Aktieutdelningar

Integritetspolicy

Läs om hur vi samlar in, använder och skyddar dina personuppgifter i enlighet med GDPR.

1. Introduktion

Välkommen till Aktieutdelningar.com. Vi värnar om din integritet och är engagerade i att skydda dina personuppgifter. Denna integritetspolicy förklarar hur vi samlar in, använder, lagrar och skyddar dina uppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Senast uppdaterad: 2026-03-06

2. Personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen av dina personuppgifter är Aktieutdelningar.com. För frågor om hur vi hanterar dina personuppgifter, vänligen kontakta oss via kontaktformuläret på webbplatsen.

3. Vilka uppgifter samlar vi in?

3.1 Kontouppgifter

När du skapar ett konto samlar vi in:

  • E-postadress (för autentisering och kommunikation)
  • Visningsnamn (frivilligt)
  • Anonymt visningsnamn (auto-genererat alias för topplistan)
  • Språkpreferens (svenska eller engelska)
  • Färgschema och temainställning (mörkt/ljust/system)
  • Visningspreferens för vinst/förlust (SEK eller procent)
  • Statistikläge (rullande 12 månader eller innevarande år)
  • Kontonivå (gratis, tidig användare, premium)
  • Datum för senaste besök och inloggningar
  • Inbjudningskod och vem som bjöd in dig (om tillämpligt)
  • Dolt visningsnamn i topplista-preferens
  • Datum för prenumerationsstart (premiumSince, proSince — för lojalitetsberäkningar)
  • Introduktionsstatus: om välkomstdialogen slutförts eller stängts, med tidsstämplar
  • Kontostatus (aktiv eller väntande OAuth-inbjudan)

Valfri uppgift: Födelsedatum kan anges för personlig milstolpespårning och relaterade achievements. Uppgiften delas aldrig med tredje part.

3.2 Portfölj- och innehavsdata

För att tillhandahålla våra tjänster lagrar vi:

  • Portföljnamn och valuta
  • Aktieinnehav (antal, inköpsdatum, priser)
  • Utdelningshistorik och scheman
  • Anteckningar kopplade till portföljer

Obs: All portföljdata är privat och endast tillgänglig för dig. Vi delar aldrig dina innehavsuppgifter med tredje part.

3.3 Aktivitets- och engagemangsdata

Vi loggar viss aktivitetsdata för att driva funktioner som achievements och statistik:

  • Inloggningsdatum och inloggningsstreaks (dagliga, morgon och natt) med tillhörande datum
  • Antal helginloggningar
  • Achievements och när de löstes upp
  • Användarinteraktionshändelser: inloggningstidpunkter, temaskiftningar, färgschemabyte, applikationsmaraton (kontinuerlig session), oavbruten scrollning, snabbtryckningar, visade uppdateringar

3.4 Feedback och kommunikation

När du skickar feedback lagrar vi:

  • Feedbacktitel och innehåll (buggrapporter, funktionsönskemål, frågor, beröm)
  • Kategori och status
  • Koppling till ditt konto

Vi lagrar även dina e-postkommunikationspreferenser med tidsstämplar: när du gav eller återkallade samtycke till kommunikationse-post, marknadsföringsutskick och produktuppdateringar.

3.5 Inbjudningssystem

Om du använder en inbjudningskod vid registrering loggar vi ett inbjudningsanvändningsrekord som innehåller:

  • Vilken inbjudningskod som användes och av vem
  • IP-adress för den som använde inbjudan (se avsnitt 3.7)
  • Webbläsarens User-Agent-sträng
  • Tidpunkt för användningen

Vi spårar även hur många gånger en inbjudningslänk visats och antalet lyckade registreringar via den.

3.6 Cookies och lokal lagring

Vi använder följande cookies:

  • payload-token — Autentiseringscookie (HttpOnly, Secure, SameSite: lax; 1 år för vanliga användare, 8 timmar för administratörer)
  • NEXT_LOCALE — Språkpreferens (SameSite: lax, 1 år)
  • active-portfolio-id — Aktiv portfölj (HttpOnly, SameSite: lax, 1 år)
  • COLOR_SCHEME — Färgtemainställning (sessions-/preferenscookie)
  • sidebar_state — Sidofältets öppet/stängt-tillstånd
  • pending-invite-code — Tillfällig inbjudningskod under registrering (max 1 timme)
  • impersonate-user-id — Används enbart av administratörer vid kontohantering (HttpOnly, Secure, sessionsbaserad)

Alla autentiserings- och funktionscookies är strikt nödvändiga för webbplatsens funktion. Vi använder inga cookies för reklam eller spårning över webbplatser.

