Version: 0.4 | Datum: 2026-06-02
1. Kort sammanfattning
Bolo Bostadsmarknad AB ("Bolo", "vi") behandlar personuppgifter för att kunna driva bolo.se – en plattform där bostadssökande hittar lediga hyresbostäder och uthyrare hanterar sin uthyrning. Den här policyn förklarar vilka uppgifter vi behandlar om dig, varför, hur länge och vilka rättigheter du har.
Policyn vänder sig till dig som använder tjänsten privat och i egenskap av bostadssökande. Behandling som rör professionella användare regleras separat.
2. Vem är ansvarig för dina uppgifter
Personuppgiftsansvarig för den behandling som beskrivs här är:
Bolo Bostadsmarknad AB
559564-7107
c/o Mindified AB
Hamngatan 4
211 22 Malmö
Kontakt: info@bolo.se
I vissa flöden – framför allt när du skickar in intresseanmälan för en bostad, bokar en visning, chattar med en uthyrare eller laddar upp dokument – delar vi uppgifter med den fastighetsägare eller uthyrare som ansvarar för objektet. Den parten är då självständigt personuppgiftsansvarig för sin egen behandling. Vi rekommenderar att du tar del av deras information separat.
3. När och varför vi behandlar uppgifter om dig
Nedan beskriver vi de olika behandlingar vi gör. För varje del anges ändamål, vilka uppgifter, rättslig grund och hur länge vi sparar uppgifterna.
3.1 Konto, inloggning och annan autentisering
Ändamål. Skapa och administrera ditt konto, verifiera din identitet eller din e-postadress, hålla dig inloggad och ge dig åtkomst till rätt funktioner. Det gäller både när du har ett registrerat konto och när du får åtkomst till en enskild funktion via till exempel en engångslänk eller annan tidsbegränsad inloggningsmetod.
Uppgifter. Vi behandlar de uppgifter som behövs för att identifiera dig, ge dig rätt åtkomst och skydda tjänsten. Det kan till exempel vara din e-postadress, namn och telefonnummer, uppgifter om vald inloggningsmetod, tekniska säkerhetsuppgifter som IP-adress och enhets- eller webbläsarinformation, samt sessions- eller tokenuppgifter med tillhörande tidsstämplar. Personnummer utgör inte en vanlig konto- eller profiluppgift hos Bolo. Om säker identifiering krävs i ett visst flöde kan personnummer dock behandlas tillfälligt, till exempel vid BankID-inloggning eller liknande verifiering.
Rättslig grund. Fullgörande av avtal eller åtgärd på din begäran före avtal (art. 6.1 b GDPR) för att tillhandahålla tjänsten och ge dig åtkomst till efterfrågade funktioner. Berättigat intresse (art. 6.1 f GDPR) för säker autentisering, spårbarhet och skydd mot missbruk.
Lagringstid. Kontouppgifter sparas så länge ditt konto är aktivt. Vid 18 månaders inaktivitet skickas en påminnelse till din e-postadress. Vid 24 månaders inaktivitet raderas eller anonymiseras kontot automatiskt, om vi inte enligt lag måste spara uppgifterna längre. Sessionsuppgifter, engångslänkar och andra tidsbegränsade autentiseringsuppgifter sparas normalt bara så länge de behövs för det aktuella inloggnings- eller åtkomstflödet och raderas eller upphör att gälla därefter.
3.2 Bostadsobjekt
Ändamål. Hantera ditt intresse för ett bostadsobjekt och leverera tjänsten i de delar som rör ansökningar, intresseanmälningar, visningsförfrågningar, chatt och delade underlag. Vi behandlar också uppgifter för att förebygga missbruk och för att kunna följa vårt avtal med dig och de åtaganden som hör till tjänsten.
