Kaprifol
Spela på riktigt

Sekretesspolicy

Denna policy beskriver hur Kaprifol samlar in, använder och skyddar dina personuppgifter. Den uppfyller GDPR, ePrivacy-direktivet och svensk spellag. Personuppgiftsansvarig: Kaprifol Services Limited (C 109228).

Senast uppdaterad: 15 april 2026

Data vi samlar in

Som licensierat spelbolag krävs att vi samlar in viss data. Andra uppgifter samlas in för att leverera tjänsten eller förbättra säkerheten. Nedan sex datakategorier med rättslig grund.

KategoriUppgifterRättslig grund
IdentitetsdataPersonnummer, fullständigt namn, folkbokföringsadress — via BankID-verifiering.Spellagen (2018:1138) + penningtvättslagen
KontaktdataE-postadress och mobilnummer som du anger vid registrering.Avtalsuppfyllelse
Finansiella dataInsättnings- och uttagshistorik, betalningsmetod, bankkontonummer (hashat), transaktionsbelopp.Avtalsuppfyllelse + penningtvättslagen
SpelhistorikSpelade spel, insatser, vinster, förluster, session­tidsstämplar.Spellagen + licensvillkor
Teknisk dataIP-adress, enhetsidentifikator, webbläsartyp, operativsystem, geolocation (land/region).Berättigat intresse + säkerhet
KommunikationChatt- och e-postkorrespondens med support, inspelade telefonsamtal (om du ringer).Avtalsuppfyllelse + förbättring av tjänst

Hur vi använder data

Data används för sex ändamål: kontoadministration, transaktionshantering, regelefterlevnad (AML/KYC/spellagen), säkerhet och bedrägeribekämpning, kundsupport, och — med separat samtycke — marknadsföring.

Vi använder inte personuppgifter för automatiserat beslutsfattande eller profilering i marknadsföringssyfte utan ditt uttryckliga samtycke. Spelbeteende­analys används endast för att upptäcka problematiskt spel enligt licensvillkor.

Delning med tredje parter

Personuppgifter säljs aldrig. Delning sker endast med följande kategorier av mottagare under dataöverföringsavtal (DPA):

  • Betalnings­leverantörer — Swish, Trustly, banktjänster — för att behandla insättningar och uttag
  • Spelleverantörer — Pragmatic Play, NetEnt, Evolution m.fl. — begränsat till session-ID och insats data
  • Tillsynsmyndighet — Spelinspektionen — vid begäran, tillsyn eller misstänkt regelbrott
  • Polis och andra myndigheter — endast vid lagligt krav (domstolsbeslut, AML-rapportering)
  • IT-tjänste­leverantörer — molnhosting (AWS Stockholm), säkerhetsövervakning — inom EU, under DPA

Lagringstider

Lagringstider följer bokföringslagen, penningtvättslagen och spellagen. Kortare tider gäller endast för data utan rättsligt krav.

PeriodVad vi behåller
5 år efter kontoavslutIdentitetsdata, finansiella transaktioner, spelhistorik — enligt bokföringslagen och penningtvättslagen
12 månaderTekniska loggar (IP, session-ID, webbläsardata) — endast för säkerhets- och felsökningsändamål
24 månaderMarknadsförings­samtycke och preferensinställningar — om du inte återkallar tidigare
PermanentKonton markerade med Spelpaus — raderas inte förrän Spelpaus-perioden löper ut

Dina rättigheter enligt GDPR

Du har sex rättigheter enligt GDPR. Begäran hanteras av vårt dataskyddsombud inom 30 dagar. Vid komplexa förfrågningar kan svarstiden förlängas till 60 dagar — du meddelas i så fall.

Rätt till tillgång

Begär en kopia av all data vi har om dig. Levereras i maskinläsbart format (CSV/JSON) inom 30 dagar.

Rätt till rättelse

Be oss korrigera felaktig data. Adressändringar kräver BankID-verifiering.

Rätt till radering

Begär att dina data raderas. Begränsas av lagstadgade bevarandeperioder (5 år för bokföring).

Rätt till dataportabilitet

Få dina data överförda direkt till annan tjänsteleverantör i strukturerat format.

Rätt att återkalla samtycke

Återkalla marknadsföringssamtycke när som helst i kontoinställningar eller via mejl.

Rätt att klaga

Kontakta Integritetsskyddsmyndigheten (IMY) — imy.se — om du inte är nöjd med vårt svar.

Säkerhet och kryptering

All trafik krypteras med TLS 1.3. Personuppgifter lagras krypterade (AES-256) i svenska datacenter. Känsliga fält som personnummer hashas innan loggning. Åtkomst till data är rollbaserad — varje anställd har minsta nödvändiga behörighet.

Vi genomför penetrationstester årligen av extern säkerhetsfirma. Incidentrapportering till IMY sker inom 72 timmar vid personuppgiftsincident.

Cookies

Vi använder strikt nödvändiga, funktionella, analytiska och — efter samtycke — marknadsförings­cookies. Fullständig beskrivning i vår cookie-policy.

Kontakta dataskyddsombudet

Vårt DPO (Data Protection Officer) svarar på alla GDPR-relaterade frågor — tillgång, rättelse, radering, dataportabilitet, klagomål.

Kontakt

[email protected] · Svar inom 72 timmar

Vid klagomål har du också rätt att vända dig till Integritetsskyddsmyndigheten: imy.se