Vi använder även webbläsarens lokala lagring (localStorage och sessionStorage):

  • localStorage: SWR-cache med portfölj- och finansiell data (5 minuters livslängd, rensas vid utloggning)
  • localStorage: Gästportfölj-data för ej inloggade besökare (raderas vid kontoregistrering)
  • localStorage: guest_color_scheme — färgtemainställning för gästbesökare (bevaras mellan sessioner)
  • localStorage: Temainställningar och gästuppfräschningsspårning
  • sessionStorage: Tillfällig flagga för avfärdat gästbanner och URL-importdata (rensas när fliken stängs)

3.7 IP-adress och teknisk data

Vi behandlar IP-adresser i begränsad och ändamålsenlig utsträckning för säkerhets- och kvalitetssyften:

  • Hastighetsbegränsning: IP-adresser används i minnet (aldrig sparade i databasen) för att begränsa antalet förfrågningar och förhindra missbruk. Datan rensas automatiskt efter att tidsfönstret löpt ut.
  • Inbjudningslogg: IP-adressen för den som använder en inbjudningskod vid registrering sparas permanent i inbjudningsanvändningsloggen (syfte: bedrägeriförebyggande).
  • Lösenordsåterställning: IP-adressen som begär en lösenordsåterställning sparas temporärt i lösenordsåterställningstabellen (raderas efter att token använts eller löpt ut — 15 minuter).
  • Bot-skydd: IP-adresser skickas till Cloudflare Turnstile för verifiering vid registrering, inloggning och lösenordsåterställning (se avsnitt 6).
  • User-Agent: Webbläsarens User-Agent-sträng sparas i inbjudningsanvändningsloggen (syfte: bedrägeriförebyggande).

3.8 Webbanalys (Rybbit)

Vi använder en integritetsvänlig Rybbit Analytics-instans, privathostad på dedikerad hårdvara i Sverige, för att förstå hur besökare använder webbplatsen. Analysdatan proxas via vår egen domän (/a/), vilket håller analysserverns adress privat. Rybbit samlar in:

  • Sidvisningar och navigeringsmönster
  • Anpassade händelser: importstart/-slut, export, registrering
  • Anonymt enhetsfingeravtryck (för sessionsspårning utan cookies)
  • För inloggade användare: numeriskt databas-ID, kontonivå och e-postadress (för användaridentifiering och segmentering)
  • Beteendehändelser för ej inloggade gästbesökare (t.ex. lägg till/ta bort aktie, klick på CTA-knappar) utan personidentifierare

Obs: Sessionsinspelning (session replay) är inte aktiverad. Analysdatan används uteslutande för att förbättra tjänsten och aldrig för reklam.

3.9 Säkerhetsgranskningslogg

Vi för en oföränderlig säkerhetsgranskningslogg (audit log) för känsliga åtgärder. Loggen innehåller:

  • Åtgärdstyp: registrering, inloggning, misslyckad inloggning, utloggning, e-poständring, lösenordsändring/-återställning, kontoborttagning (begäran och utförande), administratörs-impersonering (start/stopp)
  • Användar-ID och e-postadress
  • Resurstyp och resurs-ID (om tillämpligt)
  • Om åtgärden lyckades eller misslyckades, med felmeddelanden
  • Tidsstämpel

Granskningsloggen är skrivskyddad och tillgänglig endast för administratörer. Den kan inte redigeras eller raderas av vanliga användare, och behålls även efter kontoborttagning.

3.10 Aviseringar

Vi lagrar aviseringar i appen för att hålla dig informerad om aktivitet på ditt konto. Varje avisering innehåller:

  • Aviseringstyp (prestation upplåst, svar på feedback, statusändring av feedback, produktuppdatering)
  • Titel på engelska och svenska
  • Valfri brödtext och länk till relevant sida
  • Läst/oläst-status (tidsstämpel när den lästes)
  • Typspecifik metadata (t.ex. prestationsnamn, nivå)

Du kan styra vilka aviseringstyper du tar emot via inställningar per typ i dina kontoinställningar. Aviseringar raderas när ditt konto raderas.

3.11 Betalnings- och prenumerationsdata

När du köper ett betalt abonnemang hanteras betalningen av Polar.sh i egenskap av handlare (Merchant of Record). Polar använder Stripe för betalningshantering. Betalningsgränssnittet och prenumerationshanteringen är hostat av Polar — inget betalningsformulär visas på vår webbplats.

