Integritetspolicy

Moni AB, organisationsnummer 559576-6840, är personuppgiftsansvarig för behandlingen av dina personuppgifter i Moni-tjänsten. Kontakta oss på hej@moni.se vid frågor om din integritet.

Vi samlar in och behandlar följande kategorier av personuppgifter:

• Kontouppgifter: E-postadress, användar-ID och inloggningsuppgifter för engångskod via e-post (hanteras av Firebase Auth).
• Bokföringsdata: Verifikationer, transaktioner, kontoplan och bifogade kvittobilder som du skapar i tjänsten.
• AI-rådgivarchatt: Meddelanden du skickar till Moni AI bearbetas av Anthropic Claude API. Meddelanden sparas i Monis databas kopplade till ditt konto och session-ID för att ge kontext i chatten och möjliggöra uppföljning i tjänsten.
• Supportdata: Supportchattar och supportmeddelanden som du skickar i tjänsten, inklusive metadata som behövs för att följa upp ditt ärende.
• Kvittoanalys (OCR): Bilder du laddar upp för analys skickas till Anthropic Claude API för textextrahering och behandlas enligt Anthropics kommersiella API-villkor.
• Open banking-data: Länkade bankkonton och importerade banktransaktioner när du ansluter bank via GoCardless Bank Account Data.
• Profil- och prenumerationsdata: Uppgifter i användarprofil (exempelvis namn och bolagsinställningar) samt prenumerationsmetadata (exempelvis plan, status, periodgränser och betalningsreferenser).
• Faktura- och kunddata: Fakturor du skapar, återkommande fakturamallar samt kundkontakter (namn, adress, e-postadress, organisations- eller personnummer) kopplade till din fakturering.
• Leverantörsdata: Inkomna leverantörsfakturor och kontomappningar (kopplingen mellan leverantör och BAS-konto) för att automatisera bokföring av inköp.
• Teamdata: Uppgifter om bolagsmedlemmar (namn, e-postadress, roll), skickade inbjudningar samt hänvisningar (referrals) kopplade till ditt bolag.
• Skattedeklarationsdata: Inlämnade skattedeklarationer (exempelvis moms och bolagsskatt) och tillhörande deklarationsperioder.
• Feedbackdata: Feedback du lämnar om tjänsten via inbyggda feedbackformulär.
• Teknisk data: IP-adress och enhetsinformation som hanteras av Firebase/Google.

Vi anlitar följande tredjepartsleverantörer som behandlar personuppgifter för vår räkning, eller agerar som självständigt personuppgiftsansvariga där deras regelverk kräver det. Där leverantören agerar som personuppgiftsbiträde gäller DPA enligt respektive tjänsteavtal.

Vissa leverantörer kan behandla personuppgifter utanför EU/EES (tredjeland), inklusive USA. När sådan överföring sker använder vi avtalade skyddsåtgärder såsom Standard Contractual Clauses (SCC) enligt GDPR.

• Google Firebase (Firebase Auth & Firestore): Autentisering och lagring av bokföringsdata. Google är personuppgiftsbiträde. Datan lagras inom EU/EES eller med lämpliga skyddsåtgärder (Standard Contractual Clauses, SCC). DPA ingår i Googles Cloud Data Processing Addendum. Googles integritetspolicy
• Google Generative AI (Gemini API): Bearbetar chatmeddelanden och kvittobilder för AI-analys. Google är personuppgiftsbiträde. Enligt Googles villkor används inte API-data från betaltjänsten för att träna modeller. DPA med SCC ingår i Googles Cloud Data Processing Addendum. Behandling kan ske utanför EU/EES, inklusive i USA, med SCC-baserad tredjelandsöverföringsmekanism. Googles integritetspolicy
• Stripe: Hanterar betalningar och prenumerationer. Stripe lagrar e-postadress och ett internt kund-ID (Firebase UID) som kundmetadata för att koppla betalningar till ditt konto. Stripe är personuppgiftsbiträde i tillämpliga delar och reglerar detta i sin Data Processing Agreement (DPA). Stripe kan behandla personuppgifter utanför EU/EES, inklusive i USA, med tillhörande överföringsmekanismer enligt deras DPA (inklusive SCC/DPF där tillämpligt). Stripes Data Processing Agreement
• GoCardless Bank Account Data (tidigare Nordigen): Används för att ansluta bankkonton och hämta kontoinformation via PSD2/open banking. GoCardless beskriver i sin GDPR-information att de i stora delar agerar som självständig personuppgiftsansvarig för sin reglerade betal- och open-bankingverksamhet. GoCardless GDPR-information
• Brevo: Skickar transaktionell e-post (bekräftelse för väntelisteanmälan, fakturanotifieringar m.m.). Din e-postadress skickas till Brevo för detta ändamål. Brevo behandlar e-postadressen som personuppgiftsbiträde och tillhandahåller DPA inom sina tjänstevillkor. Brevos integritetspolicy

