Integritetspolicy

1. Personuppgiftsansvarig och kontakt

Personuppgiftsansvarig för behandlingen av dina personuppgifter är:

Vi har för närvarande inte utsett något dataskyddsombud (DPO) då vår verksamhet inte omfattas av kravet enligt artikel 37 i GDPR. För alla frågor om behandling av personuppgifter, kontakta oss på support@vixi.se.

2. Vilka personuppgifter samlar vi in?

2.1 Uppgifter du lämnar till oss

Vid registrering:

• Namn
• E-postadress
• Lösenord (lagras krypterat)
• Profilbild (vid social inloggning via Google/GitHub)

Vid social inloggning (Google/GitHub):

• Profiluppgifter från vald leverantör (namn, e‑post, profilbild)
• Tekniska inloggningstokens (t.ex. access/refresh/id‑token) i den utsträckning som krävs för inloggning och session

Vid användning av tjänsten:

• Sökfrågor (adresser, städer för bostadsanalyser)
• Uppladdade dokument (årsredovisningar, stadgar, etc.)
• Chattmeddelanden till AI-assistenten
• Användarinställningar (språk, tidszon, e-postpreferenser)

Vid betalning (via Stripe):

• Betalningsinformation (hanteras av Stripe, ej lagrat hos oss)
• Faktureringsadress
• Transaktionshistorik (belopp, datum, pakettyp)

Vid kontakt med support:

• Namn och e-postadress
• Meddelande och ärenderelateraduppgifter

2.2 Uppgifter vi samlar in automatiskt

Teknisk information:

• IP-adress (för säkerhet, missbruksförebyggande och sessionhantering)
• Webbläsartyp och version (User Agent)
• Enhet och operativsystem
• Datum och tid för besök
• Klickdata och sidvisningar (via Vercel Analytics)

Cookies och liknande tekniker:

• Sessionscookies för inloggning och autentisering
• Funktionella cookies för användarinställningar
• Analytiska cookies (med ditt samtycke via CookieYes)

Läs mer i vår Cookiepolicy.

2.3 Uppgifter från tredje part

Vi hämtar offentlig information om bostadsrättsföreningar från följande källor:

• Bolagsverket (årsredovisningar, företagsinformation)
• Polisen.se öppna API (anonymiserad brottsstatistik)
• Trafikverket (infrastrukturprojekt)
• Statistikmyndigheter (marknadspriser och försäljningsstatistik)
• Mäklarbyråer och bostadsportaler (objektinformation)

Denna data innehåller inte personuppgifter om dig, utan endast offentlig information om BRF:er och fastigheter.

3. Varför behandlar vi dina personuppgifter?

Vi behandlar dina personuppgifter för följande ändamål och rättsliga grunder enligt GDPR:

3.1 För att tillhandahålla tjänsten (Rättslig grund: Avtal)

• Skapa och hantera ditt användarkonto
• Autentisera dig och säkerställa säker inloggning
• Generera bostadsanalysrapporter åt dig
• Tillhandahålla AI-assistans via chatfunktionen
• Hantera dina krediter och transaktioner
• Lagra och tillhandahålla dina rapporter
• Kommunicera med dig om din tjänstanvändning

3.2 För betalningshantering (Rättslig grund: Avtal)

• Behandla betalningar via Stripe
• Utfärda kvitton och fakturaunderlag
• Hantera återbetalningar vid tekniska problem
• Förhindra betalningsbedrägerier

3.3 För säkerhet och missbruksförebyggande (Rättslig grund: Berättigat intresse)

• Förhindra missbruk av tjänsten och API-manipulation
• Upptäcka och förhindra bedrägerier
• Implementera hastighetsbegränsningar (rate limiting)
• Logga IP-adresser för säkerhetsändamål
• Skydda mot cyberattacker och systemintrång

Vårt berättigade intresse: Skydda vår affärsverksamhet, förhindra kostnadsexplosion från API-missbruk, och säkerställa tjänstens stabilitet för alla användare.

3.4 För att förbättra tjänsten (Rättslig grund: Berättigat intresse)

• Analysera användningsmönster för att förbättra funktionalitet
• Träna och förbättra AI-modeller (endast med anonymiserad data)
• Åtgärda buggar och tekniska problem
• Utveckla nya funktioner baserat på användarbeteende

Vårt berättigade intresse: Förbättra tjänstekvalitet och användarupplevelse.

