Integritetspolicy

Senast uppdaterad: 2026-04-01

Version: 2.0.0

1. Personuppgiftsansvarig

Bandcaller (“vi”, “oss” eller “vår”) är personuppgiftsansvarig för behandlingen av dina personuppgifter i samband med Bandcaller-tjänsten. Vi bedriver vår verksamhet från Sverige och omfattas av EU:s allmänna dataskyddsförordning (GDPR) samt tillämplig svensk dataskyddslagstiftning.

Om du har frågor om hur vi behandlar dina personuppgifter, eller om du vill utöva någon av dina rättigheter enligt tillämplig dataskyddslagstiftning, vänligen kontakta oss på info@bandcaller.se.

2. Uppgifter vi samlar in

Vi samlar in och behandlar följande kategorier av personuppgifter för att tillhandahålla, underhålla och förbättra Bandcaller-tjänsten:

a) Administratörskontoinformation

När du skapar ett administratörskonto samlar vi in ditt namn, din e-postadress och ett krypterat lösenord. Om du prenumererar på Bandcaller Pro kan vi även samla in faktureringsinformation såsom betalningsmetod och faktureringsadress, vilka behandlas av vår betalningsleverantör.

b) Medlemsuppgifter

Administratörer kan lägga till medlemmar i sina grupper. För varje medlem lagrar vi medlemmens namn och telefonnummer (i internationellt E.164-format). Medlemmar kan valfritt ange en e-postadress.

c) Användningsdata

Vi samlar in uppgifter som genereras genom din användning av tjänsten, inklusive svar på evenemang (ja, nej, kanske), röster i schemaläggningsomröstningar, kommentarer på evenemang samt andra interaktioner med plattformen.

d) Enhets- och teknisk data

När du använder Bandcaller samlar vi automatiskt in viss teknisk information, inklusive din IP-adress, webbläsartyp och version, enhetstyp samt operativsystem. Denna data används för säkerhet, felsökning och tjänsteförbättring.

e) SMS-loggdata

När SMS-meddelanden skickas via tjänsten loggar vi meddelandeinnehåll, avsändar- och mottagaridentifierare, tidsstämplar samt leveransstatusinformation. Denna data behandlas genom vår SMS-leverantör, Twilio.

f) Cookies och lokal lagring

Vi använder nödvändiga cookies och lokal lagring för att upprätthålla din autentiseringssession och språkinställning. Se vår cookiepolicy för mer information.

3. Rättsliga grunder för behandling

Vi behandlar dina personuppgifter med stöd av en eller flera av följande rättsliga grunder, i enlighet med artikel 6 i GDPR:

a) Samtycke (artikel 6.1 a)

Vi stöder oss på samtycke för att skicka SMS-notiser till bandmedlemmar. När en medlem läggs till i en grupp av en administratör registrerar vi medlemmens samtycke till att ta emot SMS-meddelanden relaterade till bandaktiviteter. Medlemmar kan när som helst återkalla sitt samtycke genom att ändra sina aviseringsinställningar eller genom att svara STOPP på ett SMS-meddelande. Återkallande av samtycke påverkar inte lagligheten av den behandling som utförts innan återkallandet.

b) Fullgörande av avtal (artikel 6.1 b)

Behandling är nödvändig för att fullgöra vårt avtal med administratörsanvändare som skapar konton och använder Bandcaller-tjänsten. Detta innefattar behandling av kontoinformation, hantering av evenemang och omröstningar samt att möjliggöra kommunikation inom grupper. Utan denna behandling skulle vi inte kunna tillhandahålla tjänsten.

c) Berättigat intresse (artikel 6.1 f)

Vi behandlar vissa uppgifter med stöd av våra berättigade intressen, när dessa intressen inte åsidosätts av dina grundläggande rättigheter och friheter. Våra berättigade intressen innefattar:

  • Tjänsteförbättring: att analysera användningsmönster och återkoppling för att förbättra funktionalitet och användarupplevelse i Bandcaller;
  • Säkerhet: att upptäcka och förhindra obehörig åtkomst, bedrägeri, missbruk och annan skadlig verksamhet för att skydda våra användare och tjänstens integritet; och
  • Bedrägeriförebyggande: att övervaka misstänkt aktivitet och säkerställa efterlevnad av våra användarvillkor.

