Integritetspolicy

Moodly Sverige — Senast uppdaterad: 10 april 2026

1. Vem ansvarar för dina uppgifter?

Personuppgiftsansvarig är Marcus Guslin, Oxelvägen 3, 185 33 Vaxholm (hej@moodlyapp.se). Verksamheten drivs i förhoppning om att övergå till ideell förening Moodly Sverige under 2026; fram till dess är föreningen under bildande och Marcus Guslin är personligt ansvarig för behandlingen.

Vi har inte utsett något dataskyddsombud — kontakta oss direkt på hej@moodlyapp.se i frågor som rör personuppgifter. Du har alltid rätt att vända dig till Integritetsskyddsmyndigheten (IMY, imy.se) om du anser att vi behandlar dina uppgifter felaktigt.

2. Vilka uppgifter samlar vi in?

• Kontouppgifter: E-postadress (vid registrering)
• Förälderns profil: Namn, hemkommun, familjeroll (mamma/pappa/mormor osv.), vald avatar
• Barnets profil: Namn (eller smeknamn), åldersgrupp (3–5 / 6–9 / 10–13 / 14–17 år), kön (om angivet), vald avatar
• Spel-data: Erfarenhetspoäng (XP), nivå, mynt, streak (antal dagar i rad), upplåsta avatarer
• Check-in-data: Mående-poäng (1-5) per plats och dag samt valfria taggar (t.ex. "för mycket läxor"). Eventuella fritext-kommentarer sparas endast lokalt på enheten och skickas aldrig till molnet eller till någon annan användare.
• Moodis-svar: Svar på återkommande frågor om sömn, trygghet, mående och liknande (se avsnitt 4b — räknas som hälsorelaterad data).
• Platser: Namn och typ på platser du lägger till (t.ex. "Min skola", typ: skola). GPS-position lagras inte.
• Familjedata: Familjegrupp-kopplingar, inbjudningskoder och roller (förälder / barn / nätverksmedlem)
• Feedback: Eventuell feedback du skickar in (anonymt — ingen e-post eller namn kopplas till feedbacken)

3. Vad samlar vi INTE in?

• GPS-position eller exakt geografisk plats
• Samtalsinnehåll eller fritext som visas för föräldrar (föräldrar ser bara siffror och trender)
• Data från andra appar på din telefon
• Biometrisk data

4. Varför samlar vi in data?

Vi samlar in data för att:

• Visa dig ditt eget mående över tid
• Ge föräldrar anonymiserade trender och varningar
• Skapa aggregerad, anonym kommun-benchmarking (minst 3 användare per kommun innan data visas)

4a. Rättslig grund för behandlingen

Vi behandlar dina uppgifter på följande rättsliga grunder enligt GDPR:

• Skapa och sköta ditt konto: Avtal (art. 6.1 b)
• Lagra och visa check-ins och moodis-svar: Samtycke (art. 6.1 a och art. 9.2 a för hälsodata)
• Dela data mellan familjemedlemmar i samma familjegrupp: Samtycke från varje medlem
• Aggregerad kommun-benchmarking: Samtycke; data tröskelfiltreras (minst 3 användare)
• Säkerhet, felsökning, bedrägeriskydd: Berättigat intresse (art. 6.1 f)

Du kan när som helst återkalla ditt samtycke genom att radera ditt konto eller kontakta oss på hej@moodlyapp.se. Återkallelse påverkar inte lagligheten av behandling som skett innan återkallelsen.

4b. Hälsorelaterade uppgifter (särskild kategori, art. 9)

Moodis-funktionen i appen ställer frågor till barnet om sömn, trygghet, magkänslor, stress och vem barnet har att prata med. Svaren klassas som hälsorelaterade uppgifter enligt GDPR art. 9 och behandlas med uttryckligt samtycke från förälder (och från barnet självt när det är 13 år eller äldre). Dessa uppgifter behandlas med särskild försiktighet och delas aldrig utanför familjegruppen.

