Integritetspolicy

• E-postadress — för inloggning (passwordless auth via magisk länk / engångskod)
• Visningsnamn — valfritt, visas på önskelistor
• Bidragsgivarens namn och e-post — valfritt, anges vid bidrag
• Stripe-kontouppgifter — anslutet Stripe Connect-konto-ID och onboarding-status för utbetalningar
• Betalningsmetadata — belopp, tidpunkt, status, Stripe PaymentIntent-ID
• Bilder — uppladdade bilder på önskningar, lagrade i Supabase Storage
• Teknisk data — IP-adress, webbläsartyp, enhetsinformation (via serverloggar)

• Avtal — behandling som krävs för att tillhandahålla tjänsten (kontoskapande, betalningshantering, utbetalningar)
• Samtycke — för eventuell framtida marknadsföring (ej aktivt idag)
• Berättigat intresse — bedrägeriförebyggande, säkerhet och förbättring av tjänsten
• Rättslig förpliktelse — bokföringslagen kräver att ekonomiska transaktioner sparas

Vi delar personuppgifter med följande tjänsteleverantörer:

Stripe är både underbiträde till Whishly och självständigt personuppgiftsansvarig för korthantering, bedrägeridetektering och rapportering till kortnätverken. Se Stripes integritetspolicy för mer information om deras behandling av kortdata.

Utöver underbiträden ovan delas personuppgifter mellan användare på följande sätt:

• Önskelisteägare ser bidragsgivarens namn och e-post om bidraget inte är anonymt
• Bidragsgivare ser ägarens visningsnamn och innehållet i önskelistan
• Vid anonyma bidrag sparas varken namn eller e-post för bidragsgivaren i databasen — dessa fält sätts till null vid insättning

Vid betalning kan transaktioner automatiskt nekas av Stripes bedrägeridetekteringssystem (Stripe Radar). Detta kan utgöra automatiserat beslutsfattande enligt GDPR Art. 22. Om en transaktion nekas och du anser att beslutet är felaktigt kan du kontakta oss på support@whishly.se.

Stripe och Resend har verksamhet i USA. Överföringar till USA sker med stöd av EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) och, där tillämpligt, EU-US Data Privacy Framework (DPF) i enlighet med GDPR kapitel V.

• All trafik till och från Whishly skyddas med TLS (HTTPS)
• Personuppgifter lagras krypterade i vila hos Supabase och Stripe
• Åtkomst till produktionsdata är begränsad till behöriga personer
• Databasen använder Row Level Security (RLS) så att användare endast kommer åt sina egna uppgifter

Enligt GDPR har du rätt att:

• Tillgång — begära en kopia av dina personuppgifter
• Rättelse — korrigera felaktiga uppgifter
• Radering — begära att dina uppgifter raderas
• Dataportabilitet — få ut dina uppgifter i maskinläsbart format
• Begränsning — begränsa behandlingen i vissa fall
• Invändning — invända mot behandling baserad på berättigat intresse

Kontakta oss på privacy@whishly.se för att utöva dina rättigheter.

Du har också rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), imy.se.

Whishly använder enbart strikt nödvändiga cookies för att hantera din inloggningssession. Dessa cookies kräver inte samtycke enligt ePrivacy-direktivet.

• sb-*-auth-token — Supabase session-cookie som innehåller din inloggningstoken. Kan delas upp i numrerade delar (sb-*-auth-token.0, .1, etc.) för stora tokens.

Vi använder för närvarande inga analys- eller spårningscookies. Om vi lägger till sådana i framtiden kommer en samtyckesbanner att visas.

Whishly är inte avsett för personer under 18 år. Genom att skapa ett konto eller bidra till en önskelista bekräftar du att du är minst 18 år gammal.

Vi kan komma att uppdatera denna integritetspolicy. Vid väsentliga ändringar meddelar vi dig via e-post och uppdaterar datumet längst upp på sidan. Mindre språkliga eller redaktionella ändringar görs utan separat meddelande.

Personuppgiftsansvarig:
Brogramming Sweden AB, org.nr 556975-5050
Ängskornsvägen 7, 178 35 Ekerö
E-post: privacy@whishly.se