Uppgifter. Vi behandlar de uppgifter som behövs i det aktuella objektärendet och lagrar dem på din användarprofil så att de kan följa din profil i tjänsten. Det kan till exempel vara namn, e-postadress, telefonnummer, adressuppgifter, fritext som du lämnar i en ansökan eller intresseanmälan, koppling till ett visst objekt, status och historik för ansökningar eller visningsförfrågningar, chattmeddelanden med tillhörande tidsstämplar och lässtatus, samt andra uppgifter som hör till ärendets löpande hantering. Om du laddar upp dokument eller andra underlag i filformat som vi från tid till annan stödjer för automatisk behandling kan vi också extrahera och strukturera innehåll från filen, till exempel löptext, textavsnitt, sid- eller avsnittsinformation när det är relevant, tidsstämpel för parsning och normaliserad dokumentmetadata. Den strukturerade informationen används för att göra dokumentinnehållet sökbart, tillgängligt och hanterbart inom tjänsten, men inte för att lagras separat från eller göras tillgänglig i större omfattning än det ursprungliga dokumentet och det ärende som dokumentet hör till. Särskilt integritetskänsliga uppgifter, till exempel personnummer, BankID-relaterade uppgifter och kredit- eller inkomstunderlag, beskrivs i stället i avsnitt 3.3.
Rättslig grund. Fullgörande av avtal eller åtgärd på din begäran före avtal (art. 6.1 b GDPR) för att hantera ditt ärende, göra uppgifterna tillgängliga för relevant uthyrare och tillhandahålla funktioner kopplade till bostadsobjektet. Berättigat intresse (art. 6.1 f GDPR) för att förebygga missbruk, säkerställa spårbarhet och följa upp dialoger och bokningar.
Mottagare. Behöriga användare hos det företag eller kontor som ansvarar för objektet.
Lagringstid. Uppgifter om objektärenden enligt detta avsnitt sparas på din användarprofil och följer profilen så länge den finns kvar i tjänsten. Det gäller även strukturerad information som har extraherats ur uppladdade dokument, men inte längre eller i vidare krets än vad som gäller för det ursprungliga dokumentet, om vi inte har fastställt en kortare särskild lagringstid för en viss uppgiftstyp. När profilen raderas raderas eller anonymiseras uppgifterna också, om vi eller uthyraren inte har rättslig grund att spara dem längre. Särskilt integritetskänsliga uppgifter enligt avsnitt 3.3 omfattas av egna lagringsregler.
3.3 Kredit- och inkomstuppgifter, andra känsliga uppgifter samt behandling av personnummer
Ändamål. Hantera kreditrelaterade uppgifter som du lämnar i samband med ett konkret bostadsärende, samt identifiera dig säkert med BankID inför ansökan, visning eller avtal.
Uppgifter. Personnummer, giltighetsdatum, inkomstuppgifter, skuldindikator, antal betalningsanmärkningar, eventuell skuldsanering, aggregerad flytthistorik, BankID-relaterade identifierings- eller signeringsuppgifter samt kopplade dokument och underlag. I vissa ärenden kan du även lämna andra känsliga uppgifter, exempelvis information om tillgänglighetsbehov eller hälsa, när det är relevant för det aktuella bostadsärendet.
Behandling av personnummer. Bolo behandlar personnummer endast när det är klart motiverat enligt 3 kap. 10 § dataskyddslagen, dvs. när det är nödvändigt för säker identifiering eller för att fullgöra avtalsförberedande åtgärder. Konkret innebär det att vi behandlar ditt personnummer:
- när du identifierar dig med BankID i samband med en ansökan eller visningsbokning,
- när du laddar upp eller hämtar in kredit- eller inkomstuppgifter,
- när det behövs för att uthyraren ska kunna upprätta eller signera ett hyresavtal.
I övrigt samlar vi inte in eller använder personnummer som allmän profiluppgift, sökbar uppgift, matchningskriterium eller marknadsföringsunderlag.
