Reviderad den 31.12.2025
Minudoc OÜ (nedan kallat Företaget, Siffi, vi) värnar om din integritet. Denna information förklarar vilka personuppgifter vi behandlar när du använder Siffi-plattformen, varför vi behandlar dem, hur länge vi behåller dem, med vilka vi delar dem och vilka rättigheter du har under GDPR.
Vilka vi är (Personuppgiftsansvarig) och hur du kontaktar oss
Personuppgiftsansvarig: MinuDoc OÜ (ansvarig för Siffi-plattformen).
E-post: contact@siffi.com
Dataskyddsombud (DPO): Tarmo Pihl
E-post till DPO: privacy@siffi.com
Viktigt: Siffi tillhandahåller en arbetsplatsplattform för välbefinnande och tillhandahåller inte sjukvårdstjänster. Specialister på välbefinnande som är tillgängliga via Siffi erbjuder stöd för välbefinnande (t.ex. rådgivning, coaching, terapi-liknande stöd där tillåtet enligt tillämplig lag och yrkesstandarder). Om du behöver akut medicinsk hjälp, kontakta akuttjänster.
Vår roll vs andra parter (Personuppgiftsansvarig/Personuppgiftsbiträde)
Siffi kan fungera i olika roller beroende på behandlingsaktiviteten:
- Siffi som Personuppgiftsansvarig (plattformsverksamhet)
Siffi agerar som en oberoende personuppgiftsansvarig för plattformsverksamheter såsom:
- kontoskapande och inloggning,
- plattformens säkerhet och bedrägeriförebyggande,
- kundsupport,
- plattformsanalys (icke-innehåll),
- fakturering och bokföring för plattformsavgifter (där tillämpligt),
- efterlevnad och revision.
- Siffi som Personuppgiftsbiträde (dataöverföring för specialister)
När du använder plattformen för att kommunicera med en specialist på välbefinnande, kan Siffi behandla visst innehåll på specialistens vägnar för att möjliggöra säker meddelandehantering, bokning och tjänsteleverans via plattformen. I de fallen är specialisten personuppgiftsansvarig för det innehåll de behandlar för tjänsteleverans, och Siffi agerar som ett personuppgiftsbiträde (under ett databehandlingsavtal).
- Arbetsgivarkund (där din tillgång tillhandahålls av din arbetsplats)
Om din arbetsgivare tillhandahåller Siffi som en arbetsplatsförmån, är din arbetsgivare vanligtvis en personuppgiftsansvarig för anställdas behörighet (t.ex. vem som kan komma åt förmånen och på vilken nivå). Siffi behandlar begränsad data för att administrera tillgången till tjänsten.
Vilka uppgifter vi samlar in och var vi får dem ifrån
Vi samlar in personuppgifter direkt från dig, från din enhet/app och från interaktioner på plattformen. Vi får också viss data från din välbefinnandespecialist (t.ex. bokningsbekräftelser och tjänstemetadata) och, där tillämpligt, från din arbetsgivare (t.ex. behörighetsstatus).
Datakategorier
A) Konto- och identitetsdata
- för- och efternamn,
- e-postadress, telefonnummer,
- språk och kommunikationspreferenser,
- arbetsgivares behörighetsstatus (om din arbetsgivare ger åtkomst).
B) Tjänste- och transaktionsdata
- bokningar (datum/tid), varaktighet, vald leverantör,
- transaktionsposter (plattformsrelaterade faktureringsposter, där tillämpligt),
- tjänsteanvändningshändelser (t.ex. funktionsanvändning, sessionsantal).
C) Välbefinnande och känsligt innehåll (kan inkludera särskild kategoridata)
Eftersom Siffi relaterar till välbefinnande och mental hälsa kan innehållet du delar inkludera hälsoinformation (särskild kategoridata under GDPR), såsom:
- meddelanden du skickar till en specialist på välbefinnande via plattformen,
- problem och mål du beskriver i chattar,
- välbefinnandeprofilinformation från enkäter över flera välbefinnandedimensioner,
- bilagor du frivilligt delar (foton, videor, filer) för bättre stödbeslut,
- innehåll och sammanfattningar av AI-rådgivarsamtal (se Avsnitt 8).