3.5 För marknadsföring (Rättslig grund: Samtycke)

• Skicka nyhetsbrev och produktuppdateringar (endast om du samtycker)
• Informera om nya funktioner och erbjudanden

Du kan när som helst återkalla ditt samtycke via inställningar i ditt konto eller genom att klicka på "avprenumerera" i e-postmeddelanden.

3.6 För att uppfylla rättsliga skyldigheter (Rättslig grund: Rättslig förpliktelse)

• Bokföring och skattedeklaration (7 års lagring enligt bokföringslagen)
• Svara på myndighetsbegäran vid brottsutredningar
• Efterleva konsumentlagstiftning

4. Hur länge lagrar vi dina uppgifter?

Vi lagrar dina personuppgifter endast så länge som är nödvändigt för de ändamål de samlades in:

Efter att ditt konto raderats anonymiseras eller raderas alla personuppgifter, med undantag för information som vi är skyldiga att behålla enligt lag (t.ex. bokföringsmaterial).

5. Vem delar vi dina uppgifter med?

Vi delar dina personuppgifter med följande kategorier av mottagare för att kunna tillhandahålla och förbättra vår tjänst:

5.1 Tekniska tjänsteleverantörer

5.2 AI och analysverktyg

5.3 Betalnings- och kommunikationstjänster

5.4 Kartdata och geolokalisering

5.5 Analytiska verktyg

5.6 Dela vi data med andra?

Nej, vi säljer ALDRIG dina personuppgifter. Vi delar endast personuppgifter med tjänsteleverantörer som agerar som personuppgiftsbiträden för vår räkning för att tillhandahålla, drifta, underhålla och förbättra Tjänsten. Våra leverantörer får endast behandla uppgifter enligt våra instruktioner och är bundna av personuppgiftsbiträdesavtal, sekretess och lämpliga säkerhetsåtgärder. Vi tillåter inte att våra leverantörer använder personuppgifter för egna ändamål.

För att förbättra funktioner och användarupplevelse kan vi dela nödvändiga uppgifter med kategorier som produkt- och utvecklingsleverantörer (t.ex. bakgrundsjobb/arbetsköer, e‑posttjänster, OCR‑tjänster). Rättslig grund är vårt berättigade intresse (GDPR art. 6.1 f). Du har rätt att invända mot denna behandling (art. 21) – kontakta oss för att utöva denna rätt. Där det är möjligt använder vi anonymiserad eller aggregerad data. Vid överföring utanför EU/EES tillämpar vi de skyddsåtgärder som beskrivs i avsnitt 6.

Vi kan även dela uppgifter om det krävs enligt lag (t.ex. vid myndighetsbegäran) eller för att skydda våra rättigheter vid rättsliga tvister.

6. Överföring av personuppgifter utanför EU/EES

Vissa av våra tjänsteleverantörer är baserade i USA eller andra länder utanför EU/EES. Vi vidtar följande åtgärder för att säkerställa adekvat skyddsnivå:

6.1 Skyddsåtgärder

• Standard Contractual Clauses (SCCs): Vi använder EU-kommissionens standardavtalsklausuler med leverantörer i USA (OpenAI, Anthropic, Google, Stripe).
• Adequacy Decisions: Stripe omfattas av EU-US Data Privacy Framework där tillämpligt.
• Data minimering: Vi skickar endast nödvändig data och anonymiserar där möjligt (t.ex. INGEN personidentifierande information skickas till OpenAI eller Anthropic).
• Kryptering: All dataöverföring sker krypterat via HTTPS/TLS.

6.2 Data som stannar i EU

Följande data lagras endast inom EU:

• Huvuddatabas (Neon - Frankfurt, Tyskland)
• Uppladdade dokument (Supabase - EU-region)
• OCR-bearbetning (Sverige/EU)
• Webbhosting (Vercel - planerad EU-region)

7. Automatiserat beslutsfattande och profilering

7.1 AI-genererade rapporter och betyg

Vixi använder automatiserat beslutsfattande (AI) för att generera rapporter och betygsätta bostadsrättsföreningar. Detta omfattas av artikel 22 i GDPR.

