Integritetspolicy

Senast uppdaterad: mars 2026

Ladda ner som PDF

Sammanfattning

Vi tar aldrig emot ditt personnummer. Det stannar hos BankID och Idura
Vi tar aldrig emot ditt juridiska namn. Idura skickar bara ett pseudonymt ID och en ålderskontroll
Du kan exportera eller radera all din data när som helst via Inställningar
All lagrad data finns i Sverige hos Hexabyte.se, inom EU

1. Så fungerar inloggningen, och vad vi tar emot

Kretsar använder svenskt BankID för autentisering via Idura (Criipto), en OIDC-leverantör. Så här ser dataflödet ut:

Steg 1, BankID: Du identifierar dig med BankID. Din fulla identitet (inklusive personnummer och namn) hanteras av BankID. Den skickas aldrig till Kretsar.
Steg 2, Idura (Criipto): Idura tar emot din identitet från BankID. De skickar vidare till oss enbart: ett pseudonymt ID (sub) och en ålderskontroll (över 18: ja/nej). Inget namn, inget personnummer, inget födelsedatum.
Steg 3, Kretsar: Vi tar emot det pseudonyma ID:t och åldersverifieringen. Inget annat. Om du är under 18 skrivs aldrig något till databasen. Vi lagrar aldrig namn, personnummer, födelsedatum, e-post, telefonnummer eller din faktiska ålder.
Viktigt: Fältet 'sub' är en pseudonym identifierare som tilldelas av BankID/Idura. Det är INTE ditt personnummer. Det används enbart för att koppla din inloggning till ditt konto och visas aldrig för andra användare eller administratörer.

2. Vad vi lagrar

Här är exakt vilken data vi lagrar och varför:

Pseudonymt ID (sub), för att koppla BankID-inloggning till ditt konto. Visas aldrig publikt.
Tidsstämpel för åldersverifiering, dvs. när din ålder verifierades. INTE din faktiska ålder eller födelsedatum.
Profildata, t.ex. användarnamn, visningsnamn, bio, profilbild, omslagsbild, plats och webbplats. Allt frivilligt och valt av dig.
Innehåll, t.ex. inlägg, kommentarer, meddelanden, gilla-markeringar, bokmärken och följningar. Skapat av dig på plattformen.

3. Vad vi INTE lagrar

Följande data når aldrig våra servrar:

Juridiska namn (begärs inte från Idura)
Personnummer (SSN), hanteras enbart av BankID och Idura
Födelsedatum, vi får bara 'över 18: ja/nej', aldrig ditt datum
E-postadress, vi frågar aldrig efter den
Telefonnummer, vi frågar aldrig efter det
Faktisk ålder, vi vet bara att du är över 18

4. Namnvisning och integritet

Kretsar lagrar inga juridiska namn. Så fungerar det:

Vi begär aldrig ditt juridiska namn från Idura. Bara ett pseudonymt ID och en ålderskontroll.
Du identifieras på plattformen genom ditt valda användarnamn och visningsnamn.
Funktionen 'Visa juridiskt namn' är för närvarande inaktiverad. Den kan eventuellt tillkomma i framtiden.
Administratörer kan inte se juridiska namn. Bara superadmins kan se det pseudonyma ID:t (sub) vid behov.

5. Radering av konto, fullständig PII-rensning

När du raderar ditt konto via Inställningar > Data genomför vi en fullständig rensning av personuppgifter: användarnamn och visningsnamn rensas, det pseudonyma ID:t (sub) ersätts med en tombstone-markör, all profildata (bio, profilbild, omslagsbild, plats, webbplats) raderas, och inlägg och kommentarer finns kvar men visas med '[raderad]' som avsändare. Detta är en permanent åtgärd som inte kan ångras.

6. Dina rättigheter enligt GDPR

Enligt GDPR har du följande rättigheter, med konkreta verktyg i Kretsar:

Rätt till tillgång. Exportera all din data via Inställningar > Data > Exportera data.
Rätt till rättelse. Uppdatera din profilinformation via Inställningar > Konto.
Rätt till radering. Radera ditt konto permanent via Inställningar > Data > Radera konto.
Rätt till dataportabilitet. Din dataexport levereras i ett portabelt format.
Rätt att invända. Kontakta oss om du vill invända mot viss databehandling.

7. Tredjeparter

Vi delar minimal data med följande tredjeparter:

Idura (Criipto): OIDC-leverantör som hanterar BankID-autentisering. Tar emot din BankID-identitet och skickar vidare enbart ett pseudonymt ID och en ålderskontroll till oss. Deras integritetspolicy gäller för deras hantering.
Hexabyte.se: Svensk hostingleverantör. Lagrar vår databas och filer i svenskt datacenter. Som hostingleverantör har Hexabyte fysisk tillgång till serverinfrastrukturen, men vi hanterar all kryptering, åtkomstkontroll och databashantering.
Giphy (valfritt): Om du använder GIF-väljaren skickas din sökfråga till Giphys servrar (USA). Ingen användardata eller identitet delas, men din IP-adress skickas automatiskt med webbförfrågan.

Vi använder INTE Google Analytics, Facebook Pixel, annonsnätverk eller andra spårningstjänster.

8. Säkerhet och datalagring

All kommunikation sker via TLS-kryptering (HTTPS). Databasbackuper krypteras med GPG AES-256 och lagras i 14 dagar. All lagrad data finns fysiskt i Sverige via Hexabyte.se, inom EU. Redis-data (realtidshändelser, skrivindikator) har kort livslängd och raderas automatiskt.

9. Cookies

Vi använder enbart nödvändiga cookies för att tjänsten ska fungera: sessions-cookie för inloggning, en språkpreferens-cookie och en cookie-samtyckes-cookie. Vi använder inga spårningscookies, inga annonscookies och ingen analys från tredje part.

10. Ändringar i policyn

Vi kan uppdatera denna policy vid behov. Vid väsentliga ändringar meddelar vi via en notis i tjänsten. Din fortsatta användning av Kretsar efter ändringar innebär att du accepterar den uppdaterade policyn.

11. Kontakt

Om du har frågor om hur vi hanterar din data eller vill utöva dina rättigheter, kontakta vårt dataskyddsombud:

Karwan Stark AB

Org.nr: 559518-2717

Dataskyddsombud: Karwan Stark

E-post: dataskydd@kretsar.se

Jönköping, Sverige