D) Support-, kvalitets- och teknisk data
- supportförfrågningar och relaterad korrespondens,
- kvalitetsfeedback (t.ex. betyg och kommentarer, där sådana anges),
- enhets- och apploggar: enhetsmodell, OS, appversion, behörigheter, säkerhetsloggar, IP-adress (i tillämpliga fall),
- diagnostikloggar för felprevention och felsökning.
E) Google Kalender Data
- Om du väljer att koppla ditt Google Kalender-konto till Siffi kan vi komma åt och behandla kalenderinformation som är nödvändig för att tillhandahålla mötesplanering, kalendersynkronisering, tillgänglighetskontroll, bokningshantering och relaterad funktionalitet som efterfrågas av dig.
- Siffis användning och överföring av information som mottagits från Google API:er kommer att följa
Användardatapolitik för Google API-tjänster,
inklusive kraven för Begränsad Användning.
- Google användardata erhållet genom Google Kalender API:er används enbart för att tillhandahålla den efterfrågade kalenderrelaterade funktionaliteten och används inte för annonseringsändamål.
- Siffi säljer inte Google användardata till tredje part eller överför den förutom som nödvändigt för att tillhandahålla och förbättra de tjänster du efterfrågat.
- Siffi använder inte Google Workspace API-data för att utveckla, förbättra eller träna generella artificiell intelligens- (AI) eller maskininlärningsmodeller (ML).
Valfri data: profilfoto; bilagor; vissa enkätfrågor (där markerade som valfria).
Varför vi behandlar dina data och vad som händer om du inte tillhandahåller dem
Vi behandlar personuppgifter för att:
- skapa och hantera ditt konto,
- möjliggöra bokningar och kommunikation med specialister på välbefinnande,
- driva övervakat samtal och AI-rådgivarfunktioner (om du väljer att använda dem),
- tillhandahålla kundsupport och upprätthålla servicekvalitet,
- säkra plattformens säkerhet och förebygga missbruk,
- uppfylla lagliga och redovisningsskyldigheter.
Om du inte tillhandahåller den data som krävs för att skapa ett konto och använda kärnfunktioner (t.ex. kontaktuppgifter), kan vi inte ge åtkomst till plattformen. Om du inte tillhandahåller (eller återkallar) samtycke för att behandla välbefinnande/hälsorelaterat innehåll, kanske du inte kan använda funktioner som kräver sådant innehåll (t.ex. chatt, AI-rådgivare, vissa enkäter).
Rättsliga grunder för behandling (GDPR)
Vi förlitar oss på följande rättsliga grunder beroende på syftet:
- Artikel 6 GDPR (allmänna personuppgifter)
- Kontraktsbehov (Art. 6(1)(b)) – för att tillhandahålla plattformen och de begärda tjänsterna (konto, bokning, meddelandeleverans, plattformsfunktioner).
- Legitima intressen (Art. 6(1)(f)) – för att säkra plattformen, förebygga bedrägeri, säkerställa tillgänglighet och förbättra tillförlitlighet (t.ex. säkerhetsloggning, missbruksförebyggande).
- Laglig förpliktelse (Art. 6(1)(c)) – för att uppfylla lagkrav (t.ex. bokföring och revision).
- Artikel 9 GDPR (särskild kategoridata, inkl. hälsorelaterat välbefinnandeinnehåll)
Där bearbetning involverar hälso/välbefinnandeinnehåll, förlitar vi oss på:
- Uttryckligt samtycke (Art. 9(2)(a)) – för bearbetning av välbefinnande/hälsorelaterat innehåll i chattar, enkäter och AI-funktioner, och för att överföra sådant innehåll via plattformen.