Vad vi lagrar i vår databas:

  • Polar kund-ID (ett referens-ID tilldelat av Polar)
  • Polar prenumerations-ID och produkt-ID
  • Prenumerationsstatus (aktiv, avbokad, förfallen betalning, obetald, provperiod, återkallad)
  • Nuvarande faktureringsperiods start- och slutdatum
  • Om avbokning är schemalagd vid periodens slut, och när den avbokades
  • Prenumerationsbelopp (i minsta valutaenhet, t.ex. öre för SEK) och valuta
  • Faktureringsintervall (månads- eller årsvis)
  • Prenumerationslivscykelhändelser för granskningsändamål (lagras i en prenumerationshändelselogg)

Vad vi aldrig lagrar:

  • Kortnummer, kortverifieringskoder (CVV/CVC) eller utgångsdatum
  • Bankkontouppgifter eller annan fullständig betalningsinstrumentdata
  • All betalningsdata hanteras uteslutande av Polar och Stripe, som båda är PCI-DSS-certifierade

Prenumerationshantering (byta plan, avboka, uppdatera betalningsmetod) sker via Polars kundportal. När du öppnar portalen skickas ditt Polar kund-ID till Polar för att öppna ditt konto.

4. Rättslig grund för behandling

Vi behandlar dina personuppgifter baserat på följande rättsliga grunder:

  • Fullgörande av avtal — Kontouppgifter, portföljdata, tjänsterelaterade cookies samt prenumerations- och faktureringsposter krävs för att tillhandahålla tjänsten
  • Berättigat intresse — Säkerhetsgranskningslogg, hastighetsbegränsning, IP-loggning vid inbjudning/lösenordsåterställning, webbanalys och bedrägeriförebyggande åtgärder
  • Samtycke — E-postmarknadsföring och produktuppdateringar (uttryckligt opt-in krävs; kan återkallas när som helst i profilinställningarna)
  • Rättslig förpliktelse — Lagring av prenumerations- och faktureringsposter i enlighet med Bokföringslagen (7 år från utgången av det kalenderår då transaktionen genomfördes)

5. Hur länge lagrar vi uppgifter?

  • Kontouppgifter och portföljdata: Tills du begär borttagning eller stänger ditt konto
  • Prenumerations- och faktureringsposter (Polar-ID, faktureringsperioder, belopp): Behålls i 7 år från utgången av det kalenderår då transaktionen genomfördes, i enlighet med Bokföringslagen
  • Granskningslogg: Behålls permanent för säkerhets- och revisionssyften (även efter kontoborttagning)
  • Inbjudningsanvändningslogg (inkl. IP-adress och User-Agent): Behålls permanent för bedrägeriförebyggande
  • Lösenordsåterställningstokens (inkl. IP-adress): Raderas automatiskt när token använts eller löpt ut (15 minuter)
  • Hastighetsbegränsningsdata (IP i minnet): Auto-rensas efter tidsfönstrets utgång (maximalt 1 timme)
  • Webbanalysdata: Aggregerad data behålls på obestämd tid; individuella sessionsdata raderas efter 26 månader
  • Cookies: Autentisering 1 år (vanliga användare) / 8 timmar (administratörer); övriga max 1 år
  • localStorage/sessionStorage: Rensas vid utloggning (SWR-cache); sessionStorage rensas när fliken stängs
  • Aviseringar: Tills du raderar ditt konto

6. Tredjepartstjänster

Vi säljer aldrig dina uppgifter och delar aldrig din personliga information med tredje part. Tjänsterna nedan är tekniska infrastrukturleverantörer som vi använder för att driva plattformen.

Tjänster vi använder och vad de tar emot:

