Integritetspolicy

Version 1.2 — Gäller från 19 april 2026

1. Personuppgiftsansvarig

Xalerate AB (org.nr 559575-8698, momsreg. SE559575869801), Klaratjärnsgatan 1, 654 63 Karlstad, är personuppgiftsansvarig för alla personuppgifter som behandlas via Just Smarter Eval ("Tjänsten", i detta dokument även kallad "Just Smarter"). Tjänsten omfattar utvärderingsverktyget på /eval, flermodellschatten på /app och alla tillhörande API:er och instrumentpaneler under justsmarter.ai. För integritetsfrågor, begäran om registrerads rättigheter eller frågor om denna policy, kontakta support@justsmarter.ai.

Xalerate AB är inte skyldigt att utse ett dataskyddsombud enligt GDPR Art. 37 eftersom vår kärnverksamhet inte innebär storskalig regelbunden övervakning eller behandling av känsliga personuppgifter. Integritetsfrågor hanteras av företagets ledning.

2. Personuppgifter vi samlar in och lagringstider

Uppgift	Ändamål	Lagringstid
E-postadress + bcrypt-hashat lösenord	Autentisering	Tills kontot raderas
Namn (frivilligt)	Visning i gränssnittet	Tills kontot raderas
Företagsnamn, momsnummer, faktureringsadress, land	Fakturering, momskrav	7 år efter utgången av räkenskapsåret för den senaste fakturan (Bokföringslagen 7 § 2). Radering av kontot tar bort användarprofilen, men fakturor sparas under den lagstadgade perioden.
Chatthistorik (promptar, AI-svar, läge, tidsstämplar)	Konversationsfunktion, så att du kan komma åt tidigare chattar	Tills användaren raderar chatten eller kontot
Utvärderingskörningar (promptar, AI-svar, använd modell, token- och kreditförbrukning, latens, tidsstämplar) samt sparade dataset (promptsamlingar + metadata)	Utvärderingsfunktion, så att du kan granska tidigare körningar, köra om sparade dataset och exportera granskningsartefakter	Tills användaren raderar körningen / datasetet eller kontot
Kreditbalans, användningslogg, modellfördelning	Fakturering, tillämpning av skälig användning, användningshistorik-instrumentpanel	Tills kontot raderas
Påfyllnadsköp	Fakturering, avstämning, återbetalningar	7 år (bokföringslagen — se raden för företagsuppgifter)
Betalkortsuppgifter	Fakturering via Stripe	Vi ser aldrig dina kortuppgifter; de samlas in och lagras direkt av Stripe, Inc. Se stripe.com/privacy.
IP-adress + user-agent vid samtyckestidpunkten	Revisionsspår för samtycke till Användarvillkor och Integritetspolicy — krävs som bevis på samtycke enligt GDPR Art. 7(1)	Tills kontot raderas
Autentiseringstokens (refresh, lösenordsåterställning, e-postverifiering)	Sessionshantering och återställning av lösenord/e-post	Refresh: 30 dagar, förlängt med 7 dagar efter återkallning för stöldidentifiering, därefter raderas. Återställning och verifiering: upp till 24 timmar efter användning eller utgång.
Serverloggar (request-ID, användar-ID, IP-adresser, felmeddelanden)	Felsökning, säkerhetsövervakning, incidenthantering	Lagras av vår hostingleverantör (Railway) i upp till 30 dagar

3. Personuppgiftsbiträden och underbiträden

Vi använder följande personuppgiftsbiträden. Vart och ett har ett personuppgiftsbiträdesavtal som uppfyller kraven i GDPR Art. 28. Du kan begära en kopia av något av dessa avtal genom att mejla support@justsmarter.ai.