Du kan återkalla samtycke när som helst i ditt konto (se Avsnitt 10). Återkallandet påverkar inte lagligheten av bearbetning innan återkallandet.
Vem vi delar data med (mottagare)
Vi delar data endast i den utsträckning som är nödvändig för de ändamål som beskrivs ovan:
- Specialister på välbefinnande
För att möjliggöra bokningar och kommunikation delar vi relevant data med den specialist du valt (t.ex. ditt namn/kontakt, bokningsdetaljer och meddelanden/bilagor du skickar).
- Personuppgiftsbiträden (underleverantörer)
Vi använder betrodda leverantörer för att driva plattformen. Våra personuppgiftsbiträden inkluderar:
- OpenAI (AI-bearbetning),
- Microsoft (moln- och/eller plattformstjänster),
- Amazon S3 (datalagring),
- Messente (SMS-meddelandetjänster).
Alla ovanstående använder EU-servrar för Siffis bearbetning.
- Offentliga myndigheter
Vi kan lämna ut data om det krävs enligt lag, domstolsbeslut, eller giltig begäran från en behörig myndighet. Vi kan också lämna ut begränsad data för att upprätta, utöva eller försvara rättsliga anspråk.
- Arbetsgivarkund (arbetsplatsstödd tillgång)
Vi delar inte ditt meddelandeinnehåll, sammanfattningar av AI-rådgivare, bilagor eller specialistnoteringar med din arbetsgivare. Se Avsnitt 7 för detaljer om vad en arbetsgivare kan och inte kan se.
Vad din arbetsgivare kan se (arbetsplatsförmån)
Om din arbetsgivare ger åtkomst till Siffi:
- Din arbetsgivare kan se:
- om du är behörig/aktiverad (ja/nej),
- aggregerad och anonymiserad användningsstatistik på en övergripande nivå (t.ex. total användningsgrad, mest använda tjänstekategorier, allmänna nöjdhetstrender).
- Din arbetsgivare kan inte se:
- dina meddelanden (med specialister eller AI),
- sammanfattningar av dina AI-rådgivarsamtal,
- dina svar på enkäter och välbefinnandeprofil,
- bilagor du delar (foton/videor/filer),
- innehåll i specialisters sessioner, noteringar eller någon individuell känslig data på individnivå.
Vi utformar tjänsten så att arbetsgivare inte får tillgång till identifierbart välbefinnandeinnehåll.
AI, övervakat samtal och AI-rådgivare
Siffi använder AI i två funktioner:
övervakat samtal och
AI-rådgivare. Dessa funktioner är utformade för att stödja vägledning och navigering inom välbefinnande, och är inte en ersättning för mänsklig professionell support.
Övervakat samtal (anonymiserat, inget minne)
- I övervakat samtal anonymiserar/pseudonymiserar vi din insats för AI-bearbetning genom att ta bort direkta identifierare där det är möjligt.
- Vi behåller inte ett ihållande AI-minne för övervakat samtal. Varje samtal bearbetas utan att föra din tidigare kontext för övervakat samtal vidare.
AI-rådgivare (sammanfattning för kontinuitet)
- AI-rådgivaren kan skapa en kort sammanfattning av ditt samtal (t.ex. huvudämnen, mål och överenskomna nästa steg).
- Denna sammanfattning används för att ge kontinuitet i framtida AI-rådgivarsamtal.
Mänsklig tillsyn och säkerhet
Vi kan tillämpa säkerhetskontroller och begränsad mänsklig översyn för att motverka missbruk, skydda användare och förbättra tjänstekvaliteten. Åtkomst är begränsad och loggad.
Automatiserat beslutsfattande
Siffi fattar inga beslut som medför rättsliga eller liknande betydande konsekvenser för dig enbart med automatiserade medel (Artikel 22 GDPR). Om detta ändras kommer vi att uppdatera detta meddelande och ge den nödvändiga informationen.
