Integritetspolicy

Pataluha Ventures S.L. · Senast uppdaterad: 22 May 2026 · Version 2.6

Söker Ni den integritetsinformation som avser vår marknadsföringswebbplats? Se https://solidmaint.com/privacy.

Vi följer EU:s allmänna dataskyddsförordning (GDPR) och den spanska organlagen om skydd av personuppgifter (LOPDGDD 3/2018).

1. Personuppgiftsansvarig

Pataluha Ventures S.L. ("vi", "oss"), NIF B26627539, registrerat i Spanien, driver SolidMaint-plattformen (Customer-appen, Crew-appen, webbaserat back-office) och är personuppgiftsansvarig för Era personuppgifter. SolidMaint S.L. (NIF B27612159, registrerat kontor c/o The Pool, Avda. Bulevar Príncipe Alfonso de Hohenlohe 2, 29602 Marbella, Málaga, Spanien) är ett dotterbolag till Pataluha Ventures S.L., registrerat den 7 May 2026. Fram till dess att plattformen överförs till SolidMaint S.L. kvarstår Pataluha Ventures S.L. som ensam personuppgiftsansvarig. Kontakt: privacy@solidmaint.com

2. Personuppgifter vi samlar in

Vi samlar in olika kategorier av uppgifter beroende på vilken app Ni använder (Customer eller Crew). I de fall en kategori endast gäller en av apparna anges detta.

• Kontouppgifter (båda apparna) — Namn, e-postadress, telefonnummer, profilbild, språkinställning, roll.
• Autentiseringsuppgifter (båda apparna) — Hashat lösenord, sessionstokens, valfri federerad identifierare för Apple Sign In eller Google Sign In, valfritt tillstånd för biometrisk upplåsning (Face ID / fingeravtryck lagras på enheten och överförs aldrig).
• Fastighetsuppgifter (Customer-appen) — Adress, fastighetsbeteckning, konstruktionsuppgifter, enheter och apparater, uppladdade dokument.
• Tjänsteuppgifter (båda apparna) — Serviceförfrågningar, uppgiftshistorik, foton (före / under / efter utfört arbete), bildtexter, betyg, loggboksposter.
• Betalningsuppgifter (Customer-appen) — SEPA-mandatreferenser, Stripe-kund-ID:n, de fyra sista kortsiffrorna lagrade av Stripe (vi lagrar inte fullständiga kortnummer). Utbetalningar till Crew sker via Stripe Connect; Crew-appen samlar inte in kortuppgifter.
• Röstinspelningar (Crew-appen) — Röstanteckningar för arbetsrapporter och AI co-driving-röstläge. Serversidestransskribering via Google Gemini; ljudfilen raderas 30 dagar efter uppladdning, och transkriptionen sparas tillsammans med uppgiftsposten.
• Kvitto-OCR-data (Crew-appen) — Kvittobilder uppladdade för utgiftsrapportering; serversidesextraktion av radposter (butiksnamn, datum, artiklar, totalsummor) lagrade i utgiftsposten.
• Platsdata (Crew-appen) — Exakta GPS-koordinater när en uppgiftstimer är aktiv, används för geofence-verifiering inom 100 meter och för förgrundstjänstmeddelandet "spårar plats under aktiv uppgift". Bakgrundsplats begärs endast om Ni väljer att aktivera timerbaserade ankomstpåminnelser eller medan en aktiv timer körs med skärmen avstängd. Koordinater raderas 8 veckor efter att uppgiften slutförts och faktura utfärdats.
• Kommunikationsuppgifter (båda apparna) — Chattmeddelanden mellan Ni och HQ, Crew, kunder eller deltagare i uppgiftsgrupper. Inkommande WhatsApp-meddelanden vidarebefordrade via Twilio.
• Push-tokens (båda apparna) — FCM (Android) / APNs (iOS) enhetens push-tokens kopplade till Ert användarkonto, används för att leverera aviseringar om serviceförfrågningar, uppgiftstilldelningar, godkännanden och meddelanden.
• Kraschdiagnostik (båda apparna) — Sentry-kraschrapporter, breadcrumbs (användarinteraktionshändelser, prestandaspårningar) och en `userId`-tagg, används för felsökning.
• Användningsdata (båda apparna) — Inloggningstidsstämplar, enhetsinformation (modell, OS-version), IP-adress (används tillfälligt för hastighetsbegränsning och säkerhetskontroller; sparas inte som ett profilfält).
• Operatörsbehandlade uppgifter (HQ back-office) — Vår personal kan registrera, importera eller på annat sätt behandla Era kontakt- och fastighetsuppgifter för Er räkning som en del av interna operativa arbetsflöden (till exempel vid registrering, schemaläggning, uppföljning eller servicesamordning). Sådan behandling kan innefatta AI-stöd — se §10 för de AI-personuppgiftsbiträden vi använder.