  • Supabase (PostgreSQL) — EU-baserad databas (Frankfurt, Tyskland). Lagrar all applikationsdata.
  • Vercel — Webbhosting; serverfunktioner körs i regionen Stockholm (EU). Hanterar HTTP-förfrågningar och serverloggar.
  • Rybbit Analytics — Integritetsvänlig analys, privathostad på dedikerad hårdvara i Sverige (proxad via /a/ på vår domän). Tar emot: sidvisningar, händelser, numeriskt användar-ID, kontonivå och e-postadress (inloggade användare).
  • EmailOctopus — Nyhetsbrevstjänst (skickar e-post via Amazon SES). Tar emot: e-postadress, förnamn, numeriskt användar-ID, registreringskälla, inbjudningskod, hänvisande användar-ID (om du bjöds in av en annan medlem) och taggar (t.ex. marknadsföring, produktuppdateringar). Endast för användare som givit samtycke eller begärt åtkomst till betaversion.
  • Amazon Web Services SES — Transaktionell e-postleverans som används av både oss och EmailOctopus (lösenordsåterställning, OAuth-hints, nyhetsbrev). Tar emot: mottagarens e-postadress och e-postinnehåll.
  • Google (OAuth) — Autentiseringsleverantör (valfritt). Vid Google-inloggning: vi skickar en auktoriseringsbegäran; Google returnerar din e-postadress och ett anonymt Google-ID. Begärda behörigheter: openid, profile, email.
  • Cloudflare Turnstile — Bot-skydd på registrerings-, inloggnings- och lösenordsåterställningsformulär. Tar emot: IP-adress och utmaningssvar för verifiering.
  • Avanza — Aktiemarknadsdatakälla (enbart serversida). Vi hämtar aktieprisdata och utdelningsscheman. Ingen användardata skickas.
  • ExchangeAPI.io / ExchangeRate-API.com — Valutakurser (enbart serversida). Ingen användardata skickas.
  • DigitalOcean Spaces — CDN för bloggflödesdata (Amsterdam, Nederländerna). Lagrar offentlig bloggkällinformation. Ingen persondata.
  • Gravatar (Automattic) — Valfri profilbildstjänst. Din e-postadress hashas (SHA-256) och skickas till gravatar.com för att hämta din profilbild om du har ett Gravatar-konto. Ingen användardata lagras av Gravatar för vår räkning. Endast e-posthash överförs.
  • Polar.sh — Prenumerationsfakturering och betalningshantering. Agerar som handlare (merchant of record) för premiumabonnemang. Tar emot: e-postadress, prenumerationsplan och betalningsinformation (behandlas av Polars betalningspartners). Polar hanterar PCI-efterlevnad och skatteuppbörd för vår räkning. Data behandlas i USA enligt Polars integritetspolicy.

7. Dina rättigheter enligt GDPR

Du har rätt att:

  • Få tillgång till dina personuppgifter — Kontakta oss via formuläret på webbplatsen
  • Rätta felaktiga uppgifter — Uppdatera direkt i profilinställningarna eller kontakta oss
  • Radera dina uppgifter ("rätten att bli glömd") — Se avsnitt 8 för kontoborttagningsprocessen
  • Begränsa behandling — Kontakta oss för att begränsa specifik databehandling
  • Dataportabilitet — Exportera dina portföljdata via exportfunktionen i appen
  • Invända mot behandling — Kontakta oss för att invända mot behandling baserad på berättigat intresse
  • Återkalla samtycke — Hantera e-postpreferenser direkt i profilinställningarna

8. Kontoborttagning

Du kan permanent ta bort ditt konto via Inställningar → Konto → Ta bort konto. Vid kontoborttagning:

  • Alla portföljer, innehav, utdelningsdata och inbjudningar raderas permanent
  • Din användarprofil (e-post, namn, preferenser) raderas
  • Aktivitetsdata och händelseloggar (inloggningsstreaks, interaktionshändelser, achievements) raderas
  • Ditt e-postkonto hos EmailOctopus märks som "avslutad" men raderas inte automatiskt (kontakta oss för fullständig radering)
  • Granskningsloggen behålls av säkerhetsskäl (innehåller inga finansiella uppgifter)
  • Inbjudningsanvändningsloggar som refererar till ditt konto kan behållas för bedrägeriförebyggande

En bekräftelse på dataumfånget visas innan borttagningen verkställs. Processen kräver lösenordsverifiering och kan inte ångras.

9. Dataexport

Du kan exportera dina portföljdata som en JSON-fil via Verktyg-sektionen i appen. Exporten inkluderar portföljdetaljer, innehav och utdelningshistorik. Detta uppfyller din GDPR-rätt till dataportabilitet (se avsnitt 7).

10. Datasäkerhet

Vi implementerar industristandardåtgärder för att skydda dina uppgifter:

  • Lösenord hashas med bcrypt (lagras aldrig i klartext)
  • HTTPS-kryptering för all datatrafik
  • HttpOnly och Secure cookies för att förhindra XSS-attacker
  • Bot-skydd via Cloudflare Turnstile på alla autentiseringsformulär
  • Hastighetsbegränsning per IP och per användare på alla API-ändpunkter
  • Databasåtkomstkontroller och kryptering
  • Oföränderlig säkerhetsgranskningslogg för känsliga åtgärder
  • Regelbundna säkerhetsuppdateringar

11. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy från tid till annan. Väsentliga ändringar meddelas via e-post eller ett framträdande meddelande på webbplatsen. Det aktuella datumet för senaste uppdatering anges alltid överst i dokumentet.

12. Kontakt

För frågor om denna policy eller för att utöva dina GDPR-rättigheter, kontakta oss via kontaktformuläret på webbplatsen. Du har också rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) på imy.se.