Internationella överföringar
Vi lagrar eller överför inte dina personuppgifter utanför EES för Siffis behandling. Våra listade personuppgiftsbiträden är konfigurerade för att använda EU-servrar för Siffis behandling.
Hur länge vi behåller dina data (lagring)
Vi behåller data endast så länge som nödvändigt för de beskrivna ändamålen, om inte en längre period krävs enligt lag.
Kontouppgifter
Lagras medan ditt konto är aktivt. Om du raderar ditt konto raderar vi eller anonymiserar personliga identifierare oåterkalleligen, om vi inte måste behålla viss data för juridiska skyldigheter.
Välbefinnandeinnehåll (meddelanden, enkäter, bilagor)
Innehåll av särskilda kategorier av välbefinnande lagras i 7 dagar från den tid det matas in i plattformen, varefter det raderas eller anonymiseras oåterkalleligt (om du inte väljer att spara något längre, t.ex. en sammanfattning av AI-rådgivaren som beskrivs nedan).
AI-rådgivarsammanfattning
Sammanfattningen från AI-rådgivaren lagras för kontinuitet tills du raderar den eller tills ditt konto är raderat (om inte lagring krävs enligt lag).
Transaktions- och redovisningsposter
Bokförings- och revisionsposter bevaras i 7 år (där så krävs enligt tillämplig lag).
Säkerhets- och tekniska loggar
Säkerhets- och diagnostikloggar behålls för en begränsad period nödvändig för att säkra tjänsten och undersöka incidenter, vanligtvis upp till 24 månader beroende på loggtyp och risknivå.
Radera ditt konto
Du kan radera ditt konto i appen eller webbplattformen (Profil → Radera mitt konto). När du raderar ditt konto:
- dina personliga identifierare (t.ex. namn, e-post, telefon) raderas,
- alla återstående plattformstatistik kan endast behållas i anonymiserad form (inte längre länkbart till dig),
- lagligen erforderliga poster (t.ex. bokföring) behålls för den erforderliga perioden.
Säkerhet
Vi använder lämpliga tekniska och organisatoriska åtgärder för att skydda dina data, inklusive (efter behov):
- 2-faktorsautentisering,
- kryptering i transit och i vila,
- åtkomstkontroller och minimirättighetsåtkomst,
- loggning och övervakning,
- säkra säkerhetskopior och återhämtning,
- noggrann granskning av leverantörer och databehandlingsavtal,
- åtgärder för incidenthantering.
Inget system är 100 procent säkert, men vi förbättrar kontinuerligt skyddsåtgärder baserat på risk och branschpraxis.
Dina rättigheter enligt GDPR
Du har rätt att:
- få tillgång till dina data,
- rätta till felaktiga data,
- radera data (där tillämpligt),
- begränsa bearbetning (där tillämpligt),
- invända mot bearbetning baserat på legitima intressen,
- dataportabilitet (för data bearbetad på kontrakt eller samtycke, där tekniskt genomförbart),
- återkalla samtycke när som helst (i dina kontoinställningar; återkallande påverkar inte tidigare laglig bearbetning),
- lämna in klagomål till tillsynsmyndigheten.
För att utöva rättigheter eller ställa frågor, kontakta privacy@siffi.com.
Om du inte är nöjd med vårt svar kan du kontakta Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon).
Ändringar av detta meddelande
Vi kan uppdatera detta meddelande från tid till annan. Vi kommer att publicera den uppdaterade versionen på plattformen och uppdatera datumet för Senast reviderad.
Reviderad den 31.12.2025
Denna integritetspolicy förklarar hur vi (“Leverantören”) behandlar dina personuppgifter när du bokar och mottar tjänster från oss via Siffi-plattformen.
Viktigt: Siffi (Minudoc OÜ) driver plattformen och har sin egen integritetspolicy. Denna policy gäller för Leverantörens behandling för att tillhandahålla tjänster till dig.
