Integritetspolicy

1. Inledning

Valv1 ("vi", "oss" eller "vår") respekterar din integritet och är engagerade i att skydda dina personuppgifter. Denna integritetspolicy förklarar hur vi samlar in, använder, lagrar och skyddar dina personuppgifter när du använder vår tjänst för AI-driven avtalshantering ("Tjänsten").

Vi är personuppgiftsansvariga för behandlingen av dina personuppgifter och säkerställer att all behandling sker i enlighet med EU:s allmänna dataskyddsförordning (GDPR) och svensk dataskyddslagstiftning.

2. Personuppgiftsansvarig

3. Vilka personuppgifter samlar vi in?

3.1 Uppgifter du ger oss direkt

När du registrerar ett konto och använder Tjänsten samlar vi in:

• Kontaktuppgifter: Namn, e-postadress, telefonnummer
• Organisationsuppgifter: Företagsnamn, organisationsnummer, adress
• Inloggningsuppgifter: E-postadress och lösenord (krypterat)
• Profilinformation: Användarroll, avdelning, profilbild (frivilligt)
• Faktureringsinformation: Faktureringsadress, betalningsinformation (hanteras av tredjepartsbetalningsleverantör)

3.2 Uppgifter vi samlar in automatiskt

• Användarinnehåll: Avtalsdokument, metadata, kommentarer och anteckningar du skapar i Tjänsten
• Användningsdata: Information om hur du använder Tjänsten, t.ex. funktioner du använder, sökningar, klick
• Teknisk information: IP-adress, webbläsartyp och version, operativsystem, tidzon, språkinställningar
• Loggdata: Datum och tid för åtkomst, felsökningsdata
• Cookies: Se vår Cookie-policy för mer information

3.3 Uppgifter från tredje part

• Autentiseringstjänster: Om du väljer att logga in via tredjepartstjänster (t.ex. Google, Microsoft)
• AI-leverantörer: Data som bearbetas av våra AI-partners för extraktion och analys (se avsnitt 7)

4. Hur använder vi dina personuppgifter?

4.1 Tillhandahålla Tjänsten

Vi använder dina personuppgifter för att:

• Skapa och hantera ditt konto
• Tillhandahålla och underhålla Tjänsten
• Behandla och lagra dina avtalsdokument
• Utföra AI-driven extraktion och analys av avtalsdata
• Tillhandahålla sök- och chattfunktioner
• Skicka påminnelser och notifikationer
• Hantera användarroller och behörigheter

Rättslig grund: Fullgörande av avtal (artikel 6.1.b GDPR)

4.2 Kommunikation

• Skicka transaktionsmejl (t.ex. kontobekräftelser, fakturor, säkerhetsvarningar)
• Svara på dina förfrågningar och ge kundsupport
• Informera dig om ändringar i Tjänsten eller våra villkor
• Skicka marknadsföring och nyhetsbrev (endast med ditt samtycke)

Rättslig grund: Fullgörande av avtal, berättigat intresse, samtycke (för marknadsföring)

4.3 Förbättra och utveckla Tjänsten

• Analysera användningsmönster för att förbättra användarupplevelsen
• Utföra testning och utveckling av nya funktioner
• Träna och förbättra våra AI-modeller (endast på aggregerad nivå utan identifierbar information)
• Felsöka tekniska problem

Rättslig grund: Berättigat intresse (artikel 6.1.f GDPR)

4.4 Säkerhet och efterlevnad

• Förhindra missbruk, bedrägeri och säkerhetsincidenter
• Efterleva juridiska skyldigheter och myndighetsbeslut
• Genomföra revisioner och säkerhetsanalyser

Rättslig grund: Rättslig förpliktelse, berättigat intresse

5. Delning av personuppgifter

Vi säljer aldrig dina personuppgifter. Vi delar endast dina uppgifter i följande fall:

5.1 Personuppgiftsbiträden (databehandlare)

Vi använder följande pålitliga tjänsteleverantörer för att tillhandahålla Tjänsten:

• Supabase: Databashantering, autentisering och lagring (EU-baserade servrar)
• Anthropic/OpenAI/Azure: AI-tjänster för dokumentanalys och chattfunktioner
• Vercel/Netlify: Hosting och infrastruktur
• Betalningsleverantörer: För betalningsbearbetning
• E-posttjänster: För transaktionsmejl och notifikationer

Alla personuppgiftsbiträden är kontraktsmässigt bundna att behandla personuppgifter säkert och endast enligt våra instruktioner. Vi har personuppgiftsbiträdesavtal på plats med alla leverantörer.