4. Hur vi använder dina uppgifter

Vi använder de personuppgifter vi samlar in för följande ändamål:

  • Tillhandahålla och underhålla tjänsten: driva Bandcaller-plattformen, hantera ditt konto, möjliggöra evenemangsplanering, omröstningar och gruppsamordning;
  • Skicka SMS-notiser: leverera evenemangsinbjudningar, påminnelser, omröstningslänkar och annan bandrelaterad kommunikation till medlemmar via SMS genom vår leverantör Twilio;
  • Hantera betalningar: behandla prenumerationsbetalningar för Bandcaller Pro, hantera faktureringsposter och behandla återbetalningar där det är tillämpligt;
  • Kommunicera med användare: besvara supportärenden, skicka tjänsterelaterade meddelanden och informera dig om viktiga ändringar i vår tjänst eller våra policyer;
  • Förbättra tjänsten: analysera användningsdata för att identifiera förbättringsområden, utveckla nya funktioner och optimera användarupplevelsen;
  • Säkerställa säkerhet: skydda mot obehörig åtkomst, upptäcka och förhindra bedrägeri, övervaka missbruk samt upprätthålla tjänstens integritet och tillgänglighet; och
  • Uppfylla rättsliga skyldigheter: fullgöra våra skyldigheter enligt tillämpliga lagar och förordningar, inklusive skattelagstiftning, dataskyddslagstiftning och att besvara lagliga förfrågningar från myndigheter.

5. Delning av uppgifter och tredjepartsleverantörer

Vi säljer, hyr inte ut eller handlar med dina personuppgifter till tredje part. Vi delar personuppgifter endast i den utsträckning som är nödvändig för att tillhandahålla tjänsten, uppfylla rättsliga skyldigheter eller som annars beskrivs i denna policy.

Vi anlitar följande tredjepartsleverantörer (personuppgiftsbiträden) för att bistå med leveransen av tjänsten:

  • Twilio (USA) — leverans av SMS-meddelanden och kommunikationsinfrastruktur. Twilio behandlar medlemmars telefonnummer och meddelandeinnehåll för att leverera SMS-notiser. Vi har ett personuppgiftsbiträdesavtal (DPA) med Twilio.
  • Neon (EU-region) — hanterad PostgreSQL-databashosting. Vår primära databas är placerad inom Europeiska unionen.
  • Vercel (globalt CDN) — webbapplikationshosting och innehållsleverans. Vercel behandlar teknisk data såsom IP-adresser och förfrågningsmetadata.
  • Betalningsleverantör — vid behov använder vi en tredjepartsbetalningsleverantör för att hantera prenumerationsbetalningar. Betalkortsuppgifter behandlas direkt av betalningsleverantören och lagras aldrig på våra servrar.

Vi kan också lämna ut personuppgifter när det krävs för att:

  • efterleva tillämpliga lagar, förordningar eller rättsliga förfaranden;
  • besvara lagliga förfrågningar från myndigheter, inklusive brottsbekämpande myndigheter;
  • skydda Bandcallers, våra användares eller allmänhetens rättigheter, egendom eller säkerhet; eller
  • verkställa våra användarvillkor och andra avtal, med ditt uttryckliga samtycke.

6. Internationella dataöverföringar

Bandcaller bedrivs från Sverige och vår primära databas är placerad inom Europeiska unionen (via Neon, EU-region). Vissa personuppgifter kan dock överföras till, och behandlas i, länder utanför Europeiska ekonomiska samarbetsområdet (EES), inklusive USA.

I synnerhet behandlas SMS-leverans genom Twilio, som är baserat i USA. När personuppgifter överförs utanför EES säkerställer vi att lämpliga skyddsåtgärder finns på plats för att skydda dina uppgifter, inklusive:

  • Standardavtalsklausuler (SCC): vi ingår EU-godkända standardavtalsklausuler med våra leverantörer för att säkerställa en adekvat skyddsnivå för överförda uppgifter;
  • EU-US Data Privacy Framework: i tillämpliga fall förlitar vi oss på våra leverantörers certifiering under EU-US Data Privacy Framework som ytterligare skyddsåtgärd för överföringar till USA; och
  • Kompletterande åtgärder: vid behov vidtar vi ytterligare tekniska och organisatoriska åtgärder som komplement till ovan nämnda skyddsåtgärder.

