Sekretessprincip för app
Status: Mars 2026
Viktigt meddelande – Översättning
Denna text är en maskinöversättning som tillhandahålls för din bekvämlighet. Det är inte juridiskt bindande.
De juridiskt bindande versionerna av denna sekretesspolicy finns på:
Tyska – för användare vars appspråk är inställt på tyska: alma-app.eu/datenschutz
engelska – för alla andra användare: alma-app.eu/privacy
Om något i denna översättning skiljer sig från den tyska eller engelska versionen, gäller den tillämpliga bindande versionen. Om du är osäker på vilken version som gäller för dig, gäller den engelska versionen.
Nyckelfakta i korthet
Vem jag är: Bastian Matzen / Alma Softwareentwicklung (Enskild firma), Kienitzer Str. 113, 12049 Berlin, Tyskland. Kontakt: privacy@alma-app.eu | www.alma-app.eu
Dina data hos mig:
✅ Säker: Krypterad lagring endast inom EU (Frankfurt am Main).
✅ Privat: Ingen dataöverföring till tredje part (förutom till dina nödkontakter i en nödsituation).
✅ Frivillig: Hälsodata och många andra detaljer är helt valfria.
✅ Kontrollerad: Du kan se, ändra eller ta bort allt när som helst.
✅ Transparent: Ingen dold datanvändning, ingen försäljning av dina data.
Dina rättigheter: Åtkomst, rättelse, radering, dataportabilitet, invändning, återkallande av samtycke – allt möjligt när som helst.
Klagomål kan lämnas till: Berlins dataskyddansvarig och frihetsinformationsstyrelse (datenschutz-berlin.de). Användare i EES kan också kontakta tillsynsmyndigheten i sitt hemland. Användare i Förenade kungariket kan kontakta Information Commissioner’s Office (ico.org.uk). Användare i Schweiz kan kontakta Federal Data Protection and Information Commissioner (FDPIC).
1. Personuppgiftsansvarig och kontakt
Jag är personuppgiftsansvarig för databehandling i samband med Alma-appen, i den mening som avses i General Data Protection Regulation (GDPR), UK General Data Protection Regulation (UK GDPR), Schweiz Federal Data Protection Act (FADP/DSG) och andra tillämpliga dataskyddslagar:
Bastian Matzen Alma Softwareentwicklung (Enskild firma) Kienitzer Str. 113 12049 Berlin Tyskland
Kontaktmöjligheter För sekretessfrågor (föredraget): privacy@alma-app.eu
För teknisk support: support@alma-app.eu
Webbplats: www.alma-app.eu
1a. Representant i Förenade kungariket
I enlighet med artikel 27 i UK GDPR har vi utsett följande representant i Förenade kungariket för dataskyddsfrågor:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Översikt över appen och dess funktioner
Alma är en personlig säkerhets- och kommunikationsapp med två huvudfunktioner:
2.1 Alma Safety Net (endast med Connect+ abonnemang)
Automatiska säkerhetskontroller vid definierade tidsfönster.
Automatisk avisering av dina nödkontakter om en incheckning missas.
Valfri överföring av plats- och hälsoinformation i en nödsituation.
2.2 Alma Moments (gratis)
Socialt nätverk för att dela stunder med upp till 30 kontakter.
Automatisk inlägg i den sociala flödet om en incheckning missas (om den är aktiverad).
Ömsesidig bekräftelse av vänskapen krävs.
2.3 Minsta ålder
Användning av Alma App är tillåten för personer 16 år och äldre. Personer under 16 år får inte använda appen. Genom registrering bekräftar du att du är minst 16 år gammal.
3. Vilka data behandlas?
3.1 Obligatoriska data vid registrering
För att använda appen behöver jag följande data (Rättslig grund: Art. 6(1)(b) GDPR – Avtalets genomförande):
E-postadress – för kontoskapande, kommunikation och lösenordsåterställning.
Lösenord – lagrat i krypterad form och används för kontosäkerhet.
Förnamn – för personalisering och visning för dina kontakter.
Efternamn – för fullständig identifiering.
