Integritetspolicy

1. Inledning

Denna integritetspolicy beskriver hur CSRD Kunskapsbas ("verktyget", "vi", "oss") hanterar personuppgifter och data i enlighet med EU:s dataskyddsförordning (GDPR). Verktyget är avsett som ett internt hjälpmedel för hållbarhetsteam som arbetar med CSRD/ESRS-rapportering.

2. Vilka uppgifter samlas in

2.1 Data som lagras lokalt (i din webbläsare)

• Cookie-samtycke — ditt val att acceptera eller avvisa icke-nödvändiga cookies (localStorage).
• API-nyckel — om du konfigurerar en Anthropic API-nyckel lagras den krypterat i din webbläsares localStorage. Nyckeln skickas aldrig till våra servrar utan enbart direkt till Anthropics API.
• Adminlösenord — eventuellt ändrat adminlösenord lagras i localStorage.
• Logotyp — eventuell uppladdad logotyp lagras i localStorage.

2.2 Data som lagras i molnet

• Uppladdade dokument — dokumenttitlar, kategorier, typer och extraherad textinnehåll lagras i vår Supabase-databas.
• Inga personuppgifter — vi samlar inte in namn, e-postadresser, IP-adresser eller annan personligt identifierbar information.

2.3 AI-assistenten

• Frågor du ställer till AI-assistenten skickas direkt från din webbläsare till Anthropics API.
• Vi lagrar inte konversationshistorik på någon server. Konversationen finns bara i din webbläsarsession.
• Anthropics användning av data regleras av Anthropics integritetspolicy.

3. Hur data används

Data som samlas in används uteslutande för att:

• Tillhandahålla dokumentsökning och -visning i kunskapsbasen.
• Möjliggöra AI-assisterade svar baserat på ditt dokumentbibliotek.
• Komma ihåg dina inställningar mellan sessioner (cookie-samtycke, tema, etc.).

Vi säljer aldrig data till tredje part och använder inte data för marknadsföring.

4. Var lagras data

Molnlagrad data (dokument och sidor) hanteras av Supabase och lagras i EU (Frankfurt, Tyskland). All kommunikation sker via HTTPS/TLS-kryptering.

Lokalt lagrad data (API-nycklar, inställningar) finns enbart i din webbläsare och lämnar aldrig din enhet (förutom API-nyckeln som skickas direkt till Anthropic vid AI-förfrågningar).

5. Cookies och lokal lagring

5.1 Nödvändiga cookies/localStorage

• csrd_cookie_consent — lagrar ditt samtycke (accepterat/avvisat). Nödvändig för att visa/dölja cookie-bannern.

5.2 Funktionella (icke-nödvändiga)

• anthropic_key — din krypterade API-nyckel för AI-assistenten.
• csrd_admin_pw — eventuellt ändrat adminlösenord.
• csrd_logo — uppladdad logotyp (base64).

Du kan när som helst ändra ditt cookie-val genom att klicka på "Cookie-inställningar" i sidfoten.

6. Användning av artificiell intelligens (AI)

Verktyget använder en AI-assistent för att besvara frågor om CSRD/ESRS-rapportering och analysera uppladdade dokument.

6.1 AI-leverantör

AI-assistenten drivs av Claude, en stor språkmodell utvecklad av Anthropic (San Francisco, USA). API-anrop sker direkt från din webbläsare till Anthropics servrar via din personliga API-nyckel.

6.2 Databehandling

• Frågor du ställer och dokumentinnehåll du delar med AI-assistenten skickas till Anthropics API för bearbetning.
• Anthropic kan behandla dessa data i enlighet med sina egna villkor. Se Anthropics integritetspolicy och API-villkor.
• Vid användning av API-nycklar behåller Anthropic inte konversationsdata för modellträning (enligt Anthropics API-villkor).
• Vi lagrar inte konversationshistorik på våra servrar.

6.3 AI-genererat innehåll

• Svar från AI-assistenten genereras automatiskt och kan innehålla fel.
• AI-genererat innehåll ska inte betraktas som juridisk rådgivning.
• Användare bör alltid verifiera viktig information mot officiella ESRS-standarder och konsultera kvalificerade revisorer.
• Nedladdade dokument (t.ex. gapanalyser) innehåller en tydlig varning om att innehållet är AI-genererat.

6.4 Dina rättigheter gällande AI

• Du har rätt att veta att du interagerar med ett AI-system (i enlighet med EU AI Act).
• Du kan välja att inte använda AI-assistenten — övrig funktionalitet i verktyget kräver inte AI.
• Du kan när som helst radera din API-nyckel för att inaktivera AI-funktionen.

7. Dina rättigheter enligt GDPR

Du har rätt att:

• Få tillgång till dina uppgifter — kontakta oss för att få veta vilka uppgifter vi har.
• Rätta felaktiga uppgifter.
• Radera dina uppgifter — du kan rensa all lokalt lagrad data genom att rensa webbläsarens localStorage. För molnlagrad data, kontakta oss.
• Begränsa behandlingen av dina uppgifter.
• Invända mot behandling av dina uppgifter.
• Dataportabilitet — få ut dina uppgifter i ett strukturerat format.

8. Säkerhetsåtgärder

• All datatrafik krypteras med TLS/HTTPS.
• API-nycklar krypteras innan de lagras lokalt.
• Säkerhetsrubriker (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy) skyddar mot vanliga webbattacker.
• Indata saneras för att förhindra XSS-attacker.
• AI-chatten har hastighetsbegränsning för att förhindra missbruk.

9. Kontakt

Om du har frågor om denna integritetspolicy eller vill utöva dina rättigheter, kontakta oss:

• E-post: dataskydd@example.com
• Organisation: [Ert företagsnamn]
• Dataskyddsombud: [Namn om tillämpligt]

Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) — www.imy.se.

10. Ändringar i denna policy

Vi kan uppdatera denna integritetspolicy vid behov. Väsentliga ändringar meddelas via verktyget. Senaste uppdateringsdatum visas överst på denna sida.