Jingla - AI-genererade reklamjinglar

Viktigt: Denna policy beskriver hur vi samlar in och behandlar dina personuppgifter i enlighet med GDPR. Läs även våra Användarvillkor och vår Återbetalningspolicy för fullständig information om tjänsten.

Sammanfattning

Vi samlar in de uppgifter som behövs för att generera och leverera din jingel – främst e-postadress, företagsuppgifter och den webbadress du anger.
Vi säljer aldrig dina uppgifter.
Med ditt samtycke använder vi cookies för annonsmätning (se §5 och §7).
Du har full kontroll och kan begära tillgång, rättelse eller radering via kontakt@jingla.se (se §9).

Innehållsförteckning

Introduktion
Vilka uppgifter samlar vi in?
Hur använder vi dina uppgifter?
Rättslig grund för behandling
Delning av uppgifter med tredje parter
Personuppgiftsbiträden och tredjepartsleverantörer
Cookies och liknande teknologier
Datalagring och lagringsperioder
Dina rättigheter enligt GDPR
Datasäkerhet
Internationella överföringar av data
Barn och minderåriga
Ändringar av integritetspolicyn
Kontakta oss om integritet
Klagomål till tillsynsmyndighet
Gällande version

1. Introduktion

Personuppgiftsansvarig är Artivaro AB (org.nr 559570-9444), som driver tjänsten Jingla.se ('vi', 'oss', 'vår'), med adress Lindhagensgatan 149 Lgh 1302, 112 15 Stockholm.

Denna integritetspolicy förklarar hur vi samlar in, använder, lagrar och skyddar dina personuppgifter enligt EU:s dataskyddsförordning 2016/679 (GDPR) och svensk dataskyddslagstiftning. Vår behandling styrs av GDPR:s grundläggande principer om ändamålsbegränsning, uppgiftsminimering, lagringsminimering, riktighet och integritet (Art. 5).

Policyn omfattar även vår användning av annonsspårningsteknik (Meta Pixel) och de tredjepartsleverantörer som behandlar personuppgifter för vår räkning.

Denna policy ska läsas tillsammans med våra Användarvillkor och vår Återbetalningspolicy.

2. Vilka uppgifter samlar vi in?

Vi samlar in följande typer av personuppgifter:

Uppgifter du anger

Webbadress (URL) till din företagswebbplats eller den webbplats du vill basera jingeln på
Webbplatsinnehåll som extraheras från den URL du anger (text, rubriker, metadata)

Webbplatsinnehåll kan i enstaka fall innehålla uppgifter om tredje person, t.ex. namn på anställda som nämns på webbplatsen. Vi anonymiserar sådana uppgifter automatiskt i den affärsbeskrivande sammanfattning som ligger till grund för jingelgenereringen. De lagras inte i personidentifierbar form. Enligt GDPR Art. 14.5.b lämnar vi inte separat information till sådana tredjepersoner, då uppgifterna anonymiseras omedelbart och individuell information skulle innebära en oproportionellt stor ansträngning.
E-postadress (vid köp, för att skicka orderbekräftelse och nedladdningslänk)
Företagsuppgifter vid köp (organisationsnummer, företagsnamn, faktureringsadress) eller fullständigt namn vid privatköp
Telefonnummer (valfritt, vid köp)
E-postadress (vid sparande av jingel, för att skicka en länk till din genererade jingel)
Uppgifter du anger via vårt kontaktformulär (namn, e-postadress, meddelande)
Betalningsinformation (hanteras säkert av Stripe; vi lagrar aldrig fullständiga kortuppgifter)
Om du påbörjar men inte slutför ett köp kan vår betalningsleverantör Stripe samla in de uppgifter du angett i betalningsformuläret (t.ex. e-postadress, namn) för bedrägeriförebyggande ändamål. Se §5 (Stripe) för mer information

Automatiskt insamlade uppgifter

IP-adress (se §5 och §7 om IP-anonymisering vid webbanalys)
Webbläsartyp och version
Operativsystem
Besökstid och datum
Sidor du besöker på vår webbplats
Referral-källa (hur du hittade till vår webbplats)
Anonymiserad webbanalys via PostHog i cookielöst läge (inga personuppgifter, se §5)
Hostingloggar: Vår hostingleverantör Vercel behandlar din IP-adress, förfrågningsdata och teknisk metadata (t.ex. HTTP-headers) som en del av leveransen av webbplatsen
Meta Pixel-data (med samtycke): händelsetyperna PageView (sidvisningar), Purchase (köp) och Lead (sparad jingel), klickidentifierare (fbclid) och hashad e-postadress via Advanced Matching
Cookie-samtyckesdata: Vår samtyckeshanteringsplattform CookieYes registrerar dina samtyckespreferenser, en webbläsar-/sessionsidentifierare, din IP-adress och ungefärlig geolokalisering (baserad på IP) för att logga och hantera ditt cookie-samtycke (se §5 och §7)
Cookies och liknande teknologier (se §7)

Genererat innehåll

AI-genererade jinglar baserade på ditt webbplatsinnehåll
Metadata om genereringsprocessen (tidpunkt, parametrar)

Uppgifter vi INTE samlar in

Personnummer eller nationella identifikationsnummer
GPS-position eller exakt geografisk lokalisering
Innehåll från dina sociala medier-konton
Hälsouppgifter eller andra särskilda kategorier av personuppgifter enligt GDPR Artikel 9

3. Hur använder vi dina uppgifter?

Vi använder dina personuppgifter för följande ändamål:

Tjänsteleverans

Hämta och analysera innehåll från den webbadress du anger
Generera jinglar baserat på ditt webbplatsinnehåll via vår AI-leverantör
Bearbeta betalningar säkert via Stripe
Leverera nedladdningslänkar och orderbekräftelser via e-post
Tillhandahålla teknisk support och besvara dina frågor

Kommunikation

Skicka transaktionell e-post (orderbekräftelser, nedladdningslänkar, kvitton)
Svara på dina förfrågningar och supportärenden, inklusive via kontaktformuläret
Skicka viktig information om tjänsten (t.ex. ändringar i villkor eller tekniska problem)
Skicka sparade jingel-länkar till din e-postadress (när du väljer att spara en jingel)
Skicka marknadsföringsmeddelanden (endast med ditt uttryckliga samtycke). Du kan när som helst avsluta prenumerationen via avregistreringslänken i varje marknadsföringsutskick

Annonsering och marknadsföringsanalys

Mäta annonsresultat via Meta Pixel och Conversion API (med ditt samtycke via cookie-banner)
Optimera våra reklamkampanjer genom att analysera konverteringsdata
Retargeting: Visa riktade annonser på Meta-plattformar (Facebook, Instagram) för personer som tidigare besökt jingla.se (med ditt samtycke)
Skapa anpassade webbplatsmålgrupper (Website Custom Audiences) baserat på webbplatsbesökares interaktioner via Meta Pixel samt liknande målgrupper (lookalike audiences) för att nå potentiella kunder
Analysera kampanjprestanda för att förbättra vår marknadsföring
Vi har genomfört en dataskyddskonsekvensbedömning (DPIA) enligt GDPR Art. 35 för vår användning av Meta Pixel och Conversion API, då denna behandling innebär profilering för annonsändamål

Profilering för annonsändamål

Med ditt samtycke använder vi Meta Pixel för att skapa en profil av dina interaktioner med vår webbplats (besökta sidor, genomförda köp). Meta använder denna profil för att:

Visa dig riktade annonser för Jingla på Facebook och Instagram (retargeting)
Skapa liknande målgrupper (lookalike audiences) baserat på gemensamma egenskaper

Konsekvensen är att du kan se annonser för Jingla på Meta-plattformar. Profileringen har inga rättsliga effekter och påverkar inte din möjlighet att använda tjänsten. Du kan återkalla ditt samtycke via cookie-bannern (se §7) eller hantera dina annonspreferenser hos Meta: https://www.facebook.com/adpreferences

Förbättring av tjänsten

Förstå vilka typer av webbplatser och branscher som genererar bäst jingelresultat, för att förbättra AI-analysen
Identifiera och åtgärda steg i genereringsflödet (URL-analys → sammanfattning → jingelgenerering) där kvaliteten kan höjas
Felsöka tekniska problem i leveranskedjan (N8N-workflow, Supabase-lagring, Stripe-betalning)
Förbättra användarupplevelsen på jingla.se baserat på aggregerade användningsmönster

Rättslig efterlevnad och säkerhet

Uppfylla lagkrav (t.ex. bokföringslagen)
Förhindra bedrägeri, missbruk och säkerhetsöverträdelser
Skydda våra rättigheter och egendom
Genomdriva våra användarvillkor

4. Rättslig grund för behandling

Vi behandlar dina personuppgifter baserat på följande rättsliga grunder enligt GDPR:

Fullgörande av avtal (Artikel 6.1.b)

När du begär generering av en jingel, sparar en jingel via e-post eller köper en jingel behöver vi behandla dina uppgifter för att fullgöra vårt avtal med dig. Genom att aktivt initiera generering eller begära att en jingel-länk skickas till din e-post ingår du ett avtal om tillhandahållande av tjänsten.

