Integritetspolicy

Tolkning och definitioner

Tolkning

Ord där den första bokstaven är stor har innebörder som definieras under följande villkor. Följande definitioner ska ha samma innebörd oavsett om de förekommer i singular eller plural.

Definitioner

För denna integritetspolicys syften:

• Konto avser ett unikt konto som skapats för dig för att komma åt vår tjänst eller delar av vår tjänst.
• Närstående bolag avser en enhet som kontrollerar, kontrolleras av eller står under gemensam kontroll med en part, där "kontroll" innebär ägande av 50 % eller mer av aktierna, kapitalandelarna eller andra värdepapper med rösträtt vid val av styrelse eller annan ledning.
• Bolaget (benämnt antingen "Bolaget", "vi", "oss" eller "vår" i detta avtal) avser Findexer Technologies AB, Vera Sandbergs allé 5B, 411 33 Göteborg.
• Cookies är små filer som placeras på din dator, mobila enhet eller annan enhet av en webbplats och som bland annat innehåller uppgifter om din surfhistorik på den webbplatsen.
• Land avser Sverige.
• Enhet avser varje enhet som kan nå tjänsten, såsom en dator, en mobiltelefon eller en digital surfplatta.
• Personuppgifter avser all information som rör en identifierad eller identifierbar person.
• Tjänst avser webbplatsen.
• Tjänsteleverantör avser varje fysisk eller juridisk person som behandlar uppgifter på uppdrag av Bolaget. Det avser tredjepartsföretag eller personer som anlitas av Bolaget för att underlätta Tjänsten, tillhandahålla Tjänsten på Bolagets uppdrag, utföra tjänster relaterade till Tjänsten eller bistå Bolaget i analysen av hur tjänsten används.
• Användningsdata avser data som samlas in automatiskt, antingen genom användning av tjänsten eller från själva tjänstens infrastruktur (till exempel längden på ett sidbesök).
• Webbplats avser Findex, tillgänglig från www.findex.se
• Du avser den individ som kommer åt eller använder tjänsten, eller det företag eller den juridiska person på vars vägnar sådan individ kommer åt eller använder tjänsten, beroende på vad som är tillämpligt.

Insamling och användning av dina personuppgifter

Typer av insamlade uppgifter

Personuppgifter

När du använder vår tjänst kan vi be dig lämna vissa personligt identifierbara uppgifter som kan användas för att kontakta eller identifiera dig. Personligt identifierbar information kan inkludera, men är inte begränsad till:

• E-postadress
• För- och efternamn
• Användningsdata

Användningsdata

Användningsdata samlas in automatiskt när du använder Tjänsten. Användningsdata kan innehålla information såsom din enhets IP-adress (t.ex. IP-adress), webbläsartyp, webbläsarversion, vilka sidor av vår tjänst du besöker, tid och datum för ditt besök, tid spenderad på dessa sidor, unika enhetsidentifierare och annan diagnostisk data. När du använder Tjänsten via eller genom en mobil enhet kan Vi automatiskt samla in viss information, inklusive men inte begränsat till typ av mobil enhet du använder, din mobila enhets unika ID, IP-adressen på din mobila enhet, ditt mobila operativsystem, typen av mobil webbläsare du använder, unika enhetsidentifierare och annan diagnostisk data.

Vi kan också samla in information som din webbläsare skickar när du besöker vår Tjänst eller när du använder Tjänsten via eller genom en mobil enhet.

Spårningstekniker och cookies

Vi använder cookies och liknande spårningstekniker för att spåra aktiviteten på vår Tjänst och lagra viss information. De spårningstekniker som används är beacons, taggar och skript för att samla in och spåra information samt förbättra och analysera vår Tjänst. Teknikerna vi använder kan inkludera:

• Cookies eller webbläsarcookies. En cookie är en liten fil som placeras på din enhet. Du kan instruera din webbläsare att vägra alla cookies eller att indikera när en cookie skickas. Om du dock inte accepterar cookies kanske du inte kan använda vissa delar av vår Tjänst. Om du inte har justerat din webbläsarinställning så att den vägrar cookies kan vår Tjänst använda cookies.
• Web beacons. Vissa delar av vår Tjänst och våra e-postmeddelanden kan innehålla små elektroniska filer kända som web beacons (även kallade clear gifs, pixel tags och single-pixel gifs) som gör det möjligt för Bolaget att till exempel räkna användare som har besökt sidorna eller öppnat ett e-postmeddelande och för annan relaterad webbplatsstatistik (till exempel registrering av populariteten av en viss sektion och verifiering av system- och serverintegritet).

