Utkast. Denne teksten er til juridisk gjennomgang og er ikke endelig. Ingenting her er bindende før det publiseres som en nummerert versjon.
Personvern
Denne erklæringen forklarer hvilke personopplysninger Olav behandler, hvorfor, og hvilke rettigheter du har. Den gjelder readiness-produktet vårt på ai.01s.no og dette nettstedet.
Gjennomgangene er laget av AI, og de er ikke juridisk rådgivning
Readiness-gjennomgangen lages av et AI-system som leser offentlige kilder og loven. Den er informasjon som hjelper deg å handle, ikke juridisk rådgivning, og den etablerer ikke et klientforhold til en advokat. For en bindende juridisk vurdering, snakk med en kvalifisert advokat.
Omfang og roller
Denne erklæringen gjelder Olav Engineering AS som behandlingsansvarlig for personopplysningene som er beskrevet her. Behandlingsansvarlig er den som bestemmer formålet med og midlene for behandlingen.
Når vi behandler personopplysninger på vegne av en kunde, for eksempel innholdet en kunde laster opp til en gjennomgang, opptrer vi som databehandler. Slik behandling styres av en egen databehandleravtale og ikke av denne erklæringen.
Du når oss på Storåsveien 11A, 1169 Oslo, eller på post@01s.no.
Hvem vi er
Olav Engineering AS er sikkerhetsvirksomheten bak ai.01s.no og dette nettstedet. Vi bestemmer hvorfor og hvordan personopplysningene dine behandles, og er dermed behandlingsansvarlig.
Du kan nå oss på e-post med spørsmål om opplysningene dine eller denne erklæringen.
TODO (Alf / advokat): Bekreft nøyaktig juridisk enhet (navn, organisasjonsnummer, forretningsadresse) som er behandlingsansvarlig, og om det er et norsk AS eller en annen enhet. Både lovvalg og hvem som er ansvarlig avhenger av dette.
Hvilke opplysninger vi behandler
Vi behandler følgende personopplysninger:
- Kontodetaljer: navnet, jobb-e-posten og bedriften du oppgir når du registrerer deg.
- Bedriftsprofilen din: offentlige registeropplysninger vi henter fra Brønnøysundregistrene (Brreg) og offentlig informasjon om firmaet ditt.
- Dokumenter du selv velger å laste opp: filene du legger til i en gjennomgang, og teksten vi leser fra dem.
- Selve gjennomgangen: rapporten vi lager for bedriften din, og registreringen av den.
- Bruks- og loggdata: grunnleggende tekniske data som enhet, nettleser og handlingene du gjør, brukt til å drifte og sikre tjenesten.
Hvorfor vi behandler det, og behandlingsgrunnlaget
Vi behandler opplysningene dine for å levere readiness-gjennomgangen du ba om, for å drifte og sikre tjenesten, og for å nå deg om den. Vi behandler personopplysninger bare når vi har et gyldig behandlingsgrunnlag etter personvernforordningen.
Kontodetaljene dine og selve gjennomgangen (rapporten vi lager og registreringen av den) behandler vi for å oppfylle avtalen med deg om tjenesten. Bedriftsprofilen din (offentlige registeropplysninger fra Brreg og offentlig firmainformasjon) og bruks- og loggdata (enhet, nettleser og handlingene du gjør, brukt til å drifte og sikre tjenesten) behandler vi på grunnlag av berettiget interesse. Dokumenter du laster opp og teksten vi leser fra dem, og markedsføringse-post, behandler vi bare når du har samtykket, og du kan trekke tilbake samtykket når som helst.
Gjennomgangene er laget av AI, ikke juridisk rådgivning
Gjennomgangen skrives av et AI-system, forankret i offentlige kilder og lovteksten. Den er bygget for å kilde det den kan og å avstå fra det den ikke kan kilde, men den kan likevel være ufullstendig eller feil.
Behandle den som et utgangspunkt, ikke en juridisk vurdering. Den etablerer ikke et klientforhold til en advokat. For en bindende vurdering av pliktene dine, rådfør deg med en kvalifisert advokat.
Hvem andre som behandler opplysningene dine
Vi bruker et lite sett tjenesteleverandører (underleverandører) for å drifte tjenesten. De behandler opplysninger kun etter våre instrukser og kun til formålene under. Den fulle listen står i tabellen lenger ned.
Overføringer utenfor EU og EØS
Noen av leverandørene våre holder til i USA eller behandler opplysninger utenfor EØS. Når det skjer, overføres personopplysninger ut av EØS og trenger et gyldig overføringsgrunnlag etter personvernforordningen.
For slike overføringer bygger vi på EUs standard personvernbestemmelser (SCC), og, der leverandøren er sertifisert, EU-US Data Privacy Framework. Anthropic, Exa og Perplexity overfører personopplysninger til USA under EUs standard personvernbestemmelser, med en databehandleravtale på plass. Anthropic, Cloudflare, Vercel og Resend er i tillegg sertifisert under EU-US Data Privacy Framework. Filene du laster opp blir liggende i en lagringsplass i EU-jurisdiksjon hos Cloudflare. Grunnlaget for hver leverandør står i underleverandørtabellen lenger ned.
Databasen vår ligger i EU (Neon, Frankfurt), så konto- og gjennomgangsdataene dine holdes innenfor EØS, og funksjonene som håndterer personopplysninger kjører i EU (Vercel, Frankfurt). Leverandøren vår for transaksjons-e-post (MailPace) lagrer e-postdataene dine i Frankrike, innenfor EU.