Berättigat intresse (Artikel 6.1.f)

Vi stödjer oss på berättigat intresse för följande ändamål:

Bedrägeribekämpning och säkerhet (IP-adress, loggar; lagringstid 90 dagar)
Tjänsteförbättring och analys (aggregerad användningsdata)
Marknadsföring av vår egen tjänst till befintliga kunder (e-postadress)
Hantering av förfrågningar via kontaktformulär (uppgifter du själv anger)
Hosting och drift av webbplatsen (IP-adress, förfrågningsdata; lagringstid 90 dagar)

Vi har genomfört en intresseavvägning för samtliga behandlingar ovan. Du har alltid rätt att invända mot behandling som grundar sig på berättigat intresse (se §9). De fullständiga intresseavvägningarna finns tillgängliga på begäran via kontakt@jingla.se.

Samtycke (Artikel 6.1.a)

För Meta Pixel och Conversion API (annonsspårning), analyticscookies, marknadsföringscookies samt marknadsföringskommunikation till icke-kunder.

Rättslig förpliktelse (Artikel 6.1.c)

För bokföring och skatteändamål enligt svensk lag. För att dokumentera och lagra cookie-samtycken enligt lagen om elektronisk kommunikation (2022:482) 9 kap. 28 § och GDPR Artikel 7.1, som kräver att vi kan påvisa att giltigt samtycke har lämnats.

Obligatoriskt eller frivilligt uppgiftslämnande

Enligt GDPR Artikel 13.2.e informerar vi om följande:

E-postadress och betalningsuppgifter vid köp: Nödvändigt för att ingå och fullgöra köpavtalet. Utan dessa uppgifter kan vi inte leverera din jingel eller skicka orderbekräftelse.
Webbadress (URL): Nödvändigt för att tjänsten ska kunna generera en jingel. Utan en webbadress kan ingen jingel skapas.
E-postadress vid "spara för senare": Nödvändigt för att vi ska kunna skicka dig en länk till din genererade jingel. Utan e-postadressen kan vi inte tillhandahålla denna funktion.
Uppgifter via kontaktformuläret: Frivilligt. Du väljer själv att kontakta oss och vilka uppgifter du anger. Utan e-postadress kan vi dock inte besvara din förfrågan.
Analytiska och marknadsföringscookies: Helt frivilligt. Ditt val påverkar inte din möjlighet att använda tjänsten eller köpa jinglar.

Översikt över behandlingsaktiviteter

Tabellen nedan ger en samlad översikt. Detaljer om respektive behandling finns i övriga paragrafer.

Behandlingsaktivitet	Datakategorier	Rättslig grund	Mottagare
Jingelgenerering — webbanalys	URL, webbplatsinnehåll	Art. 6.1.b (avtal)	N8N (självhostad, se §6), Supabase (USA, se §11)
Jingelgenerering — ljudfil	AI-genererad jingel	Art. 6.1.b (avtal)	Supabase (USA, se §11)
Köp och leverans	E-post, företagsuppgifter, betaldata	Art. 6.1.b (avtal)	Stripe (USA/Irland, se §11), Supabase (USA, se §11), Resend (USA, se §11)
Spara jingel för senare	E-postadress	Art. 6.1.b (avtal)	Resend (USA, se §11), Supabase (USA, se §11)
Kontaktformulär	Namn, e-post, meddelande	Art. 6.1.f (berättigat intresse) / Art. 6.1.b (vid förfrågan om tjänsten)	Resend (USA, se §11)
Konverteringsspårning	Köphändelser, köpbelopp (1 495 SEK), valuta, hashad e-post, IP, event_id	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Retargeting/remarketing	Sidvisningar, interaktioner, _fbp, IP, User Agent	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Website Custom Audiences	Webbplatsbesökares interaktioner, _fbp, hashad e-post	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Lookalike Audiences	Aggregerade målgruppsegenskaper (härleds av Meta)	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Annonsoptimering	Konverteringsdata, klickhändelser, fbclid	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Annonsmätning och rapportering	Aggregerad kampanjdata, konverteringshändelser	Art. 6.1.a (samtycke)	Meta Platforms (Irland/USA, se §11)
Bedrägeribekämpning	IP-adress, loggar	Art. 6.1.f (berättigat intresse)	Intern
Hosting och drift	IP-adress, förfrågningsdata	Art. 6.1.f (berättigat intresse)	Vercel (USA, se §11)
Bokföring	Transaktionsdata, fakturor	Art. 6.1.c (rättslig förpliktelse)	Stripe (USA/Irland, se §11)
Cookie-samtyckeshantering	Samtyckespreferenser, webbläsar-/sessionsidentifierare, IP-adress, geolokalisering (baserad på IP)	Art. 6.1.c (rättslig förpliktelse)	CookieYes (Storbritannien, se §6 och §11)

Lagringsperioder per behandlingsaktivitet finns i §8.

PostHog (webbanalys) behandlar inga personuppgifter i vår konfiguration (se §5).

5. Delning av uppgifter med tredje parter

Vi delar dina personuppgifter med de tredje parter som är nödvändiga för att leverera vår tjänst. Vi beskriver även de tjänsteleverantörer som är involverade i jingelgenereringen men som inte tar emot personuppgifter. Se §6 för en formell kategorisering och §11 för internationella överföringsmekanismer.

AI-tjänsteleverantörer (behandlar inga personuppgifter)

Fal.ai (https://fal.ai)

Funktion: API-plattform baserad i USA som tillhandahåller åtkomst till AI-modeller för musikgenerering.
Data: Affärsbeskrivande sammanfattning av din webbplats (företagsnamn, bransch, tonalitet, säljpunkter). Inga personuppgifter.
GDPR-roll: Inte personuppgiftsbiträde (se §6).
Fal.ai har en behandlingslicens som ger dem rätt att bearbeta, anpassa och skapa derivat av den affärsbeskrivande sammanfattningen i syfte att leverera tjänsten.
Fal.ai äger anonymiserad och aggregerad användningsdata härledd från plattformens nyttjande och kan använda den för analys, tjänsteförbättring, utveckling av egna produkter, tjänster och AI-modeller, samt dela den med tredje part för andra lagliga ändamål. Eftersom det rör sig om anonymiserad och aggregerad data (inte personuppgifter) omfattas denna behandling inte av GDPR.
Mer information: https://fal.ai/terms

Sonauto (https://sonauto.ai)

Funktion: AI-musikgenereringstjänst baserad i USA som skapar jinglar, tillgänglig via Fal.ai.
Data: Affärsbeskrivande sammanfattning via Fal.ai (inga personuppgifter). Din webbadress (URL) skickas inte vidare.
GDPR-roll: Inte personuppgiftsbiträde (se §6).
Sonauto har en icke-exklusiv licens att använda genererat innehåll (dina jinglar) för att tillhandahålla, underhålla, utveckla och förbättra sina tjänster, samt för att efterleva tillämplig lag. Det innebär att din genererade jingel kan finnas kvar hos Sonauto för deras interna tjänsteändamål, även om du begär radering av dina uppgifter hos oss. Sonautos licens gäller det genererade ljudinnehållet — inte dina personuppgifter.
Mer information: https://sonauto.ai/tos

Annonsering och spårning (Meta/Facebook)

Meta Platforms Ireland Limited (https://www.facebook.com)

