NO
Personvernpolicy
Introduksjon
Y4 Works Oy ("Suunta.ai," "vi," "oss" eller "vår") driver Suunta.ai-plattformen, en AI-drevet strategisk planleggingstjeneste for bedrifter. Denne personvernpolicyen forklarer hvordan vi samler inn, bruker, avslører og beskytter din personlige informasjon når du bruker våre Tjenester.
Suunta.ai er en business-to-business (B2B)-tjeneste. Denne personvernpolicyen gjelder for representanter for våre forretningskunder og deres autoriserte brukere.
Behandlingsansvarlig: Y4 Works Oy, Organisasjonsnummer: 2978296-6, Finland, E-post: privacy@suunta.ai
1. Informasjon vi samler inn
1.1 Informasjon du oppgir
Kontoinformasjon
| Data | Påkrevd | Formål |
|---|---|---|
| E-postadresse | Ja | Kontoinlogging, kommunikasjon |
| Fornavn og etternavn | Nei | Personalisering |
| Telefonnummer | Nei | Valgfri kontakt |
| Passord | Ja* | Autentisering |
| Profilbilde | Nei | Personalisering |
| Språkpreferanse | Ja (standard: finsk) | Lokalisering |
| Tidssone | Ja (standard: Europe/Helsinki) | Tidsvisning |
| Ytterligere profildetaljer | Nei | Personalisering |
SSO-brukere autentiserer via Google eller Microsoft og har ikke et Suunta.ai-passord.
Organisasjonsinformasjon
| Data | Påkrevd | Formål |
|---|---|---|
| Organisasjonsnavn | Ja | Kontoidentifikasjon |
| Land | Ja (standard: Finland) | Lokalisering, overholdelse |
| By | Nei | Lokalisering |
| Bransje | Nei | Tjenestetilpasning |
| Organisasjonsstørrelse | Nei | Tjenestetilpasning |
| Nettsted | Nei | Organisasjonsprofil |
| Logo | Nei | Merkevarebygging |
| Organisasjonsprofildetaljer | Nei | Tjenestetilpasning |
Forretningsdata
- Strategidokumenter og planer
- OKRs (Objectives and Key Results)
- KPIs (Key Performance Indicators) og målestokk
- Prosjekter og oppgaver
- Dokumenter for AI-analyse (RAG-kilder)
- Chattsamtaler med vår AI-assistent
- Annen forretningsdata som du sender inn
Disse forretningsdataene behandles for å levere våre Tjenester til deg.
1.2 Informasjon samlet inn automatisk
Tekniske data
| Data | Formål | Lagring |
|---|---|---|
| IP-adresse | Sikkerhet, svindelforebygging | Overskrives ved ny innlogging |
| User agent (nettleser/enhet) | Sikkerhet, sesjonshåndtering | Sesjonsvarighet |
| Innloggingstidsstempler | Sikkerhetsrevisjon | Overskrives |
| Sesjonsdata | Autentiseringsstatus | 14-30 dager |
| Mislykkede innloggingsforsøk | Brute-force-beskyttelse | Tilbakestilles ved vellykket innlogging |
Bruksdata
| Data | Formål | Lagring |
|---|---|---|
| AI-funksjonsbruk (tokens, modell, latens) | Fakturering, analyse | 365 dager |
| Aktivitetslogger (utførte handlinger) | Revisjonsspor | 12-36 måneder |
Viktig: Vi lagrer IKKE dine AI-prompts eller AI-genererte svar. Kun metadata om AI-bruk (slik som tokenantal og responstider) logges.
1.3 Informasjon fra tredjeparter
Single Sign-On (SSO) Hvis du logger inn via Google eller Microsoft, mottar vi ditt navn, e-post og profilbilde fra SSO-leverandøren.
Betalingsinformasjon Vi bruker Stripe for betalingsbehandling. Stripe samler inn og behandler dine betalingskortinformasjon direkte. Vi mottar kun din Stripe Customer ID og abonnementsstatus—aldri dine kortdetaljer.
Integrasjoner Hvis du kobler til tredjepartstjenester (Slack, Google Workspace, etc.), mottar vi data som er nødvendige for integrasjonen som konfigurert av deg.
