Siffi - Integritetspolicy

Reviderad den 31.12.2025

Minudoc OÜ (”företaget”, “Siffi”, ”vi”) värdesätter din integritet. Denna information förklarar vilken personlig data vi behandlar när du använder Siffis plattform, varför vi behandlar den, hur länge vi behåller den, vem vi delar den med och vilka rättigheter du har enligt GDPR.

Vilka vi är (Personuppgiftsansvarig) och hur du kan kontakta oss

Personuppgiftsansvarig: MinuDoc OÜ (som driver Siffis plattform).
E-post: contact@siffi.com

Dataskyddsombud (DPO): Tarmo Pihl
DPO e-post: privacy@siffi.com

Viktigt: Siffi tillhandahåller en välmåendplattform för arbetsplatsen och tillhandahåller inte hälsovårdstjänster. Välmåendespecialister tillgängliga via Siffi erbjuder stöd för välmående (t.ex. rådgivning, coaching, terapi-liknande stöd där tillämpligt enligt lag och professionella standarder). Om du behöver akut medicinsk hjälp, kontakta räddningstjänsten.

Vår roll jämfört med andra parter (Personuppgiftsansvarig/Personuppgiftsbiträde)

Siffi kan agera i olika roller beroende på behandlingsaktiviteten:

1. Siffi som Personuppgiftsansvarig (plattformens drift)
   Siffi agerar som en oberoende personuppgiftsansvarig för plattformens drift, såsom:
   • kontoskapande och inloggning,
   • plattformssäkerhet och bedrägeriförebyggande,
   • kundsupport,
   • plattformanalys (icke-innehåll),
   • fakturering och bokföring för plattformsavgifter (där tillämpligt),
   • regelefterlevnad och revision.
2. Siffi som Personuppgiftsbiträde (datatransmission för specialister)
   När du använder plattformen för att kommunicera med en välmåendespecialist kan Siffi behandla visst innehåll på uppdrag av specialisten för att möjliggöra säker meddelandehantering, bokning och tjänsteleverans via plattformen. I dessa fall är specialisten personuppgiftsansvarig för det innehåll de behandlar för tjänsteleverans, och Siffi agerar som personuppgiftsbiträde (enligt ett databehandlingsavtal).
3. Arbetsgivarkund (där din tillgång tillhandahålls av din arbetsplats)
   Om din arbetsgivare tillhandahåller Siffi som en arbetsplatsförmån är din arbetsgivare vanligtvis personuppgiftsansvarig för de anställdas behörighet (t.ex. vem som kan få tillgång till förmånen och på vilken nivå). Siffi behandlar begränsad data för att administrera tillgången till tjänsten.

Vilken data vi samlar in och varifrån vi får den

Vi samlar in personlig data direkt från dig, från din enhet/app och från interaktioner på plattformen. Vi får också viss data från din välmåendespecialist (t.ex. bokningsbekräftelser och tjänstemetadata) och, där tillämpligt, från din arbetsgivare (t.ex. behörighetsstatus).

Datakategorier

A) Konto- och identitetsdata

• för- och efternamn,
• e-postadress, telefonnummer,
• språk- och kommunikationspreferenser,
• arbetsgivarens behörighetsstatus (om din arbetsgivare tillhandahåller tillgång).

B) Tjänste- och transaktionsdata

• bokningar (datum/tid), varaktighet, vald leverantör,
• transaktionsuppgifter (plattformrelaterade faktureringsuppgifter, om tillämpligt),
• tjänsteanvändning (t.ex. funktioner användning, antal sessioner).

C) Välmående och känsligt innehåll (kan inkludera speciella kategoridata)

Eftersom Siffi relaterar till välmående och mental hälsa kan innehåll du delar inkludera hälsorelaterad information (speciella kategoridata enligt GDPR), såsom:

• meddelanden du skickar till en välmåendespecialist via plattformen,
• problem och mål du beskriver i chattar,
• välmåendeprofilinformation från frågeformulär över flera välmåendedimensioner,
• bilagor du frivilligt delar (foton, videor, filer) för bättre supportbeslut,
• AI-rådgivare konversationsinnehåll och sammanfattningar (se avsnitt 8).