Andra känsliga uppgifter. I vissa fall kan du lämna andra känsliga uppgifter, exempelvis information om tillgänglighetsbehov eller hälsa, som har betydelse för ett konkret bostadsärende, till exempel behov av en anpassad bostad eller en tillgänglig entré. Sådana uppgifter utgör särskilda kategorier av personuppgifter enligt art. 9 GDPR och behandlas endast när du själv lämnar dem för ett uttryckligt ändamål i ärendet och med stöd av ditt uttryckliga samtycke (art. 9.2 a GDPR), eller när behandlingen annars är tillåten enligt art. 9 GDPR. Vi efterfrågar inte sådana uppgifter som allmän profil- eller matchningsinformation och uppmanar dig att inte lämna fler känsliga uppgifter än vad det aktuella ärendet kräver.
Rättslig grund. Fullgörande av avtal/åtgärd före avtal (art. 6.1 b GDPR) när uppgifterna behövs för att hantera ett konkret ärende. Vid behandling som inte direkt är avtalsnödvändig krävs samtycke (art. 6.1 a GDPR) eller dokumenterad intresseavvägning (art. 6.1 f GDPR). För känsliga uppgifter enligt art. 9 GDPR, exempelvis uppgifter om hälsa eller tillgänglighetsbehov, krävs dessutom ditt uttryckliga samtycke (art. 9.2 a GDPR) eller annan tillämplig grund enligt art. 9 GDPR.
Mottagare. Särskilt behöriga användare hos berört bolag eller kontor.
Lagringstid. Dessa uppgifter lagras separat från de objektuppgifter som följer din användarprofil enligt avsnitt 3.2. De sparas endast så länge de behövs för det konkreta identifierings-, kredit- eller avtalssteget och därefter under en kort, definierad tid efter att ärendet avslutats, högst 30 dagar. Om fullständigt personnummer inte längre behövs för det aktuella steget ska uppgiften raderas eller ersättas av uppgift om att verifiering eller kontroll har genomförts, i den utsträckning detta är möjligt för det aktuella flödet.
3.4 Sökprofiler, bevakningar och notiser
Ändamål. Låta dig spara sökkriterier och få notiser om nya objekt som bedöms passa din sökprofil. Motsvarande matchning kan också användas för att uppmärksamma behöriga användare hos ett kontor eller företag på att ett objekt eller en sökprofil verkar passa varandra. Matchningen används alltså för notifiering och uppföljning av lämpliga vakanser, inte för att automatiskt välja ut, rangordna eller anta en sökande.
Uppgifter. Förnamn, efternamn, e-post, telefonnummer, profil-URL, stad, önskemål om hyra, storlek och antal rum, notifieringsinställning, koppling till accepterade villkor.
Rättslig grund. Fullgörande av en funktion du uttryckligen bett om (art. 6.1 b GDPR). Fortsatta notiser eller exponering mot uthyrare kan vila på samtycke (art. 6.1 a GDPR) eller berättigat intresse (art. 6.1 f GDPR) – det framgår av samtyckesrutan eller särskild information när du aktiverar funktionen.
Lagringstid. Tills du raderar din sökprofil eller säger upp prenumerationen.
3.5 Godkännande av villkor
Ändamål. Kunna styrka att och när du godkänt en viss version av användarvillkor.
Uppgifter. Användar-id, term-id (vilken version), IP-adress vid accept, tidsstämpel.
Rättslig grund. Fullgörande av avtal (art. 6.1 b GDPR) och berättigat intresse av bevissäkring (art. 6.1 f GDPR).
Lagringstid. Acceptloggar sparas så länge ditt konto är aktivt och därefter i högst tre år för att kunna styrka avtalsvillkor, hantera tvister och uppfylla rättsliga skyldigheter. Om uppgifterna därefter fortfarande måste sparas enligt lag eller för att fastställa, göra gällande eller försvara rättsliga anspråk får de sparas så länge det krävs för det ändamålet.
