Integritetspolicy

Gäller från: 2026-03-06

Veleiras ("vi", "oss") är en digital minnesplattform. Vi tar integriteten på största allvar — både för de som använder vår tjänst och för de personer de minns.

1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen av dina personuppgifter är:

Eliana dos Santos Pereira (enskild firma)
6020 Innsbruck, AT
Email: privacy@veleiras.com

As a micro-enterprise with fewer than 10 employees, we are not required to appoint a Data Protection Officer under Art. 37 GDPR. For privacy-related enquiries, contact us at: privacy@veleiras.com.

2. Vad vi samlar in och vår rättsliga grund

När du skapar en minnesplats samlar vi in:

• Din e-postadress (för inloggning och aviseringar)
• Ett lösenord (hashat med Argon2id, lagras aldrig i klartext)
• Namn, datum och berättelsen om personen du minns
• Foton du lägger till i galleriet
• Gästboksmeddelanden från besökare

Vi samlar inte in namn, e-postadresser eller någon identifierande information från besökare som tänder ljus eller visar en minnesplats via en delad länk.

Enligt Art. 6(1) GDPR stödjer vi oss på följande rättsliga grunder för varje behandlingsaktivitet:

Behandlingsaktivitet	Rättslig grund
Kontouppgifter (e-post, lösenord)	Fullgörande av avtal — Art. 6(1)(b)
Minnesplatsens innehåll (namn, datum, foton, berättelser)	Fullgörande av avtal — Art. 6(1)(b)
Betalningsuppgifter (transaktionsregister)	Fullgörande av avtal — Art. 6(1)(b) + Rättslig skyldighet (skattemässig bevarande) — Art. 6(1)(c)
Register över cookie-samtycke	Berättigat intresse (efterlevnadsdokumentation) — Art. 6(1)(f)
Serverbaserad analys (aggregerad)	Berättigat intresse (tjänsteförbättring) — Art. 6(1)(f)
E-postaviseringar	Fullgörande av avtal — Art. 6(1)(b)
Sessions-cookies (PHPSESSID, CSRF)	Strikt nödvändiga — inget samtycke krävs (Art. 5(3) ePrivacy-direktivet)

3. Hur vi skyddar dina uppgifter

Kryptering i vila: Alla känsliga personuppgifter — inklusive namn, e-postadresser, epitafier, livsberättelser, gästboksmeddelanden och uppskattningsposter (namn och personliga berättelser om människor du värderade) — krypteras i vila med AES-256-GCM-autentiserad kryptering (via biblioteket defuse/php-encryption) innan de lagras i vår databas. Det innebär att även vid ett dataintrång är uppgifterna oläsbara utan krypteringsnycklarna.

Lösenordshashing: Lösenord hashas med Argon2id med minneskrävande parametrar, vilket gör brute force-attacker beräkningsmässigt omöjliga. Vi lagrar aldrig lösenord i klartext.

Kryptering under överföring: All kommunikation mellan din webbläsare och våra servrar skyddas med HTTPS/TLS-kryptering. Vi kräver HTTPS på alla sidor och API-ändpunkter.

4. Länkbaserad åtkomst

Minnesplatser nås via kryptografiskt säkra delningslänkar, inte via en offentlig katalog. Det finns tre åtkomstnivåer:

• Ägare — Full kontroll, förbehållen skaparen av minnesplatsen
• Familj — Kan lägga till foton och moderera meddelanden
• Gäst — Kan visa, tända ljus och lämna meddelanden

Utan en giltig länk ser besökare bara en minimal sida med personens förnamn och ett ljus. Ingen berättelse, inga foton eller meddelanden visas utan inbjudan.

5. Vad vi inte gör

• Vi säljer aldrig dina uppgifter till någon
• Vi visar ingen reklam
• Vi använder inga analysspårare (ingen Google Analytics, ingen Facebook Pixel)
• Vi använder inga spårningscookies eller tredjepartsannonskookies
• Vi delar inte minnesplatsdata med tredje parter
• Vi använder inte minnesplatsinnehåll för att träna AI-modeller
• Vi profilerar inte besökare och bygger inga beteendemodeller

6. Cookies

Vi använder bara strikt nödvändiga cookies. Vi använder inga spårningscookies, analytikcookies eller tredjepartsannonskookies.

Cookie	Syfte	Varaktighet
PHPSESSID	Sessionshantering (inloggningsstatus). Strikt nödvändig.	Upphör vid stängning av webbläsaren
CSRF-token	Skydd mot CSRF-attacker. Strikt nödvändig för säkerheten.	Session
__cf_bm och liknande	Sätts av Cloudflare för bot-hantering och DDoS-skydd. Strikt nödvändiga för säkerheten.	Upp till 30 minuter

Eftersom alla cookies vi använder är strikt nödvändiga för tjänstens funktion och säkerhet är de undantagna från samtyckeskraven enligt Art. 5(3) i ePrivacy-direktivet.

7. Cookie-samtyckebanner

Vi visar en cookie-samtyckebanner för alla besökare. Även om våra cookies är strikt nödvändiga och inte kräver samtycke, ger bannern transparens och möjlighet att göra ett informerat val. Din inställning lagras i webbläsarens localStorage och registreras på serversidan för vår efterlevnadsdokumentation.

Samtyckeregistret på serversidan lagrar: användar-ID (om inloggad) eller anonymt besökar-ID, samtyckeåtgärd (godkänn/neka), samtyckeversion, en envägs-hash av din IP-adress (inte IP-adressen själv) och tidsstämplar.

