Denna integritetspolicy (”Policyn”) reglerar hur TechServices IT AB (”Bolaget”, ”vi”, ”oss”) samlar in, behandlar, lagrar och skyddar personuppgifter inom ramen för tillhandahållandet av den AI-baserade mötesassistenten ReVoice (”Tjänsten”).
Behandling av personuppgifter sker i strikt enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (”GDPR”) samt annan tillämplig nationell dataskyddslagstiftning.
1. Personuppgiftsansvarig och kontaktuppgifter
TechServices IT AB är personuppgiftsansvarig för de behandlingar där Bolaget bestämmer ändamålen och medlen för behandlingen.
- Bolagsnamn: TechServices IT AB
- Organisationsnummer: 559450-2881
- Adress: Köpmannagatan 22, 245 65 Hjärup, Sverige
2. Regulatoriska roller under GDPR
- 2.1 Bolaget som Personuppgiftsansvarig Bolaget agerar självständigt personuppgiftsansvarig för behandling som rör Tjänstens infrastruktur, administration och kommersiella drift. Detta omfattar:
- Hantering av användarkonton, autentisering och användarprofiler.
- Hantering av abonnemang, betalningsströmmar och fakturering.
- Driftsäkerhet, loggning, teknisk felsökning och proaktivt förhindrande av missbruk.
- Direktkommunikation med registrerade samt drift av webbplatsen (inklusive nödvändiga cookies).
- 2.2 Bolaget som Personuppgiftsbiträde När en juridisk person eller organisation (”Kunden”) använder Tjänsten för att behandla mötesinnehåll (såsom inspelning, transkribering, sammanfattning, textanalys och dokumenthantering) agerar Bolaget som personuppgiftsbiträde på instruktion av Kunden. I dessa fall är Kunden personuppgiftsansvarig och ansvarar för att:
- Det föreligger en giltig rättslig grund enligt artikel 6 GDPR för behandlingen av mötesdata.
- Samtliga mötesdeltagare har erhållit adekvat information (artikel 13 och 14 GDPR).
- Inspelning och transkribering är tillåten.
Bolagets skyldigheter som personuppgiftsbiträde regleras i ett separat Personuppgiftsbiträdesavtal (DPA).
3. Kategorier av personuppgifter som behandlas
Bolaget behandlar följande kategorier av personuppgifter:
- Administrativa- och kontouppgifter: Namn, e-postadress, lösenord (krypterat i hashad form), profilinställningar, språkpreferenser samt workspace-tillhörighet och roll.
- Tekniska data och säkerhetsdata: IP-adress, enhetsinformation, webbläsartyp, sessionsdata, inloggningshistorik, felrapporter och säkerhetsloggar.
- Mötesmetadata: Mötestitlar, tidsstämplar, möteslänkar, plattformsinformation (t.ex. Zoom, Microsoft Teams, Google Meet) samt deltagarlistor.
- Ljud-, bild- och textdata: Ljud- och videoinspelningar, skärmdelningsdata, realtidstranskriptioner, slutgiltiga transkript, talaretiketter samt redigerade textversioner.
- AI-genererad data: Sammanfattningar, åtgärdspunkter, beslutshistorik, samtalsanalys, sentimentanalys, data från AI-chatt (Live Assistant/Live Coach) samt strukturerad relationsdata (kunskapsgrafer).
- Dokumentation (Company Knowledge): Uppladdade filer, extraherad text, metadata samt tillhörande vektorrepresentationer (embeddings).
- Integrationsdata (Tredjepart): Kalenderhändelser, CRM/ERP-metadata och krypterade OAuth-tokens efter användarens aktivering.
- Finansiella data: Abonnemangsstatus, kund-ID hos betalningsleverantör samt faktureringsunderlag. Kreditkortsuppgifter behandlas direkt av PCI-DSS-certifierad betalningsleverantör och lagras inte av Bolaget.
