Sekretesspolicy
Senast uppdaterad: 2026-06-02
1. Personuppgiftsansvarig
Hira Digital Marketing AB
Org.nr 559175-3750
Sliparevägen 19, 531 65 Lidköping
E-post: dataskydd@gubbenhorst.se
Horst är ett varumärke som ägs och drivs av Hira Digital Marketing AB. Denna policy gäller webbplatsen gubbenhorst.se samt Horst-appen för iOS och Android.
2. Vilka uppgifter vi samlar in
2.1 Uppgifter du lämnar till oss
- Kontoinformation: namn, e-postadress och lösenord vid registrering.
- Hushållsdata: sysslor, inköpslistor, budgetposter, idéer, recept, förråd, matsedel och kalenderdata som du skapar i appen.
- Hälsodata (särskild kategori): om du aktiverar menscykelspårning lagrar vi perioddatum, cykellängd, periodlängd och eventuella anteckningar. Om du registrerar en graviditet lagrar vi startdatum, beräknat födelsedatum och eventuellt slutdatum. Dessa uppgifter är särskild kategori enligt GDPR artikel 9 och behandlas enbart med ditt uttryckliga samtycke.
- Barnprofiler: namn och födelsedatum för barn som du skapar inom ett hushåll. Uppgifterna används för att tilldela sysslor och anpassa appens funktioner.
- Google Calendar-integration: om du kopplar Google Calendar lagrar vi:
- Google-konto-ID och e-postadress
- OAuth-tokens (krypterade med AES-256-CBC, lagrade enbart server-side)
- Kalenderhändelser: titel, beskrivning, plats, start- och sluttid, heldagsflagga, status, upprepningsflagga och påminnelseinställningar
- Kalendermetadata: kalendernamn, färg och åtkomstroll
- Betalningsuppgifter: hanteras av Stripe (webb/Android) och Apple In-App Purchase (iOS). Vi lagrar aldrig kortnummer.
- Nyhetsbrev: e-postadress om du skriver upp dig.
- Ambassadorprogram: om du bjuder in andra till Horst lagrar vi den inbjudnas namn och e-postadress samt koppling till ditt konto.
2.2 Uppgifter vi samlar in automatiskt
På webbplatsen gubbenhorst.se använder vi följande tredjepartstjänster:
- Google Analytics (GA4): mäter besöksstatistik (sidvisningar, sessionslängd, geografisk region). Använder cookies.
- Google Tag Manager (GTM): administrerar de script som laddas på sajten.
- Google Search Console: analyserar hur sajten syns i Google-sök. Samlar ingen data från besökare direkt.
- Google Ads (konverteringsspårning): mäter om ett besök från en annons leder till registrering. Använder cookies.
- Meta Pixel (Facebook/Instagram): mäter annonseffektivitet för kampanjer på Facebook och Instagram. Använder cookies.
- LinkedIn Insight Tag: mäter annonseffektivitet för kampanjer på LinkedIn. Använder cookies.
Dessa tjänster kan sätta cookies i din webbläsare och samla in teknisk information som IP-adress (anonymiserad i GA4), enhetstyp, webbläsare och beteende på sajten.
2.3 I appen
- Enhetstoken: för push-notiser lagrar vi en Expo Push Token, plattform (iOS/Android) och enhetsnamn. Token skickas till Expo (USA) för leverans av notiser (se avsnitt 5).
- AI-anrop: frågor du ställer till Horst skickas till våra AI-leverantörer: Mistral AI (Frankrike) för briefings, kategorisering och prioritering samt Google Gemini (USA) för receptbilder och kvalitetskontroll av recept. Vi loggar fråga, svar, modell, kostnad och varaktighet för felsökning och kostnadsuppföljning. Data används aldrig för modellträning av någon AI-leverantör.
- Användningsdata: vi samlar in funktionshändelser (vilken funktion som användes, vilken skärmvy, tidpunkt) för att förstå hur appen används och förbättra tjänsten. Händelserna kopplas till ditt användarkonto.
- Systemloggar: vid fel loggar vi IP-adress, request-URL, HTTP-metod och user-agent för felsökning. Systemloggar raderas automatiskt efter 30 dagar.