4c. Automatiserade beräkningar och profilering

Moodly använder statistiska beräkningar för att hjälpa dig se trender:

• Z-score per plats: Efter minst 7 check-ins på en plats räknar appen ut barnets genomsnitt och standardavvikelse för just den platsen. Om senaste veckans snitt ligger mer än en standardavvikelse under barnets normala nivå, visas en varning ("mår sämre än vanligt på [plats]").
• Trygghetsgrad: En sammanvägning av senaste veckans svar på frågor om trygghet, sömn och mående.
• Kommun-benchmarks: Anonymiserad jämförelse mot andra användare i samma kommun (kräver minst 3 bidragsgivare).

Dessa beräkningar är automatiserade men fattar inga beslut med rättslig verkan om barnet. De är avsedda som beslutsstöd för föräldern och ersätter aldrig mänsklig bedömning. Du har rätt enligt GDPR art. 22 att begära mänsklig granskning av automatiserade slutsatser — kontakta hej@moodlyapp.se.

5. Privacy by design

• Offline-first: All data fungerar lokalt på din enhet. När du loggar in synkas mående-poäng, taggar och plats-namn till molnet så att din familj kan komma åt sin data från flera enheter — fritext-kommentarer synkas dock aldrig.
• Föräldrar ser aldrig barnets fritext-kommentarer — varken i appen eller via molnsynk. Endast mående-poäng, taggar och trender visas i föräldra-vyer.
• Kommun-data är alltid anonymiserad — ingen individ kan identifieras
• Minst 3 användare per kommun/plats innan aggregerad data visas

6. Lagring och säkerhet

Data lagras lokalt på din enhet (localStorage) och, vid molnsynk, hos Supabase (PostgreSQL med kryptering i vila, hostat i EU-region Frankfurt). All dataöverföring sker via HTTPS. Åtkomst begränsas av Row Level Security — du kan bara se din egen och din familjs data.

6a. Hur länge sparar vi dina uppgifter?

• Kontouppgifter och profildata: Så länge ditt konto är aktivt.
• Check-ins och moodis-svar: Lagras så länge ditt konto är aktivt. Du kan när som helst exportera eller radera allt manuellt under Familj → Data & integritet. Vi planerar att införa automatisk radering av check-ins äldre än 24 månader; tills dess sparas de tills du raderar dem själv.
• Feedback till oss: Sparas så länge den är relevant för produktutveckling. Eftersom feedback skickas anonymt går den inte att koppla till dig och kan därför inte raderas individuellt.
• Kontaktformulär på startsidan: Sparas tills ärendet är besvarat och rensas vid behov manuellt.
• Backup: Supabase tar löpande backuper enligt sitt eget schema (typiskt point-in-time recovery upp till 7 dagar).

När du raderar ditt konto raderas all din data inom 30 dagar, utom i de fall vi är skyldiga att spara viss information enligt lag.

7. Dina rättigheter (GDPR)

Du har rätt att:

• Få tillgång till dina uppgifter (art. 15)
• Rätta felaktiga uppgifter (art. 16)
• Radera ditt konto och all data (art. 17 — i appen under Familj → Data, eller kontakta oss)
• Begränsa behandlingen (art. 18)
• Exportera dina uppgifter i maskinläsbart format (art. 20 — JSON, i appen under Familj → Data; observera att export just nu täcker lokal data och vi arbetar på att inkludera all data från molnet)
• Invända mot behandlingen (art. 21)
• Återkalla samtycke när som helst (art. 7.3) — påverkar inte laglig behandling innan återkallelsen
• Inte bli utsatt för automatiserat beslutsfattande med rättslig verkan (art. 22 — se avsnitt 4c)
• Lämna in klagomål till Integritetsskyddsmyndigheten (imy@imy.se, tfn 08-657 61 00, imy.se)

Kontakta oss på hej@moodlyapp.se för att utöva dina rättigheter. Vi svarar normalt inom 30 dagar.