3.2 Valfritt profildata
Du kan frivilligt lämna följande data (Rättslig grund: Art. 6(1)(a) GDPR – Samtycke):
Profilbild – för personalisering och sociala funktioner.
Födelsedatum – för åldersverifiering.
Telefonnummer – som alternativ kontaktmetod.
Adress – för nödsituationsinformation.
Biografi – för sociala funktioner.
Stad – för sociala funktioner och sökning.
3.3 Hälsodata (endast Connect+, helt valfri)
Dessa särskilda datakategorier enligt artikel 9 i GDPR behandlas endast med ditt uttryckliga samtycke.
Insamlad data: Blodgrupp, allergier, läkemedel, medicinska tillstånd, husdjur, information om husnyckel, annan information för nödsituation.
Rättslig grund: Art. 9(2)(a) GDPR (Uttryckligt samtycke).
Säkerhet: Denna data lagras med AES-256-kryptering och överförs endast till dina bekräftade nödkontakter i en nödsituation.
3.4 Platsdata (valfritt)
Platsspårning är helt valfritt och kan fungera i tre lägen (Rättslig grund: Art. 6(1)(a) GDPR – Samtycke):
Spara vid incheckning – Platsen fångas manuellt endast vid incheckning.
Skicka alltid – Platsen uppdateras i bakgrunden. Tekniskt sett sparas endast den senast kända platsen; den tidigare skrivs över.
Inaktiverad – Ingen plats fångas eller delas.
Obs: Platsdata raderas automatiskt efter 30 dagars inaktivitet.
3.5 Incheckningsdata
Under incheckningar fångas följande data:
Incheckningstid – för säkerhetstövervakning (Retention: 90 dagar för Connect+).
Enhetsinformation – för felanalys (Retention: 90 dagar).
Senast känd plats – för aviseringar om nödsituation (Retention: max. 30 dagar, skrivs över).
3.6 Sociala data (Alma Moments)
Vid användning av sociala funktioner behandlas följande data: Inlägg (text, bilder, videor), kommentarer, gillningar, anslutningar och stämningsmojis.
Rättslig grund: Art. 6(1)(b) GDPR (Genomförande av avtal för att tillhandahålla sociala funktioner) och Art. 6(1)(a) GDPR (för frivilligt innehål).
3.7 Tekniska data
Följande tekniska data behandlas för appens drift:
Enhetstyp och OS – för appoptimering och felanalys (Rättslig grund: Art. 6(1)(f) GDPR).
Appversion – för support och uppdateringar (Rättslig grund: Art. 6(1)(f) GDPR).
FCM Token – för push-meddelanden (Rättslig grund: Art. 6(1)(b) GDPR).
Tidszon – för korrekt incheckningstid (Rättslig grund: Art. 6(1)(b) GDPR).
Serverloggfiler – för infrastruktursäkerhet och försvar mot attacker (Rättslig grund: Art. 6(1)(f) GDPR).
3.8 Marknadsföringskommunikation (valfritt)
Endast om du har lämnat samtycke under registrering eller senare i inställningarna genom att markera rutan kommer jag att behandla din e-postadress och namn för att skicka tips, appnyheter och uppdateringar (nyhetsbrev).
Rättslig grund: Art. 6(1)(a) GDPR (Samtycke).
Avsluta prenumeration: Du kan avsluta prenumerationen när som helst via länken för att avsluta prenumeration i varje e-postmeddelande eller i appens meddelandeinställningar. Återkallelse av samtycke påverkar inte lagligheten av behandling baserad på samtycke före återkallelsen.
4. Ändamål för databehandling
Jag behandlar dina data för följande ändamål:
Kontraktuppfyllelse (Art. 6(1)(b) GDPR): Tillhandahållande av appen, incheckningar, aviseringar, prenumerationshantering.
Samtycke (Art. 6(1)(a) GDPR): Hälsodata, platsdelning, valfri profilinformation, marknadsföring.
Legitima intressen (Art. 6(1)(f) GDPR): Bedrägeriförebyggande, teknisk säkerhet, felsökning.
