Dataskydd

1. Introduktion

Rifla AB (”vi”, ”oss”, ”vår”) är personuppgiftsansvarig för behandlingen av personuppgifter i vår AI-drivna plattform för dokumentextraktion och datahantering. Vi tar dataskydd och din integritet på största allvar.

Denna policy förklarar hur vi samlar in, använder, lagrar och skyddar personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR) och svensk dataskyddslagstiftning.

2. Kontaktinformation

Personuppgiftsansvarig: Rifla AB [Adress] [E-post] [Telefonnummer]

Dataskyddsombud (DPO): [Namn] E-post: dpo@rifla.se

3. Vilka personuppgifter behandlar vi?

3.1 Användaruppgifter

• Namn och kontaktuppgifter (e-post, telefon)
• Företagsinformation och befattning
• Användarnamn och inloggningsuppgifter
• IP-adress och enhetsidentifierare
• Aktivitetsloggar och systemanvändning

3.2 Dokumentdata

• Uppgifter som extraheras från era uppladdade dokument (fakturor, avtal, etc.)
• Metadata om dokumenthantering
• Validerings- och kvalitetskontrolldata

3.3 Teknisk data

• Cookies och liknande tekniker
• Systemloggar och säkerhetsloggar
• Prestandadata och användningsstatistik

4. Rättslig grund och ändamål

Vi behandlar personuppgifter enligt följande rättsliga grunder:

4.1 Fullgörande av avtal (Artikel 6.1b GDPR)

• Tillhandahålla och leverera våra tjänster
• Hantera användarkonton och åtkomst
• Utföra AI-driven dokumentextraktion
• Tillhandahålla support och kundservice

4.2 Berättigat intresse (Artikel 6.1f GDPR)

• Utveckla och förbättra våra tjänster
• Säkerställa IT-säkerhet och systemstabilitet
• Förhindra bedrägeri och missbruk
• Utföra systemanalyser och prestandaoptimering

4.3 Rättslig förpliktelse (Artikel 6.1c GDPR)

• Uppfylla redovisnings- och skattemässiga krav
• Arkivering enligt bokföringslagen
• Efterleva säkerhetskrav och incidentrapportering

4.4 Samtycke (Artikel 6.1a GDPR)

• Marknadsföring via e-post och nyhetsbrev (när tillämpligt)
• Användning av vissa cookies utöver nödvändiga

5. Dataminimering och lagringstider

5.1 Dataminimering (Artikel 5.1c GDPR)

Vi behandlar endast de personuppgifter som är nödvändiga för det specifika ändamålet. Ingen överflödig data samlas in eller lagras.

5.2 Lagringstider

• Användaruppgifter: Under avtalstiden + 2 år för garantiärenden
• Dokumentdata: Enligt era egna inställningar eller bokföringslagstiftning (7 år)
• Loggar och säkerhetsdata: 12 månader
• Stödärenden: 3 år efter ärendets avslut
• Bokföring och fakturor: 7 år enligt bokföringslagen

Data raderas automatiskt när lagringsperioden löper ut, såvida inte en rättslig förpliktelse kräver längre lagring.

6. Säkerhetsåtgärder

6.1 Tekniska säkerhetsåtgärder

• Kryptering: AES-256 kryptering för data i vila och transit
• Kundspecifika nycklar: Varje kund har egna krypteringsnycklar
• Zero-knowledge arkitektur: Vi kan inte läsa era dokument utan era nycklar
• Säkra protokoll: TLS 1.3 för all datatransmission
• Multi-factor authentication (MFA): Stöd för tvåfaktorsautentisering
• Säker integration: SAML, Azure AD, LDAP single sign-on

6.2 Organisatoriska säkerhetsåtgärder

• Rollbaserad åtkomstkontroll (RBAC): Granulär åtkomst på fältnivå
• Behovsprincip: Endast behöriga medarbetare har åtkomst till specifik data
• Aktivitetsloggning: All dataåtkomst loggas med tidsstämpel och användar-ID
• Säkerhetsutbildning: Kontinuerlig utbildning av personal
• Konfidentialitetsavtal: Alla medarbetare är bundna av sekretess
• Regelbundna säkerhetsrevisioner: Tredjepartsgranskningar och penetrationstester

6.3 Privacy by Design & Default (Artikel 25 GDPR)

Säkerhet och dataskydd är integrerat i systemets design från start, inte tillagt i efterhand. Standardinställningar garanterar högsta möjliga integritetsskydd.

