1. Data Controller
Scale Mapper ("we", "us", "our") is the data controller for personal data collected through the Scale Mapper application and website. We are based in Sweden and process personal data in accordance with the General Data Protection Regulation (GDPR) and applicable Swedish law.
Contact: support@scalemapper.com
2. Data We Collect
We collect the minimum data necessary to provide and improve the Service:
- Account data: Name, email address, hashed password
- Profile data: Company name, preferred language, unit system, currency preference
- Project data: Plans, drawings, measurement data, reports, and notes you create within the Service
- Technical data: IP address, browser type, device type, operating system, access logs
- Usage data: Feature interactions, session duration, error logs
- Payment data: Subscription status and billing history. Card details are handled exclusively by Lemon Squeezy — we never see or store your card number.
3. How We Use Your Data
We use your data to:
- Create and manage your account and authenticate your sessions
- Deliver the Service and its features
- Process payments and manage your subscription
- Send transactional emails (registration confirmation, password resets, invoices)
- Respond to your support requests
- Detect, investigate, and prevent fraud, abuse, and security incidents
- Improve the reliability, performance, and features of the Service
We do not use your data for advertising or sell it to third parties.
4. Legal Basis for Processing (GDPR)
| Processing activity | Legal basis |
|---|
| Account creation and authentication | Contract performance (Art. 6(1)(b)) |
| Delivering and maintaining the Service | Contract performance (Art. 6(1)(b)) |
| Payment processing | Contract performance (Art. 6(1)(b)) |
| Security monitoring and fraud prevention | Legitimate interest (Art. 6(1)(f)) |
| Service improvement and analytics | Legitimate interest (Art. 6(1)(f)) |
| Legal compliance (e.g., tax records) | Legal obligation (Art. 6(1)(c)) |
| Marketing communications (opt-in only) | Consent (Art. 6(1)(a)) |
5. Data Retention
We retain your personal data for as long as your account is active or as needed to provide the Service. Specifically:
- Account and profile data: Retained until you delete your account
- Project data: Retained until you delete projects or your account
- Technical and usage logs: Up to 90 days
- Payment and invoicing records: 7 years (legal obligation under Swedish accounting law)
- After account deletion: Personal data is permanently deleted within 30 days. Anonymized or aggregated data may be retained indefinitely.
6. Data Sharing and Sub-processors
We do not sell your personal data. We share data only with trusted service providers that help us operate the Service:
| Provider | Purpose | Location |
|---|
| Supabase | Database, file storage, authentication | EU (AWS eu-north-1) |
| Lemon Squeezy | Payment processing and subscription management | USA |
| Resend | Transactional email delivery | USA |
| Vercel | Website and application hosting | USA / EU |
We may also disclose data to law enforcement or regulatory authorities if required by applicable law or to protect the rights and safety of our users.
7. Your Rights Under GDPR
As a resident of the EU/EEA, you have the following rights regarding your personal data:
Right of access
Request a copy of the data we hold about you.
Right to rectification
Correct inaccurate or incomplete data.
Right to erasure
Request deletion of your personal data ("right to be forgotten").
Right to restriction
Request that we limit how we process your data.
Right to portability
Receive your data in a structured, machine-readable format.
Right to object
Object to processing based on legitimate interest.
To exercise any of these rights, contact us at support@scalemapper.com. We will respond within 30 days. You also have the right to lodge a complaint with the Swedish supervisory authority, Integritetsskyddsmyndigheten (IMY), at imy.se.
8. Cookies and Local Storage
Scale Mapper uses only essential cookies and browser storage. We do not use advertising cookies, tracking pixels, or third-party analytics. The full list is below.
Cookies (stored in your browser)
| Name | Purpose | Duration | Type |
|---|
sb-* | Supabase authentication session. Keeps you signed in. | Until sign-out or session timeout | Strictly necessary |
rp_[token] | Verifies that a visitor has entered the correct password for a password-protected quote link. One cookie per protected link, per device. | 7 days | Strictly necessary |
sm_pending_next | Temporarily stores a redirect destination during email verification, so you land on the right page after confirming your account. | 1 hour (then deleted) | Strictly necessary |
localStorage (stored locally on your device, never sent to our servers)
| Key | Purpose |
|---|
sm-theme | Your dark/light theme preference. |
sm-lang | Your language preference (English or Swedish). |
sm_remember_me | Whether you checked "Remember me" at login. Controls session behaviour. |
sm_heartbeat | Timestamp of last activity, used to detect inactivity and sign you out automatically if your session is idle too long. |
currency, unit-system-store | Your preferred currency and unit system (metric/imperial). |
settings_section_* | Which settings sections you have expanded or collapsed. |
sm-cookie-consent | Records that you have dismissed the cookie notice. |
All cookies listed are strictly necessary or functional preference cookies. Under Swedish law (LEK) and GDPR Recital 47, strictly necessary cookies do not require prior consent. Preference cookies are set only after you interact with the relevant setting.