Rättsliga skyldigheter (Art. 6(1)(c) GDPR): Uppbevaringskrav, ansökningar från myndigheter.
Obs om automatiserad beslutsfattning: Ingen automatiserad beslutsfattning eller profilering i den mening som avses i art. 22 GDPR som orsakar juridiska effekter för dig. Larmets utlösning bygger helt på tidsfönster och regler (If-Then-logik) som definieras av dig personligen.
5. Datamottagare och processorer
5.1 Tjänsteleverantörer
Jag arbetar med följande tjänsteleverantörer för att driva appen:
Google Firebase (Google Ireland Ltd.) – för hosting, databas och autentisering. Plats: Frankfurt am Main (europe-west3). Dataskyddsgaranti: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – för prenumerationshantering (bearbetade data: prenumerationsstatus, inköpstid, pseudonym App User ID, transaktionsmetadata). Plats: USA (AWS). Dataskyddsgaranti: EU Standard Contractual Clauses (SCCs), DPA. För överföringar från Förenade kungariket: UK International Data Transfer Agreement (IDTA) eller UK Addendum till EU SCCs. För överföringar från Schweiz: efterlevnad av FADP/DSG-kraven.
Mailgun (Sinch) – för e-postleverans. Plats: EU. Dataskyddsgaranti: DPA, GDPR-kompatibel.
Algolia – för användarsökning. Plats: EU. Dataskyddsgaranti: DPA, GDPR-kompatibel.
5.2 Villkorad dataöverföring (meddelandekanaler)
Överföring till dessa tjänster sker endast om din nödkontakt uttryckligen väljer dessa kanaler:
Meta (WhatsApp Cloud API) – endast om WhatsApp väljs av kontakten. Meta är certifierad enligt EU-US Data Privacy Framework. För överföringar från Förenade kungariket gäller även UK Extension till EU-US DPF.
Telegram – Telegram används endast om din nödkontakt aktivt väljer denna kanal själv. I det här fallet samtycker din kontakt direkt till databehandling av Telegram (potentiellt på servrar utanför EU).
5.3 Ingen dataöverföring till tredje part
Dina data säljs inte.
Ingen överföring för tredjepartannonseringssyften.
Ingen överföring till datamäklare.
Undantag: Dina nödkontakter får den information du har gett ut i en nödsituation.
6. Datalagring och radering
6.1 Lagringsplats
All data lagras i första hand inom Europeiska unionen (Frankfurt am Main, Google Cloud-region europe-west3).
6.2 Lagringstid och automatisk radering
Incheckningshistorik: Raderas automatiskt efter 90 dagar.
Platsdata: Raderas automatiskt efter 30 dagars inaktivitet (eller skrivs kontinuerligt över).
Serverloggfiler: Raderas automatiskt efter 90 dagar (för felanalys/försvar mot attacker).
Inbjudningslänkar: Raderas automatiskt efter 7 dagar.
Hälsodata: Radering efter 12 månaders inaktivitet.
Kontouppgifter: Radering efter 24 månaders inaktivitet.
Påminnelser före inaktivitetsradering:
Efter 12 månaders inloggning: Automatisk radering av hälsodata; påminnelsee-postmeddelande skickat.
Efter 13 månaders utan svar: Ytterligare en påminnelse.
Efter 23 månaders inaktivitet: Slutligt varningsmeddelande.
Efter 24 månaders utan svar: Fullständig kontoborttagning.
Undantag för aktiva prenumerationer: Så länge en betald Connect+-prenumeration är aktiv, sker ingen automatisk inaktivitetsradering.
Fakturadata: Fakturadata (namn, adress, transaktionsinformation) lagras i 10 år i enlighet med skattemässiga bevaringskrav (§ 147 AO). Dessa data förvaras separat från användardata.
Borttagna konton tas bort permanent och oåterkalleligt efter en nådperiod på 30 dagar.
Viktigt: Efter begäran om kontoborttagning upphör användningen omedelbar. Från denna punkt kommer inga incheckningspåminnelser, larm eller andra aviseringar att utlösas – varken för dig eller för dina nödkontakter. Dessutom kommer din profil i Alma Moments inte längre att vara synlig. Den slutliga fysiska raderingen av all data sker efter nådperioden på 30 dagar.
