1. Personuppgiftsansvarig
Hejnord AB (org.nr 559471-0047) är personuppgiftsansvarig för behandlingen av dina personuppgifter i Köra-appen och på kora.nu. Vi följer EU:s dataskyddsförordning (GDPR 2016/679) och den svenska dataskyddslagen (SFS 2018:218).
2. Vilka uppgifter samlar vi in?
Uppgifter du ger oss:
- Namn och kontaktuppgifter (e-post, telefonnummer)
- Profilbild
- Födelsedatum (för åldersverifiering)
- Platsinformation (stad, adress för jobb)
- Betalningsuppgifter (hanteras av Stripe)
- ID-handlingar (för identitetsverifiering)
- För minderåriga: målsmans telefonnummer (hashed, ej i klartext)
Uppgifter vi samlar automatiskt:
- Enhetstyp och operativsystem
- IP-adress
- Appanvändningsdata och klickmönster (anonymiserat via Vercel Analytics)
- GPS-position (med ditt samtycke, för kartfunktionen)
- Inloggningstidsstämplar och sessions-ID (säkerhetsloggar)
3. Varför behandlar vi dina uppgifter?
| Syfte | Rättslig grund |
|---|---|
| Skapa och hantera ditt konto | Avtal (Art. 6(1)(b)) |
| Matcha jobb med frilansare | Avtal (Art. 6(1)(b)) |
| Hantera betalningar | Avtal (Art. 6(1)(b)) |
| Verifiera din identitet (OTP) | Berättigat intresse (Art. 6(1)(f)) |
| Skicka push-notifikationer | Samtycke (Art. 6(1)(a)) |
| Webbplatsanalys (Vercel Analytics) | Samtycke (Art. 6(1)(a)) |
| Tillhandahålla inkomstrapporter | Rättslig förpliktelse / Avtal |
| Uppfylla bokföringskrav (7 år) | Rättslig förpliktelse (Art. 6(1)(c)) |
| Förebygga bedrägeri & missbruk | Berättigat intresse (Art. 6(1)(f)) |
| Bevara bevis för rättsliga åtgärder | Berättigat intresse (Art. 6(1)(f)) |
| Föräldrasamtycke (minderåriga) | Rättslig förpliktelse / Avtal |
4. Profilering och automatiserade beslut
Köra använder automatiserade system för att matcha jobb med frilansare och beräkna XP-poäng och nivåer. Dessa system tar hänsyn till faktorer som geografisk relevans, omdömesbetyg, verifieringsstatus och XP-nivå.
Denna behandling kan betraktas som profilering enligt GDPR Art. 22. Du har rätt att invända mot sådan profilering och begära manuell granskning av beslut som påverkar dig väsentligt. Kontakta oss på info@kora.nu.
5. Vilka delar vi data med?
Databehandlare (behandlar data på vårt uppdrag):
| Tjänst | Ändamål | Land | Skyddsåtgärd |
|---|---|---|---|
| Supabase Inc. | Databas & autentisering | EU (Stockholm) | EU-hosting, GDPR Art. 44 uppfyllt |
| Stripe Inc. | Betalningar & utbetalningar | USA / EU | SCCs + EU-US Data Privacy Framework, PCI DSS Level 1 |
| Google LLC (Firebase) | Push-notifikationer | USA | EU Standard Contractual Clauses (SCCs) + EU-US Data Privacy Framework (DPF) |
| Mapbox Inc. | Kartrendering | USA | SCCs |
| Vercel Inc. | Webbhosting & anonymiserad webbanalys | USA | SCCs. Vercel Analytics samlar INTE in personuppgifter ”” ingen cookie används |
Vi säljer aldrig dina personuppgifter till tredje part.
Andra mottagare:
- Brottsbekämpande myndigheter: Vid lagstadgad skyldighet eller vid misstänkt brott, i enlighet med § 12 i Användarvillkoren