Rättslig grund: Automatiseringen är nödvändig för att fullgöra avtalet med dig (artikel 22.2.a GDPR). Tjänsten kan inte tillhandahållas utan automatiserad AI-analys.

Dessa AI‑genererade rekommendationer är rådgivande och avser inte att ha rättsverkan eller i motsvarande grad betydande inverkan på dig. Besluten fattas slutligen av dig, och du kan alltid begära mänsklig granskning enligt avsnitt 7.2.

7.2 Din rätt till mänsklig intervention

Du har rätt att:

• Få en förklaring av hur betyget och rekommendationerna beräknats
• Ifrågasätta ett automatiserat beslut
• Begära mänsklig granskning av en rapport
• Framföra dina synpunkter

Kontakta support@vixi.se om du vill utöva dessa rättigheter eller har frågor om en AI-genererad rapport.

7.3 Profilering

Vi utför INGEN profilering av dig som person. AI:n analyserar BRF-dokument, fastighets- och områdesdata (offentlig information) – inte ditt beteende eller dina personliga egenskaper.

8. Hur skyddar vi dina uppgifter?

Vi implementerar omfattande tekniska och organisatoriska säkerhetsåtgärder:

8.1 Tekniska säkerhetsåtgärder

• Kryptering: Alla lösenord krypteras med moderna hashingalgoritmer. All datatrafik krypteras med TLS/HTTPS.
• Åtkomstkontroll: Strikt behörighetskontroll - användare kan endast se sina egna rapporter.
• Rate limiting: Hastighetsbegränsningar förhindrar brute-force-attacker och API-missbruk.
• Input-validering: All användarinput valideras för att förhindra SQL-injektioner, XSS och andra attacker.
• CSRF-skydd: Skydd mot cross-site request forgery.
• Säkra cookies: HttpOnly, Secure, SameSite-attribut i produktion.
• PII-filtrering: Personnummer, telefonnummer och känslig data blockeras innan de når AI-tjänster.

8.2 Organisatoriska säkerhetsåtgärder

• Begränsad tillgång till personuppgifter (endast behörig personal)
• Regelbundna säkerhetsgranskningar
• Incidenthanteringsrutiner
• Dataskyddsavtal (DPA) med alla underleverantörer
• Automatiserad dataminimering (radering efter 30 dagar för chathistorik)

8.3 Personuppgiftsincidenter

Om en personuppgiftsincident inträffar (dataintrång) kommer vi att:

• Anmäla till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om incidenten innebär risk för dina rättigheter
• Informera dig utan onödigt dröjsmål om incidenten innebär hög risk för dina rättigheter och friheter
• Vidta åtgärder för att minimera skador
• Dokumentera incidenten och våra åtgärder

9. Dina rättigheter enligt GDPR

Du har följande rättigheter enligt dataskyddsförordningen (GDPR):

9.1 Rätt till tillgång (registerutdrag)

Du har rätt att få bekräftelse på om vi behandlar personuppgifter om dig och i så fall få tillgång till dessa. Du kan begära ett registerutdrag genom att kontakta support@vixi.se. Vi svarar inom 30 dagar.

Svarstiden kan vid behov förlängas med upp till två månader för komplexa eller omfattande begäranden (artikel 12.3 GDPR).

9.2 Rätt till rättelse

Du kan när som helst uppdatera ditt namn, e-postadress och andra uppgifter via dina kontoinställningar påvixi.se/installningar.

9.3 Rätt till radering ("rätten att bli glömd")

Du kan begära radering av ditt konto och dina personuppgifter. Kontakta support@vixi.se eller använd raderingsfunktionen i dina kontoinställningar.

Undantag: Vi kan behålla viss data om vi är skyldiga enligt lag (t.ex. bokföringsmaterial i 7 år).

9.4 Rätt till begränsning av behandling

Du kan begära att vi tillfälligt begränsar behandlingen av dina personuppgifter om:

• Du bestrider uppgifternas korrekthet
• Behandlingen är olaglig men du vill inte att uppgifterna raderas
• Vi inte längre behöver uppgifterna men du behöver dem för rättsliga anspråk

9.5 Rätt till dataportabilitet

Du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Du kan ladda ner dina rapporter och begära export av dina uppgifter via support@vixi.se.