Funktion: Annonsplattform. Meta Pixel (klientsidan) registrerar sidvisningar, konverteringshändelser och interaktioner i din webbläsare. Conversion API (serversidan) skickar konverteringsdata direkt från vår server till Metas server, oberoende av din webbläsare. Vi använder händelsededuplicering (event_id) för att undvika dubbelräkning när samma händelse registreras av båda systemen.
Terminologi (enligt Metas villkor för affärsverktyg): Contact Information avser hashade identifierare (t.ex. e-postadress) som används enbart för matchning mot Meta-konton. Event Data avser beteendedata om handlingar på jingla.se (sidvisningar, köp, leads). Business Tool Data är samlingsbegrepp för Contact Information och Event Data.
Data som överförs till Meta per händelsetyp:
- Alla händelser: IP-adress, User Agent (webbläsartyp, version, operativsystem), sidans URL, referrer-URL, skärmupplösning, tidsstämpel, enhetsinformation, _fbp-cookievärde (webbläsaridentifierare) och _fbc-cookievärde (om du kom via en Meta-annons)
- PageView: Ovanstående data, registreras vid varje sidvisning
- Purchase (köp): Ovanstående + köpbelopp (1 495 SEK), valuta (SEK), event_id (för händelsededuplicering) samt hashad e-postadress (SHA-256) via Metas funktion Advanced Matching för att koppla konverteringen till rätt annons
- Lead (sparad jingel): Ovanstående + hashad e-postadress (SHA-256) via Advanced Matching
- Conversion API (serversidan): Vid Purchase- och Lead-händelser skickas motsvarande data direkt från vår server till Metas server, med samma event_id för deduplicering. Conversion API skickar även fbclid (klickidentifierare) och hashad e-postadress
GDPR-roll: Meta Ireland har en tredelad GDPR-roll:
- Personuppgiftsbiträde för matchning av kontaktinformation (t.ex. hashad e-post mot Meta-konton) och mätnings-/analystjänster (kampanjrapporter och Analytics), enligt Meta Business Tools Terms §2.a.i–ii och Metas Data Processing Terms.
- Gemensamt personuppgiftsansvar (GDPR art. 26) för insamling och överföring av Event Data för annonsriktning och leverans (Meta Business Tools Terms §2.a.iii–v).
- Oberoende personuppgiftsansvarig för Metas egen efterföljande behandling enligt Metas datapolicy.
Enligt GDPR art. 26.2 informerar vi om huvuddragen i arrangemanget:
- Artivaro AB ansvarar för insamling av samtycke via cookie-banner innan Meta Pixel aktiveras och för att tillhandahålla denna integritetspolicy (Art. 13-information).
- Meta Platforms Ireland Limited ansvarar för att möjliggöra utövande av registrerades rättigheter enligt artiklarna 15–20 GDPR avseende personuppgifter som lagras i Metas system efter den gemensamma behandlingen, via Metas verktyg och datapolicy.
- Du kan utöva dina rättigheter gentemot båda personuppgiftsansvariga. Kontakta oss (se §14) för frågor om insamling och samtycke, och Meta (se Metas datapolicy) för frågor om Metas efterföljande behandling.
- Vi och Meta Platforms Ireland Limited har ingått ett tillägg om gemensamt personuppgiftsansvar (Controller Addendum) i enlighet med GDPR art. 26. Arrangemanget regleras av Metas villkor för affärsverktyg (Meta Business Tools Terms) med tillhörande Controller Addendum.
Vi överför inte hälsoinformation, finansiell information, uppgifter om barn under 13 år eller andra kategorier av känsliga uppgifter till Meta.
Meta Pixel-skriptet laddas inte i din webbläsare förrän du aktivt samtycker till marknadsföringscookies via vår cookie-banner (CookieYes). Innan samtycke ges görs inga nätverksanrop till Meta och inga Meta-cookies (_fbp, _fbc) sätts. Conversion API aktiveras inte heller förrän samtycke föreligger. Om du återkallar ditt samtycke tas Meta Pixel-skriptet bort, befintliga Meta-cookies (_fbp, _fbc) rensas och inga ytterligare uppgifter överförs till Meta.
Meta kan komma att dela uppgifter som samlas in via Meta Pixel och Conversion API med sina partners och leverantörer enligt Metas datapolicy, exempelvis för annonsattribuering, mätning och rapportering.
Vår användning av Meta Business Tools (Meta Pixel och Conversion API) regleras av Metas villkor för affärsverktyg: https://www.facebook.com/legal/terms/businesstools
Du kan hantera dina annonspreferenser hos Meta: https://www.facebook.com/adpreferences
Du kan granska och rensa den data Meta har tagit emot från Jingla via verktyget "Aktivitet utanför Meta": https://www.facebook.com/off_facebook_activity/
Meta kan också lämna ut Event Data om dig till dig på din begäran, i enlighet med Metas villkor för affärsverktyg.
Du kan också välja bort intressebaserad annonsering via branschens opt-out-verktyg: http://www.aboutads.info/choices (Digital Advertising Alliance) och http://www.youronlinechoices.eu/ (European Interactive Digital Advertising Alliance).
Information om Meta Ireland som personuppgiftsansvarig, bland annat identitet och kontaktuppgifter (GDPR Art. 13.1.a), ändamål och rättslig grund för Metas behandling (Art. 13.1.b) samt information om hur du utövar dina rättigheter gentemot Meta, finns i Metas integritetspolicy: https://www.facebook.com/privacy/policy/

Betalningsleverantör

Stripe (https://stripe.com)

Funktion: Säker betalningshantering baserad i USA/Irland.
Data: E-postadress, namn, faktureringsadress, betalningsinformation (kortuppgifter hanteras av Stripe; vi lagrar aldrig fullständiga kortuppgifter), köpbelopp, transaktionsstatus och eventuell återbetalnings- och tvistinformation.
GDPR-roll: Personuppgiftsbiträde för betalningshantering på vårt uppdrag (se §6). Stripe agerar därutöver som oberoende personuppgiftsansvarig för egna ändamål, bland annat bedrägeribekämpning, regelefterlevnad (t.ex. anti-penningtvätt) och förbättring av Stripes egna tjänster. För Stripes egna behandlingsändamål hänvisar vi till Stripes integritetspolicy.
Stripe följer PCI DSS Level 1 och är GDPR-kompatibel. Stripe delar transaktionsdata med finansiella partner i betalningskedjan (banker, kortutgivare, betalnätverk) som agerar som egna personuppgiftsansvariga. Stripe kan även använda underbiträden för bedrägeridetektering och betalningshantering enligt sitt dataskyddsavtal.
Om du påbörjar men inte slutför ett köp kan Stripe samla in de uppgifter du angett i betalningsformuläret för bedrägeriförebyggande ändamål.
För frågor om Stripes egen behandling kan du kontakta Stripes dataskyddsombud på dpo@stripe.com
Mer information: https://stripe.com/privacy

E-posttjänst

Resend (https://resend.com)

Funktion: E-posttjänst baserad i USA för transaktionell e-post (orderbekräftelser, nedladdningslänkar, sparade jingel-länkar, svar på kontaktformulär).
Data: E-postadress, namn (om angivet), e-postinnehåll, e-postmetadata (leveransstatus, tidsstämplar).
GDPR-roll: Personuppgiftsbiträde för e-postleverans på vårt uppdrag (se §6). Resend behandlar därutöver kontouppgifter och tjänsteanvändningsdata (loggar, aktivitetsdata, prestandaoptimering) som oberoende personuppgiftsansvarig för egna ändamål (kontohantering, bedrägeribekämpning, regelefterlevnad och tjänsteoptimering). Resends oberoende personuppgiftsansvar skiljer sig från Metas gemensamma personuppgiftsansvar – Resend bestämmer ensidigt ändamål och medel för sin egen behandling. Jingla har ingen insyn i eller kontroll över Resends egen behandling.
Vi har inaktiverat öppnings- och länkspårning i Resend. Vi spårar inte om du öppnar eller klickar i våra e-postmeddelanden.
Resend kan använda underbiträden för e-postleverans; aktuell lista finns på https://resend.com/legal/subprocessors
Mer information: https://resend.com/legal/privacy-policy. Se även §6 och §11 för avtalsstatus och skyddsmekanismer.

Databas och fillagring

Supabase (https://supabase.com)

Funktion: Databasplattform baserad i USA för lagring av tjänstedata.
Data: Beställningar, genererade jinglar (ljudfiler), kontaktuppgifter, sessionsdata.
GDPR-roll: Personuppgiftsbiträde för datalagring och filhantering på vårt uppdrag (se §6). Supabase behandlar därutöver användningsdata (Usage Data) som oberoende personuppgiftsansvarig för egna ändamål (aggregering och anonymisering för intern R&D, monitorering och förbättring av tjänsterna, fakturering, säkerhet och bedrägeridetektering samt administration av kundrelationen). Supabases oberoende personuppgiftsansvar skiljer sig från Metas gemensamma personuppgiftsansvar – Supabase bestämmer ensidigt ändamål och medel för sin egen behandling. Jingla har ingen insyn i eller kontroll över Supabase egen behandling.
Supabase äger aggregerad och anonymiserad data (Aggregated Data) härledd från tjänsteanvändningen och kan dela denna med tredje parter. Aggregerad data utgör inte personuppgifter.
All data krypteras i vila (AES-256, med krypteringsnycklar skyddade av FIPS 140-2-certifierade HSM:er) och under transport (TLS).
Supabase kan använda underbiträden för datalagring och drift; aktuell lista finns i Supabase DPA Schedule 3.
Mer information: https://supabase.com/privacy. Se även §6 och §11 för avtalsstatus och skyddsmekanismer.