7. Datasäkerhet
Jag använder moderna säkerhetsstandarder:
Kryptering: TLS 1.2+ för dataöverföring (Transit) och lagring på AES-256-krypterade servrar (At Rest) för känslig data.
Åtkomstkontroll: Firebase Security Rules, strikt autentisering.
Appsäkerhet: Firebase App Check, valfritt biometriskt skydd (Connect+), separat inställningslås.
8. Dina rättigheter
Du har följande rättigheter när som helst (enligt Art. 15-21 GDPR):
Åtkomst och dataexport: I appen under Inställningar → Sekretess.
Rättelse: Du kan redigera all profil- och hälsodata själv i appen.
Radering: Du kan radera individuell data eller ditt helt konto direkt i appen.
Begränsning av behandlingen (Art. 18 GDPR): Du kan begära begränsning av behandlingen, till exempel om du bestrider riktigheten av dina data eller om behandlingen är olaglig.
Återkallelse av samtycke: Du kan återkalla samtycket (t.ex. plats, hälsodata, marknadsföring) när som helst i inställningarna. Återkallelsen påverkar inte lagligheten av behandlingen som utfördes före återkallelsen.
Rätt att göra invändning (Art. 21 GDPR): Om databehandling baseras på legitima intressen (Art. 6(1)(f) GDPR) har du rätt att invända när som helst av skäl som uppstår från din särskilda situation.
Rätt att lämna ett klagomål: Du kan kontakta den behöriga dataskyddsmyndighetens tillsynsmyndighet. För användare i Tyskland är det Berlins dataskyddansvarig och frihetsinformationsstyrelse (datenschutz-berlin.de). Användare i Europeiska ekonomiska samarbetsområdet (EES) kan kontakta tillsynsmyndigheten i sitt hemland, arbetsland eller landet för den påstådda överträdelsen. En lista över tillsynsmyndigheter är tillgänglig på edpb.europa.eu. Användare i Förenade kungariket kan kontakta Information Commissioner’s Office (ICO): ico.org.uk. Användare i Schweiz kan kontakta Federal Data Protection and Information Commissioner (FDPIC): edoeb.admin.ch.
9. Särskilda behandlingssituationer
9.1 Aviseringar om nödsituation (endast Connect+)
I fall av en missad incheckning kommer dina nödkontakter att aviseras. Endast de data du har lagrat i din profil och auktoriserat för utlämnande (t.ex. plats, hälsoinformation) kommer att överföras. Rättslig grund:
Art. 6(1)(b) GDPR (Avtalets genomförande)
Art. 9(2)(a) GDPR (Uttryckligt samtycke för hälsodata)
Supplementärt Art. 9(2)(c) GDPR (Skydd av vitala intressen), för att säkerställa fysisk integritet i en nödsituation.
9.2 Bjuda in nödkontakter
För att skydda integriteteten hos tredje parter anger du inte kontaktuppgifterna för andra personer direkt i appen.
Länkskapande: Du genererar en personlig inbjudningslänk i appen.
Skicka: Du skickar denna länk till din betrodda person via en kanal du väljer (t.ex. WhatsApp, e-post).
Registrering: Din betrodda person öppnar länken och registrerar självständigt sina kontaktuppgifter och önskad meddelandekanal. Så länge länken inte används sparas inga data om dina kontakter. Oanvända länkar upphör efter 7 dagar.
9.3 Du som nödkontakt
Om du accepterar en inbjudan samtycker du till att dina tillhandahållna kontaktuppgifter (namn, e-post/telefon/handtag) lagras för nödsituationsaviseringsändamål. Du kan avsluta prenumerationen när som helst via en opt-out-länk i meddelandena.
9.4 Fjärrinstallation (Connect+)
Du kan tillfälligt ge en betrodd person åtkomst (via en genererad kod) för att ställa in appen för dig och hantera inställningar. Efter att du är ansluten förblir denna åtkomst tills du återkallar den i appen. För din säkerhet loggas alla ändringar som görs av den betrodda personen (revisionslogg).
