BilluminateBilluminate
EN

⚠️ Utkast, ej juridiskt granskat. Detta dokument är preliminärt och granskas av jurist innan publicering.

Legal — Företagskunder

Integritetspolicy för företagskunder

Senast uppdaterad: [Datum vid publicering]

Denna policy beskriver hur Bill AB behandlar personuppgifter när ert företag använder Billuminate som kunskapsinfrastruktur. För privatpersoner som använder Bill-appen gäller istället vår integritetspolicy för konsumenter.

01

Personuppgiftsansvarig och rollfördelning

Bill AB

Org.nr: 559106-4471

Sätraängsvägen 124, 182 37 Danderyd, Sverige

E-post för integritetsfrågor: privacy@billuminate.io

📦 TBD innan publicering: Fysisk adress byts till boxadress.

Rollfördelning:

  • För era kontaktpersoners data (ert företags anställda som administrerar integrationen) är Bill AB personuppgiftsansvarig.
  • För personuppgifter i publikt källmaterial (namn på medarbetare som förekommer på ert företags webbplats) agerar vi enligt berättigat intresse med särskild aktsamhet och takedown-rutiner.
  • För era slutanvändares personuppgifter är Bill AB inte personuppgiftsbiträde — vi behandlar inte sådan data för er räkning. Era system ska inte skicka kundspecifik personinformation runtime till Billuminate.

02

Vilka personuppgifter vi behandlar

2.1 Ert företags kontaktpersoner

Typ

Exempel

Syfte

Kontaktuppgifter

Namn, e-post, telefonnummer, befattning

Administration, kontokommunikation

Inloggningsdata

E-post, hashat lösenord

Åtkomst till admin-portalen

Aktivitetsloggar

Vilka åtgärder som utförts i portalen, när

Säkerhet och spårbarhet

Teknisk data

IP-adress, webbläsare, enhet

Säkerhet och prestanda

2.2 Era slutanvändares personuppgifter

Billuminate är en kunskapsinfrastruktur — vi besvarar generella frågor utifrån strukturerad kunskap, inte individuella ärenden. Era system ska inte skicka kundspecifik personinformation (kundnamn, personnummer, saldon, avtalsnummer) till Billuminate runtime. Vi behandlar därmed inga personuppgifter om era slutanvändare för er räkning, och Bill agerar inte som personuppgiftsbiträde.

Era slutanvändare som vill nyttja Bill direkt har en egen konsumentrelation med Bill AB via Bill-appen, vilken regleras av vår konsumentintegritetspolicy.

Om ett framtida användningsfall skulle kräva att Bill behandlar personuppgifter för ert företags räkning tecknas separat databehandlingsbiträdesavtal (DPA) innan den funktionen aktiveras.

2.3 Personuppgifter i publikt källmaterial

Billuminate hämtar kunskap från publik webb, i enlighet med robots.txt enligt RFC 9309. När personuppgifter förekommer i sådant material, till exempel namn på kundtjänstmedarbetare publicerade på ert företags webbplats, är vår standard att strippa dem vid inhämtning, eller att inte inhämta alls om materialet ser känsligt ut.

03

Syfte och rättslig grund

Vi behandlar personuppgifter för att:

  • Tillhandahålla och administrera tjänsten ni anlitat oss för
  • Säkerställa ert företagskonto och förhindra missbruk
  • Uppfylla rättsliga skyldigheter (bokföring, GDPR, sektor-specifik reglering)
  • Förbättra tjänstens kvalitet (aggregerat, anonymiserat)

Rättslig grund:

  • Fullgörande av avtal — för kontaktpersonsdata och tjänstens leverans
  • Berättigat intresse — för säkerhet, tjänstens förbättring, och hantering av publikt källmaterial
  • Rättslig förpliktelse — där lag kräver
  • Samtycke — där det krävs specifikt (t.ex. känslig kommunikation utöver avtalet)

Vi använder inte personuppgifter för:

  • Reklam eller riktad marknadsföring
  • Profilering av era slutanvändare
  • Vidareförsäljning till tredje part

04

AI-leverantörer och underleverantörer

För att generera svar använder Billuminate en AI-leverantör. Idag är det OpenAI (ChatGPT API). Vi kan byta leverantör i framtiden; aktuell leverantörslista tillhandahålls på begäran.

Oavsett leverantör gäller:

  • Data skickas över krypterade kanaler (TLS).
  • Leverantören tränar inte modeller på den data vi skickar.
  • Dataöverföringar utanför EU och EES sker under Standard Contractual Clauses (SCC).

Andra underleverantörer inkluderar Railway (infrastruktur, EU-datazoner) och SendGrid (transaktionella e-postutskick). Fullständig lista tillhandahålls på begäran.

05

Var data lagras

All data lagras inom EU, via Railway i Amsterdam. Dataöverföring till leverantörer utanför EU (idag OpenAI) sker under Standard Contractual Clauses (SCC).

Vi krypterar data i vila och i trafik (TLS). Åtkomst till lagrad data är rollbaserad, övervakad och loggad.

06

Hur länge vi sparar data

Retentionstider, om inte lag kräver längre:

  • Kontaktpersonsdata: under avtalets löptid + 12 månader
  • Aktivitets- och säkerhetsloggar: upp till 24 månader
  • Er bidragsinformation och era datakällor: under avtalets löptid, raderas enligt takedown-SLA vid uppsägning eller begäran
  • Era slutanvändares personuppgifter: behandlas inte (se 2.2)
  • Aggregerad anonymiserad statistik: kan behållas för tjänstens kvalitetsarbete, utan möjlighet att identifiera individer

07

Era rättigheter som företagskund

Ni kan när som helst:

  • Få tillgång till all data vi har om ert företag via admin-portalen eller på begäran.
  • Exportera er bidragsinformation och era inställningar (JSON / CSV).
  • Begära radering via takedown-processen.
  • Begära utnämning av en specifik kontaktpunkt hos oss för integritetsfrågor.

08

Era slutanvändares rättigheter

Bill behandlar inte personuppgifter om era slutanvändare för er räkning (se sektion 2.2). Era slutanvändares rättigheter enligt GDPR riktas därför till ert företag, inte till Bill.

Om en slutanvändare väljer att använda Bill direkt via Bill-appen gäller en fristående konsumentrelation mellan slutanvändaren och Bill AB, vilken regleras av vår konsumentintegritetspolicy.

09

Incidenthantering

Vi upprätthåller tekniska och organisatoriska åtgärder för att skydda er data. Om en säkerhetsincident inträffar som påverkar er data:

  • Vi meddelar er skriftligen inom 24 timmar från upptäckt.
  • Vi beskriver incidentens omfattning, vilken data som påverkats, och vidtagna åtgärder.
  • Vi samarbetar med er för eventuell anmälan till Integritetsskyddsmyndigheten (IMY) och berörda slutanvändare.

10

Tillämplig lag och tvistelösning

Denna policy regleras av svensk lag. Tvist prövas av svensk allmän domstol med Stockholms tingsrätt som första instans. Ni har också rätt att klaga till Integritetsskyddsmyndigheten (IMY) om ni anser att vi behandlar uppgifter felaktigt.

11

Ändringar av policyn

Vi kan komma att uppdatera denna policy. Väsentliga ändringar meddelas via admin-portalen och via email till registrerade kontaktpersoner minst 30 dagar innan ikraftträdande.

12

Kontakt

Frågor om hur vi behandlar personuppgifter?

privacy@billuminate.io