3.6 Besöksmätning på annonssidor
Ändamål. Mäta antal sidvisningar, unika besökare och trafikkontext för publicerade annonser.
Uppgifter. Användar-id (om du är inloggad) eller annars en cookie med hashad IP-adress, user agent, referer, session-id, tidpunkt och kopplat bostadsobjekt.
Rättslig grund. Berättigat intresse av statistik (art. 6.1 f GDPR). Cookies som inte är strikt nödvändiga sätts dock endast efter ditt samtycke enligt 9 kap. 28 § lagen (2022:482) om elektronisk kommunikation.
Lagringstid. visitor_id-cookie: 1 år. Underliggande visningshändelser sparas ej individuellt utan bara aggregerat.
3.7 Vidareannonsering och marknadsföring i externa kanaler
Ändamål. Bolo kan från tid till annan använda externa marknadsföringskanaler för att marknadsföra bolo.se och våra annonser, bland annat via Google (Search, Display, YouTube), Meta (Facebook, Instagram) eller liknande plattformar, för att nå dig och liknande användare med relevant innehåll.
Uppgifter. Om sådana funktioner används kan behandlingen omfatta användar-id eller pseudonymt id, e-postadress (i hashad form), enhetsidentifierare, beteendedata om vilka annonser du tittat på, samt cookie-baserade identifierare som delas med relevant annonsplattform.
Mottagare. Om denna typ av marknadsföring aktiveras kan mottagare vara Google Ireland Ltd., Meta Platforms Ireland Ltd. eller andra annonsplattformar. Plattformarna är då normalt självständigt personuppgiftsansvariga för sin egen behandling.
Rättslig grund. Ditt samtycke (art. 6.1 a GDPR), i den mån sådan behandling aktiveras och samtycke krävs. Samtycke ska då inhämtas via cookie-bannern eller annan relevant samtyckesmekanism innan behandlingen påbörjas. Du kan när som helst återkalla samtycket utan att det påverkar lagligheten av tidigare behandling.
Tredjelandsöverföring. Om sådan marknadsföring används kan uppgifter behandlas i USA eller andra länder utanför EU/EES, beroende på vilken plattform som används. Överföringen ska då ske med stöd av lämplig överföringsmekanism, till exempel EU-kommissionens standardavtalsklausuler eller, där tillämpligt, EU-US Data Privacy Framework.
Lagringstid. Om denna typ av behandling används gäller lagringstid för cookie-baserade identifierare enligt cookie-inställningarna och för eventuella matchningslistor enligt respektive plattforms policyer.
3.8 Marknadsföring och nyhetsbrev från Bolo
Ändamål. Bolo kan från tid till annan erbjuda nyhetsbrev, tips, kampanjer och information om nya funktioner.
Uppgifter. Om sådan kommunikation används kan vi behandla e-postadress, för- och efternamn, eventuell preferensinformation du själv lämnat, samt mätdata om vilka utskick du öppnat eller klickat i.
Rättslig grund. Ditt aktiva samtycke (art. 6.1 a GDPR), om och när denna typ av kommunikation erbjuds. Samtycke ska då inhämtas genom en separat, icke förvald kryssruta eller motsvarande samtyckesmekanism. Du kan när som helst återkalla samtycket utan att det påverkar tidigare behandlings laglighet, till exempel via en avregistreringslänk eller via kontoinställningarna om sådan funktion finns.
Avgränsning mot tjänstefunktioner. Notiser om matchande objekt från en sökprofil, statusuppdateringar på din ansökan, bekräftelsemejl, säkerhetsmeddelanden och annan systemkommunikation ingår inte i detta avsnitt – de är en del av tjänsten du beställt och beskrivs separat i avsnitt 3.4 (sökprofiler) respektive 3.10 (systemmeddelanden).
Lagringstid. Om marknadsföringskommunikation används behandlas uppgifterna för detta ändamål så länge ditt samtycke gäller och raderas eller anonymiseras därefter enligt gällande rutiner.