2. Hvordan vi bruker din informasjon
| Formål | Rettsgrunnlag (GDPR) |
|---|---|
| Levere Tjenestene (kontohåndtering, AI-funksjoner, datalagring) | Avtaleoppfyllelse (artikkel 6(1)(b)) |
| Behandle betalinger og administrere abonnementer | Avtaleoppfyllelse |
| Sende transaksjons-e-poster (OTP-koder, varsler) | Avtaleoppfyllelse |
| Sikre sikkerhet og forhindre svindel | Berettiget interesse (artikkel 6(1)(f)) |
| Opprettholde revisjonslogger for overholdelse | Berettiget interesse / Rettslig forpliktelse |
| Forbedre Tjenestene (aggregerte analyser) | Berettiget interesse |
| Svare på støtteforespørsler | Avtaleoppfyllelse |
| Overholde rettslige forpliktelser | Rettslig forpliktelse (artikkel 6(1)(c)) |
Vi gjør IKKE følgende:
- Selger din personlige informasjon
- Bruker dine data til reklame
- Deler dine data med datameglere
- Bruker dine forretningsdata til å trene AI-modeller (uten uttrykkelig samtykke)
3. AI-databehandling
3.1 Hvordan AI-funksjoner fungerer
- Dine prompts og kontekst sendes til våre AI-leverandører (Anthropic, OpenAI, Google, Mistral)
- AI-leverandøren behandler din forespørsel og returnerer et svar
- Vi viser svaret til deg
- Vi logger kun metadata (tokens brukt, behandlingstid, kostnad)
3.2 Hva vi lagrer
| Lagres | Lagres ikke |
|---|---|
| Chattsamtalehistorikk (for kontinuitet) | Rå AI-prompts sendt til leverandører |
| AI-bruksmetadata (tokens, latens, kostnad) | AI-leverandørsvar |
| Dokumentembeddings (for søk) | Originaldokumenttekst etter indeksering |
3.3 AI-leverandørs datahåndtering
- OpenAI: store=False flagg for å deaktivere lagring
- Anthropic: Standard API uten trening på inputs
- Google Vertex AI: EU-region hvor tilgjengelig
- Mistral: EU-basert leverandør
Vi tillater ikke våre AI-leverandører å bruke dine data til modelltrening.
3.4 RAG (dokumentanalyse)
- Tekst ekstraheres fra ditt dokument
- Tekst konverteres til vektorembeddings
- Originaltekst ryddes innen 24 timer
- Embeddings og tekststykker beholdes for søkefunksjonalitet
- Sletting av en kilde fjerner all tilknyttet data
4. Informasjonsdeling
4.1 Tjenesteleverandører (underbehandlere)
| Leverandør | Formål | Plassering |
|---|---|---|
| AWS | Infrastrukturhosting | EU (Stockholm) |
| Anthropic | AI-behandling | USA |
| OpenAI | AI-behandling | USA |
| AI-behandling | EU/USA | |
| Mistral | AI-behandling | EU (Frankrike) |
| Stripe | Betalingsbehandling | USA/EU |
| Resend | E-postlevering | EU |
For den komplette listen, se vår liste over underbehandlere på https://suunta.ai/legal/subprocessors.
4.2 Kundeinitierte integrasjoner
- Slack: Meldinger, varsler som konfigurert
- Google Workspace: Kalenderhendelser, regnearkdata som konfigurert
- Zapier/Make: Webhook-nuttdata som konfigurert
Du kontrollerer hvilke integrasjoner som er aktivert og hvilke data som deles.
4.3 Rettslige krav
- For å overholde gjeldende lov eller rettslig prosess
- For å svare på lovlige forespørsler fra offentlige myndigheter
- For å beskytte våre rettigheter, personvern, sikkerhet eller eiendom
- I forbindelse med en fusjon, oppkjøp eller salg av eiendeler
4.4 Med ditt samtykke
Vi kan dele informasjon med tredjeparter når du har gitt uttrykkelig samtykke.
5. Internasjonale overføringer
5.1 Hvor vi behandler data. Primær behandling skjer i EU (AWS Stockholm, eu-north-1). AI-behandling kan forekomme i USA gjennom AI-leverandører.
5.2 Overføringssikkerhet. For overføringer utenfor EØS forlitar vi oss på standardavtalevilkår (SCCs) godkjent av Europakommisjonen, supplerende tiltak inkludert kryptering og tilgangskontroller, og leverandørscertifiseringer (f.eks. SOC 2, ISO 27001).