3. Rättslig grund för behandling

• Fullgörande av avtal (Art. 6(1)(b) GDPR) — behandling som är nödvändig för att tillhandahålla de underhållstjänster Ni efterfrågar och för att betala ut ersättning till Crew-medlemmar.
• Berättigat intresse (Art. 6(1)(f) GDPR) — plattformssäkerhet, bedrägeriförebyggande åtgärder, kraschdiagnostik, anonym analys av tjänstekvalitet.
• Samtycke (Art. 6(1)(a) GDPR) — marknadsföringskommunikation (enbart opt-in); lagring av träningsdata för AI (se §10).
• Rättslig förpliktelse (Art. 6(1)(c) GDPR) — skattehandlingar och kvarhållande av fakturor (upp till 10 år — minst 6 år enligt *Código de Comercio* Art. 30, förlängt till 10 år när handlingar understöder en *base imponible negativa* enligt *Ley General Tributaria* Art. 66 bis).

4. Hur vi använder Era uppgifter

• Tillhandahållande och förbättring av våra fastighetsunderhållstjänster.
• Behandling av betalningar (kundsidan) och utbetalningar till Crew (Crew-sidan via Stripe Connect).
• Kommunikation om serviceförfrågningar, uppgifter, godkännanden och meddelanden.
• Automatisk översättning av chattmeddelanden mellan användare med olika språk.
• AI-assisterade funktioner: bildigenkänning (Smart Scan), rösttranskribering (Crew-röstrapporter, AI co-driving), kvitto-OCR, agentassistans, bildanalys.
• Verifiering av Crew-personalens närvaro på fastigheten via geofence.
• Kraschdiagnostik och produktanalys.
• Meddelanden om garantitidens utgång för registrerade enheter.

Konversationer i appen är INTE privata i förhållande till oss

Meddelanden i serviceförfrågningschattar (kund ↔ Crew, kund ↔ HQ, Crew ↔ HQ), AI-chatt i appen med vår assistent, och WhatsApp-konversationer som dirigeras via vår plattform är synliga för behörig HQ-personal i syfte att:

• Övervaka tjänstekvalitet — stickprovskontrollera att konversationen mellan Er och Er tilldelade Crew-medlem är konstruktiv, att offerter stämmer överens med vad som överenskommits och att problem flaggas i ett tidigt skede.
• Rutinmässigt systemunderhåll och felsökning — förstå vad användare har frågat AI-assistenten när ett anrop misslyckas, varför en översättning gav ett konstigt resultat och varför en avisering inte levererades. Vi minimerar detta — men en rapport om att "systemet inte fungerar" utan ytterligare information kan inte diagnostiseras utan att det felande anropet granskas.
• Tvistlösning — när en kund eller Crew-medlem rapporterar att den andra parten utlovat X men levererat Y, granskar HQ chatten för att kunna medla på ett rättvist sätt med dokumenterade bevis.

Meddelanden krypteras under överföring och i vila (HTTPS under överföring; AWS-hanterad kryptering på S3-spegellagringen och i Neon Postgres-databasen). Krypteringen skyddar mot tredjepartsavlyssning och åtkomst från infrastrukturleverantörer — den gör inte konversationer privata i förhållande till SolidMaints driftspersonal. För konfidentiella ärenden (juridiska klagomål, HR-relaterade frågor) ber vi Er att e-posta privacy@solidmaint.com.

