Integritetspolicy

1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandling av personuppgifter i BotJahl är:

Westjahl Creative AB
559548-7249
E-post: info@botjahl.se

För personuppgifter som ingår i Kundens eget material (t.ex. dokument/text som laddas upp i tjänsten) är Kunden normalt personuppgiftsansvarig, och vi agerar som personuppgiftsbiträde. Detta regleras närmare i ett separat personuppgiftsbiträdesavtal (DPA).

2. Vilka personuppgifter vi behandlar

Vi kan behandla följande kategorier av personuppgifter:

Konto- och kontaktuppgifter

• Företagsnamn
• Kontaktpersonens e-postadress
• Webbplats-URL/domän

Teknisk och användningsrelaterad data

• Loggar över API-anrop (t.ex. tidpunkt, kund-ID, typ av begäran)
• IP-adress och teknisk metadata i syfte att hantera drift, felsökning och säkerhet
• Uppgifter om abonnemangsstatus (t.ex. ”trialing”, ”active”), betalningsmetod finns/inte finns

Betalningsuppgifter

Betalningsuppgifter (t.ex. kortnummer) hanteras av Stripe. Vi tar del av begränsad information kopplad till betalningen (t.ex. status, kundreferens, sista siffror på kort), men lagrar inte fullständiga kortuppgifter. Stripe är självständig personuppgiftsansvarig för den behandling som sker i deras system.

Kundinnehåll och chattdata

Tjänsten används för att ladda upp eller indexera dokument (PDF/DOCX/TXT/MD) och webbsidor som kan innehålla personuppgifter, beroende på vad Kunden väljer att inkludera. Dessutom kan chattfrågor och svar innehålla personuppgifter om dessa skrivs in av Kundens slutanvändare.

Vi rekommenderar starkt att Kunden undviker att inkludera känsliga personuppgifter i sitt material om det inte är nödvändigt och rättsligt tillåtet, samt att användningen regleras i ett personuppgiftsbiträdesavtal.

3. Ändamål och rättslig grund

a) För att tillhandahålla tjänsten

Vi behandlar konto- och kontaktuppgifter, tekniska loggar, Kundinnehåll och chattdata i syfte att:

• skapa och administrera kundkonton,
• indexera och bearbeta Kundinnehåll,
• generera AI-svar via chattboten,
• tillhandahålla support och felsökning.

Rättslig grund: Behandling som krävs för att fullgöra avtalet med Kunden (GDPR art. 6.1 b).

b) Betalning, fakturering och bokföring

Vi behandlar uppgifter om betalningsstatus, abonnemang, kundreferenser och annan nödvändig information för fakturering och bokföring.

Rättslig grund: Rättslig förpliktelse (GDPR art. 6.1 c) och avtal (art. 6.1 b).

c) Drift, säkerhet och förbättring

Vi behandlar tekniska loggar, IP-adresser och användningsdata för att:

• övervaka tjänstens prestanda,
• upptäcka och hantera missbruk och säkerhetsincidenter,
• förbättra stabilitet, funktioner och användarupplevelse.

Rättslig grund: Berättigat intresse (GDPR art. 6.1 f) av att tillhandahålla en säker och stabil tjänst.

4. Webbstatistik och analysverktyg (Cloudflare / Plausible)

För att förstå hur vår webbplats används och för att förbättra funktionalitet, prestanda och innehåll använder vi ett integritetsvänligt analysverktyg:

• Cloudflare Web Analytics (aktivt i nuläget)
• Plausible Analytics kan komma att användas i framtiden som alternativ eller komplement.

Vilka uppgifter som samlas in

Dessa verktyg är utformade för att vara integritetsvänliga. Vi använder inga analyscookies och verktygen samlar inte in personuppgifter som kan identifiera en enskild besökare. Följande typer av uppgifter kan behandlas:

• anonymiserad och kortlivad IP-information (icke-identifierbar),
• sidvisningar och besökta URL:er,
• tidpunkt och varaktighet för besök,
• webbläsare, enhetstyp, operativsystem och skärmupplösning,
• referer (vilken sida besökaren kom från),
• aggregerad data om trafikvolym och prestanda.

Cloudflare och Plausible skapar inga användarprofiler, använder inte data för annonsering och följer inte besökare över olika webbplatser.

Syftet med webbanalys

Syftet med denna behandling är att:

• förstå hur vår webbplats används,
• identifiera vilken information som är mest relevant för besökarna,
• förbättra struktur, innehåll och användarupplevelse,
• övervaka prestanda och eventuella tekniska problem.