Hosting och infrastruktur

Vercel (https://vercel.com)

Funktion: Hosting och drift av webbplatsen, baserad i USA.
Data: IP-adress, förfrågningsdata, teknisk metadata (HTTP-headers).
GDPR-roll: Personuppgiftsbiträde för hosting och drift av webbplatsen på vårt uppdrag (se §6). Vercel agerar därutöver som oberoende personuppgiftsansvarig för tjänstegenererad data (Service-Generated Data), bland annat loggar, diagnostik, telemetri och anonymiserad användningsstatistik, som Vercel använder för drift, förbättring och support av sin plattform samt för analytik och rapportering. Vercels oberoende personuppgiftsansvar skiljer sig från Metas gemensamma personuppgiftsansvar – Vercel bestämmer ensidigt ändamål och medel för sin egen behandling. Jingla har ingen insyn i eller kontroll över Vercels egen behandling.
Mer information: https://vercel.com/legal/privacy-policy. Se även §6 och §11 för avtalsstatus och skyddsmekanismer.

Intern infrastruktur (N8N-hosting)

Oracle Cloud (https://www.oracle.com/cloud/)

Funktion: Hosting av vår självhostade N8N-instans (n8n.jingla.se) i ett svenskt datacenter. N8N orkestrerar jingelgenereringen (URL-analys, sammanfattning, kommunikation med AI-leverantörer).
Data: URL, webbplatsinnehåll, jingel-ID.
GDPR-roll: Personuppgiftsbiträde för hosting av N8N på vårt uppdrag (se §6). Oracle agerar därutöver som oberoende personuppgiftsansvarig för: (1) Systems Operations Data (accessloggar, diagnostik, driftsstatistik) som Oracle använder för säkerhet, bedrägeribekämpning, licensefterlevnad, tjänsteförbättring och rättslig efterlevnad (Services Privacy Policy Section II); och (2) Jinglas kontouppgifter (kontaktuppgifter, faktureringsinformation) för kontoadministration i enlighet med Oracles allmänna integritetspolicy (GDPR Advisory, Customer Data). Oracles oberoende personuppgiftsansvar skiljer sig från Metas gemensamma personuppgiftsansvar – Oracle bestämmer ensidigt ändamål och medel för sin egen behandling. Jingla har ingen insyn i eller kontroll över Oracles egen behandling.
Systems Operations Data kan delas inom Oracles globala koncern och med tredjepartsleverantörer (bland annat IT-tjänsteleverantörer, jurister och revisorer) för Oracles affärsändamål. Oracle delar inte Systems Operations Data med tredje parter för kommersiella ändamål.
Behandlingen omfattar bland annat hosting, lagring, säkerhetskopiering och katastrofåterställning, ändringshantering, incidenthantering, patchning och uppdateringar samt övervakning och prestandatestning (DPA §2.3).
All kunddata lagras i Oracles svenska datacenter. Oracle kan dock fjärråtkomst till data globalt vid behov för support, incidenthantering eller dataåterställning (DPA §6.2). Sådan fjärråtkomst utgör en potentiell tredjelandsöverföring (se §11).
Oracle kan använda underbiträden (Oracle-koncernbolag och tredjeparter) för att bistå vid leveransen; aktuell lista finns via My Oracle Support, Document ID 2121811.1.
Mer information: https://www.oracle.com/legal/privacy/services-privacy-policy.html. Se även §6 och §11 för avtalsstatus och skyddsmekanismer.

Analytiska tjänster

PostHog (https://posthog.com)

Funktion: Webbanalystjänst för att förstå webbplatstrafik och användarbeteende.
Data: Anonymiserad besöksstatistik. Inga personuppgifter samlas in.
GDPR-roll: Inte personuppgiftsbiträde i praktiken, eftersom vår konfiguration inte innebär behandling av personuppgifter (se nedan). DPA tecknat som säkerhetsåtgärd.
Vi använder PostHog Cloud EU (eu.posthog.com), vilket innebär att all data lagras och behandlas inom EU (AWS eu-central-1, Frankfurt, Tyskland). Ingen data överförs till tredjeland.
PostHog körs i cookielöst läge (cookieless_mode). Inga cookies eller lokal lagring sätts på din enhet. Samtycke via cookie-banner krävs därför inte för denna tjänst.
IP-adresser lagras inte – IP-datafångst är inaktiverad som standard på PostHog Cloud EU.
Användare identifieras via en integritetsbevarande serversidesberäknad hash som inte kan kopplas till enskilda individer och som inte utgör en personuppgift.
Eftersom inga personuppgifter samlas in i vår konfiguration är GDPR inte tillämplig på denna behandling. Samtycke krävs inte.
PostHog har rätt att samla in aggregerade och anonymiserade mått på plattformens prestanda och Jinglas användning av PostHog-tjänsten. Sådan data identifierar inte Jingla utan vårt skriftliga samtycke och rör inte webbplatsbesökares beteende.
Mer information: https://posthog.com/privacy

Cookie-samtyckeshantering (CMP)

CookieYes (https://www.cookieyes.com)

Funktion: Consent Management Platform (CMP) som hanterar cookie-samtyckesbannern på jingla.se. CookieYes blockerar marknadsföringscookies (Meta Pixel) tills besökaren aktivt samtycker till marknadsföringscookies. Om besökaren avvisar eller ignorerar bannern aktiveras inte Meta Pixel.
Data: Samtyckespreferenser (val, tidsstämpel, samtyckeversion), webbläsar-/sessionsidentifierare, IP-adress och geolokalisering baserad på IP.
GDPR-roll: Personuppgiftsbiträde för webbplatsbesökares samtyckedata på vårt uppdrag (se §6). CookieYes behandlar därutöver Jinglas kontouppgifter (e-post, företagsnamn, faktureringsinformation) som oberoende personuppgiftsansvarig för kontoadministration och fakturering. Denna behandling avser Jinglas administratörskonto, inte webbplatsbesökares uppgifter.
CookieYes drivs av Mozilor Technologies Pvt. Ltd. (Indien) och är registrerat som CookieYes Limited i Milton Keynes, Storbritannien. EU:s tillsynsmyndighet är den irländska dataskyddsmyndigheten (Data Protection Commission, DPC) via CookieYes EU-representant IT Governance Europe (Drogheda, Irland).
CookieYes har rätt att använda anonymiserad och aggregerad statistisk data härledd från tjänstens nyttjande för egna ändamål. Eftersom sådan data inte utgör personuppgifter omfattas denna behandling inte av GDPR.
Besökare kan när som helst ändra sina samtyckespreferenser via samtyckeswidgeten på webbplatsen.
För frågor om CookieYes egen behandling kan du kontakta deras dataskyddsombud på dpo@cookieyes.com
Mer information: https://www.cookieyes.com/privacy-policy/

Vi säljer ALDRIG dina personuppgifter till tredje part för marknadsföringsändamål.

Vi delar endast uppgifter när det är nödvändigt för att leverera tjänsten, när vi är juridiskt skyldiga, eller med ditt uttryckliga samtycke.

Alla personuppgiftsbiträden (se §6) är kontraktsbundna via dataskyddsavtal att skydda dina uppgifter och får endast använda dem för de specifika ändamål vi anger. Meta Platforms är bunden av Metas Data Processing Terms för sin biträdesbehandling (matchning och mätning/analys) och av Controller Addendum för det gemensamma personuppgiftsansvaret (GDPR art. 26).

6. Personuppgiftsbiträden och tredjepartsleverantörer

Nedan följer en kategoriserad sammanställning av de leverantörer som behandlar personuppgifter för vår räkning eller som på annat sätt är involverade i tjänsten. Se §5 för detaljerade beskrivningar av respektive leverantörs behandling.