3.9 Mätning av marknadsföringseffekt
Bolo kan från tid till annan använda pixlar och liknande tekniker i marknadsföringsutskick för att mäta hur många som öppnat ett mejl och klickat på länkar. Sådan mätning sker endast om marknadsföringsutskick används och om du har gett det samtycke som krävs för behandlingen.
3.10 Systemmeddelanden via e-post
Ändamål. Skicka verifierings-, bekräftelse- och andra systemnödvändiga meddelanden som rör ditt konto, en ansökan eller en bokning.
Uppgifter. E-postadress, innehåll i meddelandet, ibland en token-länk.
Rättslig grund. Fullgörande av avtal (art. 6.1 b GDPR) och berättigat intresse av säkerhet och verifiering (art. 6.1 f GDPR).
Lagringstid. Verifieringstoken har begränsad giltighet. Loggar hos e-postleverantören sparas normalt i högst 90 dagar för leveranskontroll, felsökning och säkerhet, om inte längre lagring krävs enligt lag eller för att fastställa, göra gällande eller försvara rättsliga anspråk. För ordinarie produktionsdrift är avsikten att använda en leverantör för utgående e-post som är etablerad inom EU/EES.
4. Vilka vi delar uppgifter med
Beroende på vilken funktion du använder kan dina uppgifter delas med:
- Fastighetsägare och uthyrare (företag, kontor och deras anställda) som ansvarar för det objekt du visat intresse för.
- Bolos personal med behörighet att administrera plattformen, ge support eller diagnostisera tekniska fel.
- E-postleverantör för utskick av verifierings- och bekräftelsemeddelanden.
- Lagrings- och driftleverantör (hostingpartner) för säker lagring och drift av tjänsten.
- Myndighet om vi är skyldiga att lämna ut uppgifter enligt lag eller myndighetsbeslut.
Vi säljer inte dina uppgifter.
4a. Automatiserade matchningar och notifieringar – ingen automatisk sökandeselektion
Bolo använder automatiska jämförelser för att identifiera när ett objekt eller en sökprofil kan vara relevant utifrån angivna kriterier och för att skicka eller visa notifieringar till bostadssökande eller behöriga användare hos ett kontor eller företag.
Resultatet används för att uppmärksamma mottagaren på att en viss vakans eller sökprofil kan vara relevant. Matchningen används inte av Bolo för att automatiskt välja ut, rangordna eller anta sökande. Bolo fattar inga automatiserade beslut som har rättsliga följder för dig eller på liknande sätt påverkar dig väsentligt enligt art. 22 GDPR. Eventuella beslut om vidare kontakt, handläggning eller tecknande av hyresavtal fattas alltid av människor hos den ansvariga verksamheten.
Om du vill veta mer om hur en specifik matchning gjorts eller invända mot behandlingen, kontakta info@bolo.se.
5. Överföring utanför EU/EES
Vår utgångspunkt för ordinarie drift är att använda leverantörer etablerade inom EU/EES där det är praktiskt och rättsligt lämpligt, inklusive för utgående systemmeddelanden via e-post i produktionsmiljön. Tredjelandsöverföring kan ändå uppkomma i vissa fall, till exempel om vi använder analystjänster, marknadsföringsplattformar eller andra leverantörer som behandlar uppgifter i USA eller andra länder utanför EU/EES, eller om en i övrigt europeisk leverantör använder infrastruktur eller underbiträden utanför EU/EES. När så är fallet säkerställer vi en lämplig skyddsnivå, till exempel genom EU-kommissionens standardavtalsklausuler (SCC), EU-US Data Privacy Framework eller motsvarande mekanism enligt kapitel V GDPR. Aktuell leverantörslista och tillhörande överföringsmekanismer kan begäras på info@bolo.se.