- Ändringsloggar: vi loggar ändringar i ditt konto och hushåll (t.ex. namnändring, planskifte) med tidstämpel och vilken användare som gjorde ändringen.
3. Rättslig grund
| Behandling | Rättslig grund |
|---|---|
| Leverera tjänsten (konto, hushållsdata) | Avtal (art. 6.1b GDPR) |
| Betalningshantering via Stripe / Apple | Avtal (art. 6.1b) |
| Hälsodata (menscykel, graviditet) | Uttryckligt samtycke (art. 6.1a + art. 9.2a) |
| Push-notiser | Samtycke (art. 6.1a) |
| Google Calendar-synkronisering | Samtycke (art. 6.1a) |
| Analys och annonsoptimering (GA, Meta, LinkedIn, Google Ads) | Samtycke (art. 6.1a), via cookie-banner |
| Användningsanalys i appen | Berättigat intresse (art. 6.1f) |
| Nyhetsbrev | Samtycke (art. 6.1a) |
| Säkerhet och missbruksskydd | Berättigat intresse (art. 6.1f) |
4. Cookies
Vi använder cookies för att sajten ska fungera och för att mäta trafik och annonseffektivitet.
4.1 Nödvändiga cookies
Krävs för att sajten ska fungera (session, CSRF-skydd). Kan inte stängas av.
4.2 Analys- och marknadsföringscookies
Sätts först efter ditt samtycke via cookie-bannern:
| Tjänst | Leverantör | Syfte | Lagringstid |
|---|---|---|---|
| Google Analytics | Google Ireland Ltd | Besöksstatistik | 14 månader |
| Google Ads | Google Ireland Ltd | Konverteringsspårning | 90 dagar |
| Meta Pixel | Meta Platforms Ireland Ltd | Annonseffektivitet | 90 dagar |
| LinkedIn Insight | LinkedIn Ireland Unlimited Company | Annonseffektivitet | 90 dagar |
Du kan när som helst ändra ditt samtycke via eller via länken i sidfoten.
5. Tredjepartsleverantörer
Vi delar data med följande underleverantörer:
| Leverantör | Land | Syfte |
|---|---|---|
| GleSys | Sverige | Hosting, databas, backup |
| Oderland | Sverige | Webbhotell (gubbenhorst.se) |
| Stripe | Irland | Betalningshantering |
| Brevo | Frankrike | Transaktionsmejl, nyhetsbrev |
| Mistral AI | Frankrike | AI-funktioner (briefings, kategorisering, prioritering) |
| Google (Gemini) | USA | AI-funktioner (receptbilder, receptvalidering) |
| Google Ireland | Irland | Analytics, Ads, Search Console, Tag Manager, Calendar API |
| Meta Platforms Ireland | Irland | Facebook/Instagram-annonsering |
| LinkedIn Ireland | Irland | LinkedIn-annonsering |
| Expo (expo.dev) | USA | Push-notiser (relay till Apple/Google) |
De flesta leverantörer har europeiskt säte. Expo (USA) tar emot enhetstokens för push-notisleverans. Google Gemini (USA) tar emot receptdata för bildgenerering och kvalitetskontroll. Överföringarna sker med stöd av EU-kommissionens adekvansbeslutet för USA (EU-US Data Privacy Framework). Inga övriga personuppgifter överförs utanför EU/EES.
6. Google Calendar-data och Google API Services User Data Policy
Horsts användning och överföring av information mottagen från Google API:er följer Google API Services User Data Policy, inklusive kraven för begränsad användning (Limited Use).
- Google Calendar-data används för att visa och synkronisera kalenderhändelser i Horst. Sammanfattningar av händelser (titel och tid) kan även skickas till vår AI-leverantör (Mistral, Frankrike) för att generera din dagliga briefing.
- Data säljs inte och överförs inte till tredje part utöver vad som krävs för att tillhandahålla tjänsten.
- Data används inte för reklam, profilering eller annonsrikting.
- Data används inte för att träna AI- eller maskininlärningsmodeller.
