Integritetspolicy

Grunden AI AB, org.nr 559341-9129, är personuppgiftsansvarig för behandlingen av dina personuppgifter på grunden.ai. Kontakt: privacy@grunden.ai.

Dataskyddsombud (DPO): Fredrik Andersson. Frågor om behandling av personuppgifter, begäran om registerutdrag, rättelse eller radering skickas till fredrik@grunden.ai.

• Kontouppgifter: e-post, namn, lösenordshash, användar-ID.
• Fakturauppgifter: företagsnamn, adress, organisationsnummer, VAT-nummer, land.
• Chat- och API-innehåll: prompts och svar lagras för att ge dig historik och för interna debug-syften. Innehåll används inte för att träna modeller.
• Användnings- och kostnadsdata: token-antal, modell, latens, belopp, tidsstämplar — för fakturering, statistik och kvalitetsuppföljning.
• Tekniska data: IP-adress, user-agent, request-loggar — sparas i 30 dagar för säkerhet och felsökning.
• Betalningsdata: vi sparar transaktions-ID från Mollie men aldrig fullständiga kortnummer.

• Fullgöra avtalet (GDPR art. 6.1.b): leverera tjänsten, hantera konto, köra inferens på vår egen GLM 5.1-hårdvara i Sverige.
• Rättslig förpliktelse (art. 6.1.c): bokföring (BFL — 7 års arkivering av faktureringsunderlag), momsredovisning, åtgärder mot penningtvätt.
• Berättigat intresse (art. 6.1.f): säkerhet, missbruksdetektering, aggregerad statistik.
• Samtycke (art. 6.1.a): valfria nyhetsbrev och forskningssamarbeten — du kan återkalla när du vill.

Vi anlitar följande personuppgiftsbiträden (GDPR art. 28). Skriftliga personuppgiftsbiträdesavtal finns med samtliga.

• 6G AI Sweden AB (GPU-infrastruktur — vi hyr NVIDIA H200-kluster i deras anläggning i Kista, Stockholm; databas, auth och realtime driftar vi själva ovanpå samma stack) — Sverige.
• Mollie (betalningar) — Nederländerna.
• GleSYS (DNS) — Sverige.
• Proton (e-post) — Schweiz. Proton är inte i EU/EES men omfattas av adekvat skyddsnivå enligt ett kommissionsbeslut om dataskydd i Schweiz.
• Modell-inferens: körs på vår egen hårdvara — inga externa modell-leverantörer. Aktuell sub-processor-förteckning finns i DPA:n. Vi säljer inte data till tredje part och innehåll används inte för att träna modeller.

Ingen överföring sker till tredjeland utanför EU/EES i standard-konfigurationen. Om framtida databehandling kräver tredjelandsöverföring kommer vi använda EU-kommissionens standardavtalsklausuler (SCC) och meddela dig i förväg.

• Kontouppgifter: tills du raderar kontot.
• Fakturor och bokföringsunderlag: 7 år efter utgången av det kalenderår räkenskapsåret avslutats (BFL 7 kap §2).
• Chat-historik: tills du raderar den eller kontot.
• Request-loggar: 30 dagar.
• Säkerhetsincident-loggar: upp till 12 månader.

Enligt GDPR har du rätt att:

• Få tillgång till en kopia av dina uppgifter (art. 15),
• Rätta felaktiga eller ofullständiga uppgifter (art. 16),
• Radera uppgifter när de inte längre behövs (art. 17) — bokföringsmaterial kan dock inte raderas inom 7-årsperioden,
• Begränsa behandlingen (art. 18),
• Invända mot behandling som sker baserat på berättigat intresse (art. 21),
• Dataportabilitet: få ut dina uppgifter i maskinläsbart format (art. 20),
• Återkalla samtycke för behandling som vilar på samtycke (art. 7.3),
• Klaga hos tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY), imy@imy.se, +46 8 657 61 00.

Begäran skickas till privacy@grunden.ai. Vi svarar inom 30 dagar.

Vi använder TLS för all trafik, hashade lösenord (bcrypt via Supabase Auth), krypterade API-nycklar i databas och principen om minsta behörighet. Säkerhetsincidenter som berör personuppgifter anmäls till IMY inom 72 timmar och till drabbade användare utan onödigt dröjsmål.

Vi använder endast strikt nödvändiga cookies: Supabase auth-session-cookies (`sb-access-token`, `sb-refresh-token`) för att hålla dig inloggad, och en preferens-cookie (`NEXT_LOCALE`) för språkval. Inga tredjeparts-spårningscookies, inga reklam- eller analytics-cookies, ingen fingerprinting. Per ePrivacy art. 5(3) krävs samtycke inte för strikt nödvändiga cookies — därför visar vi ingen samtyckesbanner. Om vi någon gång lägger till icke-nödvändiga cookies (t.ex. produktanalys) kommer en samtyckesmekanism införas i förväg och du meddelas via /sub-processors.

EU:s AI-förordning (AI Act) tillämpas stegvis från 2025. Grunden.ai är deployer av GPAI-modellen GLM 5.1 (vi driftar den på egen hårdvara, tränar inte själva) och provider av chatt- och API-tjänsten som ett AI-system byggt ovanpå modellen.

Vår roll

• Vi är deployer av GPAI-modellen GLM 5.1 (open-weight, MIT-licens, släppt av Z.ai) och provider av ett AI-system — chatt-tjänsten är ett AI-system byggt ovanpå modellen. Skyldigheterna för själva GPAI-modellen (art. 53) ligger på Z.ai; skyldigheterna för AI-systemet (transparens art. 50, säker drift, ev. högrisk-skyldigheter) ligger på oss.
• Vi är inte GPAI-leverantör. Sammanfattning av träningsdata, teknisk dokumentation (art. 53) och upphovsrättspolicy är Z.ais ansvar. Vi länkar till deras dokumentation där den finns.
• Vi har utbildat personal i AI-kunnighet (art. 4): möjligheter, risker och begränsningar hos de modeller vi hostar. Som provider av AI-systemet är vi också skyldiga enligt art. 50 att märka AI-genererat innehåll — se transparens-sektionen.

Ditt ansvar som kund

• Högrisk-system (art. 6 + Annex III): om du bygger en tjänst som omfattas — t.ex. rekrytering, kredit, biometri, utbildningsbedömning, rättskipning — är du tillhandahållaren (provider) av det systemet och måste uppfylla art. 9–15 (riskhantering, datastyrning, loggning, mänsklig tillsyn, robusthet).
• Transparenskrav (art. 50): om din tjänst kommunicerar med fysiska personer måste du informera användaren om att de interagerar med AI.
• Syntetiskt innehåll (art. 50.2): bild-, ljud- och videogenereringar ska märkas maskinläsbart. Textgenerering undantas om den genomgår mänsklig granskning eller är uppenbart konstnärlig.
• Förbjudna bruk (art. 5): social scoring, manipulation som orsakar skada, oriktad skrapning för ansiktsigenkänning, emotionsdetektering i arbetsplats/utbildning, biometrisk kategorisering av känsliga attribut. Se användarvillkoren — sådan användning är förbjuden enligt avtalet och kan leda till uppsägning.

AI-förordningens huvudsakliga skyldigheter för högrisk-system tillämpas från 2 augusti 2026 och fullt ut från 2 augusti 2027. Vi uppdaterar denna sektion när nya delar träder i kraft eller när vår roll förändras.

Vi kan uppdatera denna policy. Väsentliga ändringar meddelas via e-post senast 30 dagar innan de träder i kraft.