6. Säkerhet
Vi tillämpar lämpliga tekniska och organisatoriska åtgärder för att skydda dina uppgifter, bland annat:
- lösenord lagras som hash,
- signerade och säkerhetsklassade cookies,
- tidsbegränsade verifieringstoken,
- behörighetsstyrning per användare,
- hashning av IP-adresser i besöksmätning,
- interna rutiner för incidenthantering, behörighetstilldelning och leverantörsstyrning.
Om vi upptäcker en personuppgiftsincident som sannolikt medför en hög risk för dina rättigheter och friheter informerar vi dig och tillsynsmyndigheten enligt artiklarna 33–34 GDPR.
7. Dina rättigheter
Du har följande rättigheter enligt GDPR:
- Tillgång – få veta vilka uppgifter vi behandlar om dig och få en kopia (registerutdrag).
- Rättelse – få felaktiga eller ofullständiga uppgifter rättade.
- Radering – få uppgifter raderade när de inte längre behövs eller du återkallar samtycke. Observera att vi enligt punkt 16 i Användarvillkoren kan behöva behålla begränsade uppgifter under viss tid för att uppfylla rättsliga skyldigheter, fastställa, göra gällande eller försvara rättsliga anspråk eller för dokumentations- och säkerhetsändamål.
- Begränsning – begära att vi begränsar behandlingen under vissa förutsättningar.
- Dataportabilitet – få ut uppgifter du själv lämnat i ett strukturerat, maskinläsbart format.
- Invändning – invända mot behandling som vilar på berättigat intresse, inklusive direktmarknadsföring.
- Återkalla samtycke – för behandling som vilar på samtycke, utan att det påverkar tidigare behandlings laglighet.
- Mänsklig granskning – om du anser att en automatiserad matchning eller annan automatiserad behandling har lett till en notifiering eller annan hantering som påverkat dig negativt har du rätt att begära att en av våra medarbetare granskar ärendet och att framföra din egen ståndpunkt.
Du utövar dina rättigheter genom att kontakta info@bolo.se. Vi svarar normalt inom en månad.
Klagomål om beslut i tjänsten. Om du vill klaga på ett beslut som Bolo har fattat om din användning av tjänsten – exempelvis avstängning av konto eller borttagning av innehåll – kan du vända dig till Bolo enligt kontaktuppgifterna i Användarvillkoren. Detta klagomålsspår bör också granskas mot eventuella krav enligt EU:s förordning om digitala tjänster (DSA) innan publicering.
Du har också rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY), imy.se, om du anser att vi behandlar dina uppgifter i strid med dataskyddslagstiftningen.
8. Cookies
Vi använder strikt nödvändiga cookies för att tjänsten ska fungera (till exempel inloggning) samt cookies för statistik och i förekommande fall annonsering. Icke nödvändiga cookies sätts endast med ditt samtycke. Du styr dina val via cookie-bannern eller cookie-inställningarna i tjänsten. En mer detaljerad beskrivning finns i vår Cookiepolicy.
9. Åldersgräns och barn
Tjänsten riktar sig till personer som är 18 år eller äldre. Du måste ha fyllt 18 år för att registrera dig som sökande, ansöka om en bostad, boka en visning eller ingå hyresavtal via tjänsten. Vi behandlar inte medvetet uppgifter om barn under 13 år. Om du tror att vi har sådana uppgifter, kontakta oss.
10. Ändringar i denna policy
Vi kan uppdatera denna policy från tid till annan. När vi gör väsentliga ändringar informerar vi dig i tjänsten eller via e-post innan ändringarna träder i kraft. Versions- och datumangivelsen längst upp i dokumentet visar när policyn senast uppdaterades.
11. Kontakt
Frågor om denna policy eller om hur vi behandlar dina personuppgifter:
Bolo Bostadsmarknad AB
c/o Mindified AB
Hamngatan 4
211 22 Malmö
E-post: info@bolo.se