Utkast. Denne teksten er til juridisk gjennomgang og er ikke endelig. Ingenting her er bindende før det publiseres som en nummerert versjon.
Personvern
Denne erklæringen forklarer hvilke personopplysninger Zero One Security behandler, hvorfor, og hvilke rettigheter du har. Den gjelder readiness-produktet vårt på ai.01s.no og dette nettstedet.
Gjennomgangene er laget av AI, og de er ikke juridisk rådgivning
Readiness-gjennomgangen lages av et AI-system som leser offentlige kilder og loven. Den er informasjon som hjelper deg å handle, ikke juridisk rådgivning, og den etablerer ikke et klientforhold til en advokat. For en bindende juridisk vurdering, snakk med en kvalifisert advokat.
Hvem vi er
Zero One Security er sikkerhetsvirksomheten bak ai.01s.no og dette nettstedet. Vi bestemmer hvorfor og hvordan personopplysningene dine behandles, og er dermed behandlingsansvarlig.
Du kan nå oss på e-post med spørsmål om opplysningene dine eller denne erklæringen.
TODO (Alf / advokat): Bekreft nøyaktig juridisk enhet (navn, organisasjonsnummer, forretningsadresse) som er behandlingsansvarlig, og om det er et norsk AS eller en annen enhet. Både lovvalg og hvem som er ansvarlig avhenger av dette.
TODO (Alf / advokat): Bekreft kontaktadresse for personvernhenvendelser (forslag: post@01s.no) og om et formelt personvernkontaktpunkt eller en representant kreves.
Hvilke opplysninger vi behandler
Vi behandler følgende personopplysninger:
- Kontodetaljer: navnet, jobb-e-posten og bedriften du oppgir når du registrerer deg.
- Bedriftsprofilen din: offentlige registeropplysninger vi henter fra Brønnøysundregistrene (Brreg) og offentlig informasjon om firmaet ditt.
- Dokumenter du selv velger å laste opp: filene du legger til i en gjennomgang, og teksten vi leser fra dem.
- Selve gjennomgangen: rapporten vi lager for bedriften din, og registreringen av den.
- Bruks- og loggdata: grunnleggende tekniske data som enhet, nettleser og handlingene du gjør, brukt til å drifte og sikre tjenesten.
Hvorfor vi behandler det, og behandlingsgrunnlaget
Vi behandler opplysningene dine for å levere readiness-gjennomgangen du ba om, for å drifte og sikre tjenesten, og for å nå deg om den.
Behandlingsgrunnlagene våre etter personvernforordningen er: oppfyllelse av en avtale, for å levere gjennomgangen du ber om; berettiget interesse, for å drifte, sikre og forbedre tjenesten; og samtykke, for det som er valgfritt, som dokumenter du selv velger å laste opp. Du kan trekke tilbake samtykket når som helst.
TODO (Alf / advokat): Bekreft koblingen mellom formål og behandlingsgrunnlag med advokat, særlig skillet mellom avtale og berettiget interesse, og samtykketeksten for opplastinger.
Gjennomgangene er laget av AI, ikke juridisk rådgivning
Gjennomgangen skrives av et AI-system, forankret i offentlige kilder og lovteksten. Den er bygget for å kilde det den kan og å avstå fra det den ikke kan kilde, men den kan likevel være ufullstendig eller feil.
Behandle den som et utgangspunkt, ikke en juridisk vurdering. Den etablerer ikke et klientforhold til en advokat. For en bindende vurdering av pliktene dine, rådfør deg med en kvalifisert advokat.
Hvem andre som behandler opplysningene dine
Vi bruker et lite sett tjenesteleverandører (underleverandører) for å drifte tjenesten. De behandler opplysninger kun etter våre instrukser og kun til formålene under. Den fulle listen står i tabellen lenger ned.
Overføringer utenfor EU og EØS
Noen av leverandørene våre holder til i USA eller behandler opplysninger utenfor EØS. Når det skjer, overføres personopplysninger ut av EØS og trenger et gyldig overføringsgrunnlag etter personvernforordningen.
For slike overføringer bygger vi på EUs standard personvernbestemmelser (SCC), og, der leverandøren er sertifisert, EU-US Data Privacy Framework. Anthropic, Exa og Perplexity overfører personopplysninger til USA under EUs standard personvernbestemmelser, med en databehandleravtale på plass. Anthropic, Cloudflare, Vercel og Resend er i tillegg sertifisert under EU-US Data Privacy Framework. Filene du laster opp blir liggende i en lagringsplass i EU-jurisdiksjon hos Cloudflare. Grunnlaget for hver leverandør står i underleverandørtabellen lenger ned.
Databasen vår ligger i EU (Neon, Frankfurt), så konto- og gjennomgangsdataene dine holdes innenfor EØS, og funksjonene som håndterer personopplysninger kjører i EU (Vercel, Frankfurt). Leverandøren vår for transaksjons-e-post (MailPace) lagrer e-postdataene dine i Frankrike, innenfor EU.