Personuppgiftsbiträden (behandlar personuppgifter för vår räkning)

Leverantör	Land	Funktion	Behandlar
Stripe (Stripe Payments Europe, Ltd. / Stripe, Inc.)	USA/Irland	Betalningshantering	E-post, namn, faktureringsadress, betalningsinformation, transaktionsdata
Vercel (Vercel Inc.)	USA	Hosting och infrastruktur	IP-adress, förfrågningsdata, teknisk metadata
Supabase (Supabase, Inc.)	USA / Singapore (underbiträde)	Databas och fillagring	Beställningar, jinglar (ljudfiler), kontaktuppgifter, sessionsdata
Resend (Plus Five Five, Inc.)	USA	E-posttjänst	E-postadress, namn, e-postinnehåll, e-postmetadata (leveransstatus, tidsstämplar)
CookieYes (CookieYes Limited / Mozilor Technologies Pvt. Ltd.)	Storbritannien	Cookie-samtyckeshantering (CMP)	Samtyckespreferenser, webbläsar-/sessionsidentifierare, IP-adress, geolokalisering
Oracle Cloud (Oracle Corporation)	Sverige (datacenter), global fjärråtkomst vid behov	Hosting av N8N (workflow-automation)	URL, webbplatsinnehåll, jingel-ID
Meta Platforms Ireland Limited	Irland/USA	Matchning och mätning/analys (Meta Business Tools)	Hashad kontaktinformation (matchning), Event Data (mätning och analys)

Stripe agerar som personuppgiftsbiträde för den betalningshantering vi beskriver ovan. Utöver detta behandlar Stripe personuppgifter som oberoende personuppgiftsansvarig för egna ändamål (bedrägeribekämpning, regelefterlevnad och tjänsteförbättring). Se Stripes integritetspolicy: https://stripe.com/privacy

Vercel agerar som personuppgiftsbiträde för den hosting vi beskriver ovan. Utöver detta behandlar Vercel tjänstegenererad data (loggar, diagnostik, telemetri, anonymiserad användningsstatistik) som oberoende personuppgiftsansvarig för egna ändamål (drift, förbättring, analytik och rapportering). Se Vercels integritetspolicy: https://vercel.com/legal/privacy-policy

CookieYes agerar som personuppgiftsbiträde för den samtyckeshantering vi beskriver ovan. Utöver detta behandlar CookieYes Jinglas kontouppgifter (e-post, företagsnamn, faktureringsinformation) som oberoende personuppgiftsansvarig för kontoadministration och fakturering. Se CookieYes integritetspolicy: https://www.cookieyes.com/privacy-policy/

Resend agerar som personuppgiftsbiträde för den e-postleverans vi beskriver ovan. Utöver detta behandlar Resend kontouppgifter och tjänsteanvändningsdata (loggar, aktivitetsdata, prestandaoptimering) som oberoende personuppgiftsansvarig för egna ändamål (kontohantering, bedrägeribekämpning, regelefterlevnad och tjänsteoptimering). Se Resends integritetspolicy: https://resend.com/legal/privacy-policy

Supabase agerar som personuppgiftsbiträde för den datalagring vi beskriver ovan. Utöver detta behandlar Supabase användningsdata (Usage Data) som oberoende personuppgiftsansvarig för egna ändamål (aggregering och anonymisering för intern R&D, monitorering och förbättring av tjänsterna, fakturering, säkerhet och bedrägeridetektering samt administration av kundrelationen). Se Supabase integritetspolicy: https://supabase.com/privacy

Oracle agerar som personuppgiftsbiträde för den N8N-hosting vi beskriver ovan. Utöver detta behandlar Oracle som oberoende personuppgiftsansvarig: (1) Systems Operations Data (accessloggar, diagnostik, driftsstatistik) för säkerhet, bedrägeribekämpning, licensefterlevnad, tjänsteförbättring och rättslig efterlevnad; och (2) Jinglas kontouppgifter (kontaktuppgifter, faktureringsinformation) för kontoadministration. Se Oracles integritetspolicy: https://www.oracle.com/legal/privacy/services-privacy-policy.html

Meta agerar som personuppgiftsbiträde för matchning av kontaktinformation och mätnings-/analystjänster (kampanjrapporter och Analytics) enligt Meta Business Tools Terms §2.a.i–ii och Metas Data Processing Terms. Utöver detta föreligger gemensamt personuppgiftsansvar för insamling och överföring av Event Data för annonsriktning och leverans (§2.a.iii–v). Meta är oberoende personuppgiftsansvarig för efterföljande behandling. Se Metas integritetspolicy: https://www.facebook.com/privacy/policy/

Gemensamt personuppgiftsansvar (GDPR art. 26)

Leverantör	Land	Funktion	Behandlar
Meta Platforms Ireland Limited	Irland/USA	Annonsplattform	Konverteringshändelser, hashad e-post, IP-adress, klickidentifierare

Vid insamling och överföring av data via Meta Pixel föreligger gemensamt personuppgiftsansvar mellan oss och Meta. För Metas egen efterföljande behandling agerar Meta som oberoende personuppgiftsansvarig.

Tjänsteleverantörer som inte behandlar personuppgifter

Leverantör	Land	Funktion	Tar emot
Fal.ai	USA	API-plattform för AI-modeller	Affärsbeskrivande sammanfattning (ej personuppgifter)
Sonauto	USA	AI-musikgenerering	Affärsbeskrivande sammanfattning via Fal.ai (ej personuppgifter)

Fal.ai äger anonymiserad och aggregerad användningsdata härledd från plattformens nyttjande (ej personuppgifter) och kan använda denna för egna ändamål, bland annat tjänsteutveckling och AI-modellträning, samt dela den med tredje part. Sonauto har en icke-exklusiv licens att använda genererat innehåll för att tillhandahålla, underhålla, utveckla och förbättra sina tjänster.

Eftersom Fal.ai och Sonauto inte tar emot personuppgifter utgör de inte personuppgiftsbiträden i GDPR:s mening och omfattas inte av kraven i GDPR Artikel 28.

Regelverket kring AI-genererat innehåll utvecklas. EU:s AI-förordning ((EU) 2024/1689) ställer transparenskrav på AI-genererat material (Art. 50) som kan komma att påverka hur vi informerar om jingelgenereringen. Rättsläget för upphovsrättsskydd av AI-genererat innehåll är oklart i svensk rätt. Vi bevakar utvecklingen. Om rättsläget förändras på ett sätt som väsentligt påverkar dina rättigheter eller hur vi behandlar dina uppgifter, uppdaterar vi denna policy och informerar dig enligt §13.

Våra personuppgiftsbiträden kan använda underbiträden i enlighet med sina respektive dataskyddsavtal. Vi säkerställer genom våra DPA:er att underbiträden omfattas av motsvarande dataskyddsförpliktelser.

Aktuella listor över underbiträden kan begäras via kontakt@jingla.se eller hittas på respektive leverantörs webbplats.

AI-teknologi och tredjepartsleverantörer kan komma att användas för att komplettera ovanstående tjänster. Vi informerar om sådana tillägg genom uppdatering av denna integritetspolicy innan behandlingen av personuppgifter påbörjas hos den nya leverantören, enligt GDPR:s transparenskrav (Art. 13).

Du har rätt att begära en aktuell lista över våra personuppgiftsbiträden genom att kontakta oss på kontakt@jingla.se.

7. Cookies och liknande teknologier

Vi använder cookies och liknande teknologier enligt EU:s dataskyddsförordning (GDPR) och lagen om elektronisk kommunikation (2022:482) 9 kap. 28 §.

Vi använder CookieYes som Consent Management Platform (CMP) för att inhämta och hantera dina cookie-samtycken. CookieYes visar en samtyckesbanner på svenska vid ditt första besök, där du aktivt kan godkänna eller avvisa marknadsföringscookies. Bannern är utformad med likvärdiga visuella val för godkännande och avvisande i enlighet med IMY:s vägledning. Meta Pixel-skriptet laddas inte i din webbläsare förrän du aktivt samtycker till marknadsföringscookies. Innan samtycke ges görs inga nätverksanrop till Meta och inga Meta-cookies sätts på din enhet.

Översikt över cookies

Cookie	Kategori	Syfte	Lagringstid	Part
jingla_session_id	Nödvändig	Kopplar genererade jinglar till ditt besök och möjliggör åtkomst till dem under den period de lagras. Utan denna cookie kan du inte återhämta en genererad jingel vid återbesök. HTTP-only.	7 dagar	Förstapart
Cookie-samtycke (CookieYes)	Nödvändig	Sparar dina samtyckespreferenser. Samtycket loggas även hos CookieYes för revisionsbevis (se §5).	12 månader	Förstapart
Säkerhetscookies	Nödvändig	Förhindrar bedrägeri och skyddar mot missbruk.	Session	Förstapart
_fbp	Marknadsföring	Sätts av Meta Pixels JavaScript-kod. Identifierar din webbläsare för annonsmätning och attribuering.	90 dagar	Förstapart (satt av Meta-skript)
_fbc	Marknadsföring	Sätts när du klickar på en Meta-annons. Lagrar klickidentifieraren (fbclid) för att koppla ditt besök till rätt annons.	90 dagar	Förstapart (satt av Meta-skript)
fr	Marknadsföring	Sätts av Metas domän (facebook.com) vid Pixel-anrop. Används för annonsvisning, mätning och attribuering. Tredjepartscookie som blockeras av allt fler webbläsare.	90 dagar	Tredjepart (Meta)
Stripe-cookies (__stripe_mid, __stripe_sid m.fl.)	Nödvändig	Bedrägeridetektering och säker betalningshantering via Stripe Checkout. Stripe samlar in enhets- och beteendedata för att förhindra bedrägerier.	Session / upp till 1 år	Tredjepart (Stripe)

När du genomför ett köp via Stripe Checkout kan Stripe sätta egna cookies och använda liknande teknologier (t.ex. enhetsfingeravtryck) för bedrägeridetektering och sessionshantering. Dessa cookies klassificeras som nödvändiga eftersom de krävs för säker betalning. Se Stripes Cookie Policy för fullständig information: https://stripe.com/cookie-settings

Liknande teknologier (localStorage)

Utöver cookies använder CookieYes localStorage i din webbläsare för att lagra dina samtyckespreferenser (vilka cookiekategorier du godkänt samt samtyckeversion). Denna lagring sker lokalt på din enhet och kvarstår tills du rensar din webbläsardata eller ändrar dina preferenser via samtyckeswidgeten. Lagringen sker med stöd av undantaget i lagen om elektronisk kommunikation (2022:482) 9 kap. 28 § eftersom den är nödvändig för att respektera dina samtyckesinställningar.