Dina personuppgifter lagras så länge ditt konto är aktivt. Vi tillämpar följande lagringstider:

• Bokföringsdata: 7 år (krav enligt Bokföringslagen kap. 7).
• Kontouppgifter: Till dess att kontot raderas.
• Väntelista: Till dess du avregistrerar dig eller produkten lanseras (max 2 år).
• AI-chatt hos Anthropic: Anthropic kan behålla API-input och output i normalt upp till 30 dagar innan radering, men undantag kan gälla för exempelvis säkerhetsgranskning, policybrott eller lagkrav enligt Anthropics villkor.
• Serverloggar: Tekniska loggar (felmeddelanden, begäran-metadata) lagras i Vercel i max 30 dagar. Loggarna kan innehålla ditt användar-ID men aldrig bokföringsdata eller chattinnehåll.
• AI-chattmeddelanden i Moni: Sparas kopplat till ditt konto och session-ID tills kontot raderas eller du begär radering.
• Faktura- och kunddata: 7 år (krav enligt Bokföringslagen kap. 7).
• Leverantörsdata: 7 år (krav enligt Bokföringslagen kap. 7).
• Skattedeklarationsdata: 7 år (krav enligt Bokföringslagen kap. 7 — skattedeklarationer är räkenskapsinformation).
• Teamdata (bolagsmedlemmar, inbjudningar, hänvisningar): Till dess att kontot eller teammedlemskapet avslutas, eller du begär radering.
• Feedbackdata: Till dess att kontot raderas eller du begär radering.

Du kan begära radering av ditt konto och tillhörande data via inställningssidan i appen, eller genom att kontakta oss på hej@moni.se. Notera att bokföringsdata bevaras i 7 år under lagstadgad tid i enlighet med Bokföringslagen.

Som registrerad har du enligt GDPR följande rättigheter. Du utövar dem via inställningssidan i appen eller genom att kontakta oss på hej@moni.se:

• Rätt till tillgång (art. 15): Begär en kopia av dina personuppgifter.
• Rätt till rättelse (art. 16): Begär rättelse av felaktiga uppgifter.
• Rätt till radering (art. 17): "Rätten att bli glömd" — begär att vi raderar dina uppgifter.
• Rätt till dataportabilitet (art. 20): Ladda ner dina data i maskinläsbart format (JSON) via inställningssidan.
• Rätt att invända (art. 21): Invända mot behandling baserad på berättigat intresse.
• Rätt att klaga: Du kan klaga till Integritetsskyddsmyndigheten (IMY) på imy.se.

Moni använder nödvändiga inloggningscookies för autentisering. Om du uttryckligen godkänner analys i cookie-bannern kan vi även aktivera Google Analytics 4 för att mäta registreringar, trial-starter och betalningar. Vi använder inte marknadsföringscookies utan separat samtycke. Du kan när som helst ändra eller återkalla ditt val på sidan för cookieinställningar.

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter, inklusive:

• Krypterad kommunikation (HTTPS/TLS)
• Autentisering via engångskod (OTP) och signerade sessioner
• Användarspecifik åtkomstkontroll i databasen
• Autentisering krävs för alla AI-funktioner

Vi kan uppdatera denna integritetspolicy. Vid väsentliga ändringar informeras du via e-post eller notis i appen. Datum för senaste uppdatering framgår högst upp på denna sida.

För frågor om hur vi hanterar dina personuppgifter:
Moni AB
hej@moni.se