Du kan få ytterligare information om de specifika skyddsåtgärder som tillämpas vid internationella överföringar av dina uppgifter genom att kontakta oss på info@bandcaller.se.

7. Lagringstider

Vi behåller dina personuppgifter bara så länge som det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, eller som krävs enligt tillämplig lag. Följande lagringstider gäller:

  • Aktiv kontoinformation: lagras under den tid ditt konto är aktivt, plus 30 dagar efter kontots radering för att möjliggöra kontoåterställning och uppfylla eventuella kvarvarande skyldigheter.
  • SMS-loggdata: lagras i 90 dagar från sändningsdatum, varefter loggarna permanent raderas. Denna lagringstid är nödvändig för leveransbekräftelse, felsökning och revisionssyften.
  • Medlemsuppgifter efter utträde ur grupp: lagras i 30 dagar efter att en medlem lämnar eller tas bort från en grupp, såvida inte administratören väljer att behålla uppgifterna för historiska och arkiveringsändamål (t.ex. tidigare evenemangsposter).
  • Betalnings- och faktureringsposter: lagras i enlighet med tillämplig skatte- och bokföringslagstiftning. Enligt svensk bokföringslag (Bokföringslagen) ska räkenskapsmaterial bevaras i minst 7 år.
  • Inaktiva konton: om ditt konto är inaktivt i 12 sammanhängande månader skickar vi ett meddelande till din registrerade e-postadress. Om ingen aktivitet sker inom ytterligare 6 månader (totalt 18 månaders inaktivitet) raderas ditt konto och tillhörande uppgifter permanent.

När personuppgifter inte längre behövs raderas eller anonymiseras de på ett säkert sätt i enlighet med våra rutiner för datahantering.

8. Dina rättigheter enligt GDPR

Om du befinner dig inom Europeiska ekonomiska samarbetsområdet (EES) har du följande rättigheter avseende dina personuppgifter enligt den allmänna dataskyddsförordningen:

  • Rätt till tillgång (artikel 15): du har rätt att få bekräftelse på huruvida dina personuppgifter behandlas, och i så fall få tillgång till uppgifterna samt information om ändamålen med behandlingen, vilka kategorier av uppgifter som berörs och vilka mottagare uppgifterna lämnas ut till.
  • Rätt till rättelse (artikel 16): du har rätt att begära rättelse av felaktiga personuppgifter och att få ofullständiga personuppgifter kompletterade.
  • Rätt till radering (artikel 17): du har rätt att begära radering av dina personuppgifter när de inte längre är nödvändiga för de ändamål för vilka de samlades in, när du återkallar ditt samtycke eller när det inte finns någon annan rättslig grund för fortsatt behandling.
  • Rätt till begränsning av behandling (artikel 18): du har rätt att begära begränsning av behandlingen av dina personuppgifter under vissa omständigheter, exempelvis när du bestrider uppgifternas korrekthet eller när behandlingen är olaglig.
  • Rätt till dataportabilitet (artikel 20): du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format, och att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder.
  • Rätt att göra invändningar (artikel 21): du har rätt att invända mot behandling av dina personuppgifter som grundar sig på berättigat intresse. Vi kommer att upphöra med behandlingen om vi inte kan påvisa tvingande berättigade skäl som väger tyngre än dina intressen, rättigheter och friheter.
  • Rätt att återkalla samtycke: när behandling grundar sig på samtycke kan du när som helst återkalla ditt samtycke. Återkallande av samtycke påverkar inte lagligheten av den behandling som utförts innan återkallandet.
  • Rätt att inge klagomål: du har rätt att inge klagomål till en tillsynsmyndighet. I Sverige är den behöriga tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY). Du kan nå IMY via imy.se eller via e-post på imy@imy.se.

