Dataskyddsbeskrivning
Gäller från 28.5.2026 · ersätter versionen från 19.4.2026 · EU:s allmänna dataskyddsförordning (GDPR), artiklarna 13 och 14
1. Personuppgiftsansvarig
Mikko Mäkipää
2. Personuppgifter som behandlas och ändamålet med behandlingen
Vi behandlar endast uppgifter om registrerade användare (vårdnadshavare). Barn som använder tjänsten för övning har inga användarkonton och inga personuppgifter om dem lagras.
| Uppgift | Ändamål med behandlingen | Rättslig grund |
|---|---|---|
| Namn | Identifiering av användarkontot | Fullgörande av avtal (art. 6(1)(b)) |
| E-postadress | Inloggning och kontakt | Fullgörande av avtal (art. 6(1)(b)) |
| Skola / kommun | Rikta övningsinnehåll till rätt skola | Fullgörande av avtal (art. 6(1)(b)) |
| Krypterad API-nyckel (OpenAI / Anthropic) | Generering av AI-frågor med användarens eget konto | Fullgörande av avtal (art. 6(1)(b)) |
| Vårdnadshavarens tilläggsanvisningar (parent notes) | Anpassning av frågeserien — lagras som metadata för frågeserien, används inte för profilering av användaren | Fullgörande av avtal (art. 6(1)(b)) |
| Inloggningstid och sessionsuppgifter | Informationssäkerhet och förebyggande av missbruk | Berättigat intresse (art. 6(1)(f)) |
Dataminimering för barn: Inga personuppgifter samlas in eller lagras om barn som använder tjänsten för övning. Barn skapar inte användarkonton och deras prestationer kopplas inte till deras identitet. Vårdnadshavarens tilläggsanvisningar beskriver ämnen som ska övas, inte barnets personliga uppgifter.
Anonym elevprofil och lagring av framsteg
När ett barn spelar övningar skapar tjänsten en anonym elevprofil så att märken, resultat och övningsrytm bevaras även när webbläsaren stängs eller enheten byts. Profilen kopplas inte till barnets identitet.
Profilen består av två delar:
- Identifieringsuppgifter (tabellen
student_profiles): en slumpmässig UUID, ett hashvärde av en människoläsbar kod (t.ex. SININEN-KARHU-42), den visade koden samt tider för när profilen skapades och användes. Posten innehåller inget namn, ingen e-postadress, ingen skolinformation eller annan uppgift som hänvisar till barnet. Den människoläsbara koden lagras endast som hash, så den ursprungliga koden finns bara på barnets egen enhet. - Framstegsuppgifter (tabellen
student_progress): genomförda övningsomgångar, personliga rekord, upplåsta märken och tidpunkter då märken låstes upp, pågående och genomförda skolutmaningar, lista över övningsdagar, sparade felbanker (på fråga-svar-nivå) och ämnesspecifik kunskapsnivå.
Profilens kod lagras endast i barnets egen webbläsare (localStorage). Barnet kan flytta sina framsteg till en annan enhet genom att ange samma kod i tjänstens funktion Importera framsteg. Profilen som lagras på servern kan inte kopplas till barnet utan denna kod, och tjänsteleverantören kan inte återställa koden om den försvinner.
Rättslig grund: Behandlingen grundar sig på ett berättigat intresse som gäller användningen av tjänsten (art. 6(1)(f)). Vår bedömning är att den anonyma profilen inte bildar ett personregister eftersom uppgifterna inte med rimliga medel kan kopplas till ett enskilt barn utan den kod som barnet själv har (jfr EU-domstolen C-582/14, Breyer). Vi tillämpar ändå försiktighetsprincipen och behandlar profilerna med samma omsorg som personuppgifter.
Lagringstid: Anonyma elevprofiler och tillhörande framstegsuppgifter lagras högst 2 år efter den senaste användningen, varefter de raderas automatiskt.
Radering före lagringstidens slut: Barnet eller vårdnadshavaren kan tömma profilen på den egna enheten genom att radera webbläsardata. Radering av en profil som lagrats på servern kan begäras genom att kontakta supporten och lämna profilens kod.
