Integritetspolicy

Version 1.3 — Gäller från 15 juni 2026

Uppdaterad för övergången till kostnadsfri åtkomst baserad på Brain Orchestra‑API‑nyckel: Just Smarter Eval behandlar inga betalningsuppgifter; Stripe togs bort som underbiträde och Brain Orchestra lades till för behandling av AI-inferens.

Read in English

1. Personuppgiftsansvarig

Xalerate AB (org.nr 559575-8698, momsreg. SE559575869801), Klaratjärnsgatan 1, 654 63 Karlstad, är personuppgiftsansvarig för alla personuppgifter som behandlas via Just Smarter Eval ("Tjänsten", i detta dokument även kallad "Just Smarter"). Tjänsten omfattar utvärderingsverktyget på /eval, flermodellschatten på /app och alla tillhörande API:er och instrumentpaneler under justsmarter.ai. För integritetsfrågor, begäran om registrerads rättigheter eller frågor om denna policy, kontakta support@justsmarter.ai.

Xalerate AB är inte skyldigt att utse ett dataskyddsombud enligt GDPR Art. 37 eftersom vår kärnverksamhet inte innebär storskalig regelbunden övervakning eller behandling av känsliga personuppgifter. Integritetsfrågor hanteras av företagets ledning.

2. Personuppgifter vi samlar in och lagringstider

UppgiftÄndamålLagringstid
E-postadress + bcrypt-hashat lösenord Autentisering Tills kontot raderas
Namn (frivilligt) Visning i gränssnittet Tills kontot raderas
Företagsnamn, momsnummer, faktureringsadress, land Fakturering, momskrav 7 år efter utgången av räkenskapsåret för den senaste fakturan (Bokföringslagen 7 § 2). Radering av kontot tar bort användarprofilen, men fakturor sparas under den lagstadgade perioden.
Chatthistorik (promptar, AI-svar, läge, tidsstämplar) Konversationsfunktion, så att du kan komma åt tidigare chattar Tills användaren raderar chatten eller kontot
Utvärderingskörningar (promptar, AI-svar, använd modell, tokenförbrukning, latens, tidsstämplar) samt sparade dataset (promptsamlingar + metadata) Utvärderingsfunktion, så att du kan granska tidigare körningar, köra om sparade dataset och exportera granskningsartefakter Tills användaren raderar körningen / datasetet eller kontot
Användningsposter (ord-/användningsantal per förfrågan) Användningshistorik och kontroll av skälig användning (revisionspost; används inte för fakturering) Tills kontot raderas
IP-adress + user-agent vid samtyckestidpunkten Revisionsspår för samtycke till Användarvillkor och Integritetspolicy — krävs som bevis på samtycke enligt GDPR Art. 7(1) Tills kontot raderas
Autentiseringstokens (refresh, lösenordsåterställning, e-postverifiering) Sessionshantering och återställning av lösenord/e-post Refresh: 30 dagar, förlängt med 7 dagar efter återkallning för stöldidentifiering, därefter raderas. Återställning och verifiering: upp till 24 timmar efter användning eller utgång.
Serverloggar (request-ID, användar-ID, IP-adresser, felmeddelanden) Felsökning, säkerhetsövervakning, incidenthantering Lagras av vår hostingleverantör (Railway) i upp till 30 dagar

2.1 Lagring av kontodata

Just Smarter Eval behåller dina kontouppgifter (e-postadress, lösenordshash) och de data du skapar i tjänsten (konversationer, utvärderingskörningar, sparade dataset och användningsposter per förfrågan) så länge ditt konto finns. Vi raderar eller rensar inte inaktiva konton automatiskt. Dina data raderas när du raderar ditt konto, eller vid en verifierad begäran om radering enligt artikel 17 GDPR; raderingen omfattar dina konversationer, utvärderingskörningar, sparade dataset och användningsposter.

3. Personuppgiftsbiträden och underbiträden

Vi använder följande personuppgiftsbiträden. Vart och ett har ett personuppgiftsbiträdesavtal som uppfyller kraven i GDPR Art. 28. Du kan begära en kopia av något av dessa avtal genom att mejla support@justsmarter.ai.