5.2 Juridiska krav

Vi kan lämna ut personuppgifter om vi är skyldiga att göra det enligt lag, rättslig process, domstolsbeslut eller myndighetsbegäran.

5.3 Affärsöverföringar

Vid fusion, förvärv eller försäljning av tillgångar kan personuppgifter överföras till den nya ägaren, varvid du kommer att informeras i förväg.

5.4 Inom din organisation

Personuppgifter kan delas med andra användare inom din organisation enligt de behörighetsnivåer du har konfigurerat.

6. Lagring och internationella överföringar

6.1 Lagringsplats

Dina personuppgifter lagras primärt inom EU/EES på servrar i [Land/Region]. Vi strävar efter att hålla all databehandling inom EU/EES när det är möjligt.

6.2 Internationella överföringar

Vissa av våra tjänsteleverantörer kan behandla data utanför EU/EES. När så sker säkerställer vi att:

• Överföringen omfattas av EU:s standardavtalsklausuler (SCC)
• Leverantören är certifierad enligt EU-US Data Privacy Framework (om tillämpligt)
• Lämpliga tekniska och organisatoriska säkerhetsåtgärder är på plats

7. AI och automatiserat beslutsfattande

Valv1 använder artificiell intelligens (AI) för att automatiskt extrahera och analysera avtalsdata. Vi vill vara transparenta om hur detta fungerar:

7.1 AI-extraktion

• Uppladdade dokument skickas till våra AI-partners (Anthropic Claude, OpenAI GPT-4, eller Azure OpenAI)
• AI analyserar dokumenten och extraherar strukturerad data (t.ex. parter, datum, belopp, villkor)
• Du kan granska och korrigera all AI-extraherad data

7.2 AI-chat och sökning

• Dina frågor och dokumentinnehåll skickas till AI-tjänster för att generera svar
• Vi använder teknik som "embeddings" för semantisk sökning
• Dokumentdata kan lagras i vektorformat för sökändamål

7.3 Inget automatiserat beslutsfattande

Vi fattar INGA juridiskt bindande eller annars betydande beslut baserat uteslutande på automatiserad behandling. AI används endast som ett verktyg för att hjälpa dig - alla viktiga beslut tas av dig.

7.4 Dataminimering för AI

Våra AI-leverantörer använder INTE dina dokument för att träna sina allmänna AI-modeller. All bearbetning sker enligt specifika personuppgiftsbiträdesavtal som förhindrar sådan användning.

8. Lagringstid

Vi lagrar personuppgifter endast så länge som nödvändigt för ändamålen de samlades in för:

• Kontouppgifter: Så länge ditt konto är aktivt
• Användarinnehåll: Så länge du väljer att behålla det i Tjänsten
• Fakturering och betalningar: 7 år enligt bokföringslagen
• Loggdata: Upp till 12 månader för säkerhet och felsökning
• Marknadsföringsdata: Tills du återkallar ditt samtycke eller 24 månader av inaktivitet

Efter uppsägning av ditt konto har du 30 dagar på dig att exportera dina data. Därefter raderar vi permanent all data som inte krävs för bokföring eller juridiska skyldigheter.