7. Dataplacering och överföringar

7.1 Dataplacering inom EU

All data lagras och behandlas inom EU/EES, primärt i AWS Frankfurt. Data lämnar aldrig Europeiska unionen, vilket garanterar:

• Full GDPR-compliance
• Europeisk jurisdiktion
• Skydd mot internationella datautlämnanden

7.2 Inga överföringar till tredjeland

Vi utför inga överföringar av personuppgifter till länder utanför EU/EES.

8. Delning av personuppgifter

8.1 Personuppgiftsbiträden

Vi använder noggrant utvalda leverantörer som personuppgiftsbiträden:

• Hosting: AWS (Frankfurt, EU)
• E-posttjänster: [Leverantör inom EU]
• Supportverktyg: [Leverantör inom EU]

Alla biträden är bundna av personuppgiftsbiträdesavtal enligt GDPR artikel 28.

8.2 Ingen försäljning eller extern AI-träning

Zero Data Training-garanti: Era dokument och data används ALDRIG för att träna AI-modeller eller delas med tredje part. AI-träning sker endast på offentliga, anonymiserade dataset.

8.3 Rättsliga krav

Vi kan vara skyldiga att lämna ut uppgifter till myndigheter vid rättsliga förpliktelser. Vi informerar dig alltid i förväg om möjligt.

9. Dina rättigheter enligt GDPR

9.1 Rätt till tillgång (Artikel 15)

Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter och att få en kopia av dessa.

9.2 Rätt till rättelse (Artikel 16)

Du har rätt att få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.

9.3 Rätt till radering – ”Rätten att bli glömd” (Artikel 17)

Du har rätt att få dina personuppgifter raderade under vissa omständigheter:

• Uppgifterna inte längre är nödvändiga
• Du återkallar ditt samtycke
• Du invänder mot behandlingen
• Uppgifterna behandlas olagligt

Automatisk radering: Data raderas automatiskt enligt dina egna inställningar och våra policyer.

9.4 Rätt till begränsning (Artikel 18)

Du har rätt att begära begränsning av behandlingen under vissa förhållanden.

9.5 Rätt till dataportabilitet (Artikel 20)

Du har rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format och överföra dessa till en annan personuppgiftsansvarig. Vi stödjer export i standardformat (JSON, CSV, XML).

9.6 Rätt att invända (Artikel 21)

Du har rätt att när som helst invända mot behandling som grundas på berättigat intresse eller för direktmarknadsföring.

9.7 Rätt att inte bli föremål för automatiserat beslutsfattande (Artikel 22)

Vårt system använder AI för dokumentextraktion, men alla kritiska beslut granskas manuellt genom vår Human-in-the-Loop-process.

9.8 Utöva dina rättigheter

Kontakta oss på dpo@rifla.se för att utöva dina rättigheter. Vi svarar på förfrågningar inom 30 dagar.