För att utöva någon av dessa rättigheter, vänligen kontakta oss på info@bandcaller.se. Vi besvarar din begäran inom 30 dagar från mottagandet. I vissa fall kan vi behöva verifiera din identitet innan vi behandlar din begäran. Om din begäran är komplex eller om vi mottar ett stort antal förfrågningar kan vi förlänga svarstiden med ytterligare 60 dagar, i vilket fall vi meddelar dig om förlängningen.

9. Dina rättigheter enligt CCPA (invånare i Kalifornien)

Om du är bosatt i Kalifornien, USA, har du ytterligare rättigheter enligt California Consumer Privacy Act (CCPA) och California Privacy Rights Act (CPRA). Detta avsnitt kompletterar resten av vår integritetspolicy med information specifik för invånare i Kalifornien.

Rätt att få information

Du har rätt att begära att vi redovisar vilka kategorier och specifika personuppgifter vi har samlat in om dig, varifrån uppgifterna har samlats in, det affärsmässiga eller kommersiella ändamålet med insamlingen samt vilka kategorier av tredje parter vi delar dina personuppgifter med.

Rätt till radering

Du har rätt att begära radering av de personuppgifter vi har samlat in om dig, med förbehåll för vissa undantag som tillåts enligt lag (exempelvis där uppgifterna är nödvändiga för att slutföra en transaktion, upptäcka säkerhetsincidenter eller uppfylla rättsliga skyldigheter).

Rätt att motsätta sig försäljning

Bandcaller säljer inte dina personuppgifter till tredje part enligt definitionen i CCPA. Vi säljer inte och kommer inte att sälja dina personuppgifter. Det finns därför inget behov av att motsätta sig försäljning av personuppgifter.

Rätt till icke-diskriminering

Vi kommer inte att diskriminera dig för att du utövar någon av dina rättigheter enligt CCPA. Vi kommer inte att neka dig tjänster, ta ut andra priser, erbjuda en annan kvalitetsnivå eller antyda att du kommer att få en annan servicenivå till följd av att du utövar dina rättigheter.

Hur du utövar dina rättigheter

För att lämna in en begäran enligt CCPA, vänligen kontakta oss på info@bandcaller.se. Vi verifierar din identitet genom att matcha den information du anger i din begäran med de uppgifter vi har registrerade. Vi besvarar verifierbara konsumentförfrågningar inom 45 dagar från mottagandet. Om vi behöver ytterligare tid informerar vi dig om skälet och förlängningsperioden (upp till ytterligare 45 dagar).

10. Barns integritet

Bandcaller riktar sig inte till, och är inte avsedd att användas av, barn under 16 år. Vi samlar inte medvetet in personuppgifter från personer under 16 års ålder. Om vi blir medvetna om att vi oavsiktligt har samlat in personuppgifter från ett barn under 16 år kommer vi omedelbart att vidta åtgärder för att radera dessa uppgifter från våra system.

Om du är förälder eller vårdnadshavare och tror att ditt barn har lämnat personuppgifter till Bandcaller utan ditt samtycke, vänligen kontakta oss omedelbart på info@bandcaller.se så att vi kan vidta lämpliga åtgärder för att ta bort uppgifterna.

11. SMS-data och integritet

SMS-meddelanden är en central funktion i Bandcaller Pro. Detta avsnitt beskriver hur vi hanterar data relaterad till SMS-kommunikation som skickas via tjänsten.

Vilken SMS-data vi loggar

För varje SMS-meddelande som skickas via Bandcaller loggar vi följande:

  • Meddelandeinnehåll (texten i SMS:et);
  • Mottagarens telefonnummer;
  • Tidsstämpel för när meddelandet skickades;
  • Leveransstatus (t.ex. köad, skickad, levererad, misslyckad) enligt rapportering från vår SMS-leverantör Twilio.

Varför vi loggar SMS-data

Vi behåller SMS-loggdata för följande ändamål:

  • Leveransbekräftelse: för att verifiera att meddelanden har levererats framgångsrikt till mottagare;
  • Felsökning: för att diagnostisera och åtgärda leveransfel och andra tekniska problem; och
  • Revision och regelefterlevnad: för att upprätthålla en revisionsspår för regelefterlevnad och tvistlösning.

Lagringstid

SMS-loggdata lagras i 90 dagar från sändningsdatum, varefter den permanent raderas.