Biträde	Ändamål	Plats	Avtal / villkor
Brain Orchestra (Xalerate AB)	LLM-gateway — dirigerar promptar till AI-leverantörer	EU (Sverige)	Samma personuppgiftsansvariga-grupp; ingen extern överföring
Anthropic PBC (Claude-modeller)	AI-textgenerering	USA — DPF-certifierad	anthropic.com/legal
OpenAI LLC (GPT-4o, o3, o4-mini)	AI-textgenerering	USA — DPF-certifierad	openai.com/enterprise-privacy
Google LLC (Gemini)	AI-textgenerering	USA — DPF-certifierad	cloud.google.com/terms/dpa
Mistral AI SAS	AI-textgenerering (Mistral, Codestral)	EU (Frankrike)	mistral.ai/terms
Tavily AI, Inc.	Webbsökning (faktagranskning) — får endast den omformulerade frågetexten, ingen användaridentifierare	USA	Direkt biträde till Xalerate AB; aktuella villkor på tavily.com
Serper.dev	Google-sökresultat (faktagranskning) — får endast den omformulerade frågetexten, ingen användaridentifierare	USA	Direkt biträde till Xalerate AB; aktuella villkor på serper.dev
Stripe, Inc.	Betalningshantering	USA — DPF-certifierad	stripe.com/legal/dpa
Resend, Inc.	Transaktionell e-post (verifiering, lösenordsåterställning)	USA — DPF-certifierad	resend.com/legal/dpa
Railway Corp	Applikationshosting och Postgres-databas	EU	railway.com/legal/dpa

Vi kan lägga till eller byta ut personuppgiftsbiträden från tid till annan. Väsentliga ändringar återspeglas i en uppdaterad version av denna policy och meddelas innan de träder i kraft (se §10).

Notering om sökevidens-pipeline: Tavily och Serper är direktupphandlade av Xalerate AB (vi äger API-nycklarna), inte via Brain Orchestra. De får endast den omformulerade frågetexten för faktagranskningen — ingen användaridentifierare, ingen chatthistorik, ingen e-postadress. Brain Orchestra ingår inte i flödet för dessa anrop.

4. Rättslig grund för behandling (GDPR Art. 6)

Avtalsuppfyllelse (Art. 6(1)(b)) — kontohantering, inloggning, kreditbalans, konversationslagring, chatt- och pipeline-förfrågningar, prenumerationsfakturering och påfyllnadsköp. Detta täcker kärntjänsten du registrerat dig för.
Rättslig förpliktelse (Art. 6(1)(c)) — sparande av fakturor och bokföringsunderlag i 7 år enligt svensk bokföringslag; besvarande av lagliga förfrågningar från myndigheter.
Berättigat intresse (Art. 6(1)(f)) — säkerhetsövervakning (hastighetsbegränsning, återupptäckt av återanvända refresh-tokens, loggning av misstänkt aktivitet), bedrägeribekämpning, förhindrande av missbruk av välkomstbonus och förbättring av tjänstens tillförlitlighet. Vi väger dessa intressen mot dina grundläggande rättigheter, och du kan invända enligt Art. 21 genom att mejla support@justsmarter.ai.
Samtycke (Art. 6(1)(a)) — registrering av ditt godkännande av aktuella Användarvillkor och Integritetspolicy. Du kan dra tillbaka ditt samtycke genom att radera ditt konto.

5. Dina rättigheter

Enligt GDPR och svensk dataskyddslagstiftning har du följande rättigheter. Du kan utöva de flesta direkt från Inställningar; för övrigt, mejla support@justsmarter.ai. Vi svarar inom 30 dagar (förlängbart med 60 dagar för komplicerade begäranden enligt Art. 12(3)).