Vilka vi är (Personuppgiftsansvarig) och hur du kontaktar oss
Vår kontaktinformation kommer att delas med dig när du gör en bokning. Du kan också efterfråga detaljer gällande Leverantören via Siffis (Minudoc OÜ) plattform.
Vår relation med Siffi och roller (Personuppgiftsansvarig/Personuppgiftsbiträde)
Leverantören är personuppgiftsansvarig för att behandla dina personuppgifter i syfte att leverera tjänsten till dig (inklusive eventuella anteckningar/register vi skapar i relation till tjänsten, där tillämpligt).
Siffi (Minudoc OÜ) är en separat part som driver plattformen. Siffi kan behandla dina uppgifter som en oberoende personuppgiftsansvarig för plattformsdrift (konton, plattformssäkerhet, support) och kan också agera som personuppgiftsbiträde där det tekniskt möjliggör säker kommunikation och bokningsflöden mellan dig och Leverantören.
Vilka data vi behandlar och varifrån vi får dem
Vi kan behandla följande datakategorier:
A) Identitets- och kontaktdata
- namn, kontaktuppgifter (e-post/telefon), arbetsgivarinfo
B) Boknings- och tjänstedata
- bokningstid/datum, varaktighet, språkinställning,
- register som behövs för att leverera tjänsten (t.ex. sessionsmål),
- metadata för tjänsteleverans (t.ex. närvaro, avbokningar).
C) Välbefinnande och känsligt innehåll (kan inkludera särskild kategoridata)
Eftersom tjänster kan relatera till mental hälsa, kan information du delar inkludera hälsorelaterad eller annan känslig information (särskild kategoridata enligt GDPR), såsom:
- problem, symptom eller personliga omständigheter du beskriver,
- meddelanden och bilagor du skickar via plattformen,
- frågeformulär eller bedömningar du slutför (om de används)..
D) Fakturerings- och bokföringsdata
- tjänstepris, fakturor/kvitton (där tillämpligt), betalningsstatus (där tillämpligt).
E) Teknisk data (begränsad)
- minimal data som behövs för att tillhandahålla tjänsten via plattformen (t.ex. bekräftelse av meddelandeleverans/bokning).
Källor: Vi får data (i) från dig, (ii) från Siffi i samband med din bokning och plattformskommunikation, och (iii) endast om tillämpligt från tredjepartssystem som du uttryckligen ansluter eller som krävs enligt lag för reglerade leverantörer.
Varför vi behandlar dina data
Vi behandlar dina data för att:
- Tillhandahålla den tjänst du bokar (inklusive förberedelse och uppföljning).
- Kommunicera med dig om din bokning och tjänsteleverans.
- Hantera fakturering/bokföring och följa lagliga skyldigheter.
- Säkerställa säkerhet och skydda rättigheter (t.ex. hantera klagomål, förhindra missbruk, eller svara på nödsituationer där nödvändigt).
Om du inte tillhandahåller de begärda uppgifterna kan vi kanske inte leverera tjänsten (t.ex. kontakta dig, bekräfta bokningar, eller tillhandahålla lämpligt stöd).
Rättsliga grunder för behandling (GDPR)
Vi förlitar oss på följande rättsliga grunder beroende på situationen:
- Allmänna personuppgifter (Artikel 6 GDPR)
- Avtal (Art. 6(1)(b)) – för att tillhandahålla den tjänst du begär (bokning, kommunikation, leverans).
- Rättslig skyldighet (Art. 6(1)(c)) – bokföring, lagstadgad arkivering (där tillämpligt).
- Berättigade intressen (Art. 6(1)(f)) – tjänstens integritet, säkerhet, förhindra bedrägeri/missbruk, hantera tvister (balanserat mot dina rättigheter).
- Vitalt intresse (Art. 6(1)(d)) – endast i akuta situationer för att skydda liv.