Cookies kan vara "persistenta" eller "sessionscookies". Persistenta cookies finns kvar på din dator eller mobila enhet när du går offline, medan sessionscookies raderas så snart du stänger din webbläsare. Vi använder både sessionscookies och persistenta cookies för de syften som anges nedan:

Nödvändiga / väsentliga cookies

• Typ: Sessionscookies
• Administreras av oss
• Syfte: Dessa cookies är nödvändiga för att tillhandahålla tjänster som är tillgängliga via webbplatsen och för att du ska kunna använda några av dess funktioner. De hjälper till att autentisera användare och förhindra bedräglig användning av användarkonton. Utan dessa cookies kan de tjänster du har begärt inte tillhandahållas, och vi använder endast dessa cookies för att tillhandahålla dig dessa tjänster.

Cookiepolicy / godkännandecookies

• Typ: Persistenta cookies
• Administreras av oss
• Syfte: Dessa cookies identifierar om användare har accepterat användningen av cookies på webbplatsen.

Funktionscookies

• Typ: Persistenta cookies
• Administreras av oss
• Syfte: Dessa cookies gör att vi kan komma ihåg val du gör när du använder webbplatsen, som att komma ihåg dina inloggningsuppgifter eller språkinställningar. Syftet med dessa cookies är att ge dig en mer personlig upplevelse och undvika att du måste ange dina preferenser på nytt varje gång du använder webbplatsen.

Användning av dina personuppgifter

Bolaget kan använda personuppgifter för följande syften:

• För att tillhandahålla och underhålla vår Tjänst, inklusive för att övervaka användningen av vår Tjänst.
• För att hantera ditt konto: för att hantera din registrering som användare av Tjänsten. De personuppgifter du lämnar kan ge dig tillgång till olika funktioner i Tjänsten som är tillgängliga för dig som registrerad användare.
• För fullgörande av avtal: utveckling, efterlevnad och fullgörande av köpeavtalet för de produkter, varor eller tjänster du har köpt eller av något annat avtal med oss genom Tjänsten.
• För att kontakta dig: För att kontakta dig via e-post, telefonsamtal, SMS eller andra motsvarande former av elektronisk kommunikation, såsom push-notiser från en mobilapplikation, angående uppdateringar eller informativa meddelanden relaterade till funktionerna, produkterna eller de avtalade tjänsterna, inklusive säkerhetsuppdateringar, när det är nödvändigt eller rimligt för deras genomförande.
• För att förse dig med nyheter, specialerbjudanden och allmän information om andra varor, tjänster och evenemang som vi erbjuder och som liknar dem du redan har köpt eller frågat om, om du inte har valt att inte ta emot sådan information.
• För att hantera dina förfrågningar: För att ta emot och hantera dina förfrågningar till oss.
• För affärsöverlåtelser: Vi kan använda din information för att utvärdera eller genomföra en fusion, avyttring, omstrukturering, omorganisation, upplösning eller annan försäljning eller överlåtelse av några eller alla Våra tillgångar, vare sig det sker som en pågående verksamhet eller som en del av konkurs, likvidation eller liknande förfarande, där personuppgifter som vi innehar om våra Tjänsteanvändare ingår i de överlåtna tillgångarna.
• För andra syften: Vi kan använda din information för andra syften, såsom dataanalys, identifiering av användningstrender, fastställande av effektiviteten i våra marknadsföringskampanjer och för att utvärdera och förbättra vår Tjänst, våra produkter, tjänster, marknadsföring och din upplevelse.

Vi kan dela din personliga information i följande situationer:

• Med tjänsteleverantörer: Vi kan dela din personliga information med tjänsteleverantörer för att övervaka och analysera användningen av vår Tjänst, för att kontakta dig.
• För affärsöverlåtelser: Vi kan dela eller överföra din personliga information i samband med, eller under förhandlingar om, en fusion, försäljning av Bolagets tillgångar, finansiering eller förvärv av hela eller delar av vår verksamhet till ett annat bolag.
• Med närstående bolag: Vi kan dela din information med våra närstående bolag, och vi kommer då att kräva att dessa närstående bolag respekterar denna integritetspolicy. Närstående bolag inkluderar vårt moderbolag och alla andra dotterbolag, joint venture-partners eller andra bolag som vi kontrollerar eller som står under gemensam kontroll med oss.
• Med affärspartners: Vi kan dela din information med våra affärspartners för att erbjuda dig vissa produkter, tjänster eller kampanjer.
• Med andra användare: när du delar personlig information eller på annat sätt interagerar i de offentliga områdena med andra användare kan sådan information visas för alla användare och spridas offentligt utanför.
• Med ditt samtycke: Vi kan lämna ut din personliga information för andra syften med ditt samtycke.