- Skatteverket: Vid misstänkt skatteflykt
6. Hur länge sparar vi data?
| Datakategori | Lagringstid | Grund |
|---|---|---|
| Kontouppgifter (namn, e-post) | Kontots livslängd + 12 månader | Berättigat intresse |
| Transaktionshistorik | 7 år | Bokföringslagen |
| Chatmeddelanden | 12 månader efter avslutat jobb | Berättigat intresse (bevis) |
| Säkerhetsloggar (IP, inloggningar) | 12 månader | Berättigat intresse (bedrägeribekämpning) |
| ID-dokument | Max 30 dagar efter verifiering | Proportionalitetsprincipen |
| Anmälningsärenden | 3 år (eller längre vid rättslig process) | Berättigat intresse |
| Föräldrasamtycke (minderåriga) | Tills kontot raderas + 12 månader | Rättslig förpliktelse |
| Konton under rättslig prövning | Tills prövningen avslutas | Berättigat intresse / rättsligt krav |
7. Dina rättigheter (GDPR)
Enligt GDPR har du rätt att:
- Tillgång (Art. 15): Begär en kopia av dina uppgifter
- Rättelse (Art. 16): Korrigera felaktiga uppgifter
- Radering (Art. 17): Rätten att bli glömd ”” se kora.nu/radera-konto
- Begränsning (Art. 18): Stoppa viss behandling
- Dataportabilitet (Art. 20): Exportera dina data i maskinläsbart format
- Invändning (Art. 21): Mot behandling baserad på berättigat intresse eller profilering
- Återkalla samtycke: När som helst utan att det påverkar lagligheten av tidigare behandling
Kontakta oss på info@kora.nu för att utöva dina rättigheter. Vi svarar inom 30 dagar.
8. Säkerhet
- Kryptering i transit och i vila (TLS 1.3 / AES-256)
- Säker autentisering via OTP (engångslösenord)
- Row Level Security (RLS) i Supabase ”” varje användare ser bara sina egna uppgifter
- Regelbundna säkerhetskontroller
- Begränsad åtkomst för medarbetare (principle of least privilege)
9. Personuppgiftsincidenter (dataintrång)
Vid en personuppgiftsincident som sannolikt innebär risk för dina rättigheter och friheter följer Hejnord AB följande process:
- Inom 72 timmar: Hejnord AB notifierar Integritetsskyddsmyndigheten (IMY) i enlighet med GDPR Art. 33
- Utan onödigt dröjsmål: Berörda användare notifieras om incidenten sannolikt innebär hög risk för deras rättigheter (GDPR Art. 34)
- Notifikationskanal: Via e-post och/eller push-notis i appen
10. Säkerhetsloggning och bevisbevarning
Hejnord AB sparar tekniska säkerhetsloggar innehållande IP-adresser, inloggningstidsstämplar och sessions-ID i 12 månader. Denna behandling grundas på berättigat intresse (Art. 6(1)(f)) och syftar till att:
- Förebygga och utreda bedrägerier och missbruk
- Möjliggöra samarbete med brottsbekämpande myndigheter vid misstänkt brott
- Skydda andra användares säkerhet på plattformen
Du har rätt att invända mot denna behandling. En sådan invändning kan dock innebära att vi inte kan tillhandahålla Tjänsten till dig.
11. Tillsynsmyndighet
Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vi hanterar dina uppgifter felaktigt.
12. Företag som Självständiga Personuppgiftsansvariga
Verifierade företag med aktiv Pro- eller Enterprise-prenumeration på Köra kan se begränsade profiluppgifter om Kandidater som valt att vara synliga för företag. I dessa fall agerar Företaget som självständig personuppgiftsansvarig för den data de tar del av — Köra är personuppgiftsbiträde.
Vad Företag kan se
Företag kan se: förnamn, efternamn, profilfoto (om uppladdad), stad/ort, färdigheter och kategorier, betyg (aggregerat snitt), XP-nivå, antal genomförda uppdrag och tillgänglighetsstatus.
Företag kan inte se: telefonnummer, personnummer, exakt hemadress, bankkonto- eller betalningsuppgifter, ID-handlingar. E-postadress visas enbart om Kandidaten accepterat en jobbansökan eller inbjudan.
Ditt val att vara synlig
Du styr om ditt konto är synligt för verifierade företag via inställningen "Visa min profil för företag" i appen under Inställningar → Sekretess. Standardinställning är att profilen är synlig. Du kan stänga av synligheten när som helst — ändringen träder i kraft omedelbart.
Hur vi reglerar företagens hantering
Alla företag tecknar ett Personuppgiftsbiträdesavtal (DPA) med Hejnord AB vid registrering. DPA:n förbjuder vidareförsäljning av data, otillåten profilering och kräver radering av kandidatdata inom 30 dagar efter att rekryteringsbehovet upphört. Läs mer: kora.nu/dpa.
Rätt att se vilka företag som tagit del av din profil
Du har rätt att begära information om vilka verifierade företag som tagit del av din profil. Kontakta oss på info@kora.nu.
© 2026 Hejnord AB. Alla rättigheter förbehållna. Integritetspolicy v2.1