D) Support-, kvalitets- och teknisk data

• supportförfrågningar och relaterad korrespondens,
• kvalitetsfeedback (t.ex. betyg och kommentarer, där de tillhandahålls),
• enhets- och apploggar: enhetsmodell, OS, appversion, tillstånd, säkerhetsrelaterade loggar, IP-adress (i tillämpliga fall),
• diagnostikloggar för felprevention och felsökning.

Valfri data: profilfoto; bilagor; vissa frågeformulärsfrågor (där markerade som valfria).

Varför vi behandlar din data och vad som händer om du inte tillhandahåller den

Vi behandlar personlig data för att:

• skapa och hantera ditt konto,
• möjliggöra bokningar och kommunikation med välmåendespecialister,
• driva de övervakade chat- och AI-rådgivarfunktionerna (om du väljer att använda dem),
• tillhandahålla kundsupport och upprätthålla servicekvalitet,
• säkra plattformen och förhindra missbruk,
• uppfylla lagliga och bokföringsmässiga skyldigheter.

Om du inte tillhandahåller den data som krävs för att skapa ett konto och använda grundfunktionerna (t.ex. kontaktuppgifter) kan vi inte ge tillgång till plattformen. Om du inte tillhandahåller (eller återkallar) samtycke till behandling av välmåendet/hälso-relaterat innehåll kan du inte använda funktioner som kräver sådant innehåll (t.ex. chatt, AI-rådgivare, vissa frågeformulär).

Rättslig grund för behandling (GDPR)

1. Artikel 6 GDPR (allmän personlig data)
   • Avtalsbehov (Art. 6(1)(b)) – för att tillhandahålla plattformen och efterfrågade tjänster (konto, bokning, meddelandehantering, plattformsfunktioner).
   • Berättigade intressen (Art. 6(1)(f)) – för att säkra plattformen, förhindra bedrägerier, säkerställa tillgänglighet och förbättra tillförlitlighet (t.ex. säkerhetsloggar, missbruksförebyggande).
   • Rättslig skyldighet (Art. 6(1)(c)) – för att uppfylla lagkrav (t.ex. bokföring och revision).
2. Artikel 9 GDPR (speciella kategoridata, inkl. hälso-relaterat välmåendetinnehåll)
   Där behandling involverar hälso/välmåendetinnehåll förlitar vi oss på:
   • Uttryckligt samtycke (Art. 9(2)(a)) – för behandling av välmåendet/hälso-relaterat innehåll i chattar, frågeformulär och AI-funktioner, samt för överföring av sådant innehåll via plattformen.

Vem vi delar data med (mottagare)

Vi delar data endast när det är nödvändigt för de ändamål som beskrivs ovan:

1. Välmåendespecialister
   För att möjliggöra bokningar och kommunikation delar vi relevant data med den specialist du väljer (t.ex. ditt namn/kontakt, bokningsuppgifter och meddelanden/bilagor du skickar).
2. Underbiträden (tjänsteleverantörer)
   Vi använder pålitliga leverantörer för att driva plattformen. Våra underbiträden inkluderar:
   • OpenAI (AI-behandling),
   • Microsoft (moln- och/eller plattformstjänster),
   • Amazon S3 (datlagring),
   • Messente (SMS-meddelanden).
   Alla ovanstående använder EU-servrar för Siffi-behandling.
3. Offentliga myndigheter
   Vi kan avslöja data om det krävs enligt lag, rättsbeslut eller giltig begäran av en behörig myndighet. Vi kan också avslöja begränsad data för att fastställa, utöva eller försvara rättsliga anspråk.
4. Arbetsgivarkund (arbetsplats-sponsrad tillgång)
   Vi delar inte ditt meddelandeinnehåll, AI-rådgivarsammanfattningar, bilagor eller specialistsanteckningar med din arbetsgivare. Se avsnitt 7 för detaljer om vad en arbetsgivare kan och inte kan se.

Vad din arbetsgivare kan se (arbetsplatsförmån)

Om din arbetsgivare tillhandahåller Siffi-tillgång:

1. Din arbetsgivare kan se:
   • om du är behörig/aktiverad (ja/nej),
   • övergripande aggregerad och anonymiserad användarstatistik på företagsnivå (t.ex. total användningsgrad, mest använda tjänstekategorier, allmänna tillfredsställelsetrender).
2. Din arbetsgivare kan inte se:
   • dina chattmeddelanden (med specialister eller AI),
   • dina AI-rådgivarsamtalssammanfattningar,
   • dina frågeformulärssvar och välmåendeprofil,
   • bilagor du delar (foton/videor/filer),
   • specialistsessionens innehåll, anteckningar eller någon individnivå känslig data.

AI, övervakad chatt och AI-rådgivare

Siffi använder AI i två funktioner: övervakad chatt och AI-rådgivare. Dessa funktioner är utformade för att stödja vägledning och navigering inom välmående och är inte en ersättning för mänskligt professionellt stöd.

Övervakad chatt (anonymiserad, inget minne)

• I övervakad chatt anonymiserar/pseudonymiserar vi din inmatning för AI-behandling genom att ta bort direkta identifierare där det är möjligt.
• Vi behåller inte en ihållande AI “minne” för övervakad chatt. Varje konversation behandlas utan att bära din tidigare övervakade chattkontext vidare.

• AI-rådgivaren kan skapa en kort sammanfattning av din konversation (t.ex. huvudämnen, mål och överenskomna nästa steg).
• Denna sammanfattning används för att ge kontinuitet i framtida AI-rådgivaresamtal.

Internationella överföringar

Vi lagrar eller överför inte din personliga data utanför EES för Siffi-behandling. Våra listade underbiträden är konfigurerade för att använda EU-servrar för Siffi-behandling.

Hur länge vi behåller din data (bevaring)

Vi behåller data endast så länge det är nödvändigt för de ändamål som beskrivs, såvida inte en längre period krävs enligt lag.

Kontodata

Lagrad medan ditt konto är aktivt. Om du tar bort ditt konto, raderar vi eller oåterkalleligt anonymiserar personliga identifierare såvida vi inte måste behålla viss data för lagliga skyldigheter.

Välmåendetinnehåll (meddelanden, frågeformulär, bilagor)

Välmåendespecifika kategoridata lagras i 7 dagar från den tid det matas in på plattformen, efter vilket det raderas eller oåterkalleligt anonymiseras (såvida du inte väljer att behålla något längre, t.ex. en AI-rådgivaresammanfattning som beskrivs nedan).

AI-rådgivaresammanfattning

AI-rådgivaresammanfattningen lagras för kontinuitet tills du raderar det eller tills ditt konto raderas (såvida lagring krävs enligt lag).

Transaktions- och bokföringsuppgifter

Bokförings- och revisionsuppgifter behålls i 7 år (där det krävs enligt tillämplig lag).

Säkerhets- och tekniska loggar

Säkerhets- och diagnostikloggar behålls under en begränsad period som är nödvändig för att säkra tjänsten och undersöka incidenter, vanligtvis 24 månader beroende på loggtyp och risknivå.

Ta bort ditt konto

Du kan ta bort ditt konto i appen eller webbplattformen (Profil → Ta bort mitt konto). När du tar bort ditt konto:

• dina personliga identifierare (t.ex. namn, e-post, telefon) raderas,
• eventuella återstående plattformsstatistik kan endast behållas i anonymiserad form (inte längre länkbar till dig),
• lagligt krävs uppgifter (t.ex. bokföring) behålls under den föreskrivna perioden.

Säkerhet

Vi använder lämpliga tekniska och organisatoriska åtgärder för att skydda din data, inklusive (i tillämpliga fall):

• 2-faktorautentisering,
• kryptering under överföring och i vila,
• åtkomstkontroller och minst privilegierad åtkomst,
• loggning och övervakning,
• säkra säkerhetskopior och återställning,
• leverantörens due diligence och databehandlingsavtal,
• incidentresponsprocedurer.

Dina rättigheter enligt GDPR

Du har rätt att:

• få tillgång till din data,
• rätta felaktig data,
• radera data (där tillämpligt),
• begränsa behandling (där tillämpligt),
• invända mot behandling baserad på legitima intressen,
• dataportabilitet (för data behandlad enligt avtal eller samtycke, där tekniskt möjligt),
• återkalla samtycke när som helst (i dina kontoinställningar; återkallande påverkar inte tidigare laglig behandling),
• framföra klagomål till tillsynsmyndigheten.

