Integritetspolicy
Denna integritetspolicy beskriver hur Turplanering ("vi", "oss") samlar in, använder och skyddar dina personuppgifter när du använder vår tjänst på turplanering.se. Vi behandlar dina uppgifter i enlighet med EU:s dataskyddsförordning (GDPR).
Senast uppdaterad: 2026-03-05
1. Personuppgiftsansvarig
Turplanering är personuppgiftsansvarig för behandlingen av dina personuppgifter. Kontakta oss på [email protected] vid frågor om vår personuppgiftsbehandling.
2. Vilka uppgifter samlar vi in?
2.1 Kontouppgifter
Vid registrering samlar vi in:
- Namn
- E-postadress
- Telefonnummer (valfritt)
- Lösenord (lagras som bcrypt-hash, aldrig i klartext)
- Kontotyp (personligt eller organisation)
2.2 Turdata
Data du skapar i tjänsten: turplaner, dagsprogram, waypoints, riskanalyser, krisplaner, dokumentmallar och deltagarlister.
2.3 Hälsodeklarationer (särskilda kategorier av personuppgifter)
Deltagare kan lämna hälsodeklarationer som kan innehålla känsliga uppgifter om hälsa, allergier och medicinering. Dessa uppgifter:
- Krypteras med AES-256-GCM innan de lagras i databasen.
- Samlas in med deltagarens uttryckliga samtycke.
- Är tillgängliga enbart för den turledare som deltagaren har gett sitt samtycke till.
- Kan när som helst dras tillbaka av deltagaren, varpå uppgifterna raderas.
2.4 Anhöriguppgifter
Namn och telefonnummer till närmast anhörig samlas in som del av deltagarregistrering och krypteras på samma sätt som hälsodeklarationer.
2.5 Erfarenhetsprofiler
Deltagare kan frivilligt dela erfarenhetsprofiler (sommar-, vinter- och ledarerfarenhet) med turledare. Delning kräver uttryckligt samtycke och kan dras tillbaka.
2.6 Tekniska uppgifter
Vid användning av tjänsten kan vi samla in IP-adresser i syfte att skydda mot missbruk (rate limiting vid inloggning och registrering). IP-adresser lagras enbart i minnet under en begränsad tid och sparas inte permanent.
3. Rättslig grund för behandling
| Behandling | Rättslig grund |
|---|---|
| Kontohantering och turplanering | Avtal (Art. 6.1.b GDPR) |
| Hälsodeklarationer | Uttryckligt samtycke (Art. 9.2.a GDPR) |
| Erfarenhetsprofiler | Samtycke (Art. 6.1.a GDPR) |
| Missbruksskydd (rate limiting) | Berättigat intresse (Art. 6.1.f GDPR) |
| Betalningshantering | Avtal (Art. 6.1.b GDPR) |
| Granskningslogg (audit log) | Berättigat intresse (Art. 6.1.f GDPR) |
4. Hur vi skyddar dina uppgifter
- Kryptering i vila: Hälsodeklarationer och anhöriguppgifter krypteras med AES-256-GCM.
- Kryptering i transit: All kommunikation sker via HTTPS.
- Lösenord: Hashas med bcrypt (12 rounds) — vi lagrar aldrig lösenord i klartext.
- Sessioner: JWT-baserade sessioner med 24 timmars giltighetstid.
- Åtkomstkontroll: Rollbaserad åtkomstkontroll per organisation och tur.
- Granskningslogg: Säkerhetsrelevanta händelser loggas.
5. Tredjepartstjänster
Vi delar dina uppgifter med följande tredjepartstjänster:
| Tjänst | Syfte | Uppgifter som delas |
|---|---|---|
| MongoDB Atlas | Databas | All lagrad data (hälsodata i krypterad form) |
| Stripe | Betalning | E-post, organisationsnamn |
| Resend | E-postutskick | E-postadress, namn |
| SMHI Open Data | Väderdata | Koordinater (inga personuppgifter) |
| Google OAuth (valfritt) | Inloggning | E-post, namn (vid val av Google-inloggning) |
Vi säljer aldrig dina personuppgifter till tredje part och använder inga spårnings- eller analyskookies.
6. Lagring och radering
- Kontodata: Lagras så länge du har ett aktivt konto. Vid kontoradering raderas dina personuppgifter.
- Hälsodeklarationer: Raderas omedelbart när samtycke dras tillbaka eller kontot raderas.
- Turdata: Turplaner som delas med andra användare kan finnas kvar i anonymiserad form efter kontoradering.
- Granskningsloggar: Kan behållas i upp till 12 månader för säkerhetsändamål.
7. Dina rättigheter
Enligt GDPR har du rätt att:
- Få tillgång till dina personuppgifter (Art. 15).
- Rättelse av felaktiga uppgifter (Art. 16).
- Radering ("rätten att bli glömd", Art. 17) — du kan radera ditt konto via kontoinställningarna.
- Begränsning av behandling (Art. 18).
- Dataportabilitet — exportera dina turplaner som PDF eller markdown (Art. 20).
- Invändning mot behandling (Art. 21).
- Återkallelse av samtycke för hälsodeklarationer och erfarenhetsprofiler, när som helst via tjänsten.
Kontakta oss på [email protected] för att utöva dina rättigheter. Vi besvarar din förfrågan inom 30 dagar.
8. Klagomål
Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY): www.imy.se
9. Ändringar av policyn
Vi kan komma att uppdatera denna integritetspolicy. Vid väsentliga ändringar meddelar vi dig via e-post eller genom ett meddelande i tjänsten. Den senaste versionen finns alltid tillgänglig på denna sida.
10. Kontakt
Turplanering
E-post: [email protected]