Detta gäller i lika hög grad direkta chattar mellan kund ↔ Crew; plattformen drivs som en managed service, inte som ett peer-to-peer-meddelandeverktyg.

5. Delning av uppgifter / Underbiträden

Vi delar Era uppgifter endast med de personuppgiftsbiträden och underbiträden som anges nedan. Vi säljer inte Era personuppgifter. Förteckningen återspeglar de faktiska dataflödena i apparna; vi uppdaterar den när vi byter biträden.

| Mottagare | Plats | Vad vi delar | Varför |

| --- | --- | --- | --- |

| Stripe Payments Europe Ltd | Irland (moderbolag: Stripe Inc., USA, med standardavtalsklausuler) | Kortuppgifter, SEPA-mandatreferenser, kund-/entreprenörs-ID:n, betalningsmetadata. Customer-appen samlar in kortuppgifter i appen via Stripe SDK; Crew-appen tar emot utbetalningar — ingen kortinsamling. | Betalningsbehandling (kunder) och utbetalningar till Crew via Stripe Connect Express. |

| Neon Inc. | EU (AWS eu-central-1, Frankfurt) | Primär databas — alla relationsdata. | Managed Postgres-hosting. |

| Fly.io | EU (Frankfurt `fra`-region) | API-serverkörningsmiljö. | API-hosting. |

| Amazon Web Services (S3 + CloudFront) | S3-buckets i EU (eu-central-1); CloudFront edge cache globalt | Foton, röstinspelningar, kvittobilder, uppladdade dokument. | Fillagring och CDN-leverans. CloudFront edge cache kan cachelagra innehåll utanför EU; standardavtalsklausuler tillämpas. (Vi migrerade från Cloudflare R2 i mars 2026 till följd av att spanska internetleverantörer blockerade det tidigare CDN-nätverket.) |

| Google LLC — Gemini API | USA, med standardavtalsklausuler | AI-chattinnehåll, foton som skickas för bildanalys, röstinspelningar som skickas för transkribering, kvitton och dokumentinnehåll som skickas för tolkning/OCR, samt personuppgifter (såsom namn, e-post, telefon, adress) som behandlas av AI-stöd i kundorienterade eller operatörsorienterade verktyg. Vi använder Googles betalda Gemini-nivå, under vilken Google avtalsenligt förbinder sig att inte använda indata eller utdata för att träna sina modeller. | AI-stöd för kundorienterade och operatörsorienterade funktioner. |

| Google LLC — Firebase Cloud Messaging | USA, med standardavtalsklausuler | FCM-enhetens push-token; minimalt aviseringsinnehåll (ingen personuppgift i själva innehållet). | Push-aviseringar för Android. |

| Google LLC — Google Maps Platform | USA, med standardavtalsklausuler | Fastighetsadresser som skickas för geokodning; valfri Street View-visning. | Kartgränssnitt i apparna. |

| Apple Inc. — APNs | USA, med standardavtalsklausuler | APNs-enhetens push-token. | Push-aviseringar för iOS. |

| Sentry GmbH (biträde på AWS US) | Wien (personuppgiftsansvarig); USA (behandling) | Kraschrapporter, breadcrumbs (interaktioner, prestanda), `userId`-tagg, enhetstagg. | Kraschdiagnostik och prestandaövervakning. |

| Twilio Inc. | USA, med standardavtalsklausuler och EU-underbiträden | Telefonnummer, SMS-/WhatsApp-meddelandeinnehåll. | SMS-aviseringar och vidarebefordran av inkommande WhatsApp-meddelanden. |

| Resend Inc. | USA, med standardavtalsklausuler | E-postadress, meddelandetext. | Transaktionella e-postmeddelanden (kontobekräftelser, aviseringar). |

| Apple Inc. — Sign In with Apple | USA, med standardavtalsklausuler | OAuth ID-token; valfri vidarebefordrings-e-post om Ni väljer att dölja Er adress. | Valfri federerad inloggning. |

| Google LLC — Sign In | USA, med standardavtalsklausuler | OAuth ID-token. | Valfri federerad inloggning. |

| Tilldelade Crew-medlemmar | EU (verksamma i Spanien) | Kundnamn, fastighetsadress, åtkomstkoder, uppgiftsdetaljer — enbart för uppgifter som tilldelats den aktuella Crew-medlemmen. | Tjänsteleverans. |