9.6 Rätt att göra invändningar

Du har rätt att invända mot behandling som baseras på berättigat intresse. Vi kommer då att upphöra med behandlingen om vi inte kan visa tvingande berättigade skäl som väger tyngre än dina intressen.

Du kan när som helst invända mot marknadsföring genom att avregistrera dig från nyhetsbrev eller ändra dina e-postpreferenser i kontoinställningar.

9.7 Rätt att återkalla samtycke

Om behandling baseras på samtycke (t.ex. marknadsföring) kan du när som helst återkalla ditt samtycke. Detta påverkar inte lagligheten av behandling som skett innan återkallelsen.

9.8 Rätt att klaga

Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna in ett klagomål till tillsynsmyndigheten:

Vi uppmanar dig dock att först kontakta oss direkt så att vi kan försöka lösa eventuella problem.

10. Cookies och spårningstekniker

Vi använder cookies och liknande tekniker för att förbättra din upplevelse och säkerställa tjänstens funktionalitet. Detaljerad information om vilka cookies vi använder finns i vår Cookiepolicy.

10.1 Cookiekategorier

• Nödvändiga cookies: Krävs för inloggning, säkerhet och grundläggande funktionalitet. Kan inte avvisas.
• Funktionella cookies: Sparar dina inställningar och preferenser.
• Analytiska cookies: Hjälper oss förstå hur tjänsten används (kräver samtycke).
• Marknadsföringscookies: Används för riktad marknadsföring (kräver samtycke, ej aktivt ännu).

10.2 Hantera cookies

Du kan hantera dina cookie-preferenser via CookieYes-bannern som visas vid ditt första besök. Du kan när som helst ändra dina val genom att:

• Klicka på cookie-ikonen längst ner på sidan
• Ändra inställningar i din webbläsare
• Besöka vår cookiepolicy

Vi sparar även ditt cookie‑samtycke i ett samtyckeslogg (CookieYes) för att uppfylla rättsliga krav.

11. Särskilt om AI och integritetsåtgärder

11.1 OpenAI och Anthropic - Strikt dataminimering

Starkt integritetsskydd:

När vi använder OpenAI eller Anthropic för AI‑analys skickar vi aldrig:

• Ditt namn
• Din e‑postadress
• Ditt användar‑ID
• Din IP‑adress
• Personnummer eller andra personidentifierare

Vi skickar endast anonymiserad dokumenttext och chattfrågor (där personuppgifter automatiskt filtreras bort).

11.2 Automatisk PII-filtrering

Innan data skickas till AI-tjänster filtreras automatiskt:

• Personnummer (YYMMDD-XXXX)
• Telefonnummer (070-XXX XX XX)
• E-postadresser
• Organisationsnummer
• Kreditkortsnummer

11.3 AI-träning på anonymiserad data

Vi kan använda anonymiserad och aggregerad data för att förbättra våra AI-modeller och tjänstekvalitet. Detta görs enligt följande principer:

• Data anonymiseras fullständigt (all personidentifierande information tas bort)
• Enskilda rapporter kan inte kopplas tillbaka till dig
• Endast aggregerade mönster och statistik används

12. Barn och ålderskrav

Tjänsten är inte avsedd för personer under 18 år. Vi samlar inte medvetet in personuppgifter från barn. Genom att registrera dig intygar du att du är minst 18 år gammal.

Om vi upptäcker att vi oavsiktligt har samlat in uppgifter från någon under 18 år kommer vi att radera dessa uppgifter omedelbart.

13. Ändringar av denna integritetspolicy

Vi kan komma att uppdatera denna integritetspolicy från tid till annan för att återspegla förändringar i:

• Vår databehandling
• Lagstiftning eller myndighetskrav
• Våra tjänster eller affärsmodell
• Tekniska system och integrationer

Vid väsentliga ändringar som påverkar dina rättigheter kommer vi att informera dig via e-post och/eller genom en tydlig notis på webbplatsen minst 30 dagar innan ändringarna träder i kraft.

Den senaste versionen av integritetspolicyn finns alltid tillgänglig på vixi.se/integritetspolicy.

14. Kontakta oss om integritet och dataskydd

Om du har frågor om hur vi behandlar dina personuppgifter eller vill utöva dina rättigheter, kontakta oss:

Du kan också lämna in klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlar dina personuppgifter i strid med GDPR.