GDPR i praktiken.

• Dataminimering: vi frågar aldrig efter uppgifter vi inte behöver. Därför finns det ingen registrering för att använda grundfunktionen.
• Anonymisering: slagningar kopplas aldrig till en identifierbar person. IP används bara för kvotsäkring och raderas efter 24 timmar.
• Ändamålsbegränsning: data samlad för en funktion används inte för en annan. Digest-adresser används bara för digesten.
• Transparens: vi publicerar vilka underbiträden vi använder och varför.
• Revisionsbarhet: varje databehandling i vår kod är kopplad till en dokumenterad rättslig grund.

Vårt register över behandlingsaktiviteter finns tillgängligt för tillsynsmyndighet vid begäran. Huvudposterna är:

• Slagningar (anonymt, lagringstid 12 månader).
• IP-kvotkontroll (lagringstid 24 timmar).
• Digest-prenumeranter (tills avregistrering).
• Kundkonton och kvitton (lagringstid 7 år).
• Community-rapporter (anonymt, permanent).

All primär lagring sker inom EU — hos Vercel (Frankfurt) och Supabase (Frankfurt). Stripe behandlar betalningsuppgifter enligt SCC + tilläggsåtgärder. IPQualityScore (USA) tar endast emot det värde du slår upp, inte personlig metadata.

Alla GDPR-begäran hanteras inom 30 dagar. Vi kräver ingen legitimering om begäran rör en e-postadress vi kan verifiera genom utskick.

1. Skriv till dataskydd@spamkollen.se och beskriv din begäran.
2. Vi svarar med ett verifieringsmejl om e-posten inte redan finns i vårt system.
3. Inom 30 dagar får du antingen begärd data eller en motivering till varför begäran avslagits.

Upptäcker vi en incident som kan utgöra risk för dina rättigheter anmäler vi den till Integritetsskyddsmyndigheten inom 72 timmar och informerar berörda användare via e-post när så krävs enligt art. 33–34.