Underbiträden

Vi använder följande tredjeparter som personuppgiftsbiträden för att leverera Tjänsten. Varje biträde får endast tillgång till de uppgifter som krävs för det angivna syftet, och överföringar till biträden utanför EU/EES omfattas av EU:s standardavtalsklausuler.

• Auth0 (Okta) — identitet, autentisering och sessionshantering. Behandlade uppgifter: e-post, namn, lösenordshashar, identifierare för social inloggning. Region: EU. Överföringsmekanism: standardavtalsklausuler (personuppgiftsansvarig→biträde) för eventuell underbehandling i USA.
• MongoDB Atlas — primär applikationsdatabas. Behandlade uppgifter: samtliga användaruppgifter som beskrivs i denna policy. Region: EU (Stockholm, eu-north-1). Överföringsmekanism: standardavtalsklausuler.
• AWS (S3, CloudFront, EC2) — fillagring, innehållsleverans, beräkning. Behandlade uppgifter: användaruppladdade dokument, applikationsbinärer, förfrågningsloggar. Region: EU (eu-north-1) för lagring och beräkning; CloudFront-edgecertifikat i us-east-1. Överföringsmekanism: standardavtalsklausuler.
• Resend — leverans av transaktionsmejl. Behandlade uppgifter: mottagaradress, ämne, brödtext, leveransstatus. Region: USA. Överföringsmekanism: standardavtalsklausuler.
• Klaviyo — marknadsföringsmejl (nyhetsbrev, produktutskick). Behandlade uppgifter: e-post, namn, händelser kopplade till marknadsföringsengagemang. Region: USA. Överföringsmekanism: standardavtalsklausuler.
• Sentry — felövervakning och sessionsinspelning. Behandlade uppgifter: stack traces, förfrågnings-URL:er, webbläsar-/OS-metadata, IP samt (med samtycke) inspelade interaktioner; formulärfält och text maskeras. Region: USA. Överföringsmekanism: standardavtalsklausuler.
• PostHog — produktanalys och (med samtycke) sessionsinspelning med maskning av text och formulär. Behandlade uppgifter: pseudonymt distinkt-ID, sidvisningar, anpassade händelser. Region: EU (Frankfurt, eu.i.posthog.com). Överföringsmekanism: inte tillämpligt (data lagras inom EU).
• Google Tag Manager / Google Analytics — analysleverans (med samtycke). Behandlade uppgifter: pseudonymt klient-ID, sidvisningar, IP (förkortad). Region: USA. Överföringsmekanism: standardavtalsklausuler.
• OpenRouter — LLM-gateway som vidarebefordrar prompter från Midas-assistenten till den underliggande modelleverantören (för närvarande OpenAI). Behandlade uppgifter: prompter och konversationskontext som du tillhandahåller under en assistent-session. Används endast efter att du uttryckligen godkänt villkoren för AI-användning. Region: USA. Överföringsmekanism: standardavtalsklausuler.
• OpenAI — underliggande språkmodelleverantör för Midas-assistenten (åtkommen via OpenRouter) samt embeddings-leverantör för vår semantiska sökning över offentlig marknadsdata (anropas direkt; inga personuppgifter skickas i den vägen). Behandlade uppgifter: för assistenten samma prompter och konversationskontext som vidarebefordras av OpenRouter; för embeddings endast offentlig nyhets- och tillgångstext. Region: USA. Överföringsmekanism: standardavtalsklausuler. OpenAI tränar enligt avtal inte sina modeller på API-data.
• Featurebase — produktfeedback och funktionsönskemål. Behandlade uppgifter: identitetshash, valfritt namn, innehållet i din feedback. Region: EU.
• Finsquid / Flanks — bankkontoaggregering när du själv väljer att importera innehav. Behandlade uppgifter: bankleverantörens sessionstoken, positioner, transaktioner. Region: EU. Överföringsmekanism: standardavtalsklausuler där tillämpligt.
• Qdrant — vektordatabas för semantisk sökning över offentlig marknadsdata. Lagrar embeddings av offentligt innehåll (nyheter, börsdokument), inte personuppgifter i sig själv. Region: EU.
• Svix — webhook-signaturverifiering för Resend-händelser. Behandlade uppgifter: enbart leveransstatus-webhookar (inget meddelandeinnehåll). Region: USA. Överföringsmekanism: standardavtalsklausuler.
• Sanity — innehållshantering för marknadssidor och kunskapsbas. Behandlar inga användarkontouppgifter. Region: EU.
• Cookiebot (Usercentrics) — hantering av cookie-samtycke. Behandlade uppgifter: samtyckesposter (tidsstämpel, region härledd från IP, val). Region: EU.