9. Säkerhetsåtgärder

Vi tar säkerheten för dina personuppgifter på största allvar och har implementerat lämpliga tekniska och organisatoriska åtgärder:

• Kryptering: All data krypteras under överföring (TLS 1.3) och i vila (AES-256)
• Åtkomstkontroll: Strikta behörigheter och Row Level Security (RLS) i databasen
• Autentisering: Säker autentisering med stöd för tvåfaktorsautentisering (2FA)
• Övervakning: Kontinuerlig loggning och övervakning av säkerhetsincidenter
• Säkerhetskopiering: Regelbundna automatiska backups med kryptering
• Penetrationstester: Regelbundna säkerhetstester och sårbarhetsanalyser
• Personalutbildning: All personal utbildas i informationssäkerhet och dataskydd

Se vår Säkerhet & GDPR-sida för mer detaljerad information.

10. Dina rättigheter enligt GDPR

Du har följande rättigheter enligt GDPR:

10.1 Rätt till tillgång (artikel 15)

Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter och i så fall få tillgång till uppgifterna samt information om behandlingen.

10.2 Rätt till rättelse (artikel 16)

Du har rätt att få felaktiga personuppgifter rättade och ofullständiga uppgifter kompletterade. Du kan själv redigera de flesta uppgifter i dina kontoinställningar.

10.3 Rätt till radering - "rätten att bli glömd" (artikel 17)

Du har rätt att få dina personuppgifter raderade om:

• Uppgifterna inte längre är nödvändiga för de ändamål de samlades in
• Du återkallar ditt samtycke (där behandlingen baseras på samtycke)
• Du invänder mot behandlingen och det inte finns berättigade skäl som väger tyngre
• Uppgifterna har behandlats på ett olagligt sätt

Observera att vi kan behöva behålla vissa uppgifter för att uppfylla juridiska skyldigheter (t.ex. bokföringslagen).

10.4 Rätt till begränsning av behandling (artikel 18)

Du har rätt att begära att behandlingen av dina personuppgifter begränsas under vissa omständigheter.

10.5 Rätt till dataportabilitet (artikel 20)

Du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa till en annan personuppgiftsansvarig.

10.6 Rätt att invända (artikel 21)

Du har rätt att när som helst invända mot behandling av personuppgifter som grundar sig på berättigat intresse eller som utgör direktmarknadsföring.

10.7 Rätt att inte bli föremål för automatiserat beslutsfattande (artikel 22)

Du har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inklusive profilering, och som har rättsliga följder eller på liknande sätt påverkar dig i betydande grad.

10.8 Utövande av rättigheter

För att utöva någon av dina rättigheter, kontakta oss på privacy@valv1.se. Vi svarar på din begäran inom 30 dagar. I komplexa fall kan vi förlänga denna period med ytterligare 60 dagar, varvid vi informerar dig om förseningen.

11. Cookies och liknande tekniker

Vi använder cookies och liknande spårningstekniker för att förbättra din upplevelse av Tjänsten. För detaljerad information om vilka cookies vi använder och hur du kan hantera dem, se vår Cookie-policy.

12. Barn

Tjänsten är inte avsedd för barn under 18 år. Vi samlar inte medvetet in personuppgifter från barn. Om du är vårdnadshavare och upptäcker att ditt barn har lämnat personuppgifter till oss, kontakta oss omedelbart så att vi kan radera uppgifterna.

13. Ändringar av integritetspolicyn

Vi kan uppdatera denna integritetspolicy från tid till annan för att återspegla ändringar i vår praxis eller av juridiska skäl. Vi kommer att meddela dig om väsentliga ändringar via e-post eller genom notifikation i Tjänsten minst 30 dagar innan ändringarna träder i kraft.

Den senaste versionen av integritetspolicyn finns alltid tillgänglig på denna sida. Vi uppmanar dig att regelbundet granska policyn.

14. Klagomål till tillsynsmyndighet

Om du anser att vår behandling av dina personuppgifter strider mot GDPR har du rätt att lämna in ett klagomål till en tillsynsmyndighet. I Sverige är tillsynsmyndigheten:

Vi uppmuntrar dig dock att först kontakta oss direkt så att vi kan försöka lösa eventuella problem.

15. Kontakta oss

Om du har frågor om denna integritetspolicy eller vår hantering av personuppgifter, eller vill utöva dina rättigheter enligt GDPR, kontakta oss: