Logga in

Integritetspolicy - Version för databehandlare

Senast uppdaterad: 31.03.2025.

Larabot är en AI-baserad tjänst som tillhandahålls av Midgard AI AS. Denna integritetspolicy gäller i fall där slutanvändaren inte har ingått ett direkt kundförhållande med oss, men där vi agerar som databehandlare på uppdrag av en behandlingsansvarig tredje part – till exempel en kommun, skola eller organisation (hädanefter “Kund”). Policyn förklarar hur Midgard AI AS (hädanefter “vi”, “oss” eller “Midgard AI”) behandlar personuppgifter i tjänsten Larabot (hädanefter “Tjänsten”), och hur ansvarsfördelningen är mellan oss och Kunden.

För information om hur vi hanterar personuppgifter om du har registrerat dig och använder Tjänsten som privatperson utan att en skola, kommun eller annan organisation står som kund, se Integritetspolicy – När Midgard AI är personuppgiftsansvarig.

1. Närmare om behandlingsansvar, behandlingsansvarig och databehandlare

1.1 Kunden

Kunden är personuppgiftsansvarig för de personuppgifter som behandlas i Tjänsten relaterade till sina användare (till exempel elever, lärare, anställda). Detta innebär att Kunden bestämmer syftet med användningen av Tjänsten (t.ex. utbildningsändamål) och hur personuppgifter om användarna ska behandlas.

1.2 Midgard AI AS

Midgard AI AS är personuppgiftsbiträde för Kunden när vi behandlar personuppgifter på Kundens vägnar, enligt personuppgiftsbiträdesavtalet. Vi hänvisar även till det personuppgiftsbiträdesavtal som har ingåtts mellan Midgard AI AS och Kunden, där de specifika instruktionerna, säkerhetskraven och ansvarsfördelningen är närmare reglerade.

Detta inkluderar bland annat:

  1. Behandling av text, ljud, bilder och annat användarinnehåll (till exempel AI-genererade bilder, chattrobotar) som användarna lägger upp i Tjänsten.
  2. Administration av användartillgång för elever/lärare (till exempel Google/Microsoft-information, klass-tillhörighet).
  3. Lagring av användardata relaterad till Kundens behov av användarstöd, säkerhet, tillgänglighet och eventuell statistik om egen verksamhet.

Midgard AI AS är samtidigt ansvarig för behandlingen av:

  1. Kontaktuppgifter för kundens kontaktpersoner (t.ex. för försäljning, fakturering och kontraktsadministration).
  2. Tekniska loggar eller annan data som vi enligt lag eller avtal är skyldiga att behålla för att uppfylla vårt ansvar som leverantör (till exempel ekonomi- och bokföringskrav).

2. Definitioner

  • Personuppgifter: All information som direkt eller indirekt kan kopplas till en enskild person.
  • Behandling av personuppgifter: All användning av personuppgifter, inklusive insamling, registrering, lagring, sammanställning, utlämnande eller radering.
  • Personuppgiftsansvarig: Den som bestämmer syftet med behandlingen av personuppgifter och vilka medel som ska användas.
  • Personuppgiftsbiträde: Den som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
  • Kund: Kommun/skola/organisation som har ingått avtal med Midgard AI AS för att använda Tjänsten. Kunden är personuppgiftsansvarig för elev-/anställdadata som behandlas i Tjänsten.
  • Användare: Du som använder Tjänsten (till exempel elev, lärare, anställd).

3. När Midgard AI är personuppgiftsbiträde för Kundens räkning

När användare (till exempel elever eller lärare) loggar in i Tjänsten eller skapar, laddar upp eller skriver in information i Tjänsten, sker följande behandling där Kunden är ansvarig för behandlingen, och vi (Midgard AI) är databehandlare.

3.1 Inloggning och identitetsdata (Google, Microsoft etc.)

  • Vad behandlas: Namn, användarnamn, e-postadress, organisationsanknytning, klasser/grupper.
  • Syfte: Säker inloggning, korrekt åtkomst och differentiering av funktionalitet (t.ex. elev eller lärare).
  • Rättslig grund: Kunden måste själv bedöma detta, men vanligtvis GDPR art. 6 (1) (e) eller (f), baserat på undervisningssyften eller berättigat intresse.

3.2 Vanligt samtalsinnehåll (text, ljud, filer)

  • Vad behandlas: Textmeddelanden, uppladdade filer eller tal. Vi lagrar inte detta innehåll permanent på våra servrar.
  • Microsoft-lagring: Microsoft (Azure) som underleverantör kan mellanlagra innehållet i upp till 30 dagar för att upptäcka missbruk (till exempel i loggsystem). Vi har inte tillgång till dessa data efter att konversationen är avslutad, och varken vi eller Microsoft använder dem för andra ändamål.
  • Syfte: Tillhandahålla kärnfunktionaliteten i tjänsten, upprätthålla säkerhet och förebygga missbruk.
  • Rättslig grund: Kunden måste själv bedöma detta, men vanligtvis GDPR art. 6 (1) (e) eller (f), baserat på undervisningssyfte eller berättigat intresse.