We do not use tracking cookies, advertising cookies, or any third-party analytics scripts.
9. Security
We take security seriously and implement industry-standard measures to protect your data:
- All data in transit is encrypted via TLS/HTTPS
- Passwords are hashed using bcrypt — we never store plaintext passwords
- Database access is protected by row-level security (RLS) policies
- Storage files are served via signed URLs with short expiry windows
No method of electronic transmission is 100% secure. In the event of a personal data breach, we will notify affected users and the relevant supervisory authority within 72 hours as required by GDPR.
10. International Data Transfers
Some of our sub-processors (Lemon Squeezy, Resend, Vercel) are based in the USA. Where personal data is transferred outside the EU/EEA, we ensure adequate safeguards are in place, such as the EU Standard Contractual Clauses (SCCs) or other approved transfer mechanisms.
11. Children's Privacy
The Service is not directed to persons under the age of 18. We do not knowingly collect personal data from minors. If you believe a minor has provided us with personal data, please contact us and we will delete it promptly.
12. Changes to This Policy
We may update this Privacy Policy from time to time. Material changes will be communicated via email or in-app notification before they take effect. The "Last updated" date at the top of this page reflects the most recent revision.
13. Contact
For privacy-related questions or to exercise your data rights, contact us at support@scalemapper.com or via the contact form.
1. Personuppgiftsansvarig
Scale Mapper ("vi", "oss", "vår") är personuppgiftsansvarig för de personuppgifter som samlas in via Scale Mapper-applikationen och webbplatsen. Vi är baserade i Sverige och behandlar personuppgifter i enlighet med dataskyddsförordningen (GDPR) och tillämplig svensk lag.
Kontakt: support@scalemapper.com
2. Uppgifter vi samlar in
Vi samlar in den minsta mängd data som krävs för att tillhandahålla och förbättra Tjänsten:
- Kontouppgifter: Namn, e-postadress, hashat lösenord
- Profildata: Företagsnamn, föredraget språk, enhetssystem, valutapreferens
- Projektdata: Ritningar, mätningar, rapporter och anteckningar du skapar i Tjänsten
- Teknisk data: IP-adress, webbläsartyp, enhetstyp, operativsystem, åtkomstloggar
- Användningsdata: Funktionsinteraktioner, sessionslängd, felloggar
- Betalningsdata: Prenumerationsstatus och fakturahistorik. Kortuppgifter hanteras uteslutande av Lemon Squeezy — vi ser eller lagrar aldrig ditt kortnummer.
3. Hur vi använder dina uppgifter
Vi använder dina uppgifter för att:
- Skapa och hantera ditt konto samt autentisera dina sessioner
- Leverera Tjänsten och dess funktioner
- Hantera betalningar och din prenumeration
- Skicka transaktionella e-postmeddelanden (registreringsbekräftelse, lösenordsåterställning, fakturor)
- Besvara dina supportärenden
- Upptäcka, utreda och förhindra bedrägeri, missbruk och säkerhetsincidenter
- Förbättra tillförlitligheten, prestandan och funktionerna i Tjänsten
Vi använder inte dina uppgifter för reklam och säljer dem inte till tredje part.
4. Rättslig grund för behandling (GDPR)
| Behandlingsaktivitet | Rättslig grund |
|---|
| Kontoskapande och autentisering | Avtalsprestanda (Art. 6.1 b) |
| Leverans och underhåll av Tjänsten | Avtalsprestanda (Art. 6.1 b) |
| Betalningshantering | Avtalsprestanda (Art. 6.1 b) |
| Säkerhetsövervakning och bedrägeriskydd | Berättigat intresse (Art. 6.1 f) |
| Tjänsteförbättring och analys | Berättigat intresse (Art. 6.1 f) |
| Rättslig efterlevnad (t.ex. bokföring) | Rättslig förpliktelse (Art. 6.1 c) |
| Marknadsföringskommunikation (opt-in) | Samtycke (Art. 6.1 a) |
5. Lagringstid
Vi sparar dina personuppgifter så länge ditt konto är aktivt eller så länge det behövs för att tillhandahålla Tjänsten. Specifikt:
- Konto- och profildata: Sparas tills du raderar ditt konto
- Projektdata: Sparas tills du raderar projekt eller ditt konto
- Tekniska loggar och användningsloggar: Upp till 90 dagar
- Betalnings- och faktureringsunderlag: 7 år (rättslig förpliktelse enligt bokföringslagen)
- Efter kontoborttagning: Personuppgifter raderas permanent inom 30 dagar. Anonymiserade eller aggregerade data kan sparas på obestämd tid.
6. Datadelning och underbehandlare
Vi säljer inte dina personuppgifter. Vi delar data enbart med betrodda tjänsteleverantörer som hjälper oss att driva Tjänsten:
| Leverantör | Ändamål | Plats |
|---|
| Supabase | Databas, fillagring, autentisering | EU (AWS eu-north-1) |
| Lemon Squeezy | Betalningshantering och prenumerationshantering | USA |
| Resend | Leverans av transaktionell e-post | USA |
| Vercel | Webbplats- och applikationshosting | USA / EU |
Vi kan även lämna ut uppgifter till brottsbekämpande myndigheter eller tillsynsorgan om så krävs enligt tillämplig lag eller för att skydda våra användares rättigheter och säkerhet.
7. Dina rättigheter enligt GDPR
Som bosatt inom EU/EES har du följande rättigheter avseende dina personuppgifter:
Rätt till tillgång
Begär en kopia av de uppgifter vi har om dig.
Rätt till rättelse
Rätta felaktiga eller ofullständiga uppgifter.
Rätt till radering
Begär radering av dina personuppgifter ("rätten att bli glömd").
Rätt till begränsning
Begär att vi begränsar hur vi behandlar dina uppgifter.
Rätt till dataportabilitet
Ta emot dina uppgifter i ett strukturerat, maskinläsbart format.
Rätt att invända
Invända mot behandling som grundar sig på berättigat intresse.
För att utöva någon av dessa rättigheter, kontakta oss på support@scalemapper.com. Vi svarar inom 30 dagar. Du har också rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) på imy.se.
8. Cookies och lokal lagring
Vi använder en minimal mängd webbläsarlagring:
- Sessionscookies: Krävs för användarautentisering. Sätts av Supabase och upphör när du loggar ut eller när sessionen löper ut.
- localStorage: Vi sparar din temainställning och språkval lokalt på din enhet. Inga personuppgifter är inblandade.
Vi använder inga spårningscookies, reklamcookies eller tredjepartsanalyscookies. Inget samtyckesmeddelande krävs för enbart sessionscookies enligt lagen om elektronisk kommunikation.
9. Säkerhet
Vi tar säkerhet på allvar och implementerar branschstandardåtgärder för att skydda dina uppgifter:
- All data under överföring krypteras via TLS/HTTPS
- Lösenord hashas med bcrypt — vi lagrar aldrig lösenord i klartext
- Databasåtkomst skyddas av policyer för radnivåsäkerhet (RLS)
- Filer i lagringen serveras via signerade webbadresser med korta utgångstider
Ingen metod för elektronisk överföring är 100 % säker. Vid ett personuppgiftsbrott meddelar vi berörda användare och relevant tillsynsmyndighet inom 72 timmar i enlighet med GDPR.
10. Internationella dataöverföringar
Vissa av våra underbehandlare (Lemon Squeezy, Resend, Vercel) är baserade i USA. När personuppgifter överförs utanför EU/EES säkerställer vi att lämpliga skyddsåtgärder finns på plats, t.ex. EU:s standardavtalsklausuler (SCC) eller andra godkända överföringsmekanismer.
11. Barns integritet
Tjänsten riktar sig inte till personer under 18 år. Vi samlar inte medvetet in personuppgifter från minderåriga. Om du tror att ett barn har lämnat personuppgifter till oss, kontakta oss så raderar vi dem omgående.
12. Ändringar av denna policy
Vi kan uppdatera denna integritetspolicy då och då. Väsentliga förändringar kommuniceras via e-post eller meddelande i appen innan de träder i kraft. Datumet "Senast uppdaterat" längst upp på denna sida återspeglar den senaste ändringen.
13. Kontakt
För integritetsfrågor eller för att utöva dina datarättigheter, kontakta oss på support@scalemapper.com eller via kontaktformuläret.