En aktuell lista över underbiträden finns på docs/gdpr/sub-processors.md med länkar till varje leverantörs personuppgiftsbiträdesavtal.

Lagring av dina personuppgifter

Bolaget kommer att behålla dina personuppgifter endast så länge som är nödvändigt för de syften som anges i denna integritetspolicy. Vi kommer att behålla och använda dina personuppgifter i den utsträckning som krävs för att uppfylla våra rättsliga skyldigheter (till exempel om vi är skyldiga att behålla dina uppgifter för att följa tillämpliga lagar), lösa tvister och upprätthålla våra juridiska avtal och policyer.

Lagringsregler som för närvarande tillämpas för de uppgiftskategorier vi samlar in:

• Kontoprofil, investeringar, skulder, förmögenhetshistorik, konversationer med AI-assistenten och alla andra användarkopplade poster — sparas under kontots livstid och raderas sedan i alla våra system när du (eller på din begäran) raderar ditt konto.
• Aktiva sessioner — sessionstokens upphör att gälla en timme efter utfärdande och förlängs så länge du är aktiv; inaktiva sessioner i produktion loggas ut automatiskt efter 30 minuter.
• Investerarkommunikation och dess leveransloggar per mottagare — sparas under den underliggande kommunikationens livstid så att emittenter och mottagare kan gå tillbaka och se vad som skickats.
• GDPR-raderingslogg — sparas på obestämd tid som bevis på att en radering utförts (Art. 5.2 ansvarsskyldighet). Lagrar endast SHA-256-hashar av identifierare, aldrig råvärden.

För kortlivad driftdata (leveransloggar för transaktionsmejl, in-app-aviseringar, händelseloggar, engångskoder för verifiering) håller vi på att rulla ut automatiserade lagringsperioder. Tills det arbetet är fullt utrullat tas dessa poster bort på bästa förmåga och som en del av den fullständiga radering som körs när ett konto tas bort.

Bolaget kommer också att behålla användningsdata för interna analyssyften. Användningsdata behålls i allmänhet under en kortare period, förutom när dessa uppgifter används för att stärka säkerheten eller förbättra funktionaliteten hos Vår Tjänst, eller när vi är juridiskt skyldiga att behålla dessa uppgifter under längre perioder.

Spärrlista för marknadsföring efter radering

När du raderar ditt konto tar vi permanent bort din profil från Klaviyo (vår plattform för marknadsföringsmejl). För att säkerställa att en tidigare raderad adress inte tyst återimporteras och får ny marknadsföring om den någonsin dyker upp i våra system igen (till exempel via en CSV-import eller en inbjudan) sparar vi en saltad SHA-256-hash av adressen på en spärrlista för radering. Listan innehåller endast hashen — aldrig den ursprungliga adressen — och finns enbart för att respektera din tidigare radering. Den rättsliga grunden är vårt berättigade intresse (Art. 6.1(f) GDPR) av att inte återigen rikta marknadsföring till personer som har begärt att bli raderade. Du kan när som helst begära att vi även raderar spärrlistans hash genom att kontakta oss; om du gör det innebär det att vi inte längre kan känna igen din adress som tidigare raderad.

Överföring av dina personuppgifter

Din information, inklusive personuppgifter, behandlas vid Bolagets driftskontor och på andra platser där de parter som är involverade i behandlingen befinner sig. Det innebär att denna information kan överföras till — och lagras på — datorer som befinner sig utanför din delstat, provins, land eller annan statlig jurisdiktion där dataskyddslagarna kan skilja sig från dem i din jurisdiktion.

