Integritetspolicy

1. Personuppgiftsansvarig

NHC Ventures AB (Org. nr: 559455-4262) är personuppgiftsansvarig för alla personuppgifter som behandlas via EquiShoots-plattformen ("Tjänsten").

Kontakt: oscar@equishoots.com

2. Vilka uppgifter vi samlar in

3. Rättslig grund för behandling

• Fullgörande av avtal (Art. 6(1)(b)) – behandling av fotografkonton och köp.
• Berättigat intresse (Art. 6(1)(f)) – visning av tävlingsfoton för ridsportgemenskapen.
• Samtycke (Art. 6(1)(a)) – för minderårigas bilder och valfri marknadsföring.
• Rättslig förpliktelse (Art. 6(1)(c)) – skatte- och bokföringskrav enligt svensk lag.

4. Skydd av minderåriga

I enlighet med GDPR Art. 8, svenska kompletteringsbestämmelser och Riksidrottsförbundets riktlinjer för bildhantering:

• För barn under 16 år rekommenderas samtycke från vårdnadshavare vid mer omfattande publicering eller kommersiell användning.
• Om en vårdnadshavare vill att en bild på ett barn ska tas bort kan en raderingsbegäran skickas via vår raderingssida.

5. Dina rättigheter

• Rätt till tillgång (Art. 15) – begär en kopia av dina personuppgifter.
• Rätt till rättelse (Art. 16) – korrigera felaktiga uppgifter.
• Rätt till radering (Art. 17) – begär radering av bilder eller personuppgifter.
• Rätt till begränsning (Art. 18) – begränsa behandling under vissa omständigheter.
• Rätt till dataportabilitet (Art. 20) – ta emot uppgifter i strukturerat format.
• Rätt att göra invändningar (Art. 21) – invända mot behandling baserad på berättigat intresse.

För att utöva någon av dessa rättigheter, kontakta oss på oscar@equishoots.com eller använd sidan Begär radering. Vi svarar inom 30 dagar.

6. ID-verifiering vid rättighetsbegäran

För att skydda våra användares integritet kan NHC Ventures AB komma att kräva identitetsbevis (t.ex. fotolegitimation) innan radering eller utdrag av personuppgifter utförs. Detta sker endast när rimliga tvivel föreligger rörande den sökandes identitet, i enlighet med IMY:s vägledning om proportionalitet vid identifiering (GDPR Art. 12.6).

• ID-handlingar laddas upp via krypterad kanal (HTTPS/TLS) och lagras i en isolerad miljö.
• Verifiering utförs manuellt av behörig personal.
• ID-handlingar och tillhörande metadata raderas permanent senast inom 72 timmar efter att verifieringen är slutförd.
• Endast ett kvitto på att verifieringen genomförts (utan PII-data) bevaras i loggen.

7. Datalagring och säkerhet

All data behandlas inom EU/EES. Foton lagras med krypterad objektlagring. Originalbilder (utan vattenstämpel) är aldrig offentligt tillgängliga och levereras enbart via tidsbegränsade signerade URL:er efter köp.

8. Cookies och lokal lagring

Vi använder endast nödvändiga cookies och lokal lagring för autentisering:

• es_session - HttpOnly sessionscookie för serverautentisering.
• es_auth - localStorage med 12 timmars TTL för klientautentisering.

Inga tredjepartscookies för spårning används.

9. Lagringsperioder

• Finansiella uppgifter och DAC7-data: 10 år (Bokföringslagen och Skatteverkets krav).
• ID-handlingar vid rättighetsbegäran: Raderas inom 72 timmar efter slutförd verifiering.
• Fotografkonton: Bevaras så länge kontot är aktivt. Raderas på begäran.
• Bilder: Bevaras så länge fotografens konto är aktivt. Fotografen kontrollerar borttagning av eget innehåll.
• Köpuppgifter: Bevaras i 10 år enligt bokföringslagen.
• Sessionscookies: Tas bort vid utloggning eller efter 12 timmar.

10. Underbiträden

Vi använder följande tjänster för att driva plattformen:

• Stripe (Stripe, Inc.) – Betalningshantering. Data behandlas i EU.
• Resend (Resend, Inc.) – E-postutskick. Data behandlas i EU (eu-west-1).
• Supabase (Supabase, Inc. / AWS) – Databas och fillagring. Data behandlas i EU.
• Vercel (Vercel, Inc.) – Webbhosting och serverlösa funktioner. EU-noder används.

11. Tillsynsmyndighet

Om du anser att dina uppgifter har behandlats i strid med lagen har du rätt att lämna in ett klagomål till: Integritetsskyddsmyndigheten (IMY).