Fångstrapport.se
Om

Integritetspolicy

Vilka uppgifter Fångstrapport samlar in, varför, hur länge de sparas och vilka rättigheter du har enligt GDPR.

Uppdaterad 13 maj 2026

Personuppgiftsansvarig

Fångstrapport.se drivs av Tentmaker Sweden (org.nr 701101-5034), Tegnérgatan 6, 576 31 Sävsjö. Kontakt: hej@fangstrapport.se — det är vår adress för allt, inklusive frågor om dina personuppgifter.

Tjänsten är registrerad i Sverige och följer Dataskyddsförordningen (GDPR) samt svensk dataskyddslag. Tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY).

Vilka uppgifter samlar vi in

Konto-uppgifter (när du skapar konto)

  • E-postadress — för inloggning och e-postnotifikationer.
  • Visningsnamn (display name) — det namn andra användare ser.
  • Lösenord-hash om du loggar in med lösenord (lagras med bcrypt, aldrig i klartext). Loggar du in via Google eller Apple lagrar vi ingen hash — bara den externa konto-kopplingen.

Fångstuppgifter (när du loggar en fångst)

  • Bilder du laddar upp — sparas i original (privat, bara för dig) och i en EXIF-stripad publik version om fångsten är offentlig.
  • Exakta GPS-koordinater (`location_exact`) — sparas men visas aldrig utåt. Suddade koordinater (`location_public`) räknas fram till en ~1 km-rutas mittpunkt och är det som syns på publika kartor.
  • Art, längd, vikt, fångstmetod, kommentar, tidpunkt, vatten.
  • Synlighetsläge för fångsten: privat, vänner, publik med suddad plats, eller publik med exakt plats.

Relationsdata (när du bjuder in eller verifierar)

  • Vänlistor, utmaningsdeltagande, verifieringar du ger åt andras fångster.

Tekniska uppgifter (för säkerhet och statistik)

  • IP-adress och user-agent loggas vid share-knappklick (i tabellen `share_events`) och vid hastighetsbegränsning av API-anrop. Spar-tid: 12 månader.
  • Vid kontaktformulär (anspråk på FVOF-sida, bidrag) sparas IP och user-agent.
  • Vi använder Plausible Analytics för anonym besöksstatistik — Plausible är cookielöst och samlar inte in några personuppgifter på individnivå.

Vi samlar inte in:

  • Spårningskakor eller third-party cookies.
  • Marknadsföringskakor.
  • Plats-data när du inte aktivt loggar en fångst.

Varför vi behandlar uppgifterna — rättslig grund

  • Avtal (GDPR Art. 6.1.b): för att du ska kunna skapa konto, logga fångster, dela publikt, bjuda in vänner och delta i utmaningar.
  • Berättigat intresse (GDPR Art. 6.1.f): hastighetsbegränsning av API-anrop (bedrägeri- och spam-skydd), och anonym besöksstatistik via Plausible för att förstå hur sajten används.
  • Rättslig skyldighet (GDPR Art. 6.1.c): om en domstol eller myndighet begär ut data enligt lag.

Vi förlitar oss inte på samtycke som rättslig grund för någon av kärnfunktionerna, eftersom Plausible inte sätter kakor och övrig behandling är nödvändig för att tjänsten ska fungera.

Tredjepartsleverantörer

För att leverera tjänsten anlitar vi följande databehandlare. Var och en har ett dataskyddsavtal (DPA) som reglerar behandlingen:

  • Anthropic (USA / EU) — AI-vision för art- och längdidentifiering. När du laddar upp en bild i `/rapportera` skickas själva bildfilen till Anthropic Claude för analys; svaret returneras direkt och bilden raderas ur Anthropic:s pipeline enligt deras data usage policy. EXIF-data följer med bilden — sparas inte hos Anthropic.
  • Linode (Akamai) (EU-region) — server- och objektlagring (S3-kompatibel) för bilder och databas. Alla data i vila finns hos Linode.
  • Postmark (USA) — transaktionell e-post (inloggningslänkar, vän-inbjudningar, utmaningsinbjudningar). Hanterar bara e-postadress + meddelandeinnehåll.
  • MapTiler (Schweiz) — kart-tiles på `/karta`. Får IP-adressen via webbläsaren när du laddar kartan — inga andra personuppgifter.
  • Plausible Analytics (EU / självhostat) — besöksstatistik. Cookielöst; samlar inte in IP-adress eller personlig data.

