapport.se drivs av Tentmaker Sweden (org.nr 701101-5034), Tegnérgatan 6, 576 31 Sävsjö. Kontakt: hej@fangstrapport.se — det är vår adress för allt, inklusive frågor om dina personuppgifter.

Tjänsten är registrerad i Sverige och följer Dataskyddsförordningen (GDPR) samt svensk dataskyddslag. Tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY).

Vilka uppgifter samlar vi in

Konto-uppgifter (när du skapar konto)

  • E-postadress — för inloggning och e-postnotifikationer.
  • Visningsnamn (display name) — det namn andra användare ser.
  • Lösenord-hash om du loggar in med lösenord (lagras med bcrypt, aldrig i klartext). Loggar du in via Google eller Apple lagrar vi ingen hash — bara den externa konto-kopplingen.

Fångstuppgifter (när du loggar en fångst)

  • Bilder du laddar upp — sparas i original (privat, bara för dig) och i en EXIF-stripad publik version om fångsten är offentlig.
  • Exakta GPS-koordinater (`location_exact`) — sparas men visas aldrig utåt. Suddade koordinater (`location_public`) räknas fram till en ~1 km-rutas mittpunkt och är det som syns på publika kartor.
  • Art, längd, vikt, fångstmetod, kommentar, tidpunkt, vatten.
  • Synlighetsläge för fångsten: privat, vänner, publik med suddad plats, eller publik med exakt plats.

Relationsdata (när du bjuder in eller verifierar)

  • Vänlistor, utmaningsdeltagande, verifieringar du ger åt andras fångster.

Tekniska uppgifter (för säkerhet och statistik)

  • IP-adress och user-agent loggas vid share-knappklick (i tabellen `share_events`) och vid hastighetsbegränsning av API-anrop. Spar-tid: 12 månader.
  • Vid kontaktformulär (anspråk på FVOF-sida, bidrag) sparas IP och user-agent.
  • Vi använder Plausible Analytics för anonym besöksstatistik — Plausible är cookielöst och samlar inte in några personuppgifter på individnivå.

Vi samlar inte in:

  • Spårningskakor eller third-party cookies.
  • Marknadsföringskakor.
  • Plats-data när du inte aktivt loggar en fångst.

Varför vi behandlar uppgifterna — rättslig grund

  • Avtal (GDPR Art. 6.1.b): för att du ska kunna skapa konto, logga fångster, dela publikt, bjuda in vänner och delta i utmaningar.
  • Berättigat intresse (GDPR Art. 6.1.f): hastighetsbegränsning av API-anrop (bedrägeri- och spam-skydd), och anonym besöksstatistik via Plausible för att förstå hur sajten används.
  • Rättslig skyldighet (GDPR Art. 6.1.c): om en domstol eller myndighet begär ut data enligt lag.

Vi förlitar oss inte på samtycke som rättslig grund för någon av kärnfunktionerna, eftersom Plausible inte sätter kakor och övrig behandling är nödvändig för att tjänsten ska fungera.

Tredjepartsleverantörer

För att leverera tjänsten anlitar vi följande databehandlare. Var och en har ett dataskyddsavtal (DPA) som reglerar behandlingen:

  • Anthropic (USA / EU) — AI-vision för art- och längdidentifiering. När du laddar upp en bild i `/rapportera` skickas själva bildfilen till Anthropic Claude för analys; svaret returneras direkt och bilden raderas ur Anthropic:s pipeline enligt deras data usage policy. EXIF-data följer med bilden — sparas inte hos Anthropic.
  • Linode (Akamai) (EU-region) — server- och objektlagring (S3-kompatibel) för bilder och databas. Alla data i vila finns hos Linode.
  • Postmark (USA) — transaktionell e-post (inloggningslänkar, vän-inbjudningar, utmaningsinbjudningar). Hanterar bara e-postadress + meddelandeinnehåll.
  • MapTiler (Schweiz) — kart-tiles på `/karta`. Får IP-adressen via webbläsaren när du laddar kartan — inga andra personuppgifter.
  • Plausible Analytics (EU / självhostat) — besöksstatistik. Cookielöst; samlar inte in IP-adress eller personlig data.