Rättslig grund

Behandlingen sker med stöd av vårt berättigade intresse (GDPR art. 6.1 f) av att analysera trafik och förbättra vår webbplats på ett sätt som inte inkräktar på användarnas personliga integritet. Eftersom vi inte använder cookies eller skapar profiler krävs ingen separat samtyckesbanner för denna typ av analys.

Lagringstid och mottagare

Data som samlas in av Cloudflare och/eller Plausible anonymiseras och lagras endast under den tid som krävs för att upprätthålla aggregerad webbanalys. Ingen personligt identifierbar information lagras.

Mottagare av denna data är:

• Cloudflare, Inc. – leverantör av Cloudflare Web Analytics,
• Plausible Insights OÜ (Estland) – om vi väljer att aktivera Plausible Analytics i framtiden.

Cloudflare erbjuder datacenter och lösningar med stöd för GDPR. Plausible är EU-baserat och lagrar data inom EU/EES. Vi säljer aldrig denna typ av anonymiserad statistik till tredje part.

5. Lagring och lagringstider

• Kundkonto: lagras så länge kontot är aktivt och en tid därefter om det krävs för att hantera eventuella krav eller lagkrav.
• Uppladdade dokument och embeddings: lagras så länge tjänsten används. Vid uppsägning raderas innehållet normalt inom 30 dagar.
• Tekniska loggar: kan lagras upp till ca 12 månader för felsökning, säkerhet och statistik.
• Bokföringsdata: lagras enligt gällande bokföringslag (vanligen minst 7 år).

6. OpenAI och överföring utanför EU/EES

När chattboten genererar svar skickas relevanta texter och frågor till OpenAI:s API. Det innebär att personuppgifter kan överföras till länder utanför EU/EES (t.ex. USA), beroende på hur OpenAI behandlar data.

Vi strävar efter att:

• begränsa mängden personuppgifter som skickas till OpenAI,
• konfigurera API-användningen så att data inte används av OpenAI för att träna deras modeller (enligt deras då gällande standardinställningar),
• säkerställa att överföringen baseras på lagliga mekanismer, såsom EU-kommissionens standardavtalsklausuler.

Observera att OpenAI är en separat leverantör med egna villkor och integritetspolicy som kan uppdateras över tid. Denna policy bör därför löpande granskas och uppdateras vid behov.

7. Säkerhet

Vi vidtar tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter och Kundinnehåll, bland annat:

• kommunikation via krypterade anslutningar (HTTPS),
• lagring av dokument i Azure Blob Storage med åtkomstkontroller,
• autentisering via token-baserade mekanismer (JWT) för adminportalen,
• loggning och övervakning i syfte att upptäcka missbruk.

Ingen teknisk lösning är helt riskfri. Kunden uppmanas att inte inkludera mer personuppgifter än nödvändigt och att säkerställa att den egna organisationens säkerhetspolicy efterlevs.

8. Kundens ansvar som personuppgiftsansvarig

I de fall Kunden laddar upp eller indexerar material som innehåller personuppgifter till tjänsten är Kunden i regel personuppgiftsansvarig för denna behandling. Kunden ansvarar då bland annat för att:

• innehållet är förenligt med GDPR och annan dataskyddslagstiftning,
• information lämnas till registrerade personer enligt lagens krav,
• eventuellt personuppgiftsbiträdesavtal tecknas med Leverantören,
• ingen otillåten eller känslig data behandlas utan rättslig grund.

Vi kan tillhandahålla ett separat biträdesavtal (DPA) som reglerar ansvarsfördelningen mer detaljerat.

9. Dina rättigheter

I den mån vi är personuppgiftsansvariga för behandling av dina personuppgifter har du, enligt GDPR och tillämplig lagstiftning, rätt att:

• begära tillgång till dina personuppgifter (registerutdrag),
• begära rättelse av felaktiga eller ofullständiga uppgifter,
• begära radering i vissa fall (”rätten att bli bortglömd”),
• invända mot viss behandling eller begära begränsning,
• begära dataportabilitet i vissa fall.

Om du anser att vår behandling strider mot GDPR har du även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) eller motsvarande tillsynsmyndighet.

10. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy vid behov, till exempel vid förändringar i tjänsten eller gällande lagstiftning. Den aktuella versionen finns alltid på vår webbplats. Vid större ändringar kan vi även informera via e-post eller i samband med inloggning.

11. Kontakt

Har du frågor om denna policy eller hur vi behandlar personuppgifter är du välkommen att kontakta oss:

Westjahl Creative AB
E-post: info@botjahl.se