BiträdeÄndamålPlatsAvtal / villkor
Brain Orchestra (drivs av Xalerate AB, Sverige) Personuppgiftsbiträde (GDPR art. 28; kunden är personuppgiftsansvarig) — routing och behandling av AI-inferensinnehåll som du skickar via din anslutna Brain Orchestra API-nyckel Sverige/EU (Xalerate AB). Inferens behandlas enligt den datahemvistnivå som konfigurerats på ditt Brain Orchestra-konto — EU-hemvistnivåer behandlas inom EU/EES; den obegränsade nivån kan använda leverantörer utanför EU. Se Brain Orchestras personuppgiftsbiträdesavtal och underbiträdeslista.
Anthropic PBC (Claude-modeller) AI-textgenerering USA — DPF-certifierad anthropic.com/legal
OpenAI LLC (GPT-4o, o3, o4-mini) AI-textgenerering USA — DPF-certifierad openai.com/enterprise-privacy
Google LLC (Gemini) AI-textgenerering USA — DPF-certifierad cloud.google.com/terms/dpa
Mistral AI SAS AI-textgenerering (Mistral, Codestral) EU (Frankrike) mistral.ai/terms
Tavily AI, Inc. Webbsökning (faktagranskning) — får endast den omformulerade frågetexten, ingen användaridentifierare USA Direkt biträde till Xalerate AB; aktuella villkor på tavily.com
Serper.dev Google-sökresultat (faktagranskning) — får endast den omformulerade frågetexten, ingen användaridentifierare USA Direkt biträde till Xalerate AB; aktuella villkor på serper.dev
Resend, Inc. Transaktionell e-post (verifiering, lösenordsåterställning) USA — DPF-certifierad resend.com/legal/dpa
Railway Corp Applikationshosting och Postgres-databas EU railway.com/legal/dpa

Vi kan lägga till eller byta ut personuppgiftsbiträden från tid till annan. Väsentliga ändringar återspeglas i en uppdaterad version av denna policy och meddelas innan de träder i kraft (se §10).

Notering om sökevidens-pipeline: Tavily och Serper är direktupphandlade av Xalerate AB (vi äger API-nycklarna), inte via Brain Orchestra. De får endast den omformulerade frågetexten för faktagranskningen — ingen användaridentifierare, ingen chatthistorik, ingen e-postadress. Brain Orchestra ingår inte i flödet för dessa anrop.

4. Rättslig grund för behandling (GDPR Art. 6)

5. Dina rättigheter

Enligt GDPR och svensk dataskyddslagstiftning har du följande rättigheter. Du kan utöva de flesta direkt från Inställningar; för övrigt, mejla support@justsmarter.ai. Vi svarar inom 30 dagar (förlängbart med 60 dagar för komplicerade begäranden enligt Art. 12(3)).

6. Cookies och webbläsarlagring

Vi använder endast strikt nödvändiga httpOnly-cookies för autentisering (access-token + refresh-token). Inga spårnings-, analys- eller tredjepartscookies. Webbläsarens localStorage används endast för UI-inställningar och innehåller inga personuppgifter. Se vår Cookiepolicy för detaljer.

7. Internationella överföringar

När du använder AI-modeller från USA-baserade leverantörer (Anthropic, OpenAI, Google) eller USA-baserad infrastruktur (Resend) överförs dina uppgifter till USA för behandling. Var och en av dessa leverantörer är certifierade under EU–U.S. Data Privacy Framework (DPF), som EU-kommissionen har erkänt som tillräckligt dataskydd enligt GDPR Art. 45 (Beslut (EU) 2023/1795). Dessa överföringar kräver därför inga standardavtalsklausuler.

När du använder Mistral AI-modeller behandlas dina promptar inom EU och ingen internationell överföring sker.

Du kan begränsa alla förfrågningar till EU-baserade leverantörer genom att aktivera växlingen "Endast EU" i chatten.

8. Datasäkerhet

Lösenord hashas med bcrypt (12 rundor). Refresh-, lösenordsåterställnings- och e-postverifieringstokens hashas med SHA-256 innan lagring. Brain Orchestra-API-nycklar du tillhandahåller krypteras i vila med AES-256-GCM. Alla klient-till-server-anslutningar använder TLS 1.2+. Databasen finns hos Railway inom EU.

Vi hastighetsbegränsar autentiseringsendpoints för att motverka credential-stuffing-attacker och upptäcker återanvändning av refresh-tokens för att motverka sessionsstöld.

9. Meddelande om personuppgiftsincident

Om vi blir medvetna om en personuppgiftsincident som påverkar dina uppgifter, kommer vi att meddela Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR Art. 33. Om incidenten sannolikt medför hög risk för dina rättigheter och friheter kommer vi även att meddela dig direkt och förklara vilka åtgärder du kan vidta, enligt GDPR Art. 34.

10. Ändringar av denna policy

Vi meddelar dig om väsentliga ändringar och begär nytt samtycke där det krävs. Tidigare versioner sparas i vårt samtyckeslogg och kan begäras via e-post.

11. Kontakt

För integritetsfrågor, begäran om registrerads rättigheter eller frågor om denna policy, kontakta vårt integritetsteam på support@justsmarter.ai. För postförfrågningar, använd den registrerade adressen i §1.

Xalerate AB — org.nr 559575-8698 — Momsreg. SE559575869801 — justsmarter.ai