4. Ändamål och Rättslig grund för behandlingen
| Ändamål | Kategori av uppgifter | Rättslig grund (GDPR) |
|---|
| Tillhandahållande av Tjänsten (Konto och administration) | Konto- och administrativa data. | Avtal (Art. 6.1.b) |
| Mötesbehandling (för kontoinnehavare/kunder) | Mötes-, integrations-, ljud/bild- och AI-data. | Avtal (Art. 6.1.b) |
| Mötesbehandling (för externa deltagare) | Mötes-, ljud/bild- och AI-data. | Kundens ansvar (Se avsnitt 2.2) |
| Finansiell administration | Finansiella data, kontouppgifter. | Avtal (Art. 6.1.b) |
| Säkerhet och driftstabilitet | Tekniska data, säkerhetsloggar. | Berättigat intresse (Art. 6.1.f) |
| Produktutveckling och kommunikation | Användningsstatistik, tekniska data, systemloggar. | Berättigat intresse (Art. 6.1.f) |
| Regelefterlevnad | Finansiella data, transaktionshistorik. | Rättslig förpliktelse (Art. 6.1.c) |
| Tredjepartsintegrationer | Kalenderdata, tokens. | Samtycke (Art. 6.1.a) |
Viktigt förtydligande: Bolaget säljer inte personuppgifter till tredje part, delar inte mötesinnehåll med annonsörer, och använder inte Kundens specifika mötesinnehåll eller dokument för att träna generella AI-modeller för externa syften.
5. Transparent information vid mötesdeltagande
När ReVoice ansluter till ett virtuellt möte i egenskap av en digital bot eller assistent, ska deltagarna notifieras. Tjänsten är konfigurerad för att avge ett automatiskt meddelande i chatten eller motsvarande gränssnitt:
- Svenska: ”Hej, jag är Matilda från ReVoice. Jag deltar som AI-mötesassistent för att spela in/transkribera mötet och skapa AI-stödda anteckningar. Information om personuppgiftsbehandling finns på https://re-voice.io/privacy”
- Engelska: ”Hi, I’m Matilda from ReVoice. I’m joining as an AI meeting assistant to record/transcribe this meeting and create AI-assisted notes. Privacy information is available at https://re-voice.io/privacy”
Denna notifiering utgör en informationsåtgärd och ersätter inte Kundens skyldighet att tillse att rättslig grund för själva inspelningen föreligger.
6. Profilering och automatiserat beslutsfattande
Tjänsten tillämpar avancerade algoritmer och AI för transkribering, sentimentanalys och sammanfattning. Dessa processer utgör inte sådant automatiserat beslutsfattande som har rättsliga följder eller på liknande sätt i betydande grad påverkar den registrerade i den mening som avses i artikel 22 GDPR. AI-genererat innehåll ska betraktas som beslutsunderlag och bör verifieras manuellt av Användaren.
7. Mottagare av personuppgifter och Underbiträden
För att tillhandahålla Tjänsten anlitar Bolaget leverantörer och underbiträden (”Underbiträden”). Dessa agerar under strikta skriftliga biträdesavtal och omfattar leverantörer inom områden såsom serverdrift och molnhosting, databashantering, specialiserade API-leverantörer för text-till-tal, tal-till-text, LLM-modeller samt betalningsförmedlare. En fullständig och uppdaterad lista över godkända Underbiträden tillhandahålls företagskunder på begäran i enlighet med gällande DPA.
8. Tredjelandsöverföringar (Utanför EU/EES)
För det fall personuppgifter överförs till, eller görs tillgängliga från, ett land utanför EU/EES (t.ex. USA) säkerställer Bolaget att överföringen vilar på en laglig grund och att adekvat skyddsnivå upprätthålls. Detta sker genom:
- Beslut om adekvat skyddsnivå utfärdade av EU-kommissionen (artikel 45 GDPR), eller;
- Standardavtalsklausuler (SCC) godkända av EU-kommissionen (artikel 46 GDPR), kompletterade med kryptering under överföring och vid vila, åtkomstbegränsningar och andra relevanta säkerhetsåtgärder.