Hvor lenge vi lagrer opplysningene
Vi lagrer personopplysninger bare så lenge vi trenger dem til formålene over, og deretter sletter eller anonymiserer vi dem.
TODO (Alf / advokat): Fastsett nøyaktige lagringstider per datatype (kontodata, opplastede dokumenter, genererte gjennomganger og logger), og oppgi dem her. Bekreft slettetidspunktet for opplastede dokumenter i Cloudflare R2.
Hvordan opplastede dokumenter håndteres
Dokumenter du laster opp, lagres i en privat, tilgangsstyrt lagringsplass i EU-jurisdiksjon (Cloudflare R2). Vi bruker dem bare til å lage gjennomgangen din. Du kan be oss slette dem når som helst, og vi sletter dem på forespørsel.
For å lese teksten fra et dokument bruker vi Mistrals OCR-API, som kjører i EU (Frankrike). Mistral trener ikke på innhold sendt til det betalte API-et, og vi kjører det med null dataretensjon, så et opplastet dokument blir ikke liggende hos Mistral når teksten er returnert.
TODO (Alf / advokat): Bekreft at R2-lagringen opprettes og aksesseres gjennom EU-jurisdiksjonsendepunktet i koden, og fastsett slettetidspunktet for opplastede dokumenter (på forespørsel, og eventuell automatisk utløpstid etter at gjennomgangen er levert).
Rettighetene dine
Etter personvernforordningen har du rett til innsyn i opplysningene dine, til å rette dem, til å få dem slettet, til å begrense eller protestere mot behandling, til dataportabilitet, og til å trekke tilbake samtykke der vi bygger på det.
For å bruke noen av disse, send oss en e-post. Vi svarer innenfor fristen loven setter.
TODO (Alf / advokat): Bekreft svarfristen som oppgis til brukerne (utgangspunktet i forordningen er én måned) og steget for å bekrefte identitet før en forespørsel behandles.
Hvordan vi holder opplysninger sikre
Vi holder tilgangen til personopplysninger begrenset til det som trengs, lagrer opplastede filer i en privat, tilgangsstyrt lagringsplass, og bruker anerkjente leverandører til hosting, lagring og e-post. Sikkerhet er kjernen i det vi gjør, og vi holder våre egne systemer til den standarden vi setter for kundene.
Klage
Hvis du mener vi har håndtert opplysningene dine feil, si fra til oss først, så vi kan rette det. Du har også rett til å klage til Datatilsynet.
Endringer i denne erklæringen
Når vi endrer denne erklæringen, oppdaterer vi versjonen og datoen den gjelder fra øverst. Gjeldende versjon vises der.
Underleverandører
Dette er tjenesteleverandørene som behandler opplysninger for å drifte tjenesten, med hva de gjør og hvor de holder til. Listen stemmer med tjenesten slik den er bygget på datoen over.
| Leverandør | Formål | Region |
|---|---|---|
| Anthropic (Claude) | AI-en som lager gjennomgangen. Trener ikke på våre data. | USA · EU-US DPF og SCC, databehandleravtale på plass |
| Mistral | Leser tekst fra opplastede dokumenter (OCR). Trener ikke på det betalte API-et, kjøres med null dataretensjon. | Frankrike (EU) |
| Exa | Leser bedriftens offentlige nettside | USA · EUs standard personvernbestemmelser (SCC), databehandleravtale på plass |
| Perplexity | Lager et offentlig bakgrunnssammendrag av bedriften | USA · EUs standard personvernbestemmelser (SCC), databehandleravtale på plass |
| Cloudflare R2 | Privat lagring av opplastede filer | EU-jurisdiksjon · SCC + EU-US DPF |
| Cloudflare DNS-over-HTTPS | Offentlige DNS-oppslag | Ingen personopplysninger |
| MailPace (OhMySMTP Ltd) | Transaksjons-e-post og levering av rapport-PDF | Frankrike (EU)-hosting · britisk selskap, SCC med underleverandører |
| Resend | Markedskontakter i målgruppe, kun hvis du samtykker til markedsføring | USA · SCC + EU-US DPF |
| Neon | Applikasjonsdatabase | EU · Frankfurt |
| Vercel | Applikasjonshosting og databehandling | EU · Frankfurt (fra1) |
| Brønnøysundregistrene (Brreg) | Oppslag i offentlig foretaksregister | Norge, offentlige data |
| Store norske leksikon / Wikipedia | Begreps- og oppslagssøk | Ingen personopplysninger |
Leverandører merket med ingen personopplysninger brukes kun til offentlige oppslag og mottar ikke personopplysningene dine.
TODO (Alf / advokat): Bekreft at listen er fullstendig og riktig før lansering, og hold den i takt med produktet etter hvert som det endrer seg.