Samtyckedata skickas även till CookieYes servrar för loggning och revisionsbevis (se §5).

Samtyckeskrav per kategori

Nödvändiga cookies kräver inget samtycke. De lagras med stöd av undantaget i lagen om elektronisk kommunikation (2022:482) 9 kap. 28 § eftersom de är nödvändiga för att tillhandahålla en tjänst som du uttryckligen har begärt. Den personuppgiftsbehandling som sker via nödvändiga cookies grundar sig på fullgörande av avtal (GDPR Art. 6.1.b).

Marknadsföringscookies (Meta Pixel) sätts ENDAST om du samtycker till marknadsföringscookies via vår cookie-banner. Meta Pixel-skriptet laddas inte och inga Meta-cookies (_fbp, _fbc, fr) sätts förrän samtycke föreligger. Conversion API (serversidespårning som delar konverteringsdata med Meta) kräver samma samtycke som Meta Pixel-cookies.

PostHog sätter inga cookies (se §5).

Du kan när som helst blockera eller radera cookies i din webbläsare. Observera att vissa funktioner kan sluta fungera om du blockerar nödvändiga cookies.

Vi använder både förstaparts- och tredjepartscookies.

Du kan ändra dina cookie-preferenser via CookieYes samtyckeswidget som visas vid första besöket, eller via länken i sidfoten. CookieYes cookie-banner med information om tredjepartsspårning och opt-out-möjligheter visas på samtliga sidor där Meta Pixel kan aktiveras.

Samtyckeloggning

I enlighet med GDPR Artikel 7.1 dokumenterar vi dina cookie-samtycken via CookieYes. Vid varje samtycke loggas tidsstämpel, samtyckeversion, besöksidentifierare, IP-adress, ungefärlig geolokalisering och vilka kategorier du godkände respektive avböjde. CookieYes tillhandahåller en revisionslogg som gör det möjligt för oss att påvisa att giltigt samtycke har lämnats.

Du kan även hantera dina annonspreferenser direkt hos Meta: https://www.facebook.com/adpreferences

8. Datalagring och lagringsperioder

Vi lagrar dina personuppgifter endast så länge det är nödvändigt för de ändamål som beskrivs i denna policy, eller så länge lagen kräver.

Uppgift	Lagringstid	Grund
Köpinformation (e-post, transaktionsdata, kvitton)	7 år efter köp	Bokföringslagen (1999:1078) 7 kap. 2 §
E-postadress (vid köp)	7 år efter köp (ingår i bokföringsunderlag)	Bokföringslagen (1999:1078) 7 kap. 2 §
Betalningsinformation	Hanteras av Stripe; vi lagrar inga känsliga kortuppgifter. Stripe kan behålla betalnings- och transaktionsdata efter vår radering för egna lagkrav, bedrägeriövervakning och skatte-/redovisningskrav	Se Stripes integritetspolicy och dataskyddsavtal
Webbadresser (utan köp)	90 dagar	Uppgiftsminimering
Webbadresser (med köp)	12 månader	Avtal
Genererade jinglar (ej köpta)	Minst 7 dagar, kan sedan raderas	Avtal
Genererade jinglar (köpta)	12 månader från köpdatum	Avtal
E-postadress (sparad jingel)	90 dagar, eller vid raderingsbegäran (det som inträffar först)	Avtal
Kontaktformuläruppgifter	12 månader efter avslutat ärende	Berättigat intresse
Cookie-samtyckedata (CookieYes)	12 månader från senaste samtyckesinställning	Rättslig förpliktelse
Meta Pixel-cookies (_fbp, _fbc)	90 dagar från senaste besök (cookietid). Meta lagrar mottagen Event Data i högst två år enligt Meta Business Tools Terms. Metas egen efterföljande behandling styrs av Metas datapolicy	Samtycke
Analytiska data (PostHog, cookielöst)	Högst ett år (inga personuppgifter)	Ej GDPR-reglerat
Marknadsföringskommunikation	Tills du avslutar prenumerationen eller begär radering	Samtycke / berättigat intresse
IP-adresser och loggfiler	90 dagar	Berättigat intresse (säkerhet)

Vercel kan behålla tjänstegenererad data (loggar, diagnostik, telemetri) efter vår radering för egna ändamål (drift, förbättring och analytik). Se Vercels integritetspolicy för mer information om deras lagringsperioder.

CookieYes kan behålla samtyckedata i upp till 60 dagar efter avslutad tjänst för radering, och i säkerhetskopior i upp till ett år, i enlighet med sitt dataskyddsavtal.

Kontaktformuläruppgifter vidarebefordras via Resend till kontakt@jingla.se och lagras inte i vår databas. E-post lagras i vår inkorg i högst 12 månader efter att ärendet besvarats. Resend kan behålla kontouppgifter och tjänsteanvändningsdata (loggar, aktivitetsdata) efter vår radering för egna ändamål (kontohantering, bedrägeribekämpning och tjänsteoptimering). Vid avslutande av vårt avtal med Resend raderas kunddata (e-postinnehåll, mottagardata) inom 90 dagar. Se Resends integritetspolicy för mer information om deras lagringsperioder.

Supabase tillhandahåller en 30-dagarsperiod för dataåterhämtning efter avtalsslut, varefter data raderas. Supabase kan behålla användningsdata (Usage Data) efter vår radering för egna ändamål (intern R&D, monitorering, fakturering och bedrägeridetektering). Se Supabase integritetspolicy för mer information om deras lagringsperioder.

Oracle kan behålla Systems Operations Data (accessloggar, diagnostik, driftsstatistik) efter vår radering för egna ändamål (säkerhet, bedrägeribekämpning, licensefterlevnad och tjänsteförbättring). Vid avtalsslut returnerar eller raderar Oracle kunddata i enlighet med dataskyddsavtalet. Se Oracles integritetspolicy för mer information om deras lagringsperioder.

Efter att lagringsperioden löper ut raderas dina uppgifter säkert eller anonymiseras utan onödigt dröjsmål så att de inte längre kan kopplas till dig.

Du kan när som helst begära radering av dina uppgifter (se §9), men observera att vissa uppgifter måste behållas för bokföringsändamål enligt lag.

Du har följande rättigheter enligt GDPR som du kan utöva när som helst:

Översikt

Rättighet	Artikel	I korthet
Tillgång	Art. 15	Begär en kopia av dina uppgifter
Rättelse	Art. 16	Korrigera felaktiga uppgifter
Radering	Art. 17	Begär radering (bokföringsundantag gäller)
Begränsning	Art. 18	Tillfälligt stopp av behandling
Dataportabilitet	Art. 20	Exportera i JSON + MP3
Invändning	Art. 21.1	Invända mot berättigat intresse
Invändning mot marknadsföring	Art. 21.2	Absolut rätt att stoppa marknadsföring
Återkalla samtycke	Art. 7.3	Ångra tidigare samtycke
Automatiserat beslutsfattande	Art. 22	Vi fattar inga automatiserade beslut med rättslig effekt

Detaljer per rättighet

Rätt till tillgång (Artikel 15)

Begära en kopia av alla personuppgifter vi har om dig. I praktiken innebär det de uppgifter som anges i behandlingsöversikten i §4, bland annat din e-postadress, eventuella köp- och transaktionsuppgifter, webbadresser du angett och genererade jinglar kopplade till dig.

Rätt till rättelse (Artikel 16)

Korrigera felaktiga eller ofullständiga uppgifter. I praktiken kan det gälla exempelvis en felaktig e-postadress eller felaktiga företagsuppgifter på en faktura.

