ComeOnIn

Integritetspolicy

Senast uppdaterad: 31 maj 2026

Den här sidan förklarar vilka personuppgifter ComeOnIn samlar in när du köper en biljett eller arrangerar ett evenemang via plattformen, varför vi samlar in dem, hur länge vi sparar dem och vilka rättigheter du har över dem enligt EU:s dataskyddsförordning (GDPR).

1. Vem är ansvarig

Personuppgiftsansvarig för uppgifter som behandlas via ComeOnIn är Olov von Hofsten, som driver ComeOnIn-plattformen som privatperson tills ett bolag har registrerats. Den personuppgiftsansvarige beslutar vilka uppgifter som samlas in och hur de används, och är den du kan kontakta om allt som rör den här policyn.

Kontakt för registrerades begäranden och övriga integritetsfrågor: comeoninjoe@gmail.com.

2. Vad vi samlar in

När du köper en biljett samlar vi in:

• Det namn och den e-postadress du anger i anmälningsformuläret.
• Vilket evenemang och vilka biljettyper du väljer, totalbeloppet och eventuell rabattkod du använt.
• En referens (Swish-meddelande) som identifierar betalningen.
• En biljettpost per köpt plats, var och en med sin egen QR-token.
• Om betalningen har bekräftats av arrangören och om varje biljett har skannats vid entrén.

När du registrerar dig som arrangör samlar vi in:

• Det namn, den e-post och det lösenord (lagrat hashat med bcrypt — vi kan inte läsa det) du anger i registreringsformuläret.
• En tidsstämpel som dokumenterar ditt GDPR-samtycke.

3. Varför vi samlar in (rättslig grund)

Kunders anmälningsuppgifter behandlas med stöd av fullgörande av avtal (GDPR art. 6.1 b) — vi behöver ditt namn och din e-post för att utfärda biljetten du har köpt och för att mejla den till dig efter att arrangören har bekräftat betalningen. Arrangörskonton behandlas på samma rättsliga grund (fullgörande av avtal) så att du ska kunna driva de evenemang du skapar.

Vi skickar inga marknadsföringsmejl, bygger inga beteendeprofiler och delar inga uppgifter med annonsörer. Det enda läget där vi någonsin skulle be om separat samtycke är om vi börjar skicka icke-transaktionella mejl — det gör vi inte idag.

4. Var data lagras (underbiträden)

Uppgifterna lagras och behandlas av ett litet antal tjänster vi använder:

• Supabase (PostgreSQL-hosting, EU-region) — alla databasrader.
• Eyevinn Open Source Cloud (applikationshosting, EU) — kör API:et och serverar sidorna.
• Resend (transaktionsmejl, USA) — skickar endast mejl å våra vägnar; varje mejls innehåll innehåller ditt namn och din e-post. Överföringar från EU till USA bygger på EU-US Data Privacy Framework.

Själva betalningarna går via Swish direkt från din mobil till arrangörens Swish-konto — ComeOnIn ser aldrig dina bank- eller kortuppgifter. Vi lagrar endast referensmeddelandet som Swish skickar tillbaka, så att arrangören kan koppla din betalning till din biljett.

5. Hur länge vi sparar uppgifterna

Kunders anmälningsuppgifter: namn och e-post sparas tills 90 dagar efter evenemangsdatumet, och anonymiseras därefter (ersätts med [deleted]). Resten av raden — belopp, status, biljettposter — sparas anonymiserad så att vi kan upprätthålla bokföring och granskningsspår utan att hålla personuppgifter längre än nödvändigt. Detta körs automatiskt varje dag; du behöver inte göra något.

Arrangörskonton: sparas så länge du har ett aktivt konto. Du kan begära radering när som helst via kontaktadressen ovan.

Om du begär radering tidigare: vi anonymiserar raden omedelbart när vi tar emot en begäran via länken i ditt biljettmejl eller via direkt kontakt — du behöver inte vänta i 90 dagar.

6. Dina rättigheter

GDPR ger dig följande rättigheter över uppgifter vi har om dig:

• Rätt till tillgång (art. 15) och rätt till dataportabilitet (art. 20) — ladda ner en kopia av dina data som JSON-fil via länken i ditt biljettmejl (finns även på /static/data-access.html med din QR-token i URL:en).
• Rätt till radering (art. 17) — begär radering via länken i ditt biljettmejl (även på /static/data-deletion.html). Raderingen sker omedelbart.
• Rätt till rättelse (art. 16) — för att korrigera ditt namn eller din e-post, kontakta oss på adressen ovan.
• Rätt till begränsning (art. 18) och rätt att invända (art. 21) — kontakta oss på adressen ovan.
• Rätt att lämna in klagomål till den svenska tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY), om du anser att vi har hanterat dina uppgifter felaktigt.

7. Kakor och liknande lagring

ComeOnIn använder inga spårningskakor, ingen tredjepartsanalys och inga annonsspårare. Den enda kaka vi sätter är en strikt nödvändig httpOnly-sessionskaka i arrangörens webbläsare efter inloggning, som håller dig inloggad i översikten och raderas när du loggar ut. Den är märkt SameSite=Lax och (i produktion) Secure, och innehåller inget mer än en ogenomskinlig sessionsreferens — ingen profilering, ingen spårning mellan sajter. Kundernas biljettköpsflöde använder sessionStorage för att föra din anmälan mellan evenemangssidan och Swish-betalningssidan — det rensas automatiskt när du stänger fliken.

8. Säkerhet

Lösenord hashas med bcrypt. Sidan serveras över HTTPS. Vi tillämpar indatavalidering, hastighetsbegränsning på registrering och inloggning, samt anti-XSS-åtgärder på varje sida. Om vi någonsin drabbas av ett säkerhetsintrång som påverkar dina uppgifter underrättar vi tillsynsmyndigheten inom 72 timmar och dig direkt om risken är hög.

9. Ändringar av den här policyn

Vi kan komma att uppdatera den här sidan då och då. Datumet "Senast uppdaterad" längst upp speglar den senaste väsentliga ändringen. Vi tillämpar inte ändringar retroaktivt på ett sätt som väsentligt försämrar dina rättigheter utan att meddela dig.