6. Överföringar till tredjeland

Primär datalagring (databas, fillagring) sker inom EU. Vissa biträden är verksamma i Förenta staterna för specifika funktioner (AI-inferens, push-aviseringar, kraschdiagnostik, e-post, OAuth-identitet); dessa internationella överföringar grundas på EU-kommissionens standardavtalsklausuler enligt GDPR Art. 46(2)(c). I de fall ett biträde erbjuder alternativ med EU-placering som vi har valt, anges detta i tabellen i §5.

7. Lagringstider

| Typ av uppgift | Lagringstid |

| --- | --- |

| Kontouppgifter | Till kontot raderas + 30 dagars respitperiod |

| Röstinspelningar (Crew) | 30 dagar; transkriptionen sparas i uppgiftsposten |

| Kvittobilder (Crew) | Sparas i utgiftsposten till kontot raderas |

| GPS-koordinater från slutfört arbete | 8 veckor efter att uppgiften slutförts och faktura utfärdats |

| Chattmeddelanden | Till kontot raderas |

| Sentry-krashhändelser | 90 dagar (Sentrys standardlagringstid för prenumerationsplanen) |

| Granskningsloggar (säkerhetsrelevanta händelser) | 2 år |

| Finansiella handlingar (transaktioner, fakturor, utbetalningskvitton, faktura-PDF:er, redovisningsunderlag) | Upp till 10 år — minst 6 år enligt *Código de Comercio* Art. 30, förlängt till 10 år för handlingar som understöder en *base imponible negativa* (förlustavdrag) enligt *Ley General Tributaria* Art. 66 bis |

| AI-träningsdataarkiv (enbart med samtycke) | Till samtycket återkallas eller kontot raderas |

| Anonymiserade aggregerade mätdata | Obegränsad tid; kan inte kopplas till Er |

8. Säkerhetsåtgärder

Vi skyddar Era uppgifter med följande tekniska och organisatoriska åtgärder:

• TLS under överföring — all klient-servertrafik använder HTTPS med moderna krypteringssviter; HTTP avvisas vid lastbalanseraren.
• Kryptering i vila — AWS-hanterad kryptering av S3-fillagringen, leverantörshanterad kryptering av Neon Postgres-databasen och Sentry-hanterad kryptering av diagnostikdata.
• Lösenordshashning — lösenord lagras som bcrypt-hashar, aldrig i klartext.
• Rollbaserad åtkomstkontroll — HQ back-office-konton och Crew-konton har explicita roller (admin, supervisor, dispatcher, support, worker, customer) som styr vilka uppgifter varje roll har åtkomst till.
• Granskningsloggning — säkerhetsrelevanta händelser (inloggning, rollförändringar, dataexporter, kontoborttagningar, växlar för AI-träningsdata) registreras och sparas i 2 år.
• Incidenthantering — Sentry-krasch- och felövervakning med operatörskontrollerad åtkomst; PII-hanterare taggade för snabb prioritering vid säkerhetsincidenter.

9. Era rättigheter (GDPR Artiklarna 15–22)

• Tillgång (Art. 15) — Ladda ned alla Era uppgifter från Profil → Ladda ned mina uppgifter.
• Rättelse (Art. 16) — Redigera Er profil när som helst.
• Radering (Art. 17) — Radera Ert konto via Profil → Radera konto, eller följ guiden för dataradering på `/legal/data-deletion`.
• Dataportabilitet (Art. 20) — Exportera Era uppgifter som ett maskinläsbart ZIP-arkiv.
• Begränsning av behandling (Art. 18) / Invändning (Art. 21) — E-posta privacy@solidmaint.com.
• Återkalla samtycke (Art. 7(3)) — Stäng av lagring av AI-träningsdata i Er profil, eller avregistrera Er från marknadsföringsutskick via länken i sådana e-postmeddelanden.
• Klagomål — Ni har rätt att lämna in ett klagomål till den spanska dataskyddsmyndigheten (AEPD) på www.aepd.es eller till Er lokala tillsynsmyndighet inom EU/EES.