- OAuth-tokens krypteras i vila med AES-256-CBC och lagras enbart i databasen, aldrig i klientappen.
- All kommunikation med Google API:er sker över HTTPS/TLS.
- Tokens tas bort omedelbart vid bortkoppling av Google-kontot.
- Token-förnyelse hanteras automatiskt server-side.
Du kan när som helst koppla bort Google Calendar i appens inställningar. Vid bortkoppling raderas dina OAuth-tokens omedelbart och synkronisering upphör. Synkade kalenderhändelser med Google-ursprung tas bort. Horst-kalendern som skapats i ditt Google-konto tas inte bort automatiskt. Du kan ta bort den manuellt i Google Calendar.
7. Dina rättigheter
Enligt GDPR har du rätt att:
- Få tillgång: begära ett registerutdrag över dina uppgifter.
- Rätta: korrigera felaktiga uppgifter.
- Radera: begära att vi tar bort dina uppgifter ("rätten att bli glömd").
- Begränsa: begränsa hur vi behandlar dina uppgifter.
- Portera: exportera din data i maskinläsbart format (JSON).
- Invända: invända mot behandling baserad på berättigat intresse.
- Återkalla samtycke: för cookies och nyhetsbrev, när som helst.
Kontakta oss på dataskydd@gubbenhorst.se för att utöva dina rättigheter. Vi svarar inom 30 dagar.
8. Datalagring och radering
- Kontot aktivt: data lagras så länge kontot är aktivt.
- Efter uppsägning: data raderas permanent 30 dagar efter uppsägning.
- Export: du kan ladda ner all din data som JSON i appen innan radering.
- Bokföringsuppgifter: fakturor och betalningshistorik sparas i 7 år enligt bokföringslagen.
- AI-loggar: lagras så länge kontot är aktivt. Raderas vid kontoradering.
- Funktionshändelser: lagras så länge kontot är aktivt. Raderas vid kontoradering.
- Systemloggar: raderas automatiskt efter 30 dagar.
- Top-up-credits: förfaller efter 12 månader om de inte förbrukats.
- Google Calendar-data: vid bortkoppling raderas OAuth-tokens omedelbart och synkade händelser med Google-ursprung tas bort. Vid kontoborttagning raderas all Google Calendar-data som del av den generella 30-dagarsprocessen.
9. Säkerhet
All kommunikation sker över HTTPS. Data krypteras i vila och under transport. Åtkomst till produktionssystem är begränsad och loggas. Vi genomför regelbundna säkerhetsgranskningar.
Vi säljer aldrig din data. Google Calendar-data används inte för reklam eller annonsrikting.
10. Barn
Horst riktar sig inte till barn under 16 år. Vi samlar inte medvetet in uppgifter direkt från barn.
Vårdnadshavare kan skapa barnprofiler (namn och födelsedatum) inom ett hushåll för att tilldela sysslor. Dessa uppgifter registreras av vårdnadshavaren, inte av barnet självt, och kan raderas av vårdnadshavaren när som helst.
Om du som vårdnadshavare upptäcker att ditt barn har skapat ett eget konto, kontakta oss så raderar vi uppgifterna.
11. App-plattformar
Horst är tillgänglig på iOS (App Store) och Android (Google Play). Respektive plattform kan samla in teknisk data enligt deras egna sekretesspolicyer:
- Apple: apple.com/privacy
- Google: policies.google.com/privacy
Vi har deklarerat alla datakategorier som appen samlar in i Apples App Privacy-rapport och Googles datasäkerhetsavsnitt. Dessa överensstämmer med denna policy.
12. Ändringar i policyn
Vi kan uppdatera denna policy. Vid väsentliga ändringar meddelar vi dig via e-post eller i appen minst 30 dagar innan ändringarna träder i kraft. Datumet "Senast uppdaterad" ovan visar när policyn senast reviderades.
13. Tillsynsmyndighet
Om du inte är nöjd med hur vi behandlar dina uppgifter har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm, imy.se.
14. Kontakt
Hira Digital Marketing AB
Org.nr 559175-3750
Sliparevägen 19, 531 65 Lidköping
dataskydd@gubbenhorst.se