Vi använder inte Google Analytics, Facebook-pixel eller andra annonsspårare.

Sponsrade tävlingar — när data delas med en sponsor

/tävlingar publicerar vi sponsrade tävlingar där en extern part (t.ex. ett företag) bidrar med priser och får marknadsföringsexponering. Två typer av databehandling tillkommer när du deltar. Den rättsliga grunden för delningen är fullgörande av avtal (GDPR Art. 6.1.b) — du har anmält dig till en tävling där delningen är nödvändig för att kunna leverera priset.

  • Vinnaruppgifter delas för premieleverans. När du vinner ett pris delar vi ditt namn, e-postadress och leveransadress med sponsorn — uteslutande för att sponsorn ska kunna skicka priset. Sponsorn är då personuppgiftsansvarig för den behandlingen och får inte använda uppgifterna för andra ändamål (t.ex. egen marknadsföring) utan separat samtycke från dig. Vi delar inga uppgifter med sponsorn för deltagare som inte vunnit.
  • Bild- och marknadsföringsrättigheter under tävlingen. Genom att delta godkänner du att Fångstrapport.se och den specifika sponsorn får använda din fångstbild och ditt visningsnamn för att marknadsföra tävlingen (inlägg på sociala medier, nyhetsbrev, vinnarannonseringar, framtida marknadsföring). Godkännandet gäller tills du återkallar det. Du kan när som helst återkalla godkännandet genom att kontakta hej@fangstrapport.se — då slutar både vi och sponsorn använda din bild i nytt material, men redan publicerade inlägg kan stå kvar (vi kan inte tvinga tillbaka publikationer som redan spridits).

Beslutsbefogenheter. Sponsorn fattar beslut om tävlingens utfall (verifiering, diskvalificering, val av vinnare på eventuella specialpriser). Plattformsregler — kontoavstängning vid bedrägeri, borttagning av regelbrytande innehåll — hanteras av Fångstrapport.se separat. Mer detaljer i tävlingsvillkoren.

Vi tar ingen insats för tävlingsdeltagande, så Spellagen (2018:1138) är inte tillämplig — tävlingarna är pristävlingar, inte lotterier.

Vilken sponsor som står bakom en tävling syns alltid tydligt på tävlingens sida (`I samarbete med X`).

Aggregerad data för produktutveckling

Vi använder aggregerad och anonymiserad data från publika fångster för att utveckla, träna och förbättra prediktiva modeller och relaterade verktyg som vi tillhandahåller.

Anonymisering på riktigt. Användar-ID, e-postadress, visningsnamn, exakta GPS-koordinater och annan information som kan kopplas till dig som person tas bort innan datan används i en modell. Det som kvarstår är fångst-attribut (art, längd, fångstmetod, vatten, period) sammanställt över många fångster så att enskilda fångster inte längre kan identifieras.

Rättslig grund: berättigat intresse (GDPR Art. 6.1.f) för produktutveckling, samt det licensvillkor du godkänt i användarvillkoren.

Förhållande till radering. När data har anonymiserats är den enligt GDPR (skäl 26) inte längre personuppgifter, och omfattas därför inte av rätten till radering enligt Art. 17. Modeller som tränats på anonyma aggregat behöver inte göras om när du raderar ditt konto. De identifierbara originaldata (fångster, bilder, GPS-koordinater) raderas precis som beskrivs nedan i "Hur länge sparas uppgifterna".

Vi säljer eller licensierar inte den anonymiserade datan till tredje part.