6. Databevar
6.1 Lagringsperioder
| Datatype | Lagringsperiode |
|---|---|
| Aktive brukerkontoer | Bruksvarighet |
| Slettede brukerkontoer | Anonymiseres umiddelbart |
| Organisasjonsdata | Til organisasjonssletting + 90 dager (sikkerhetskopier) |
| AI-bruksmetadata | 365 dager |
| Revisjonslogger (standard) | 24 måneder |
| Revisjonslogger (kritiske) | 36 måneder |
| Faktureringsregister | 6 år (finsk lov) |
| Sikkerhetskopier | 30 dager |
6.2 Kontosletting
- Din personlige informasjon anonymiseres
- Din e-post erstattes med en plassholder
- Dine organisasjonsmedlemskap fjernes
- Dine sesjoner tilbakekalles
- Revisjonslogger beholdes for overholdelse (med anonymisert aktør-ID)
6.3 Organisasjonssletting
- 30-dagers respittperiode (kan avbrytes)
- All organisasjonsdata slettes permanent
- Brukerkontoer forblir men mister organisasjonstilgang
- Uforanderlig overholdelsesrevisjonsloggpost opprettes
7. Dine rettigheter
Under GDPR har du følgende rettigheter og kan utøve dem via Innstillinger eller ved å kontakte privacy@suunta.ai:
- Rett til innsyn (artikkel 15): Innstillinger → Eksporter data
- Rett til retting (artikkel 16): Innstillinger → Profil
- Rett til sletting (artikkel 17): Innstillinger → Slett konto / Slett organisasjon
- Rett til begrensning (artikkel 18): E-post privacy@suunta.ai
- Rett til dataportabilitet (artikkel 20): Innstillinger → Eksporter data
- Rett til innvending (artikkel 21): E-post privacy@suunta.ai
- Rett til å trekke tilbake samtykke: Innstillinger → Markedsføringspreferanser
Du har også rett til å klage til en tilsynsmyndighet. I Norge er dette:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
postkasse@datatilsynet.no
+47 22 39 69 00
8. Cookies og lignende teknologier
8.1 Cookies vi bruker
| Cookie | Type | Formål | Varighet |
|---|---|---|---|
| session | Essensiell | Autentisering | 14-30 dager |
8.2 Hva vi ikke bruker
- Google Analytics
- Facebook Pixel
- Markedsføringscookies
- Tredjeparts sporingcookies
8.3 Lokal lagring
| Nøkkel | Formål |
|---|---|
| sidebarCollapsed | UI-preferanse |
| theme | Visningstema |
| userTimezone | Tidsvisning |
8.4 Tredjepartsskript
- Stripe (js.stripe.com): Betalingsbehandling
- Google Fonts: Typografi
- Font Awesome: Ikoner
Disse tjenestene kan sette sine egne cookies. Se deres respektive personvernpolicyer.
9. Sikkerhet
9.1 Tekniske tiltak
- Kryptering: TLS 1.2+ under overføring, AES-256 i hvile
- Passordsikkerhet: PBKDF2-SHA256 hashing
- Sesjonssikkerhet: HttpOnly, Secure, SameSite cookies
- Tilgangskontroll: Rollbasert, organisasjonsisoleret
9.2 Organisatoriske tiltak
- Konfidensialitetsforpliktelser for personell
- Sikkerhetsbevissthetstrening
- Hendelsesresponsprosedyrer
- Regelmessige sikkerhetsvurderinger
9.3 Dine ansvar
- Hold passordet ditt sikkert
- Bruk et sterkt, unikt passord
- Rapporter mistenkelig aktivitet umiddelbart
- Logg ut på delte enheter
10. Barns personvern
Suunta.ai er en B2B-tjeneste beregnet for forretningsfagfolk. Tjenestene er ikke rettet mot personer under 18 år. Vi samler ikke bevisst inn personlig informasjon fra barn.
11. Endringer i denne policyen
Vi kan oppdatere denne personvernpolicyen fra tid til annen. Vi vil varsle deg om vesentlige endringer via e-postvarsel minst 30 dager før endringene trer i kraft og fremtredende varsel på vår nettside. Fortsatt bruk av Tjenestene etter endringer utgjør aksept.
12. Kontakt oss
For personvernrelaterte spørsmål eller for å utøve dine rettigheter: Y4 Works Oy (Suunta.ai), E-post: privacy@suunta.ai. For generelle henvendelser: team@suunta.ai.
13. Tilleggsinformasjon for EØS-brukere
13.1 Rettsgrunnlagssammendrag
| Behandlingsaktivitet | Rettsgrunnlag |
|---|---|
| Kontohåndtering | Avtale |
| Tjenestelevering | Avtale |
| Betalingsbehandling | Avtale |
| Transaksjons-e-poster | Avtale |
| Sikkerhetstiltak | Berettiget interesse |
| Revisjonsloggføring | Berettiget interesse / Rettslig forpliktelse |
| Markedsføring (hvis valgt inn) | Samtykke |
13.2 Databeskyttelsesansvarlig
Som en liten bedrift har vi ikke utnevnt en formell DPO. For databeskyttelseshenvendelser, kontakt: privacy@suunta.ai.
13.3 Automatisert beslutningstaking
Vi tar ikke automatiserte beslutninger som produserer juridiske effekter eller på lignende måte påvirker deg betydelig. AI-funksjoner gir anbefalinger og analyse, men endelige beslutninger tas av deg.