Integritetspolicy
Version 2.0 · Senast uppdaterad: 12 maj 2026
1. Personuppgiftsansvarig
Personuppgiftsansvarig för behandlingen av personuppgifter inom Qby är:
- Verksamhet: Qby (enskild näringsverksamhet)
- Innehavare: Hannes Forseth
- Organisationsnummer: [Org./personnummer fylls i]
- Postadress: [Postadress fylls i], Sverige
- E-post för dataskyddsfrågor: support@qby.se
Qby har ingen lagstadgad skyldighet att utse dataskyddsombud (DPO). Frågor om personuppgiftsbehandling hanteras direkt av innehavaren via ovanstående e-post.
2. Vad denna policy täcker
Policyn beskriver hur Qby behandlar personuppgifter när du:
- besöker www.qby.se,
- registrerar och använder ett konto i Qby-plattformen,
- laddar upp IFC-filer, tekniska beskrivningar (TB) eller annan projektdata,
- kommunicerar med vår support eller AI-assistent.
3. Vilka uppgifter vi behandlar och varför
Vi behandlar bara uppgifter vi behöver för att leverera tjänsten. För varje kategori anges ändamål, rättslig grund (GDPR art. 6) och lagringstid.
| Kategori | Ändamål | Rättslig grund | Lagringstid |
|---|---|---|---|
| Kontouppgifter (e-post, namn, företagsnamn, hashat lösenord) | Skapa och administrera konto, inloggning | Avtal (art. 6.1.b) | Så länge kontot är aktivt. Raderas inom 30 dagar efter kontoborttagning. |
| Projektdata (IFC-filer, TB-dokument, elementegenskaper, kommentarer) | Tillhandahålla mängdavtagning, gruppering, kalkyl och export | Avtal (art. 6.1.b) | Så länge kontot är aktivt eller tills du raderar projektet. |
| Chatthistorik (frågor till AI-assistenten) | Funktionalitet, felsökning, förbättring av svar | Avtal (art. 6.1.b) + berättigat intresse (art. 6.1.f) | Så länge kontot är aktivt. Du kan radera enskilda konversationer. |
| Betalningsuppgifter (kund-ID, prenumerationsstatus) | Hantera prenumeration och fakturering via Stripe | Avtal (art. 6.1.b) + rättslig förpliktelse (art. 6.1.c, bokföring) | Bokföringsmaterial sparas i 7 år enligt bokföringslagen. Kortuppgifter lagras aldrig hos Qby — hanteras av Stripe. |
| Teknisk loggdata (IP-adress, webbläsare, anrop-id, felmeddelanden) | Säkerhet, rate-limiting, felsökning, missbruksdetektion | Berättigat intresse (art. 6.1.f) | Operationella loggar: max 30 dagar. Säkerhetshändelser: upp till 12 månader. |
| Användningsstatistik (vilka funktioner används, antal uppladdningar) | Förbättra produkten, prioritera utveckling | Berättigat intresse (art. 6.1.f) | Aggregerad statistik utan personidentifierare sparas tills vidare. |
| Supportkommunikation | Besvara frågor och felanmälningar | Berättigat intresse (art. 6.1.f) | 24 månader från senaste kontakt, därefter raderas. |
4. AI-behandling av projektdata
Qby använder externa språk- och inbäddningsmodeller (LLM-tjänster) för delar av tjänsten:
- AI-chatt och elementanalys: När du använder AI-assistenten eller funktioner som "föreslå RSK", "analysera element" eller liknande skickas relevanta delar av din projektdata (elementtyper, dimensioner, material, system, ej fastighetspersonuppgifter) till Anthropic (Claude) och/eller OpenAI för bearbetning.
- Vad som inte skickas: Vi skickar inte kontolösenord, betalningsuppgifter eller hela IFC-filer till AI-leverantörer. Endast de elementegenskaper som behövs för den specifika frågan skickas.