SMS-samtycke

Vi registrerar SMS-samtycke med tidsstämpel för varje medlem. Samtycke inhämtas när en medlem läggs till i en grupp eller när en medlem uttryckligen väljer att ta emot SMS-notiser. Medlemmar kan när som helst välja bort SMS-notiser genom att ändra sina aviseringsinställningar i medlemspanelen, eller genom att svara STOPP på ett SMS-meddelande från Bandcaller.

Ingen marknadsföringsanvändning

Vi använder inte SMS-data för marknadsföringsändamål. SMS-meddelanden som skickas via Bandcaller är uteslutande avsedda för bandrelaterad samordning och kommunikation initierad av gruppadministratörer.

12. Säkerhetsåtgärder

Vi tar säkerheten för dina personuppgifter på allvar och vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dem mot obehörig åtkomst, ändring, utlämnande eller förstöring. Dessa åtgärder inkluderar, men är inte begränsade till:

  • Kryptering vid överföring: all data som överförs mellan din webbläsare och våra servrar krypteras med Transport Layer Security (TLS);
  • Kryptering vid lagring: känslig data som lagras i våra databaser krypteras i vila;
  • Lösenordshashning: användarlösenord hashas med bcrypt med lämplig arbetsfaktor och lagras aldrig i klartext;
  • Åtkomstkontroller: åtkomst till personuppgifter är begränsad till behörig personal enligt principen om minsta möjliga behörighet;
  • Regelbundna säkerhetsgranskningar: vi genomför periodiska granskningar av våra säkerhetsrutiner och infrastruktur för att identifiera och åtgärda potentiella sårbarheter.

Trots våra ansträngningar är ingen metod för elektronisk överföring eller lagring helt säker. Även om vi strävar efter att skydda dina personuppgifter kan vi inte garantera absolut säkerhet. I händelse av ett dataintrång som innebär en hög risk för dina rättigheter och friheter kommer vi att meddela dig och berörd tillsynsmyndighet i enlighet med tillämplig lag.

Vi uppmuntrar ansvarsfullt avslöjande av eventuella säkerhetssårbarheter. Om du upptäcker ett potentiellt säkerhetsproblem, vänligen rapportera det till info@bandcaller.se.

13. Cookies

Bandcaller använder nödvändiga cookies som är strikt nödvändiga för tjänstens funktion. Dessa inkluderar en autentiseringstoken för att upprätthålla din inloggningssession samt en cookie för språkinställning för att komma ihåg ditt valda språk. Vi använder inte reklam- eller spårningscookies.

För detaljerad information om de cookies vi använder, deras ändamål och lagringstid, se vår cookiepolicy.

14. Ändringar av denna integritetspolicy

Vi kan komma att uppdatera denna integritetspolicy från tid till annan för att återspegla förändringar i våra rutiner, teknologier, rättsliga krav eller andra faktorer. När vi gör ändringar uppdaterar vi datumet för “senast uppdaterad” högst upp i denna policy.

Vid väsentliga ändringar som avsevärt påverkar dina rättigheter eller hur vi behandlar dina personuppgifter kommer vi att ge minst 30 dagars förhandsmeddelande genom att skicka en avisering till den e-postadress som är kopplad till ditt konto. Vi uppmuntrar dig att regelbundet granska denna integritetspolicy för att hålla dig informerad om hur vi skyddar dina uppgifter.

Din fortsatta användning av Bandcaller-tjänsten efter ikraftträdandet av eventuella ändringar innebär att du godtar den uppdaterade integritetspolicyn. Om du inte samtycker till den reviderade policyn bör du upphöra med din användning av tjänsten och radera ditt konto.

15. Kontaktinformation

Om du har frågor, synpunkter eller förfrågningar gällande denna integritetspolicy eller behandlingen av dina personuppgifter, vänligen kontakta oss:

Om du inte är nöjd med vårt svar, eller om du anser att vi behandlar dina personuppgifter på ett sätt som inte är förenligt med tillämplig dataskyddslagstiftning, har du rätt att inge klagomål till behörig tillsynsmyndighet:

  • Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY)
  • Webbplats: imy.se
  • E-post: imy@imy.se