Integritetspolicy

Senast uppdaterad: 7 maj 2026

Nordalster AB (559279-8002), nedan "staik", värnar om din integritet. Denna policy beskriver hur vi samlar in, använder och skyddar dina personuppgifter när du besöker api.staik.se.

1. Personuppgiftsansvarig

Nordalster AB (559279-8002) E-post: customercare@staik.se

2. Vilka uppgifter vi samlar in

Vi samlar in följande uppgifter beroende på hur du använder tjänsten:

  • E-postadress: vid registrering för API-nyckel eller Early Adopter-plats
  • Betaluppgifter: hanteras av Stripe (vi lagrar aldrig kortuppgifter)
  • API-användningsdata: antal tokens och förfrågningar per dag
  • Webbanalys: anonymiserade sidvisningar via Google Analytics (GA4), bara om du godkänner cookies

3. Cookies

Vi använder följande cookies:

  • Nödvändiga cookies: krävs för att sajten ska fungera (inget samtycke krävs)
  • Analyscookies (Google Analytics): _ga, _ga_*. Sätts bara efter ditt uttryckliga samtycke. Används för att förstå hur sajten används. Data anonymiseras och delas inte med tredjeparter.

Du kan ändra dina cookie-inställningar när som helst via "Cookie-inställningar" i sidfoten.

4. Hur vi använder dina uppgifter

  • Tillhandahålla och förbättra API-tjänsten
  • Skicka driftsrelaterade e-postmeddelanden (tokenvarningar, kontoinformation)
  • Följa tillämplig lag och bokföringskrav

5. Datalagring och underbiträden

Vi lagrar aldrig prompts eller svar från API:t. Trafiken passerar våra gateway-servrar i Sverige hos HostUp (Obehosting AB) i Älvsjö och vidarebefordras till GPU-noder i Sverige för inferens, men varken prompts, svar eller andra request-payloads sparas på disk eller i databas. Det vi lagrar i Sverige är enbart användningsstatistik (antal tokens, modell, tidpunkt), kontoinformation och betalningsmetadata. För att driva tjänsten anlitar vi följande underbiträden (sub-processors) som behandlar olika delar av personuppgifterna:

  • HostUp (Obehosting AB), Sverige: hosting av gateway-VPS och objektlagring för bloggbilder. Behandlar API-trafik i transit samt lagrar användningsstatistik, kontoinformation och betalningsmetadata.
  • BunnyWay d.o.o, Slovenien (EU): autoritativ DNS för staik.se-zonen. Behandlar IP-adresser i samband med DNS-uppslag mot våra zoner. Slovenskt bolag inom EU/EES, ingen CLOUD Act-exponering.
  • Stripe Payments Europe Ltd, Irland: betalningshantering. Behandlar e-postadresser och betalningsuppgifter (kortdata lagras aldrig hos oss).
  • Scaleway SAS (Iliad-koncernen), Frankrike (Paris): transaktionell e-post via Transactional Email Manager. Behandlar e-postadresser och mailinnehåll inom EU. Franskt moderbolag, ingen CLOUD Act-exponering.
  • Google LLC (Google Analytics 4), USA: anonymiserad webbstatistik. Aktiveras bara med ditt samtycke. Behandlar IP-adress, cookie-id och sidvisningar.
  • Google LLC (Indexing API), USA: pingar Google för indexering av nya bloggsidor. Behandlar enbart publika URL-strängar, inga personuppgifter.

Vår uttalade ambition är att använda svenska och europeiska leverantörer där det är praktiskt möjligt. Kärninfrastrukturen (gateway, GPU-inferens, databaser, betalningar, mail, mesh-nätverk, DNS) ligger inom EU/EES. Vår mesh-control och DERP-relä körs på Headscale (open source, BSD-3) på dedikerad svensk VPS, och DNS på BunnyWay i Slovenien. Där vi fortfarande använder amerikanska leverantörer (Google för analys och indexering) har vi gjort en avvägning mellan funktionalitet och datasuveränitet, och vi utvärderar löpande europeiska alternativ för att kunna byta ut dem över tid.

Under 2026 har vi systematiskt fasat ut amerikanska underbiträden ur drift-stacken: AWS → HostUp (april), Tailscale → Headscale (7 maj), Resend → Scaleway TEM (12 maj), Cloudflare → BunnyWay (14 maj). Kvarvarande amerikanska underbiträden är Google Analytics 4 (frivilligt, aktiveras bara med ditt samtycke) och Google Indexing API (publika URL:er, inga personuppgifter). Trafiken är krypterad i transit och vi lagrar varken prompts eller svar, det finns alltså ingen sådan data hos oss att begära ut, oavsett jurisdiktion.

Vill du ha kopior av våra personuppgiftsbiträdesavtal (DPA) med ovanstående leverantörer? Mejla customercare@staik.se så skickar vi dem.

6. Internationella överföringar

Flera av våra underbiträden är etablerade utanför EU/EES, främst i USA. För dessa överföringar tillämpar vi följande skyddsåtgärder enligt GDPR art. 46:

  • EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) som rättslig grund för överföringen.
  • Tekniska skyddsåtgärder: TLS-kryptering i transit och dataminimering (inga prompts eller svar lagras hos oss).
  • Dataminimering: enbart metadata, e-postadresser och IP-adresser skickas till tredje land. Prompts och svar från API:t lagras inte alls och vidarebefordras enbart till våra GPU-noder i Sverige.

Berörda leverantörer för tredjelandsöverföring: Google (GA4, Indexing API). Stripe behandlar betalningar inom EU (Irland) men har amerikanskt moderbolag. Transaktionell e-post (Scaleway TEM, Frankrike), DNS (BunnyWay, Slovenien) och övrig kärninfrastruktur hanteras helt inom EU/EES.

7. Dina rättigheter (GDPR)

Enligt dataskyddsförordningen (GDPR) har du rätt att:

  • Få tillgång till dina personuppgifter
  • Begära rättelse av felaktiga uppgifter
  • Begära radering av dina uppgifter ("rätten att bli glömd")
  • Invända mot behandling
  • Lämna klagomål till Integritetsskyddsmyndigheten (IMY)

Du kan radera ditt konto och all data direkt från din Dashboard.

8. Kontakt

Har du frågor om hur vi behandlar dina personuppgifter? Kontakta oss på customercare@staik.se.