Rätt till radering — "rätten att bli glömd" (Artikel 17)

Begära att vi raderar dina uppgifter. Observera att vi enligt bokföringslagen (1999:1078) är skyldiga att behålla fakturainformation (bland annat transaktionsdata, e-postadress kopplad till köp och kvitton) i sju år. Denna del kan vi inte radera förrän arkiveringsskyldigheten upphör. Övriga uppgifter som inte omfattas av lagkrav raderar vi utan onödigt dröjsmål. För data som Meta redan har tagit emot och behandlar som oberoende personuppgiftsansvarig kan du begära radering direkt hos Meta via verktyget "Aktivitet utanför Meta": https://www.facebook.com/off_facebook_activity/

Rätt till begränsning av behandling (Artikel 18)

Begära att vi tillfälligt slutar använda dina uppgifter (men fortsätter lagra dem) i följande situationer:

Vi utreder om dina uppgifter är korrekta
Du anser att behandlingen är olaglig men motsätter dig radering
Vi inte längre behöver uppgifterna men du behöver dem för rättsliga anspråk

I praktiken innebär det att vi fortsätter lagra dina uppgifter men tillfälligt slutar använda dem tills frågan är löst.

Rätt till dataportabilitet (Artikel 20)

Få de uppgifter du har tillhandahållit oss i ett strukturerat, maskinläsbart format. Gäller uppgifter som behandlas automatiserat med stöd av samtycke eller avtal. I praktiken kan vi exportera din e-postadress, köphistorik, företagsuppgifter och eventuella genererade jinglar (MP3-filer). Vi levererar uppgifterna i JSON-format, med jinglar som separata MP3-filer.

Rätt att invända (Artikel 21.1)

Invända mot behandling av dina uppgifter baserad på berättigat intresse. De behandlingar detta gäller för Jingla är: bedrägeribekämpning, tjänsteförbättring, marknadsföring av egen tjänst, hantering av kontaktförfrågningar och hosting/drift (se §4). Vi prövar då om vårt intresse väger tyngre; om inte, upphör behandlingen.

Rätt att invända mot direktmarknadsföring (Artikel 21.2)

Du har en absolut rätt att när som helst invända mot att dina personuppgifter behandlas för direktmarknadsföring, inklusive profilering relaterad till sådan marknadsföring. Vid invändning upphör all sådan behandling omedelbart.

Rätt att återkalla samtycke (Artikel 7.3)

När behandling baseras på samtycke kan du återkalla det när som helst. Återkallelse påverkar inte lagligheten av behandling som skett innan återkallelsen.

Rätt att återkalla cookie-samtycke

Du kan när som helst ändra dina cookie-preferenser via CookieYes samtyckeswidget på webbplatsen (tillgänglig via länken i sidfoten). Om du återkallar ditt samtycke till marknadsföringscookies tas Meta Pixel-skriptet bort, befintliga Meta-cookies (_fbp, _fbc) rensas från din webbläsare och inga ytterligare uppgifter överförs till Meta. Data som Meta redan har tagit emot behandlas av Meta som oberoende personuppgiftsansvarig. Du kan granska och rensa denna data via Metas verktyg "Aktivitet utanför Meta": https://www.facebook.com/off_facebook_activity/

Rätt att inte bli föremål för automatiserat beslutsfattande (Artikel 22)

Vi använder inte automatiserat beslutsfattande som har rättsliga eller liknande väsentliga effekter för dig i den mening som avses i GDPR Artikel 22. Jingelgenereringen är en automatiserad kreativ process, inte ett beslut med rättsliga eller liknande väsentliga effekter. Meta Pixel och Website Custom Audiences innebär profilering för annonsändamål (t.ex. retargeting baserat på webbplatsbesök) och automatiserad matchning av kontaktinformation (t.ex. hashad e-post mot Meta-konton), men denna behandling aktiveras enbart med ditt samtycke och har inga rättsliga effekter. Du har en absolut rätt att invända mot sådan profilering för direktmarknadsföring (se Artikel 21.2 ovan).

Utövandet av dina rättigheter är kostnadsfritt enligt GDPR Artikel 12.5.

För att utöva någon av dessa rättigheter, kontakta oss på kontakt@jingla.se med ämnesraden 'GDPR-begäran'.

Vi svarar på din begäran inom en (1) månad. I komplexa fall kan denna tidsfrist förlängas med ytterligare upp till två (2) månader (totalt högst tre månader), och vi informerar dig om förlängningen och skälen till den inom den första månaden (GDPR art. 12.3).

Vi kan behöva verifiera din identitet innan vi behandlar vissa begäranden.

Du har också rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlar dina uppgifter felaktigt (se §15).

10. Datasäkerhet

Vi tar datasäkerhet på största allvar och vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust, förstörelse eller ändring:

Tekniska säkerhetsåtgärder

TLS 1.2 eller högre (HTTPS) för all datatransmission mellan din webbläsare och våra servrar
Krypterad lagring av data i vila. Supabase tillämpar AES-256-kryptering för lagrad data, med krypteringsnycklar skyddade av FIPS 140-2-certifierade HSM:er. Supabase genomför regelbundna penetrationstester av tredje part och dagliga backuper med krypterad lagring (99,99 % tillgänglighet för backuplagring)
Säkra servrar med brandväggar och intrångsdetektering hos våra hostingleverantörer (Vercel, Oracle Cloud). Vercel uppfyller SOC 2 Type 2 och ISO 27001:2022
Regelbundna säkerhetskopior med krypterad lagring
Automatiska säkerhetsuppdateringar för vår N8N-instans (Oracle Cloud) och webbplats (Vercel)
Stripe hanterar all känslig betalningsinformation enligt PCI DSS Level 1, den högsta certifieringsnivån
CookieYes uppfyller ISO 27001:2022-kompatibilitetskrav och SOC 2 Type I
Oracle Cloud tillämpar säkerhetsåtgärder i linje med ISO/IEC 27001:2013. Oracle har åtagit sig att meddela oss om dataintrång inom 24 timmar, vilket ger oss god tid att bedöma och vid behov anmäla till IMY inom GDPR:s 72-timmarsfrist
Supabase har åtagit sig att meddela oss om dataintrång inom 48 timmar, vilket ger oss tid att bedöma och vid behov anmäla till IMY inom GDPR:s 72-timmarsfrist

Organisatoriska säkerhetsåtgärder

Begränsad åtkomst till personuppgifter: Jingla drivs av ett litet team och åtkomst till personuppgifter i Supabase, Stripe och Resend är begränsad till bolagets grundare (principen om minsta möjliga behörighet)
Multifaktorautentisering (MFA) för administrativ åtkomst till alla tjänster och system
Säkerhetsgranskningar och riskbedömningar
Dataskyddsavtal (DPA) med alla personuppgiftsbiträden som behandlar personuppgifter för vår räkning (se §6)
Dataskyddskonsekvensbedömning (DPIA) genomförd för behandlingsaktiviteter som kan innebära hög risk, inklusive profilering via Meta Pixel (GDPR Art. 35)
Rutiner för hantering av eventuella dataintrång

Trots våra bästa ansträngningar kan ingen metod för överföring över internet eller elektronisk lagring vara 100% säker. Vi kan därför inte garantera absolut säkerhet.

Om vi upptäcker ett dataintrång som sannolikt innebär risk för dina rättigheter och friheter meddelar vi Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR Artikel 33.

Om intrånget sannolikt innebär hög risk för dina rättigheter och friheter meddelar vi även dig personligen utan onödigt dröjsmål enligt GDPR Artikel 34.

Vi notifierar även berörda personuppgiftsbiträden och gemensamt personuppgiftsansvariga i enlighet med respektive dataskyddsavtal, bland annat Meta inom 48 timmar enligt Metas Global Data Protection Addendum.

11. Internationella överföringar av data

Leverans av vår tjänst innebär att vissa personuppgifter behandlas av tredjepartsleverantörer baserade utanför EU/EES, främst i USA. Fal.ai och Sonauto (USA) tar inte emot personuppgifter och omfattas därför inte av GDPR:s regler om internationella överföringar (se §5 och §6).

Dina personuppgifter kan överföras till och lagras i länder utanför EU/EES, särskilt USA. Följande leverantörer är baserade i USA: Stripe (betalning), Resend (e-post), Supabase (databas), Vercel (hosting) och Meta Platforms Ireland Limited (annonsering). Supabase använder underbiträden i Singapore för supporttjänster. Vår CMP-leverantör CookieYes är baserad i Storbritannien, som omfattas av EU:s adekvansbeslut. CookieYes använder underbiträden i Indien och USA.

Vi använder EU:s standardavtalsklausuler (Standard Contractual Clauses, SCCs) enligt GDPR Artikel 46 som primär skyddsmekanism för internationella överföringar av personuppgifter. SCCs är juridiskt bindande avtal som kräver samma skyddsnivå som GDPR. Där leverantörer även är certifierade under EU-US Data Privacy Framework (DPF) utgör detta ett kompletterande skydd.