10. AI-behandling och lagring av träningsdata

Visst användar- och operativt innehåll behandlas av AI-modeller för att möjliggöra funktioner (bildigenkänning, rösttranskribering, OCR, agentassistans, chattoversättning, dokumenttolkning och annat kundorienterat och operatörsorienterat AI-stöd). Två separata flöden:

• Inferens (alltid aktiv) — Innehåll som är relevant för den funktion Ni använder, eller för en operatörsåtgärd som vidtas för Er räkning, skickas till den relevanta modellen (vanligtvis Google Gemini API), modellen returnerar ett resultat och resultatet lagras i den relaterade posten (uppgift, meddelande, utgift, fastighet osv.). Denna behandling är nödvändig för att leverera den funktion Ni efterfrågat eller för att fullgöra vårt tjänsteavtal med Er (Art. 6(1)(b) GDPR). Vi använder Googles betalda Gemini-nivå; enligt Googles API-villkor används betalda indata och utdata inte för att träna Googles modeller, och Googles tillfälliga loggar sparas inte längre än nödvändigt för kontroll av missbruk.
• Lagring av träningsdata (enbart med samtycke) — Om Ni har aktiverat AI-träningsdata i Er profil sparar vi dessutom indata och utdata från varje AI-anrop som härrör från Er egen aktivitet i ett pseudonymiserat arkiv på vår egen infrastruktur i syfte att förbättra modellerna. Detta grundas på samtycke (Art. 6(1)(a) GDPR) och Ni kan återkalla samtycket när som helst. AI-anrop som görs av våra operatörer inom ramen för interna arbetsflöden flödar inte igenom detta opt-in-arkiv; de är operativt tillstånd och sparas enbart så länge den relevanta operativa posten existerar.

Att återkalla samtycket innebär att Era framtida anrop utesluts från träningsarkivet och utlöser radering av alla tidigare arkiverade träningsposter kopplade till Ert konto. Använd Profil → AI-träningsdata för att växla, eller Profil → Radera AI-träningsdata för att radera på begäran. Raderingsrutinen är `DELETE /v1/profile/ai-training-data` och anropas också som en del av fullständig kontoborttagning (`gdpr-delete.ts`).

Operativa tabeller som håller AI-sessionstillstånd (`ai_sessions`, `ai_turns`, `ai_tool_calls`) utgör körtidsdata, inte träningsdata. De finns för att stödja återupptagning efter frånkoppling, felsökning per användare och granskning per anrop, och de raderas i samma kaskad när Ni raderar Ert konto eller återkallar samtycket.

11. Cookies och liknande tekniker

Vi använder enbart strikt nödvändiga cookies och lagring. Vi sätter inga reklamcookies, beteendespårande cookies eller tredjepartsanalyscookies.

Specifikt: en autentiseringssessionstoken i `localStorage` (webb) eller `expo-secure-store` (mobil), anonyma service worker-/push-aviseringsregistreringar och plattformens kraschdiagnostikidentifierare (Sentry).

Våra övriga biträden sätter inte cookies i våra appar; de tar emot enbart anropsbunden telemetri.

12. Barns integritet

Plattformen är inte avsedd för användare under 18 år. Vi samlar inte medvetet in personuppgifter om barn. Om Ni anser att ett barn har lämnat personuppgifter till oss, ber vi Er att kontakta privacy@solidmaint.com.

13. Ändringar av denna policy

Vi kommer att underrätta Er om väsentliga ändringar via e-post och/eller meddelande i appen minst 30 dagar innan de träder i kraft. Versionsnumret och datumet längst upp på denna sida anger när den senast uppdaterades.

14. Kontakt

För alla frågor om integritet: privacy@solidmaint.com.

För kontoborttagning, se den dedikerade guiden på /legal/data-deletion.