10. Incidenthantering och säkerhetsövervakning

10.1 Incidentplan

Vi har en färdig incidentplan för hantering av dataintrång enligt GDPR artikel 33:

• Notifiering till Integritetsskyddsmyndigheten (IMY): Inom 72 timmar vid relevanta intrång
• Notifiering till berörda personer: Utan onödigt dröjsmål vid hög risk
• Dokumentation: Alla intrång loggas, analyseras och rapporteras transparent
• Åtgärder: Omedelbar begränsning av skada och förebyggande åtgärder

10.2 Säkerhetsövervakning

• Kontinuerlig övervakning av system och nätverk
• Realtidsvarningar vid avvikande aktivitet
• Integration med SIEM-system möjlig
• Regelbundna säkerhetsuppdateringar

11. Åtkomsthantering och audit trail

11.1 Granulär åtkomstkontroll

Vi erbjuder detaljerad behörighetshantering:

• Åtkomst på fältnivå – specifikt vilka datafält användare kan se
• Hierarkiska roller (t.ex. Partner, Senior Manager, Associate)
• Anpassningsbara behörighetsgrupper efter avdelning eller team

11.2 Fullständig audit trail

• Alla åtkomster loggas med tidsstämpel och användar-ID
• Specifika handlingar dokumenteras (visning, ändring, radering)
• Export möjlig för compliance-rapporter
• Loggarna bevaras enligt gällande lagstiftning

11.3 Medarbetarhantering

• Automatisk avaktivering: Vid uppsägning via HR-system eller manuellt
• Omedelbar blockering: All åtkomst stoppas direkt
• Bevarade loggar: Audit-loggar kvarstår enligt era policies

12. Cookies och liknande tekniker

Vi använder följande typer av cookies:

12.1 Nödvändiga cookies

Krävs för att webbplatsen ska fungera (sessionhantering, säkerhet). Kan inte stängas av.

12.2 Funktionella cookies

Förbättrar användarupplevelsen genom att komma ihåg dina val.

12.3 Analytiska cookies

Hjälper oss förstå hur tjänsten används för att förbättra den. Samtycker krävs.

Du kan hantera dina cookie-inställningar genom vår cookie-banner eller i dina webbläsarinställningar.

13. Behandling på uppdrag av kunden

När du använder Rifla för att behandla personuppgifter i dokument (t.ex. fakturor med kunduppgifter), agerar vi som personuppgiftsbiträde och du är personuppgiftsansvarig.

Detta regleras i vårt Personuppgiftsbiträdesavtal (DPA) enligt GDPR artikel 28, som inkluderar:

• Behandlingsinstruktioner
• Säkerhetsåtaganden
• Biträdeskedja
• Assistans vid registrerades rättigheter
• Revision och granskning

14. Ändring av medarbetares åtkomst och behörigheter

14.1 Onboarding

Vid nya medarbetare:

• Skapande av användarkonto med lämpliga behörigheter
• MFA-aktivering obligatorisk
• Säkerhetsutbildning innan full åtkomst beviljas

14.2 Ändringar under anställning

• Rollbaserade behörigheter uppdateras vid befordran eller byte av ansvar
• Åtkomstrecertifiering kvartalsvis
• Loggar visar alla behörighetsändringar

14.3 Offboarding

• Automatisk eller manuell inaktivering av konto
• Återkallning av all åtkomst omedelbart
• Överföring av nödvändig data till kvarvarande medarbetare
• Radering av personlig data efter arkiveringsperiod

15. Klagomål till tillsynsmyndighet

Du har rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att behandlingen av dina personuppgifter strider mot GDPR.

Integritetsskyddsmyndigheten (IMY) Box 8114 104 20 Stockholm E-post: imy@imy.se Telefon: 08-657 61 00 Webb: www.imy.se

16. Ändringar av denna policy

Vi kan komma att uppdatera denna dataskyddspolicy. Väsentliga ändringar meddelas via e-post eller genom notifiering i tjänsten minst 30 dagar innan ändringarna träder i kraft.

Senaste uppdatering anges alltid överst i dokumentet.

17. Kontakta oss

Om du har frågor om hur vi behandlar personuppgifter eller vill utöva dina rättigheter, kontakta oss:

---

Denna dataskyddspolicy är utformad för att uppfylla kraven i GDPR och svensk dataskyddslagstiftning. Den reflekterar vårt åtagande att skydda dina personuppgifter och din integritet.