- Särskild kategoridata (Artikel 9 GDPR)
Eftersom välbefinnandetjänster kan involvera hälsorelaterad information, förlitar vi oss på en av följande:
- Uttryckligt samtycke (Art. 9(2)(a)) – där vi behandlar välbefinnande/hälsorelaterat innehåll (t.ex. detaljerade diskussioner, frågeformulär, bilagor) och där samtycke är den lämpliga grunden för Leverantörens modell; och/eller
- Tillhandahållande av vård / behandling av en reglerad yrkesman (Art. 9(2)(h)) – endast om Leverantören är en reglerad vårdprofessionell/organisation och denna grund gäller enligt lokal lag och professionella sekretesskrav.
Återkallande av samtycke: Om vi förlitar oss på samtycke kan du återkalla det när som helst. Återkallande påverkar inte tidigare laglig behandling. Observera att återkallande av samtycke kan begränsa vår förmåga att tillhandahålla tjänsten framöver.
Inspelning (ljud/video) och anteckningar
- Videosessioner: Om videosessioner används behandlas ljud/video för att genomföra sessionen.
- Inspelningar: Vi spelar inte in sessioner.
- Anteckningar/register: Leverantören kan behålla tjänsterelaterade anteckningar/register för att säkerställa kontinuitet och kvalitet på stöd och för att uppfylla lagliga skyldigheter där tillämpligt.
Vilka vi delar data med (mottagare)
Vi säljer inte dina data. Vi kan dela dem endast när det är nödvändigt:
- Siffi (Minudoc OÜ) – för att möjliggöra plattformsmeddelanden, bokning och tjänsteleverans via plattformen.
- IT- och professionella tjänsteleverantörer som stödjer Leverantören (t.ex. säker e-post, bokföring, jurister), under sekretess- och databehandlingsavtal där det krävs.
- Myndigheter – om det krävs enligt lag, domstolsbeslut, eller för att skydda rättigheter.
- Företagstransaktioner – om Leverantören genomgår fusion/förvärv/omstrukturering; vi kommer att tillämpa lämpliga skyddsåtgärder.
Internationella överföringar
Vi strävar efter att hålla behandlingen inom EES. Om vi någonsin överför personuppgifter utanför EES, kommer vi att göra det endast med lämpliga skyddsåtgärder (t.ex. EU:s standardavtalsklausuler) och kommer att ge ytterligare information på begäran.
Hur länge vi behåller dina data (lagring)
Vi behåller data endast så länge det behövs för ändamålen i denna policy och som lagen kräver:
- Boknings- och tjänsteadministrationsdata: behålls i 7 år efter den sista tjänsteinteraktionen (för att hantera uppföljningar, klagomål och kontinuitet), om inte en annan laglig period gäller.
- Bokföringsregister: behålls i 7 år.
- Tjänsteanteckningar/register: behålls enligt tillämpliga yrkesmässiga och rättsliga krav. Om Leverantören är en reglerad vårdgivare kan lagstadgade bevarandeperioder vara betydligt längre.
När lagringstiden upphör, raderar vi eller anonymiserar oåterkalleligt data.
Dina rättigheter (GDPR)
Du har rätt att:
- få tillgång till dina uppgifter,
- korrigera felaktiga data,
- begära radering (där tillämpligt),
- begränsa behandling (där tillämpligt),
- invända mot behandling baserat på berättigade intressen,
- dataportabilitet (för data behandlade på avtal/samtycke, där tillämpligt),
- återkalla samtycke (om samtycke är grunden),
- lämna in ett klagomål till din tillsynsmyndighet.
Hur du utövar rättigheter: kontakta oss på privacy@siffi.com.
Om du inte är nöjd kan du kontakta relevant Dataskyddsmyndighet i ditt land. I Estland är detta Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon).
Säkerhet
Vi tillämpar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive åtkomstkontroller, sekretessförpliktelser, säker lagring och incidenthanteringsprocesser.
Ändringar i denna policy
Vi kan uppdatera denna policy från tid till annan. Den uppdaterade versionen kommer att göras tillgänglig innan du bokar nya tjänster (och/eller inom plattformen).