Vi använder inte Google Analytics, Facebook-pixel eller andra annonsspårare.

Hur länge sparas uppgifterna

  • Aktiva konton — så länge kontot finns. Du kan när som helst radera kontot själv (se nedan).
  • Raderade konton — vid radering tas ditt användarkonto, dina fångster (inklusive bilder i Linodes objektlagring), dina kommentarer, vänskaper och utmaningsdata bort permanent. Hård radering, inte mjuk arkivering.
  • `share_events` (IP/UA vid share-klick) — 12 månader.
  • `vision_cache` (mellanlagrade AI-svar för identiska bilder) — 30 dagar.
  • E-postunsubscribe-poster — kvarstår även efter kontoradering så att vi inte råkar mejla samma adress igen om du återskapar konto.
  • Reservkopior av databasen — roterande 30-dagars cykel. När du raderar ditt konto försvinner uppgifterna ur produktion direkt, men kan kvarstå i krypterade backup-filer upp till 30 dagar innan rotationen tar dem.

Dina rättigheter

Enligt GDPR har du rätt att:

  • Få information (Art. 13–14) — denna sida.
  • Få tillgång (Art. 15) — du kan när som helst exportera dina egna data som JSON. Gå till /konto och klicka på *Ladda ner mina data*.
  • Få rättelse (Art. 16) — visningsnamn och e-post ändras via /konto. För fångster: redigera dem direkt på fångstens sida.
  • Bli raderad (Art. 17) — /konto har en *Radera mitt konto*-knapp som tar bort alla dina data permanent. Du behöver skriva *RADERA* för att bekräfta.
  • Få ut data till annan tjänst (Art. 20) — samma JSON-export som tillgångsrätten ger.
  • Invända mot behandling (Art. 21) — kontakta hej@fangstrapport.se.
  • Klaga till tillsynsmyndighet — Integritetsskyddsmyndigheten (IMY), imy.se, har en blankett för klagomål om du anser att vi inte hanterar dina uppgifter rätt.

Vi svarar på dataförfrågningar inom 30 dagar (GDPR Art. 12.3). I praktiken oftast samma vecka.

Säkerhet

  • All trafik går över HTTPS med Let's Encrypt-certifikat.
  • Lösenord lagras som bcrypt-hashar med kostfaktor ≥ 10.
  • Bilder som visas publikt har EXIF-data (inklusive GPS-koordinater) avstrippade innan publicering.
  • Originalbilder med EXIF är åtkomliga bara för ägaren och servern; aldrig publika URL:er.
  • Exakta GPS-koordinater (`location_exact`) returneras aldrig till någon annan användare än ägaren — typsystemet och databasfrågorna ser till det.
  • Inputvalidering, parametriserade SQL-frågor och hastighetsbegränsning skyddar mot vanliga webbattacker.

Det här är en aktiv designprincip i kodbasen — privatlivet är load-bearing, inte en eftertanke.

Kakor (cookies)

Fångstrapport använder följande kakor, alla strikt nödvändiga:

  • `next-auth.session-token` (eller motsvarande) — håller dig inloggad. Sätts av NextAuth, samesite=lax, secure, HttpOnly.
  • `next-auth.csrf-token` — skyddar inloggning mot CSRF-attacker.

Inga icke-essentiella kakor sätts. Plausible Analytics använder ingen kaka. Därför visar vi inte heller någon kaka-banner — ePrivacy-direktivet kräver bara samtycke för icke-nödvändiga kakor, och vi har inga.

Barn under 13

Fångstrapport.se riktar sig inte till barn under 13 år, och vi tar inte medvetet emot uppgifter från barn. Om en vårdnadshavare upptäcker att deras barn registrerat ett konto, kontakta hej@fangstrapport.se så raderar vi kontot.

I Sverige är åldersgränsen för digitalt samtycke 13 år. Mellan 13 och 18 kan barn själva skapa konto utan vårdnadshavares samtycke.

Ändringar av denna policy

Om vi gör väsentliga ändringar i hur vi behandlar uppgifter — nya tredjepartsleverantörer, ändrade lagringstider, nya datakategorier — uppdaterar vi datum högst upp på sidan och mejlar samtliga aktiva konton i förväg.

Mindre språk- eller layoutjusteringar genererar ingen separat notis.

Läs vidare