Hur länge sparas uppgifterna

  • Aktiva konton — så länge kontot finns. Du kan när som helst radera kontot själv (se nedan).
  • Raderade konton — vid radering tas ditt användarkonto, dina fångster (inklusive bilder i Linodes objektlagring), dina kommentarer, vänskaper och utmaningsdata bort permanent. Hård radering, inte mjuk arkivering.
  • `share_events` (IP/UA vid share-klick) — 12 månader.
  • `vision_cache` (mellanlagrade AI-svar för identiska bilder) — 30 dagar.
  • E-postunsubscribe-poster — kvarstår även efter kontoradering så att vi inte råkar mejla samma adress igen om du återskapar konto.
  • Reservkopior av databasen — roterande 30-dagars cykel. När du raderar ditt konto försvinner uppgifterna ur produktion direkt, men kan kvarstå i krypterade backup-filer upp till 30 dagar innan rotationen tar dem.

Dina rättigheter

Enligt GDPR har du rätt att:

  • Få information (Art. 13–14) — denna sida.
  • Få tillgång (Art. 15) — du kan när som helst exportera dina egna data som JSON. Gå till /konto och klicka på *Ladda ner mina data*.
  • Få rättelse (Art. 16) — visningsnamn och e-post ändras via /konto. För fångster: redigera dem direkt på fångstens sida.
  • Bli raderad (Art. 17) — /konto har en *Radera mitt konto*-knapp som tar bort alla dina data permanent. Du behöver skriva *RADERA* för att bekräfta.
  • Få ut data till annan tjänst (Art. 20) — samma JSON-export som tillgångsrätten ger.
  • Invända mot behandling (Art. 21) — kontakta hej@fangstrapport.se.
  • Klaga till tillsynsmyndighet — Integritetsskyddsmyndigheten (IMY), imy.se, har en blankett för klagomål om du anser att vi inte hanterar dina uppgifter rätt.

Vi svarar på dataförfrågningar inom 30 dagar (GDPR Art. 12.3). I praktiken oftast samma vecka.

Säkerhet

  • All trafik går över HTTPS med Let's Encrypt-certifikat.
  • Lösenord lagras som bcrypt-hashar med kostfaktor ≥ 10.
  • Bilder som visas publikt har EXIF-data (inklusive GPS-koordinater) avstrippade innan publicering.
  • Originalbilder med EXIF är åtkomliga bara för ägaren och servern; aldrig publika URL:er.
  • Exakta GPS-koordinater (`location_exact`) returneras aldrig till någon annan användare än ägaren — typsystemet och databasfrågorna ser till det.
  • Inputvalidering, parametriserade SQL-frågor och hastighetsbegränsning skyddar mot vanliga webbattacker.

Det här är en aktiv designprincip i kodbasen — privatlivet är load-bearing, inte en eftertanke.

Kakor (cookies)

Fångstrapport använder följande kakor, alla strikt nödvändiga:

  • `next-auth.session-token` (eller motsvarande) — håller dig inloggad. Sätts av NextAuth, samesite=lax, secure, HttpOnly.
  • `next-auth.csrf-token` — skyddar inloggning mot CSRF-attacker.

Inga icke-essentiella kakor sätts. Plausible Analytics använder ingen kaka. Därför visar vi inte heller någon kaka-banner — ePrivacy-direktivet kräver bara samtycke för icke-nödvändiga kakor, och vi har inga.

Barn under 13

Fångstrapport.se riktar sig inte till barn under 13 år, och vi tar inte medvetet emot uppgifter från barn. Om en vårdnadshavare upptäcker att deras barn registrerat ett konto, kontakta hej@fangstrapport.se så raderar vi kontot.

I Sverige är åldersgränsen för digitalt samtycke 13 år. Mellan 13 och 18 kan barn själva skapa konto utan vårdnadshavares samtycke.

Ändringar av denna policy

Om vi gör väsentliga ändringar i hur vi behandlar uppgifter — nya tredjepartsleverantörer, ändrade lagringstider, nya datakategorier — uppdaterar vi datum högst upp på sidan och mejlar samtliga aktiva konton i förväg.

Mindre språk- eller layoutjusteringar genererar ingen separat notis.

Kom igång

Logga din fångst — cirka 30 sekunder.

Rapportera fångst

Läs vidare