Integritetspolicy

Kajsa AI ("Bolaget", "vi", "oss") värnar om din integritet. Denna integritetspolicy ("Policyn") beskriver hur vi samlar in, använder, lagrar och skyddar dina personuppgifter när du använder Kajsa AI‑tjänsten ("Tjänsten" eller "Kajsa"). Policyn följer Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR") och svensk kompletterande lagstiftning.

1. Personuppgiftsansvarig

Oxenius Marketing AB
Org.nr 5595220897
Stampgatan 14, 411 01 Göteborg

2. Vilka personuppgifter vi behandlar

• Kontouppgifter: namn (frivilligt), e‑postadress och ett hashat lösenord som du lämnar direkt till oss.

• Betalnings‑ och transaktionsuppgifter: kort‑ eller betalmedels‑ID, betalningshistorik samt de fyra sista siffrorna på ditt kort. Dessa uppgifter erhålls från vår betalningspartner Stripe.

• Interaktioner och chattdata: alla frågor och konversationer du har med Kajsa samt eventuell feedback.

• Tekniska data: IP‑adress, enhetstyp, operativsystem, språk­inställningar, tidszon och loggfiler som samlas in automatiskt via cookies och SDK:er.

• Användningsdata: navigations‑ och klickmönster, svarstider och felrapporter som genereras automatiskt.

• Känsliga uppgifter: hälsorelaterad information om barn eller graviditet som du frivilligt delar i chatten.

Viktigt: Du behöver inte – och bör inte – dela personligt identifierbar information (t.ex. barns personnummer) eller särskilt känsliga uppgifter. Lämnar du ändå sådana uppgifter behandlas de enligt denna Policy.

3. Hur vi samlar in uppgifter

1. Direkt från dig när du skapar konto, ställer frågor eller kontaktar support.

2. Automatiskt med cookies, loggar och liknande tekniker.

3. Från tredje part såsom betalningsförmedlare eller autentiseringstjänster (t.ex. "Sign‑in with Apple").

4. Ändamål och rättslig grund

• Tillhandahålla och driva Tjänsten – Avtal (artikel 6.1 b GDPR).

• Hantera betalningar, fakturering och provperiod – Avtal samt rättslig förpliktelse (artikel 6.1 b, c).

• Förbättra och utveckla AI‑modeller och funktioner – Berättigat intresse (artikel 6.1 f) av att göra Tjänsten bättre.

• Skicka nödvändig information om konto, uppdateringar och villkors­ändringar – Avtal och rättslig förpliktelse.

• Marknadsföra liknande tjänster, t.ex. nyhetsbrev – Samtycke (artikel 6.1 a).

• Felsökning, säkerhet och missbruks­detektion – Berättigat intresse.

• Uppfylla bokförings‑ och skattelagstiftning – Rättslig förpliktelse (artikel 6.1 c).

5. Delning av personuppgifter

Vi delar endast dina uppgifter med noggrant utvalda mottagare och alltid med lämpliga skyddsåtgärder:

• Molnleverantörer inom EU/EES som tillhandahåller hosting och lagring av tjänsten. De omfattas av personuppgiftsbiträdesavtal och är ISO‑certifierade.

• Google Cloud (Gemini‑modeller) som genererar AI‑svaren. Bearbetningen sker inom EU; vid behov används EU‑kommissionens standardavtals­klausuler (SCC).

• Stripe som hanterar betalningar. Stripe är PCI‑DSS‑certifierat och omfattas av SCC vid överföring utanför EES.

• Analys‑ och felsöknings­tjänster (som Sentry) för felrapportering och prestanda­mätning. Data pseudonymiseras och minimeras.

• Svenska myndigheter om vi är skyldiga att lämna ut uppgifter enligt lag eller domstols­beslut.

Vi säljer aldrig personuppgifter till tredje part.

6. Överföringar till länder utanför EU/EES

Om någon leverantör behandlar data utanför EU/EES säkerställer vi adekvat skydd genom SCC och ytterligare tekniska och organisatoriska åtgärder i enlighet med Schrems II‑praxis.

7. Lagring och gallring

• Kontouppgifter sparas så länge kontot är aktivt och i högst tolv (12) månader efter avregistrering.

• Betalningsdata lagras i sju (7) år för att uppfylla bokföringslagen.

• Chattloggar bevaras i 24 månader för support och kvalitets­förbättring och anonymiseras därefter.

• Tekniska loggar lagras i tolv (12) månader.

Du kan begära radering tidigare (se avsnitt 9), förutsatt att det inte strider mot lagstadgade skyldigheter.

8. Säkerhet

Vi skyddar dina uppgifter genom att bland annat använda:

• Kryptering i transit (TLS 1.3) och i vila (AES‑256).

• Roll‑baserad åtkomstkontroll (RBAC) och principen om minsta privilegium.

• Regelbundna penetrations‑ och sårbarhetstester.

• Säker kodgranskning och loggning av alla åtkomstförsök.

9. Dina rättigheter

Du har rätt att:

1. Få tillgång till dina personuppgifter (artikel 15).

2. Rätta felaktiga uppgifter (artikel 16).

3. Radera uppgifter – “rätten att bli bortglömd” (artikel 17).

4. Begränsa behandling (artikel 18).

5. Invända mot behandling baserad på berättigat intresse (artikel 21).

6. Få dataportabilitet (artikel 20).

7. Återkalla samtycke när som helst (artikel 7).

8. Lämna klagomål till Integritetsskyddsmyndigheten (IMY).

Skicka din begäran via kajsaai.se/kontakt så svarar vi utan onödigt dröjsmål, senast inom 30 dagar.

10. Cookies och liknande tekniker

Vi använder cookies för att hålla dig inloggad, mäta trafik och förbättra upplevelsen. Du kan när som helst hantera eller blockera cookies i webbläsar­inställningarna. Mer information finns i vår separata

Cookiepolicy.

11. Automatiserade beslut och profilering

Kajsa använder inte automatiserade beslut som har rättslig eller betydande effekt enligt artikel 22 GDPR. AI‑modellen genererar svar baserat på statistiska sannolikheter; detta betraktas inte som ett automatiserat beslut i lagens mening.

12. Barns personuppgifter

Tjänsten är avsedd för vuxna. Vi samlar inte medvetet in personuppgifter från barn under 16 år. Om du anser att ett barn har lämnat personuppgifter till oss, kontakta oss så raderar vi uppgifterna.

13. Ändringar av Policyn

Vi kan uppdatera Policyn för att återspegla rättsliga, tekniska eller affärsmässiga förändringar. Vid väsentliga ändringar meddelas du minst 30 dagar i förväg via e‑post eller i Tjänsten.

14. Kontakt och klagomål

Frågor om Policyn skickas till vårt dataskyddsombud.

Du kan också vända dig till Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm, imy@imy.se.