Ditt samtycke till denna integritetspolicy följt av att du lämnar sådan information utgör ditt godkännande av den överföringen. Bolaget kommer att vidta alla rimligt nödvändiga åtgärder för att säkerställa att dina uppgifter behandlas säkert och i enlighet med denna integritetspolicy, och ingen överföring av dina personuppgifter kommer att ske till en organisation eller ett land om det inte finns tillräckliga kontroller på plats, inklusive säkerheten för dina uppgifter och annan personlig information.

Radera dina personuppgifter

Du har rätt att radera eller begära att vi hjälper till att radera de personuppgifter som vi har samlat in om dig.

Vår Tjänst kan ge dig möjlighet att radera viss information om dig inifrån Tjänsten. Du kan uppdatera, ändra eller radera din information när som helst genom att logga in på ditt konto, om du har ett sådant, och besöka kontoinställningarna som gör att du kan hantera dina personuppgifter. Du kan också kontakta oss för att begära åtkomst till, korrigering av eller radering av personuppgifter som du har lämnat till oss. Observera dock att vi kan behöva behålla viss information när vi har en rättslig skyldighet eller laglig grund för att göra det.

Utlämnande av dina personuppgifter

Affärstransaktioner

Om Bolaget är involverat i en fusion, ett förvärv eller en försäljning av tillgångar kan dina personuppgifter komma att överföras. Vi kommer att lämna meddelande innan dina personuppgifter överförs och blir föremål för en annan integritetspolicy.

Brottsbekämpning

Under vissa omständigheter kan Bolaget vara skyldigt att lämna ut dina personuppgifter om det krävs enligt lag eller som svar på giltiga förfrågningar från myndigheter (t.ex. en domstol eller en myndighet).

Andra rättsliga krav

Bolaget kan lämna ut dina personuppgifter i god tro om att sådan åtgärd är nödvändig för att:

• Följa en rättslig skyldighet
• Skydda och försvara Bolagets rättigheter eller egendom
• Förebygga eller utreda eventuella överträdelser i samband med Tjänsten
• Skydda den personliga säkerheten för Tjänstens användare eller allmänheten
• Skydda mot rättsligt ansvar

Säkerhet för dina personuppgifter

Vi säljer inte dina personuppgifter till någon typ av aktör. Vi implementerar strikta tekniska och organisatoriska åtgärder för att skydda dina uppgifter mot obehörig åtkomst, förlust eller missbruk.

Barns integritet

Vår Tjänst riktar sig inte till personer under 13 år. Vi samlar inte medvetet in personligt identifierbar information från någon under 13 år. Om du är förälder eller vårdnadshavare och vet att ditt barn har lämnat oss personuppgifter, vänligen kontakta oss. Om vi får kännedom om att vi har samlat in personuppgifter från någon under 13 år utan verifiering av föräldrars samtycke vidtar Vi åtgärder för att ta bort den informationen från våra servrar.

Om vi behöver förlita oss på samtycke som rättslig grund för att behandla din information och ditt land kräver samtycke från en förälder kan vi kräva din förälders samtycke innan vi samlar in och använder den informationen.

Länkar till andra webbplatser

Vår Tjänst kan innehålla länkar till andra webbplatser som inte drivs av oss. Om du klickar på en tredjepartslänk kommer du att dirigeras till den tredjepartens webbplats. Vi rekommenderar starkt att du granskar integritetspolicyn för varje webbplats du besöker. Vi har ingen kontroll över och tar inget ansvar för innehållet, integritetspolicyerna eller rutinerna hos några tredjepartswebbplatser eller -tjänster.

Ändringar i denna integritetspolicy

Vi kan uppdatera vår integritetspolicy från tid till annan. Vi kommer att meddela dig om eventuella ändringar genom att publicera den nya integritetspolicyn på denna sida. Vi kommer att meddela dig via e-post och/eller ett framträdande meddelande på vår Tjänst, innan ändringen träder i kraft och uppdatera "senast uppdaterad"-datumet högst upp i denna integritetspolicy. Du rekommenderas att granska denna integritetspolicy regelbundet för eventuella ändringar. Ändringar i denna integritetspolicy träder i kraft när de publiceras på denna sida.

Kontakta oss

Om du har några frågor om denna integritetspolicy kan du kontakta oss:

• Via e-post: team@findex.se