Ändringar i denna information

Reviderad den 31.12.2025

Denna integritetsmeddelande förklarar hur vi (“Leverantören”) behandlar dina personuppgifter när du bokar och mottar tjänster från oss via Siffi-plattformen.

Viktigt: Siffi (Minudoc OÜ) driver plattformen och har sin egen integritetsmeddelande. Detta meddelande gäller för Leverantörens behandling för att tillhandahålla tjänster till dig.

Vilka vi är (Personuppgiftsansvarig) och hur du kontaktar oss

Vår kontaktinformation kommer att delas med dig när du gör en bokning. Du kan också fråga om detaljerna om Leverantören från Siffi (Minudoc OÜ)-plattformen.

Vår relation med Siffi och roller (Ansvarig/Bearbetare)

Leverantören är personuppgiftsansvarig för att behandla dina personuppgifter i syfte att leverera tjänsten till dig (inklusive eventuella anteckningar/register vi skapar i relation till tjänsten, där tillämpligt).

Siffi (Minudoc OÜ) är en separat part som driver plattformen. Siffi kan behandla dina uppgifter som en oberoende personuppgiftsansvarig för plattformsdrift (konton, plattformssäkerhet, support) och kan också agera som bearbetare där det tekniskt möjliggör säker kommunikation och bokningsflöden mellan dig och Leverantören.

Vilka data vi behandlar och varifrån vi får dem

Vi kan behandla följande datakategorier:

A) Identitets- och kontaktdata

• namn, kontaktuppgifter (e-post/telefon), arbetsgivarinfo

B) Boknings- och tjänstedata

• bokningstid/datum, varaktighet, språkinställning,
• register som behövs för att leverera tjänsten (t.ex. sessionsmål),
• metadata för tjänsteleverans (t.ex. närvaro, avbokningar).

C) Välbefinnande och känsligt innehåll (kan inkludera särskild kategoridata)

Eftersom tjänster kan relatera till mental hälsa, kan information du delar inkludera hälsorelaterad eller annan känslig information (särskild kategoridata enligt GDPR), såsom:

• problem, symptom eller personliga omständigheter du beskriver,
• meddelanden och bilagor du skickar via plattformen,
• frågeformulär eller bedömningar du slutför (om de används)..

D) Fakturerings- och bokföringsdata

• tjänstepris, fakturor/kvitton (där tillämpligt), betalningsstatus (där tillämpligt).

E) Teknisk data (begränsad)

• minimal data som behövs för att tillhandahålla tjänsten via plattformen (t.ex. bekräftelse av meddelandeleverans/bokning).

Källor: Vi får data (i) från dig, (ii) från Siffi i samband med din bokning och plattformsmeddelanden, och (iii) endast om tillämpligt från tredjepartssystem som du uttryckligen ansluter eller som krävs enligt lag för reglerade leverantörer.

Varför vi behandlar dina data

Vi behandlar dina data för att:

1. Tillhandahålla den tjänst du bokar (inklusive förberedelse och uppföljning).
2. Kommunicera med dig om din bokning och tjänsteleverans.
3. Hantera fakturering/bokföring och följa lagliga skyldigheter.
4. Säkerställa säkerhet och skydda rättigheter (t.ex. hantera klagomål, förhindra missbruk, eller svara på nödsituationer där nödvändigt).

Om du inte tillhandahåller de begärda uppgifterna kan vi kanske inte leverera tjänsten (t.ex. kontakta dig, bekräfta bokningar, eller tillhandahålla lämpligt stöd).

Rättsliga grunder för behandling (GDPR)

Vi förlitar oss på följande rättsliga grunder beroende på situationen:

1. Allmänna personuppgifter (Artikel 6 GDPR)
   • Avtal (Art. 6(1)(b)) – för att tillhandahålla den tjänst du begär (bokning, kommunikation, leverans).
   • Rättslig skyldighet (Art. 6(1)(c)) – bokföring, lagstadgad arkivering (där tillämpligt).
   • Berättigat intresse (Art. 6(1)(f)) – tjänstens integritet, säkerhet, förhindra bedrägeri/missbruk, hantera tvister (balanserat mot dina rättigheter).
   • Vitalt intresse (Art. 6(1)(d)) – endast i akuta situationer för att skydda liv.
2. Särskild kategoridata (Artikel 9 GDPR)
   
