Integritetspolicy för Smartsvar.se
Senast uppdaterad: 2025-10-08
1. Introduktion: vårt åtagande för integritet och förtroende
För oss på Smartsvar.se ("Smartsvar", "vi", "oss") är skyddet av personuppgifter och affärskritisk information inte bara en juridisk skyldighet, utan en fundamental del av vår affärsmodell. Vi förstår att när ni som kund ("kunden", "ni", "er") anlitar oss för att bygga en AI-assistent, anförtror ni oss en del av er viktigaste tillgång: er data och era kundrelationer.
Denna integritetspolicy beskriver hur Smartsvar.se ("Smartsvar", "vi", "oss") behandlar personuppgifter i egenskap av personuppgiftsbiträde för våra kunder ("kunden", "ni"). Dokumentet redogör för de tekniska och organisatoriska åtgärder vi vidtagit för att säkerställa en lagenlig och säker databehandling i enlighet med EU:s allmänna dataskyddsförordning (GDPR).
Vårt mål är att vara den tryggaste och mest transparenta AI-partnern på den svenska marknaden.
2. Roller och ansvar enligt GDPR
För att skapa tydlighet i dataskyddsarbetet definierar GDPR olika roller. I vårt samarbete gäller följande:
Personuppgiftsansvarig (data controller): Ni, vår kund, är personuppgiftsansvarig för de personuppgifter som era slutanvändare ("användare") lämnar i AI-assistenten. Ni bestämmer ändamålen och medlen för behandlingen.
Personuppgiftsbiträde (data processor): Smartsvar agerar som personuppgiftsbiträde. Vi behandlar data uteslutande på era instruktioner och i enlighet med det personuppgiftsbiträdesavtal (DPA) som tecknas mellan oss.
Underbiträde (sub-processor): För att kunna leverera en tekniskt avancerad och stabil tjänst anlitar vi specialiserade underleverantörer för funktioner som serverhosting, konversationshantering och AI-modeller. Vi säkerställer att alla våra underbiträden är bundna av avtal som uppfyller GDPR:s strikta krav.
3. Databehandlingsprocess: Funktion, ansvarsfördelning och risker
Vår AI-assistents funktionalitet bygger på en samverkan mellan två typer av kunskap: er specifika kunddata och modellens generella, förtränade intelligens. Det är avgörande att ni som kund förstår hur dessa två delar samverkar, var ansvaret ligger och vilka risker som finns.
3.1 Svarsgenerering från Kundspecifik Data (Data Grounding)
För frågor som rör er verksamhet, era produkter eller era processer, är vår plattforms primära funktion att agera som en avancerad sökmotor och svarsgenerator baserad uteslutande på den kunskapsbas (dokument, datakällor) som ni har tillhandahållit. Processen, känd som Retrieval-Augmented Generation (RAG), säkerställer att assistenten förankrar sina svar i er data.
Vårt ansvar (Personuppgiftsbiträdet): Smartsvar ansvarar för den tekniska funktionen som säkerställer att assistenten prioriterar och korrekt använder information från er kunskapsbas för att besvara relevanta frågor.
Ert ansvar (Personuppgiftsansvarig): Ni som kund ansvarar fullt ut för att informationen i er tillhandahållna kunskapsbas är korrekt, fullständig och aktuell. Kvaliteten och korrektheten i assistentens svar är direkt beroende av kvaliteten på det underlag ni förser den med.
3.2 Användning av Modellens Generella Kunskap
För att skapa en mer dynamisk och användbar assistent, kan modellen även besvara frågor som ligger utanför er specifika kunskapsbas genom att använda sin generella, förtränade kunskap. Detta inkluderar allmänfakta, logiskt resonemang och språkförståelse (t.ex. "Vilken färg har en banan?", "Vad är klockan i New York?").
Denna generella kunskap är vad som gör assistenten intelligent, men den kommer med ett ansvar och en inneboende risk.
Ansvarsfriskrivning för generella svar.
När assistenten svarar med hjälp av sin generella kunskap, är dessa svar inte verifierade av Smartsvar och är inte kopplade till er som kund. Dessa svar genereras av en underliggande språkmodell och medför en inneboende risk för felaktigheter, föråldrad information eller "hallucinationer" (svar som är tekniskt felaktiga men framstår som trovärdiga).
Ni, som personuppgiftsansvarig, bär det fulla ansvaret för hur assistenten presenteras för era slutanvändare och för eventuella konsekvenser som uppstår från svar som baseras på modellens generella kunskap. Smartsvar tillhandahåller teknologin, men ni äger konversationen och den kontext i vilken den används.
3.3 Datasegregation
Oavsett vilken typ av data som behandlas (kundspecifik eller generell) upprätthåller vi en absolut teknisk och logisk segregation mellan våra kunder. Varje kunds dataset, konfigurationer och konversationsloggar hålls strikt åtskilda genom separata databas-scheman och obligatoriska kundidentifierare på alla datanivåer. Data från en kund kan under inga omständigheter exponeras för en annan.
4. Infrastruktur och internationell dataöverföring
För att erbjuda en globalt konkurrenskraftig tjänst använder vi oss av en robust och säker infrastruktur som kan innebära behandling av data i olika geografiska regioner.
Vår primära datalagring sker inom EU/EES. Användning av underbiträden kan innebära att data överförs till land utanför EU/EES. Sådana överföringar sker alltid med stöd av giltiga överföringsmekanismer godkända av EU-kommissionen, såsom Data Privacy Framework eller Standardavtalsklausuler (SCCs).
En fullständig och aktuell förteckning över de underbiträden som anlitas för leveransen av tjänsten, inklusive deras funktion och geografiska placering, specificeras i en bilaga till det Personuppgiftsbiträdesavtal (DPA) som tecknas mellan Smartsvar och kunden om så önskas av kunden.
5. Användning av generativa AI-modeller
Kärnan i våra AI-assistenter är kraftfulla, generativa språkmodeller. Vår användning av dessa styrs av följande strikta principer:
Ingen träning på kunddata: Vi har juridiskt bindande avtal med våra leverantörer av AI-modeller som uttryckligen förbjuder dem att använda någon data som skickas via deras API för att träna eller förbättra sina globala modeller.
Tillfällig behandling ("inference"): Er data skickas till AI-modellen endast i syfte att generera ett svar i realtid. Informationen lagras inte av AI-modelleverantören efter att svaret har genererats.
6. Säkerhetsåtgärder
Vi har implementerat omfattande tekniska och organisatoriska säkerhetsåtgärder för att skydda er data mot obehörig åtkomst, förlust eller förstöring. Dessa inkluderar, men är inte begränsade till:
Kryptering: All data krypteras både under överföring (in-transit) med protokoll som TLS, och vid lagring (at-rest) med branschledande algoritmer.
Åtkomstkontroll: Tillgång till kunddata är strikt begränsad till ett minimum av behörig personal hos Smartsvar, vars åtkomst är nödvändig för att utföra sina arbetsuppgifter (t.ex. support och underhåll). All åtkomst loggas.
Regelbunden granskning: Vi genomför regelbundna säkerhetsgranskningar och penetrationstester av vår plattform för att identifiera och åtgärda potentiella sårbarheter.