3.3 Beständigt användargenererat innehåll (konversationsrobotar, AI-genererade bilder etc.)

  • Vad behandlas: Om användare skapar egna konversationsrobotar (”chatbots”), laddar upp filer eller genererar AI-baserade bilder, lagras detta innehåll hos oss och kopplas till den aktuella användaren.
  • Lagringsperiod: Sparas tills användaren själv raderar det, eller upp till 1 år efter senaste aktivitet. Därefter raderas det från våra system (men kan finnas i säkerhetskopior i upp till 30 dagar). Kunden kan begära kortare lagringsperiod för vissa typer av data enligt överenskommelse, om det är förenligt med tjänstens tekniska och lagliga krav.
  • Syfte: Ge användaren möjlighet att ta hand om och hantera självskapat innehåll (t.ex. AI-genererade bilder, egendefinierade chattrobotar).
  • Rättslig grund: Kunden måste själv bedöma detta, men vanligtvis GDPR art. 6 (1) (e) eller (f), baserat på undervisningssyfte eller berättigat intresse.

3.4 Administration av åtkomstkontroll

  • Vad behandlas: Information om vilka klasser/grupper användarna tillhör, vilka rättigheter/tillgångar de har, och vem som har administrerat dessa rättigheter.
  • Syfte: Ge lärare eller andra med administrativa rättigheter möjlighet att styra vilka funktioner som är tillgängliga för en grupp elever.
  • Rättslig grund: Kunden måste själv bedöma detta, men vanligtvis GDPR art. 6 (1) (e) eller (f), baserat på undervisningssyfte eller berättigat intresse.

3.5 Användningsloggar, systemloggar och metadata (på uppdrag av kunden)

Vi kommer att behöva föra vissa tekniska loggar över trafik och händelser i Tjänsten som är nödvändiga för att förhindra och upptäcka missbruk samt för att säkerställa Tjänstens tillförlitlighet, prestanda och säkerhet på uppdrag av Kunden.

  • Vad behandlas: Tidpunkt och typ av funktion som används, IP-adress, användaridentifierare, användarroll (elev/lärare), systemhändelser och systeminformation som är nödvändiga för ändamålet.
  • Syfte: Drift och felsökning, säkerhet (upptäcka ovanlig aktivitet), tillgänglighet (identifiera driftstörningar och belastningstoppar).
  • Rättslig grund: Bestäms av kunden (vanligtvis GDPR art. 6 (1) (f) för berättigat intresse, eller art. 6 (1) (e) för offentliga skolor).

Viktigt: Vi använder inte personuppgifter (t.ex. elevdata, text eller filer) för att träna AI-modeller eller för annan vidareutveckling av Tjänsten i strid med Utbildningsdepartementets riktlinjer.

Där det är möjligt, anonymiserar eller aggregerar vi uppgifterna. Där anonymisering eller aggregering inte är tekniskt eller praktiskt genomförbart, begränsas alltid behandlingen av personuppgifter till det syfte uppgifterna samlades in för och informationen raderas när syftet har uppnåtts, såvida inte annat är lagstadgat.

4. När Midgard AI är personuppgiftsansvarig

4.1 Kontaktinformation om kundens representanter

När vi ingår avtal med en kommun eller annan organisation, behandlar vi personuppgifter om de relevanta kontaktpersonerna. Detta omfattar vanligtvis:

  • Vad behandlas: Namn, befattning, e-postadress, telefonnummer, fakturaadress, eventuellt personnummer (vid e-signering).
  • Syfte: Administration av kundrelationer, uppföljning, fakturering, signering av avtal och drift.
  • Rättslig grund: GDPR art. 6 (1) (b) (nödvändig för att fullgöra avtal) och/eller art. 6 (1) (f) (berättigat intresse).

4.2 Uppfyllande av lagkrav

  • Vad behandlas: Vi lagrar kontrakt, faktureringsunderlag och liknande enligt bokförings- och arkiveringsregler.
  • Syfte: Uppfylla lag- och arkivkrav, till exempel bokföringsregler relaterade till fakturering och redovisning, samt eventuella arkivlagkrav som gäller vår verksamhet.
  • Rättslig grund: GDPR art. 6 (1) (c) (rättslig förpliktelse).