Rätt till tillgång (Art. 15) — klicka på "Ladda ner mina data" i Inställningar för att få en JSON-ögonblicksbild av din profil, balans, användningshistorik, konversationer och samtyckeslogg.
Rätt till rättelse (Art. 16) — redigera din profil och företagsuppgifter i Inställningar.
Rätt till radering (Art. 17) — radera ditt konto från Inställningar. Raderingen är omedelbar och kaskaderar; alla rader som refererar till ditt användar-ID tas bort i en enda transaktion. Fakturor som sparas enligt bokföringslagen är enda undantaget (se §2).
Rätt till begränsning (Art. 18) — begär att vi pausar behandlingen av dina uppgifter medan en tvist pågår. Kontakta oss via e-post.
Rätt till dataportabilitet (Art. 20) — exporten "Ladda ner mina data" i Inställningar returnerar en strukturerad JSON-fil som du kan återanvända med vilken annan leverantör som helst.
Rätt att göra invändning (Art. 21) — invända mot behandling baserad på berättigat intresse, inklusive profilering och direktmarknadsföring. Vi utför för närvarande ingen direktmarknadsföring eller profilering.
Rättigheter relaterade till automatiserat beslutsfattande (Art. 22) — AI-genererade chattsvar används inte för att fatta beslut som har rättsliga eller liknande betydande effekter på dig. Du är inte föremål för automatiserat beslutsfattande enligt Art. 22 hos Just Smarter.
Rätt att lämna in klagomål — du kan klaga till Integritetsskyddsmyndigheten (IMY) på www.imy.se, eller till din lokala dataskyddsmyndighet inom EU.

6. Cookies och webbläsarlagring

Vi använder endast strikt nödvändiga httpOnly-cookies för autentisering (access-token + refresh-token). Inga spårnings-, analys- eller tredjepartscookies. Webbläsarens localStorage används endast för UI-inställningar och innehåller inga personuppgifter. Se vår Cookiepolicy för detaljer.

7. Internationella överföringar

När du använder AI-modeller från USA-baserade leverantörer (Anthropic, OpenAI, Google) eller USA-baserad infrastruktur (Stripe, Resend) överförs dina uppgifter till USA för behandling. Var och en av dessa leverantörer är certifierade under EU–U.S. Data Privacy Framework (DPF), som EU-kommissionen har erkänt som tillräckligt dataskydd enligt GDPR Art. 45 (Beslut (EU) 2023/1795). Dessa överföringar kräver därför inga standardavtalsklausuler.

När du använder Mistral AI-modeller behandlas dina promptar inom EU och ingen internationell överföring sker.

Du kan begränsa alla förfrågningar till EU-baserade leverantörer genom att aktivera växlingen "Endast EU" i chatten.

8. Datasäkerhet

Lösenord hashas med bcrypt (12 rundor). Refresh-, lösenordsåterställnings- och e-postverifieringstokens hashas med SHA-256 innan lagring. Brain Orchestra-API-nycklar du tillhandahåller krypteras i vila med AES-256-GCM. Alla klient-till-server-anslutningar använder TLS 1.2+. Databasen finns hos Railway inom EU.

Vi använder PostgreSQL-advisory-lås för att serialisera kreditavdrag och förhindra dubbeldebitering, och vi hastighetsbegränsar autentiseringsendpoints för att motverka credential-stuffing-attacker. Stripe-webhook-signaturer verifieras innan någon händelse behandlas.

9. Meddelande om personuppgiftsincident

Om vi blir medvetna om en personuppgiftsincident som påverkar dina uppgifter, kommer vi att meddela Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR Art. 33. Om incidenten sannolikt medför hög risk för dina rättigheter och friheter kommer vi även att meddela dig direkt och förklara vilka åtgärder du kan vidta, enligt GDPR Art. 34.

10. Ändringar av denna policy

Vi meddelar dig om väsentliga ändringar och begär nytt samtycke där det krävs. Tidigare versioner sparas i vårt samtyckeslogg och kan begäras via e-post.

11. Kontakt

För integritetsfrågor, begäran om registrerads rättigheter eller frågor om denna policy, kontakta vårt integritetsteam på support@justsmarter.ai. För postförfrågningar, använd den registrerade adressen i §1.

Xalerate AB — org.nr 559575-8698 — Momsreg. SE559575869801 — justsmarter.ai