Överföringsmekanism per leverantör som behandlar personuppgifter

Leverantör	Land	Överföringsmekanism
Stripe	USA/Irland (data kan även överföras till Indien via Stripes infrastruktur)	DPF-certifierad + standardavtalsklausuler (SCCs)
Vercel	USA	DPF-certifierad + standardavtalsklausuler (SCCs)
Supabase	USA / Singapore (underbiträde)	Standardavtalsklausuler (SCCs), Module 2 (C2P) och Module 3 (P2P) för vidareöverföring till Singapore
Resend	USA	DPF-certifierad + standardavtalsklausuler (SCCs)
Meta Platforms Ireland Limited	Irland/USA	Data Processing Terms (biträde) + Controller Addendum (gemensamt ansvar, GDPR art. 26) + SCCs + DPF-certifierad
CookieYes	Storbritannien / Indien / USA (underbiträden)	EU:s adekvansbeslut för Storbritannien + standardavtalsklausuler (SCCs) för vidareöverföringar till Indien och USA via CookieYes DPA

Behandling inom EU/EES med potentiell fjärråtkomst

Leverantör	Land	Anmärkning
Oracle Cloud (N8N-hosting)	Sverige (datacenter), global fjärråtkomst vid behov	Kunddata lagras i svenskt datacenter. Oracle kan fjärråtkomst till data globalt vid behov för support, incidenthantering eller dataåterställning (DPA §6.2). Sådan fjärråtkomst utgör en potentiell tredjelandsöverföring enligt EDPB:s riktlinjer och Schrems II. Skyddsmekanismer: DPF-certifierad + standardavtalsklausuler (SCCs) via Data Transfer Annex + BCR (Processor-P). Risknivån bedöms som lägre än för övriga USA-baserade leverantörer eftersom data lagras i Sverige och fjärråtkomst sker enbart vid behov
PostHog Cloud EU	Tyskland (Frankfurt)	Ingen överföring till tredjeland; all data lagras i AWS eu-central-1. Cookielöst läge, inga personuppgifter samlas in

Notering om AI-leverantörer: Fal.ai och Sonauto (båda USA) är involverade i jingelgenereringen men tar inte emot personuppgifter; de tar enbart emot en affärsbeskrivande sammanfattning av webbplatsinnehåll (se §5 och §6). Dessa överföringar omfattas därför inte av GDPR:s regler om internationella överföringar av personuppgifter.

Vi har genomfört en Transfer Impact Assessment (TIA) enligt EDPB:s rekommendationer 01/2020 som komplement till standardavtalsklausulerna. Bedömningen utvärderar skyddsnivån i mottagarländerna, de kategorier av personuppgifter som överförs och de kompletterande skyddsåtgärder som vidtagits.

Kompletterande tekniska skyddsåtgärder

Utöver standardavtalsklausulerna vidtar vi och våra leverantörer följande tekniska åtgärder:

Kryptering under transport: All datatransmission sker via TLS 1.2 eller högre
Kryptering i vila: Supabase tillämpar AES-256 för lagrad data; Stripe uppfyller PCI DSS Level 1
Hashning: E-postadresser som delas med Meta via Conversion API hashas (SHA-256) innan överföring
Åtkomstkontroll: Multifaktorautentisering (MFA) för administrativ åtkomst till alla system
Uppgiftsminimering: Vi överför enbart de uppgifter som krävs för respektive leverantörs funktion
Skydd vid myndighetsbegäran: Oracle åtar sig att omedelbart informera oss om myndighetsbegäranden om åtkomst till personuppgifter (i den utsträckning tillämplig lag tillåter), bedöma varje begäran individuellt, neka ogiltiga begäranden och lämna ut minimalt med data vid giltig begäran (DPA §11)

Fullständig analys finns i vår TIA, som du kan begära via kontakt@jingla.se.

EU-US Data Privacy Framework kan komma att utvärderas rättsligt av EU-domstolen. Vi använder därför alltid standardavtalsklausuler som primär skyddsmekanism, oavsett DPF-certifiering, för att säkerställa kontinuerligt skydd.

Du har rätt att få information om de lämpliga skyddsåtgärder vi har vidtagit samt att erhålla en kopia av standardavtalsklausulerna. Kontakta oss på kontakt@jingla.se för mer information.

12. Barn och minderåriga

Vår tjänst riktar sig till företag och privatpersoner som har fyllt 18 år. Åldersgränsen grundar sig på avtalsbehörighet: för att ingå köpavtal och acceptera våra användarvillkor krävs att du är myndig eller har vårdnadshavares samtycke.

GDPR:s samtyckesgräns för informationssamhällets tjänster är 13 år i Sverige (lag 2018:218, 2 kap. 4 §). Eftersom vår tjänst innebär köp och avtalsingående tillämpar vi en högre åldersgräns.

Vi samlar inte medvetet in personuppgifter från barn under 18 år utan förälders eller vårdnadshavares samtycke.

Om du är förälder eller vårdnadshavare och upptäcker att ditt barn har lämnat personuppgifter till oss utan ditt samtycke, kontakta oss omedelbart på kontakt@jingla.se så raderar vi uppgifterna.

Vi genomför ingen teknisk åldersverifiering. Åldersgränsen upprätthålls genom att Användaren vid Köp bekräftar att denne uppfyller ålderskravet enligt Användarvillkoren §3. Därutöver tillämpar vår betalningsleverantör Stripe egna åldersgränser som utgör ett kompletterande skydd.

Om vi upptäcker att vi oavsiktligt har samlat in uppgifter från en person under 18 år, kommer vi att radera informationen så snart som möjligt.

13. Ändringar av integritetspolicyn

Vi kan uppdatera denna integritetspolicy från tid till annan för att återspegla förändringar i vår verksamhet, tjänster, lagkrav eller dataskyddsmetoder. Den aktuella versionen finns alltid tillgänglig på vår webbplats med angivet ikraftträdandedatum (se §16).

Med väsentliga ändringar avses exempelvis: nya ändamål för behandling av personuppgifter, nya kategorier av mottagare, ändrade rättsliga grunder, väsentligt ändrade lagringsperioder eller införande av nya typer av spårningsteknik. Vid sådana ändringar vidtar vi följande transparensåtgärder:

Publicering av en synlig notis på vår startsida under minst 30 dagar som informerar om att integritetspolicyn har ändrats
Uppdatering av 'Senast uppdaterad'-datumet högst upp på denna sida
Uppdatering av cookie-samtyckeversion, vilket innebär att cookie-bannern visas igen så att du kan göra nya val om cookies och spårning

Eftersom Tjänsten är en engångstjänst (inte en prenumeration) accepterar du den aktuella versionen av integritetspolicyn vid varje ny transaktion, dvs. när du genererar eller köper en Jingel.

Mindre ändringar (t.ex. förtydliganden eller grammatiska korrigeringar) kan göras utan särskild åtgärd.

Vi uppmuntrar dig att regelbundet granska denna policy för att hålla dig informerad om hur vi skyddar dina uppgifter. Tidigare versioner finns tillgängliga på begäran via kontakt@jingla.se.

Om du inte godkänner den aktuella policyn har du rätt att sluta använda tjänsten och begära radering av dina personuppgifter enligt §9.

14. Kontakta oss om integritet

Om du har frågor, funderingar eller begäranden angående denna integritetspolicy eller hur vi hanterar dina personuppgifter, vänligen kontakta oss:

Artivaro AB

E-post: kontakt@jingla.se (för GDPR-begäranden, använd ämnesrad 'GDPR-begäran')
Adress: Lindhagensgatan 149 Lgh 1302, 112 15 Stockholm
Organisationsnummer: 559570-9444
Momsregistreringsnummer: SE559570944401
Dataskyddsombud (DPO): Vi är inte skyldiga att utse ett dataskyddsombud enligt GDPR Art. 37, då vår kärnverksamhet inte innefattar regelbunden och systematisk övervakning av registrerade i stor skala eller storskalig behandling av särskilda kategorier av personuppgifter.

Vi strävar efter att svara skyndsamt på alla förfrågningar.

För GDPR-relaterade begäranden (tillgång, radering, etc.) svarar vi inom en (1) månad enligt lag.

15. Klagomål till tillsynsmyndighet

Du har rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY), Sveriges dataskyddsmyndighet, om du anser att vi behandlar dina personuppgifter i strid med GDPR:

Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
Telefon: 08-657 61 00
E-post: imy@imy.se
Webbplats: www.imy.se

Vi skulle dock uppskatta möjligheten att först försöka lösa eventuella problem direkt med dig. Kontakta oss gärna innan du lämnar in ett formellt klagomål.

Du har också rätt att lämna in klagomål till dataskyddsmyndigheten i det EU-land där du bor eller arbetar, om du föredrar det.

16. Gällande version

Denna integritetspolicy är version 1.0, gällande från 2026-02-24.

Tidigare versioner finns tillgängliga på begäran via kontakt@jingla.se.

Har du frågor om din integritet? Kontakta oss på kontakt@jingla.se. Se §9 för dina rättigheter och §14 för fullständiga kontaktuppgifter.

Integritetspolicy