5. Översikt över våra underdataprocessorer

För att tillhandahålla Tjänsten använder vi erkända underleverantörer (databehandlare) där data lagras inom EU/EES, i enlighet med lagkrav och databehandlingsavtal:

NamnBeskrivningRegion
Hetzner Online GmbHTeknisk infrastruktur.EU
Scaleway SASTeknisk infrastruktur.EU
MicrosoftTeknisk infrastruktur och Underliggande artificiell intelligens tjänst (Azure OpenAI).EU
PosthogSystem- och användningsloggar.EU
HubspotKontrakt och kundhantering. Support.EU

6. Lagring och radering

6.1 Användargenererat innehåll (när vi är databehandlare)

Vi lagrar innehåll endast på uppdrag av kunden och enligt deras instruktioner. Användare kan själva radera AI-genererade bilder eller konversationsrobotar, radering av innehåll återspeglas omedelbart i våra system, men kan finnas kvar i backup upp till 30 dagar.

6.2 Kontaktuppgifter (när vi är personuppgiftsansvariga)

Ska förvaras så länge kundrelationen varar, och i enlighet med bokförings- och arkivlagstiftningen.

6.3 Tekniska loggar

Om loggar förs för Kundens ändamål, behålls de enligt Kundens instruktioner i databehandlingsavtalet, såvida det inte uppstår ett behov av att lagra dem längre, som i fall där det finns ett lagkrav eller i en pågående rättsprocess.

6.4 Anonymiserade data

Data som faktiskt är anonymiserad (utan möjlighet till återidentifiering) faller i grunden utanför GDPR, men vi begränsar ändå lagringstiden i enlighet med interna rutiner.

7. Kakor (cookies)

Larabot använder följande informationskapslar (“cookies”) i webbläsaren:

7.1 Användarens sessions-ID

  • Syfte: Gör det möjligt för Tjänsten att känna igen användaren så att inloggning och konversationsflöde kan upprätthållas.
  • Varför nödvändig: Utan denna skulle Tjänsten inte komma ihåg användarens status mellan sidvisningar (t.ex. om användaren är inloggad).

7.2 Cookies relaterade till användarval

  • Syfte: Används för att komma ihåg om användaren har stängt meddelandet om säker användning av tjänsten, så att meddelandet inte visas igen under samma session eller vid senare besök.
  • Varför nödvändig: Ger en bättre användarupplevelse genom att komma ihåg aktiva val gjorda av användaren.

7.3 Cookies relaterade till Posthog

Posthog är en analysplattform som låter oss samla in användardata (till exempel tekniska fel som har uppstått och prestanda relaterad till sidor eller funktioner som används) på ett pseudonymiserat, anonymt eller aggregerat sätt.

  • Syfte: Som beskrivet i punkt 3.5.
  • Varför nödvändigt: Som beskrivet i punkt 3.5.

8. Säkerhetsåtgärder

Vi använder erkända säkerhetslösningar för att skydda data mot obehörig åtkomst, ändring eller radering. Åtgärder inkluderar:

  • Krypterad överföring (HTTPS/TLS)
  • Strikt åtkomstkontroll (endast auktoriserad personal)
  • Brandväggar, intrångsdetektion
  • Regelbundna säkerhetsrevisioner och rutintester

9. Dina rättigheter

9.1 När Kunden är personuppgiftsansvarig

Om du är elev, lärare eller anställd som använder Tjänsten på uppdrag av en skola eller annan organisation, är det Kunden som har huvudansvaret för dina personuppgifter. Om du vill utöva rättigheter (tillgång, rättelse, radering etc.), vänligen kontakta Kunden. Vi bistår Kunden vid behov enligt databehandlaravtalet.

9.2 När Midgard AI är personuppgiftsansvarig

Om vi behandlar dina uppgifter för våra egna syften (till exempel om du är kontaktperson för kunden eller har kontaktat oss direkt), har du följande rättigheter enligt GDPR:

  • Rätt att återkalla ditt samtycke enligt artikel 7.3 i GDPR
  • Rätt till insyn i dina data enligt Art. 15 GDPR
  • Rätt att rätta dina uppgifter enligt Art. 16 GDPR
  • Rätt att få dina uppgifter raderade enligt artikel 17 i GDPR
  • Rätt att begränsa insamlingen av data enligt Art. 18 GDPR
  • Rätt till dataportabilitet enligt artikel 20 i GDPR
  • Rätt att invända mot hur dina uppgifter hanteras enligt Art. 21 GDPR
  • Rätt att framföra klagomål till tillsynsmyndigheten enligt Art. 77 stycke 1 f GDPR

Förfrågningar kan skickas till kontakt@larabot.se.

10. Kontaktinformation

Midgard AI AS

Org.nr: 932739798

E-post: kontakt@larabot.se

Om du har frågor om denna integritetspolicy eller vår behandling av personuppgifter, är du välkommen att kontakta oss.

11. Ändringar i integritetspolicyn

Vi kan uppdatera denna integritetspolicy vid behov, till exempel vid ändringar i lagstiftningen eller Tjänsten. Den senaste versionen kommer alltid att vara tillgänglig på vår webbplats.


Larabot - Integritetspolicy - Version för databehandlare