Cookie-samtyckeregister bevaras i 3 år i enlighet med Art. 7(1) GDPR, som kräver att den personuppgiftsansvarige kan visa att samtycke har lämnats.

8. Serverbaserad analys

Vi samlar in aggregerad besöksstatistik för att förstå hur tjänsten används och förbättra den. Detta sker helt på serversidan utan cookies, utan JavaScript-spårning och utan individuell besökaridentifiering.

Vi lagrar bara:

• Besöksdatum
• Landskod (härledd från Cloudflares CF-IPCountry-header)
• Sidans sökväg
• Aggregerat besöksantal

Inga IP-adresser, webbläsarfingeravtryck eller annan personligt identifierbar information lagras som del av analysen. Enskilda besökare kan inte identifieras eller spåras. Analysdata bevaras i 2 år.

9. Betalningsuppgifter

Alla betalningar behandlas av Stripe. Vi ser, lagrar eller behandlar aldrig dina kreditkortsuppgifter. Stripe hanterar alla betalningsuppgifter i enlighet med PCI DSS Nivå 1.

Vi lagrar ett register över din transaktion (Stripe betalnings-ID, belopp, datum, status) för avtalsfullgörelse och för att uppfylla vår rättsliga skyldighet att bevara finansiella register enligt österrikisk skattelag (BAO §132). Betalningsregister bevaras i 7 år efter transaktionen.

10. Databevarande

Datakategori	Bevarandeperiod
Kontouppgifter (e-post, lösenordshash)	Till kontot raderas + 30 dagar
Minnesplatsdata (För Alltid-planen)	Så länge Veleiras är i drift (se villkor för För Alltid-planen)
Minnesplatsdata (gratisnivå)	Tills vidare; kan arkiveras efter 5 års inaktivitet (90 dagars förvarning via e-post till ägaren)
Betalningsregister	7 år (österrikisk skattelag, BAO §132)
Cookie-samtyckeregister	3 år (Art. 7(1) GDPR)
Serverbaserad analys	2 år
Sessionsdata (PHPSESSID)	Till webbläsaren stängs
GDPR-raderingsbegäran	Data raderas inom 30 dagar; e-posthash bevaras för att undvika problem vid omregistrering

Om du raderar din minnesplats eller begär radering tas alla tillhörande data (foton, meddelanden, berättelser, ljus) permanent bort från våra servrar inom 30 dagar.

11. Underbiträden

Vi använder följande tredjepartsleverantörer (underbiträden) för att driva Veleiras. Med varje leverantör finns ett personuppgiftsbiträdesavtal (DPA):

Underbiträde	Syfte	Plats och skyddsåtgärder
Stripe, Inc.	Betalningshantering	USA — EU:s standardavtalsklausuler (SCC) + DPA
Cloudflare, Inc.	CDN, DDoS-skydd, säkerhet, medialagring (R2), edge-databas (D1)	Amerikanskt företag — EU-dataplatser, EU-US Data Privacy Framework + DPA
Hostinger International Ltd.	Webbhotell och databas	Servrar inom Europeiska unionen — DPA

12. Internationella överföringar

Dina data lagras på servrar inom Europeiska unionen. Vår primära databas hostas av Hostinger (EU), och Cloudflare D1 (databas) och R2 (medialagring) är konfigurerade för EU-dataplatser. Cloudflares CDN kan dirigera förfrågningar genom globala edge-servrar för prestanda och säkerhet, men lagrad data förblir i EU. Stripe (betalningshantering) har sitt säte i USA och är certifierat enligt EU-US Data Privacy Framework. Alla överföringar utanför EU skyddas av personuppgiftsbiträdesavtal enligt kapitel V GDPR.

13. Dina rättigheter (GDPR)

Om du befinner dig inom Europeiska ekonomiska samarbetsområdet har du rätt att:

• Tillgång (Art. 15) — Begära en kopia av alla personuppgifter vi har om dig
• Rättelse (Art. 16) — Korrigera eventuella felaktiga personuppgifter
• Radering (Art. 17) — Begära radering av dina data och din minnesplats
• Begränsning (Art. 18) — Begära begränsning av behandlingen
• Dataportabilitet (Art. 20) — Få dina uppgifter i ett strukturerat, maskinläsbart format
• Invändning (Art. 21) — Invända mot behandling baserad på berättigat intresse

För att utöva någon av dessa rättigheter, kontakta oss på privacy@veleiras.com. Vi svarar inom 30 dagar enligt Art. 12(3) GDPR.

14. Profilering och automatiserat beslutsfattande

Vi bedriver ingen profilering eller automatiserat beslutsfattande enligt Art. 22 GDPR. Inga beslut som påverkar dig fattas genom automatiserade medel. Vi bygger inga beteendeprofiler av användare eller besökare.

15. Barn

Veleiras riktar sig inte till barn under 16 år. Vi samlar inte medvetet in personuppgifter från barn. Minnesplatser kan skapas för barn av deras föräldrar eller vårdnadshavare.

16. Ändringar av denna policy

Vi kan uppdatera denna policy från tid till annan. Väsentliga ändringar meddelas via e-post till minnesplatsägare. Ikraftträdandedatumet högst upp på denna sida visar alltid den senaste versionen.

17. Kontakt och klagomål

Vid integritetsrelaterade frågor eller förfrågningar:
privacy@veleiras.com

Vi strävar efter att lösa alla integritetsfrågor direkt. Om du inte är nöjd med vårt svar har du rätt att lämna in ett klagomål till tillsynsmyndigheten:

Österrikiska dataskyddsmyndigheten
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at

← Tillbaka till Veleiras