Rättslig grund: Art. 6(1)(b) GDPR (Avtalets genomförande, funktion initierad av användaren).
10. Autentisering från tredje part
Google Sign-In: Överförda data inkluderar e-post, namn, profilbild. (Sekretess: policies.google.com/privacy)
Apple Sign-In: Överförda data inkluderar e-post (eller reläadress) och namn. (Sekretess: apple.com/legal/privacy)
11. Push-meddelanden
Jag använder push-meddelanden för incheckningspåminnelser, larm och social interaktion.
Rättslig grund: Art. 6(1)(b) GDPR (för kontraktuella funktioner som larm) och Art. 6(1)(f) GDPR (för sociala notiser).
Kontroll: Du kan hantera de flesta meddelandetyper i appinställningarna. Kritiska säkerhetsmeddel ning är en del av kärntjänsten.
12. Analys och felsökning
12.1 Firebase Analytics
Jag använder Firebase Analytics i en dataminimerad konfiguration för att säkerställa appstabilitet och åtgärda fel.
Sekretesskydd: Inga annonser-ID:n (IDFA/AAID) samlas in. IP-anonymisering är aktiverad.
Syfte: Anonymiserad krasched och användningsstatistik för teknisk optimering.
Rättslig grund: Art. 6(1)(f) GDPR (Berättigat intresse av felfriaåtgärd och säkerhet för appen).
12.2 Firebase Crashlytics
Om appen kraschar skickas tekniska detaljer (stackspår, enhetsinformation) för att åtgärda felet. Inga direkt identifierande data lagras i kraschraporten.
12.3 ePrivacy och elektronisk kommunikation
Åtkomst till vissa enhetsfunktioner och lagring av teknisk information på enheten (t.ex. FCM-tokens) kan omfattas av nationell lagstiftning som implementerar ePrivacy-direktivet (2002/58/EC). I Förenade kungariket gäller bestämmelserna om sekretess och elektronisk kommunikation från 2003 (PECR). I Schweiz gäller bestämmelserna i Telekommunikationslagen (TCA/FMG). Där samtycke krävs enligt tillämplig lag inhämtas det före relevant åtkomst.
13. Ändringar av denna sekretesspolicy
Jag förbehåller mig rätten att ändra denna sekretesspolicy. Vid väsentliga ändringar kommer du att underrättas via appen eller e-post. Den aktuella versionen är alltid tillgänglig i appen och på webbplatsen.
14. Internationell dataöverföring
Primär datalagring sker inom Europeiska unionen (Frankfurt am Main). Där data överförs till tjänsteleverantörer utanför EES (se avsnitt 5) förlitar jag mig på följande skyddsmekanismer:
EU-US Data Privacy Framework (DPF): För överföringar till USA-baserade företag som är certifierade enligt DPF (t.ex. Google, Meta).
EU Standard Contractual Clauses (SCCs): För överföringar till företag som inte är certifierade enligt DPF (t.ex. RevenueCat).
För överföringar från Förenade kungariket: Jag använder UK International Data Transfer Agreement (IDTA) eller UK Addendum till EU SCCs, samt UK Extension till EU-US DPF, där tillämpligt.
För överföringar som involverar Schweiz: Jag följer kraven i Schweiz Federal Data Protection Act (FADP/DSG), inklusive erkännande av adequacybeslut från det federala rådet och användning av standardavtalsklausuler där så krävs.
För mer information om enskilda tjänsteleverantörer, se avsnitt 5.
15. Användare utanför EU/EES, Förenade kungariket och Schweiz
För användare i länder som inte omfattas av GDPR, UK GDPR eller Swiss FADP tillämpar leverantören samma tekniska och organisatoriska åtgärder som för användare inom GDPR-tillämpningsområdet. Obligatoriska dataskyddsbestämmelser i användarens hemland förblir opåverkade.
16. Kontakt
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
Email: privacy@alma-app.eu
Webbplats: www.alma-app.eu