- Träning av modeller: Anthropic och OpenAI använder enligt sina respektive API-villkor inte API-trafik från betalkunder för att träna sina grundmodeller. Qby skickar all AI-trafik via deras API:er och har inga undantag aktiverade.
- Tredjelandsöverföring: Anthropic och OpenAI är USA-baserade. Överföring sker enligt EU-kommissionens standardavtalsklausuler (SCC) och EU-US Data Privacy Framework där sådan finns.
Se vår lista över underbiträden för fullständig sammanställning.
5. Underbiträden
För att driva tjänsten anlitar Qby ett antal underbiträden (t.ex. molnvärd, databas, betalning, AI). Fullständig lista med leverantörsnamn, ändamål och var data behandlas finns på /sub-processors. Vi underrättar kunder vid väsentliga förändringar av listan.
6. Var dina data lagras
Databasen och fil-storage är placerade inom EU (Supabase, region eu-north-1, Stockholm). Vissa underbiträden (Vercel edge nodes, AI-leverantörer, Railway) kan behandla data i USA eller annat tredjeland. Sådan överföring sker alltid med lämpliga skyddsåtgärder enligt GDPR kap. V (standardavtalsklausuler, adekvansbeslut eller EU-US DPF).
7. Cookies
Qby använder endast nödvändiga cookies för inloggning och sessionshantering. Vi använder för närvarande inga analys-, marknadsförings- eller spårningscookies. Se /cookies för detaljer.
8. Dina rättigheter enligt GDPR
Du har rätt att:
- Få information om hur vi behandlar dina uppgifter (denna policy).
- Få tillgång till de uppgifter vi har om dig (registerutdrag).
- Rätta felaktiga eller ofullständiga uppgifter.
- Få uppgifter raderade ("rätten att bli glömd") när lagring inte längre är nödvändig.
- Begränsa behandlingen i vissa fall.
- Invända mot behandling som vi gör med stöd av berättigat intresse.
- Dataportabilitet — få ut dina uppgifter i ett strukturerat, allmänt använt format.
- Återkalla samtycke där samtycke är rättslig grund (utan att det påverkar tidigare laglig behandling).
Begär utövande av rättigheterna via support@qby.se. Vi besvarar inom en månad. Idag sker radering och export manuellt på begäran; självservice i kontoinställningarna är under utveckling.
9. Klagomål till tillsynsmyndighet
Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY):
- Webb: www.imy.se
- Post: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
- E-post: imy@imy.se
10. Säkerhet
Vi skyddar data med tekniska och organisatoriska åtgärder, bland annat:
- TLS-kryptering (HTTPS) för all trafik
- Kryptering i vila för databas och fil-storage hos Supabase
- Row-Level Security (RLS) så att varje konto bara når sin egen data
- Rate limiting och autentisering på samtliga API-endpoints
- Hashade lösenord (hanteras av Supabase Auth)
- Loggning av säkerhetshändelser
11. Personuppgiftsincidenter
Vid en personuppgiftsincident som sannolikt medför en risk för dina rättigheter och friheter anmäler vi händelsen till IMY inom 72 timmar och informerar berörda användare utan onödigt dröjsmål, i enlighet med GDPR art. 33–34.
12. Personuppgiftsbiträde — när Qby behandlar uppgifter åt dig
När du som företagskund laddar upp projektdata som innehåller personuppgifter (t.ex. fastighetsägares namn i en TB) är du personuppgiftsansvarig och Qby personuppgiftsbiträde. Ett personuppgiftsbiträdesavtal (DPA) finns tillgängligt på /dpa och tillämpas som komplement till denna policy.
13. Ändringar i denna policy
Vi kan komma att uppdatera policyn. Vid väsentliga ändringar informerar vi via e-post eller i tjänsten minst 30 dagar innan ändringen träder i kraft. Versionsnummer och datum visas alltid överst på sidan.
14. Kontakt
Frågor om denna policy eller om behandlingen av dina personuppgifter: support@qby.se