   Eftersom välbefinnandetjänster kan involvera hälsorelaterad information, förlitar vi oss på en av följande:
   • Uttryckligt samtycke (Art. 9(2)(a)) – där vi behandlar välbefinnande/hälsorelaterat innehåll (t.ex. detaljerade diskussioner, frågeformulär, bilagor) och där samtycke är den lämpliga grunden för Leverantörens modell; och/eller
   • Tillhandahållande av vård / behandling av en reglerad yrkesman (Art. 9(2)(h)) – endast om Leverantören är en reglerad vårdprofessionell/organisation och denna grund gäller enligt lokal lag och professionella sekretesskrav.

Återkallande av samtycke: Om vi förlitar oss på samtycke kan du återkalla det när som helst. Återkallande påverkar inte tidigare laglig behandling. Observera att återkallande av samtycke kan begränsa vår förmåga att tillhandahålla tjänsten framöver.

Inspelning (ljud/video) och anteckningar

• Videosessioner: Om videosessioner används behandlas ljud/video för att genomföra sessionen.
• Inspelningar: Vi spelar inte in sessioner.
• Anteckningar/register: Leverantören kan behålla tjänsterelaterade anteckningar/register för att säkerställa kontinuitet och kvalitet på stöd och för att uppfylla lagliga skyldigheter där tillämpligt.

Vilka vi delar data med (mottagare)

Vi säljer inte dina data. Vi kan dela dem endast när det är nödvändigt:

• Siffi (Minudoc OÜ) – för att möjliggöra plattformsmeddelanden, bokning och tjänsteleverans via plattformen.
• IT- och professionella tjänsteleverantörer som stödjer Leverantören (t.ex. säker e-post, bokföring, jurister), under sekretess- och databehandlingsavtal där det krävs.
• Myndigheter – om det krävs enligt lag, domstolsbeslut, eller för att skydda rättigheter.
• Företagstransaktioner – om Leverantören genomgår fusion/förvärv/omstrukturering; vi kommer att tillämpa lämpliga skyddsåtgärder.

Internationella överföringar

Vi strävar efter att hålla behandlingen inom EES. Om vi någonsin överför personuppgifter utanför EES, kommer vi att göra det endast med lämpliga skyddsåtgärder (t.ex. EU:s standardavtalsklausuler) och kommer att ge ytterligare information på begäran.

Hur länge vi behåller dina data (lagring)

Vi behåller data endast så länge det behövs för ändamålen i detta meddelande och som lagen kräver:

• Boknings- och tjänsteadministrationsdata: behålls i 7 år efter den sista tjänsteinteraktionen (för att hantera uppföljningar, klagomål och kontinuitet), om inte en annan laglig period gäller.
• Bokföringsregister: behålls i 7 år.
• Tjänsteanteckningar/register: behålls enligt tillämpliga yrkesmässiga och rättsliga krav. Om Leverantören är en reglerad vårdgivare kan lagstadgade bevarandeperioder vara betydligt längre.

När lagringstiden upphör, raderar vi eller anonymiserar oåterkalleligt data.

Dina rättigheter (GDPR)

Du har rätt att:

• åtkomst till dina data,
• korrigera felaktiga data,
• begära radering (där tillämpligt),
• begränsa behandling (där tillämpligt),
• invända mot behandling baserat på berättigade intressen,
• dataportabilitet (för data behandlade på avtal/samtycke, där tillämpligt),
• återkalla samtycke (om samtycke är grunden),
• lämna in ett klagomål till din tillsynsmyndighet.

Hur du utövar rättigheter: kontakta oss på privacy@siffi.com.

Om du inte är nöjd kan du kontakta relevant Dataskyddsmyndighet i ditt land. I Estland är detta Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon).

Säkerhet

Vi tillämpar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, inklusive åtkomstkontroller, sekretessförpliktelser, säker lagring och incidenthanteringsprocesser.

Ändringar i detta meddelande

Vi kan uppdatera detta meddelande från tid till annan. Den uppdaterade versionen kommer att göras tillgänglig innan du bokar nya tjänster (och/eller inom plattformen).