Hvor lenge vi lagrer opplysningene
Vi lagrer personopplysninger bare så lenge vi trenger dem til formålene over. Når de ikke lenger er nødvendige, sletter eller anonymiserer vi dem.
Enkelte opplysninger må vi likevel beholde for å oppfylle en lovpålagt plikt. Som bokføringspliktig virksomhet oppbevarer vi regnskapsmateriale i Norge i fem år etter regnskapsårets slutt, og noe materiale i tre år og seks måneder. Denne plikten går foran retten til sletting så lenge den varer.
Hvordan opplastede dokumenter håndteres
Dokumenter du laster opp, lagres i en privat, tilgangsstyrt lagringsplass i EU-jurisdiksjon (Cloudflare R2). Vi bruker dem bare til å lage gjennomgangen din. Du kan be oss slette dem når som helst, og vi sletter dem på forespørsel.
For å lese teksten fra et dokument bruker vi Mistrals OCR-API, som kjører i EU (Frankrike). Mistral trener ikke på innhold sendt til det betalte API-et, og vi kjører det med null dataretensjon, så et opplastet dokument blir ikke liggende hos Mistral når teksten er returnert.
Rettighetene dine og svarfristen
Etter personvernforordningen har du rett til innsyn i opplysningene dine, til å rette dem, til å få dem slettet, til å begrense eller protestere mot behandling, til dataportabilitet, og til å trekke tilbake samtykke der vi bygger på det.
For å bruke noen av disse, send oss en e-post på post@01s.no. Vi legger til rette for at du kan bruke rettighetene, og svarer uten ugrunnet opphold og senest innen én måned. Er forespørselen kompleks, kan vi forlenge fristen med inntil to måneder, og vi varsler deg da innen den første måneden.
Hvordan vi holder opplysninger sikre
Vi holder tilgangen til personopplysninger begrenset til det som trengs, lagrer opplastede filer i en privat, tilgangsstyrt lagringsplass, og bruker anerkjente leverandører til hosting, lagring og e-post. Sikkerhet er kjernen i det vi gjør, og vi holder våre egne systemer til den standarden vi setter for kundene.
Informasjonskapsler
Der vi lagrer opplysninger i utstyret ditt eller får tilgang til opplysninger som allerede ligger der, for eksempel gjennom informasjonskapsler eller lignende teknologi, gjør vi det bare etter at du er informert og har samtykket. Samtykket følger samtykkekravet i personvernforordningen, slik ekomloven krever.
Teknisk lagring eller tilgang som er strengt nødvendig for å levere en tjeneste du uttrykkelig har bedt om, krever ikke samtykke.
TODO (Alf / advokat): Før inn de konkrete informasjonskapslene og lignende teknologiene tjenesten bruker, og kategoriene deres, og oppgi dem her.
Utlevering av personopplysninger
Vi kan utlevere personopplysninger når vi er rettslig forpliktet til det, for eksempel etter pålegg eller annen rettslig prosess. Da bygger utleveringen på den rettslige plikten vi er underlagt.
Vi kan også utlevere opplysninger for å beskytte rettighetene våre eller forhindre svindel, og i forbindelse med fusjon, oppkjøp eller annen virksomhetsoverdragelse.
Klage
Hvis du mener vi har håndtert opplysningene dine feil, si fra til oss først, så vi kan rette det. Du har også rett til å klage til Datatilsynet.
Endringer i denne erklæringen
Når vi endrer denne erklæringen, oppdaterer vi versjonen og datoen den gjelder fra øverst. Gjeldende versjon vises der.
Underleverandører
Dette er tjenesteleverandørene som behandler opplysninger for å drifte tjenesten, med hva de gjør og hvor de holder til. Listen stemmer med tjenesten slik den er bygget på datoen over.
| Leverandør | Formål | Region |
|---|---|---|
| Anthropic (Claude) | AI-en som lager gjennomgangen. Trener ikke på våre data. | USA · EU-US DPF og SCC, databehandleravtale på plass |
| Mistral | Leser tekst fra opplastede dokumenter (OCR). Trener ikke på det betalte API-et, kjøres med null dataretensjon. | Frankrike (EU) |
| Exa | Leser bedriftens offentlige nettside | USA · EUs standard personvernbestemmelser (SCC), databehandleravtale på plass |
| Perplexity | Lager et offentlig bakgrunnssammendrag av bedriften | USA · EUs standard personvernbestemmelser (SCC), databehandleravtale på plass |
| Cloudflare R2 | Privat lagring av opplastede filer | EU-jurisdiksjon · SCC + EU-US DPF |
| Cloudflare DNS-over-HTTPS | Offentlige DNS-oppslag | Ingen personopplysninger |
| MailPace (OhMySMTP Ltd) | Transaksjons-e-post og levering av rapport-PDF | Frankrike (EU)-hosting · britisk selskap, SCC med underleverandører |
| Resend | Markedskontakter i målgruppe, kun hvis du samtykker til markedsføring | USA · SCC + EU-US DPF |
| Neon | Applikasjonsdatabase | EU · Frankfurt |
| Vercel | Applikasjonshosting og databehandling | EU · Frankfurt (fra1) |
| Brønnøysundregistrene (Brreg) | Oppslag i offentlig foretaksregister | Norge, offentlige data |
| Store norske leksikon / Wikipedia | Begreps- og oppslagssøk | Ingen personopplysninger |
Leverandører merket med ingen personopplysninger brukes kun til offentlige oppslag og mottar ikke personopplysningene dine.