9. Lagring och Gallring (Lagringstid)
Personuppgifter lagras endast under den tidsperiod som krävs för att uppfylla de ändamål för vilka de samlades in, eller så länge som föreskrivs i lag eller tillämpliga kundavtal.
- Kontouppgifter: Lagras under avtalstiden (aktivt konto) samt raderas eller anonymiseras efter avtalets upphörande, med förbehåll för lagstadgad preskriptionstid.
- Mötesdata (Inspelningar, transkript, AI-data): Styrs av Kundens valda abonnemangsplan samt raderingsinställningar. Licenser på gratisnivå kan omfattas av en automatisk gallringsfrist om trettio (30) dagar.
- Bokföringsunderlag: Lagras i sju (7) år i enlighet med den svenska bokföringslagen (1999:1078).
- Säkerhetskopior (Backup): Raderad data kan kvarstå i krypterade säkerhetskopior under en begränsad cykel innan permanent överskrivning sker.
10. Specifika villkor för Tredjepartsplattformar
- 10.1 Google API-tjänster: Vid aktivering av Google-integrationer behandlar Bolaget strikt nödvändig data för att synkronisera mötesstrukturen. Bolagets användning av information som erhållits via Google API sker i strikt överensstämmelse med Google API Services User Data Policy, inklusive dess tillämpliga villkor för begränsad användning (Limited Use). Data från Google Workspace API används under inga omständigheter för att träna eller optimera generella AI- eller maskininlärningsmodeller.
- 10.2 Microsoft-tjänster: Vid integrering av Microsoft-tjänster behandlas profildata och kalenderinformation uteslutande för att identifiera, schemalägga och ansluta Tjänsten till relevanta mötesinstanser på användarens begäran.
11. Särskilda kategorier av personuppgifter (Känsliga uppgifter)
Tjänsten är i strukturell mening inte avsedd för behandling av känsliga personuppgifter (i den mening som avses i artikel 9 GDPR). Eftersom mötessamtal till sin natur kan innehålla oförutsedd information åligger det Kunden (i egenskap av personuppgiftsansvarig) att säkerställa att nödvändiga skyddsåtgärder och laglig grund föreligger innan Tjänsten appliceras på känsliga möteskontexter.
12. Minderårigas integritet
Tjänsten vänder sig inte till personer under arton (18) år. Om vi upptäcker att personuppgifter rörande en minderårig har samlats in utan vederbörligt samtycke, kommer Bolaget att vidta åtgärder för permanent radering.
13. Den registrerades rättigheter
Du som registrerad har rätt att begära tillgång, rättelse, radering, begränsning, dataportabilitet samt invända mot behandling eller återkalla samtycke. Kontakta privacy@re-voice.io för att utöva dina rättigheter. Du har även rätt att anföra klagomål till Integritetsskyddsmyndigheten (IMY).
14. Tekniska och organisatoriska säkerhetsåtgärder
Bolaget implementerar lämpliga tekniska och organisatoriska säkerhetsåtgärder (artikel 32 GDPR). Dessa innefattar:
- Transportkryptering (TLS/SSL) och kryptering av känsliga tokens vid vila.
- Strikta behörighetskontroller, rollbaserad åtkomststyrning (RBAC) samt nätverksisolering av produktionsmiljöer.
- Systematisk loggning, sårbarhetsanalyser, rate-limiting samt proaktiva skyddsmekanismer.
- Etablerade rutiner för hantering och rapportering av personuppgiftsincidenter.
15. Ändringar i denna policy
Bolaget förbehåller sig rätten att ensidigt revidera denna Policy. Vid väsentliga ändringar kommer Bolaget att avisera detta på förhand. Den uppdaterade Policyn gäller från det datum som anges i Policyn. Om en ändring kräver samtycke eller annan åtgärd kommer Bolaget att inhämta detta där så krävs.