8. Barn och samtycke

Moodly är avsedd för barn och ungdomar 3–17 år och deras vårdnadshavare.

• Barn under 13 år: Endast vårdnadshavare får skapa kontot. Barnet använder appen via förälderns familjegrupp, och vårdnadshavaren är den som ger samtycke till behandlingen enligt GDPR art. 8.
• Barn 13 år och äldre: Kan ge sitt eget samtycke enligt svensk implementation av GDPR art. 8, men ska alltid ha förälderns kännedom.
• Vi verifierar inte ålder tekniskt — men vi förbehåller oss rätten att avsluta konton där det framgår att barn under 13 år registrerat sig utan vårdnadshavares medgivande.

Som förälder är du ansvarig för att ditt barn förstår vilka uppgifter som delas inom familjen (poäng, taggar, trender) och att barnet vet vad appen gör med svaren.

9. Mottagare och personuppgiftsbiträden

För att kunna leverera tjänsten anlitar vi följande tekniska biträden och mottagare:

• Supabase (databas och autentisering): Data lagras i Supabase EU-region (Frankfurt). Supabase Inc. är amerikanskt moderbolag, så personuppgiftsbiträdesavtal med standardavtalsklausuler (SCC) gäller. Supabase agerar som vårt personuppgiftsbiträde och får inte använda dina uppgifter för egna ändamål.
• Nominatim / OpenStreetMap Foundation (platssökning): När du söker efter en plats i appen skickas sökfrasen och din IP-adress till nominatim.openstreetmap.org. Lagrat enligt deras policy (wiki.osmfoundation.org/wiki/Privacy_Policy).
• Overpass API (platsupptäckt för benchmarks): Används enbart för att hitta liknande platser i närområdet. Inga personuppgifter skickas — bara koordinater för sökområdet.
• jsDelivr CDN / Cloudflare (levererar Supabase-klientbiblioteket): När appen laddas görs ett HTTP-anrop till cdn.jsdelivr.net. Din IP-adress kan routas via servrar utanför EU.
• GitHub Pages (hosting av webbsidan): HTML, CSS och JS serveras från GitHub (USA). Vid sidladdning kan IP-adress loggas av GitHub.

Vi säljer aldrig dina uppgifter. Vi delar inte individdata med tredje part utöver de tekniska biträdena ovan. Aggregerad, anonymiserad kommundata (om minst 3 användare) kan i framtiden delas med kommuner eller forskare — alltid utan möjlighet att identifiera enskilda.

9a. Överföring till tredjeland

Vissa av biträdena ovan kan innebära överföring av personuppgifter (främst IP-adress och tekniska metadata) till länder utanför EU/EES, framför allt USA:

• Supabase Inc. har amerikanskt moderbolag. Även om data lagras i EU-region (Frankfurt) kan support- och driftpersonal i USA få teknisk åtkomst. Överföringen sker med stöd av EU-kommissionens standardavtalsklausuler (SCC, 2021/914).
• jsDelivr / Cloudflare kan routa CDN-förfrågningar via servrar i USA eller andra tredjeländer beroende på din geografiska plats.
• GitHub Pages drivs av GitHub Inc. (USA) och kan logga IP-adress vid sidladdning.

För dessa överföringar förlitar vi oss på EU-kommissionens standardavtalsklausuler (SCC, 2021/914) som upprättats med biträdena. Kontakta hej@moodlyapp.se om du vill ha mer information om skyddsåtgärderna.

10. Ändringar

Vid väsentliga ändringar av denna policy meddelar vi dig i appen. Senaste version finns alltid på denna sida.

Kontakt

Moodly Sverige
c/o Marcus Guslin
Oxelvägen 3, 185 33 Vaxholm
hej@moodlyapp.se