3. Lagringstid för uppgifter
Personuppgifter lagras så länge användarkontot är aktivt. När kontot raderas tas följande omedelbart bort:
- användarkontot och inloggningsuppgifterna,
- skoluppgifterna,
- den krypterade API-nyckeln.
Övningsinnehåll (frågeserier, ämnen) kan finnas kvar i tjänsten även efter att kontot har raderats, om samma innehåll är tillgängligt för andra användare. Den rättsliga grunden för lagringen är berättigat intresse (art. 6(1)(f)) — övningsinnehåll innehåller inte personuppgifter.
4. Mottagare av personuppgifter och överföringar
Vi säljer eller lämnar inte ut dina uppgifter till tredje parter för marknadsföringsändamål.
Vi använder följande underleverantörer som personuppgiftsbiträden:
| Underleverantör | Roll | Plats för uppgifterna |
|---|---|---|
| Supabase Inc. | Databas- och autentiseringstjänst | EU (Irland, AWS eu-west-1) |
| Vercel Inc. | Applikationsserver och webbinfrastruktur | USA (edge-noder globalt) — överföringen grundar sig på EU:s standardavtalsklausuler (SCC, beslut 2021/914) |
| OpenAI / Anthropic | AI-tjänst (användarens egen API-nyckel) | USA – användaren ingår själv avtal med tjänsteleverantören |
För OpenAI och Anthropic vidarebefordrar Provkompis begäranden med användarens egen API-nyckel till servrar i USA. Överföringen sker med stöd av respektive tjänsteleverantörs egna standardavtalsklausuler; användaren står dessutom själv i avtalsförhållande till dessa tjänsteleverantörer enligt deras tjänstevillkor. Provkompis ansvarar inte för dessa tjänsteleverantörers självständiga personuppgiftsbehandling.
I övrigt överförs uppgifter inte utanför EU/EES.
5. Den registrerades rättigheter
Du har rätt att:
- Få tillgång till uppgifter (art. 15): få information om de uppgifter som gäller dig.
- Begära rättelse (art. 16): korrigera felaktiga eller bristfälliga uppgifter.
- Begära radering (art. 17): begära att dina uppgifter raderas (”rätten att bli bortglömd”).
- Begränsa behandling (art. 18): begära att behandlingen begränsas under vissa förutsättningar.
- Dataportabilitet (art. 20): få dina uppgifter i maskinläsbart format.
- Invända mot behandling (art. 21): invända mot behandling som grundar sig på berättigat intresse.
Skicka begäranden som gäller dina rättigheter per e-post till den personuppgiftsansvariga. Vi svarar på begäranden inom de 30 dagar som GDPR kräver. Vid begäranden om dataportabilitet lämnar vi uppgifterna i maskinläsbart format (JSON eller CSV). API-nyckeln kan av säkerhetsskäl inte returneras i klartext.
Du har också rätt att lämna in ett klagomål till dataombudsmannens byrå (tietosuoja.fi), om du anser att dina uppgifter har behandlats lagstridigt.
6. Informationssäkerhet
API-nycklar lagras krypterade i Supabase Vault och kan inte läsas tillbaka i klartext via tjänsten. All datatrafik sker med TLS-skydd. Användarautentisering hanteras med Supabase Auth.
En personuppgiftsincident anmäls till dataombudsmannen inom 72 timmar efter att incidenten upptäckts samt till de registrerade på det sätt som artikel 34 i GDPR kräver, om incidenten sannolikt medför en hög risk för deras rättigheter och friheter.
7. Cookies och spårningsuppgifter
Tjänsten använder endast cookies som behövs för sessionshantering (Supabase Auth). Vi använder inte analys- eller annonscookies från tredje part.
8. Ändringar i dataskyddsbeskrivningen
Vi kan uppdatera denna beskrivning när tjänsten utvecklas. Väsentliga ändringar meddelas de registrerade per e-post eller genom ett meddelande i tjänsten innan ändringarna träder i kraft.
9. Kontaktuppgifter
Frågor om dataskydd och begäranden om att utöva rättigheter hanteras via tjänstens officiella supportkanaler.