Privatlivspolitik

1. Dataansvarlig

Den dataansvarlige for behandling af dine personoplysninger er:

2. Hvilke oplysninger indsamler vi?

Når du opretter dig som bruger og forbinder din Gmail-konto, behandler vi følgende oplysninger:

• Navn og e-mailadresse (fra din Google-konto)
• Virksomhedsnavn og telefonnummer (indtastet under onboarding)
• Gmail OAuth-tokens (krypteret med AES-256-GCM)
• Metadata om behandlede emails: afsender, emne, kategori og tidspunkt
• Indstillinger for automatiske svar og filtre

Vi læser indholdet af dine emails midlertidigt for at kategorisere dem og generere auto-svar. Vi gemmer ikke emailindhold — kun metadata (afsender, emne, kategori).

3. Formål og retsgrundlag

Vi behandler dine oplysninger til følgende formål:

• Levering af Klaro-tjenesten: automatisk sortering og besvarelse af emails (opfyldelse af aftale, GDPR art. 6(1)(b))
• Kontohåndtering: oprettelse, login og indstillinger (opfyldelse af aftale, GDPR art. 6(1)(b))
• Kommunikation: bekræftelsesmails og servicemeddelelser (legitim interesse, GDPR art. 6(1)(f))

4. Automatiseret behandling

Klaro anvender kunstig intelligens (Anthropic Claude) til automatisk at kategorisere dine indgående emails og generere udkast til auto-svar. Denne behandling sker automatisk uden manuel gennemgang fra vores side.

Kategoriseringen har ingen retsvirkning eller tilsvarende væsentlig indvirkning på dig — den bruges udelukkende til at sortere og organisere dine egne emails. Du kan til enhver tid se og ændre resultatet via dit dashboard.

Emailindhold sendes til Anthropic til behandling og returneres straks — Anthropic gemmer ikke indholdet til egne formål. Routingen kan teknisk ske via Vercel AI Gateway (samme leverandør som hosting), der videresender request-pakken til Anthropic uden at gemme indhold (zero data retention). Vores Anthropic API-nøgle er konfigureret direkte på gateway-niveau (Bring Your Own Key), så Anthropic forbliver direkte subprocessor for selve AI-behandlingen — Vercel fungerer udelukkende som teknisk router. Se Anthropics privatlivspolitik på anthropic.com/privacy.

5. Tredjeparter og underdatabehandlere

For at levere tjenesten anvender vi følgende underdatabehandlere:

• Google LLC — Gmail API til læsning og besvarelse af emails
• Microsoft Ireland Operations Limited — Microsoft Graph API til Outlook-emails
• Anthropic PBC — AI-kategorisering af emailindhold (ingen data gemmes hos Anthropic)
• Vercel Inc. — applikationshosting og AI Gateway (teknisk router til Anthropic, zero data retention)
• Supabase Inc. — databasehosting (EU-region)
• Stripe Payments Europe Ltd. — betalingsbehandling
• Resend Inc. — transaktionelle emails (bekræftelser m.v.)
• Upstash Inc. — rate limiting og webhook-idempotency (EU-region)
• Sentry (Functional Software, Inc.) — fejlovervågning og diagnostik

En komplet, opdateret oversigt med juridiske enheder, lokationer og overførselsgrundlag findes på klarohq.dk/subprocessors.

Vi videresælger aldrig dine data til tredjeparter og anvender dem ikke til markedsføring.

6. Overførsel til tredjelande

Flere af vores underdatabehandlere er etableret i USA (Google, Anthropic, Vercel, Resend). Overførsel af personoplysninger til disse sker på grundlag af:

• EU-U.S. Data Privacy Framework (DPF) — alle fire leverandører er certificerede under DPF, som er godkendt af Europa-Kommissionen som et tilstrækkeligt beskyttelsesniveau (afgørelse af 10. juli 2023)
• Standard Contractual Clauses (SCC) — som supplerende grundlag i relevante tilfælde

Supabase anvender EU-baserede servere (Frankfurt), og der sker ikke overførsel af databaseindhold uden for EU/EØS.

7. Cookies

Klaro anvender udelukkende teknisk nødvendige cookies. Vi anvender ingen tracking-, analyse- eller markedsføringscookies.

• Login-cookie (__Host-klaro-session) — bruges til at holde dig logget ind. Sættes ved login og slettes automatisk ved logout eller når sessionen udløber. Indeholder ingen personoplysninger i sig selv, men en krypteret reference til din session.
• Adgangs-cookie (klaro_access) — bruges i den nuværende adgangsbegrænsede periode til at huske, at du har indtastet adgangskoden. Indeholder ingen personoplysninger. Teknisk nødvendig.

Beskyttelse mod cross-site request forgery (CSRF) håndteres via cookiernes SameSite-attribut samt validering af afsender-origin på serveren — ikke via en separat cookie.

Da der udelukkende anvendes nødvendige cookies, kræves der ikke samtykke til cookiebrug, jf. cookiebekendtgørelsens §3, stk. 1.

8. Opbevaring og sletning

Dine data opbevares så længe du er aktiv bruger af Klaro. Når du opsiger din konto, slettes alle dine personoplysninger straks og uigenkaldeligt — inkl. behandlede emails, kendte afsendere og indstillinger.

Gmail OAuth-adgang tilbagekaldes automatisk ved opsigelse.

9. Sikkerhed

Vi beskytter dine data med følgende foranstaltninger:

• Gmail-tokens krypteres med AES-256-GCM inden lagring
• Al kommunikation sker over HTTPS (TLS)
• Databaseadgang er begrænset til server-side service-nøgle — ingen offentlig adgang
• Row-Level Security (RLS) er aktiveret i databasen

10. Dine rettigheder

Under GDPR har du følgende rettigheder:

• Indsigt (art. 15) — du kan anmode om en kopi af de oplysninger vi har om dig
• Berigtigelse (art. 16) — du kan bede os rette ukorrekte oplysninger
• Sletning (art. 17) — du kan til enhver tid slette din konto og alle tilknyttede data
• Begrænsning (art. 18) — du kan anmode om at vi begrænser behandlingen af dine oplysninger i visse tilfælde
• Dataportabilitet (art. 20) — du kan anmode om dine data i et maskinlæsbart format
• Indsigelse (art. 21) — du kan gøre indsigelse mod behandling baseret på legitim interesse

For at udøve dine rettigheder, kontakt os på post@klarohq.dk. Vi svarer inden for 30 dage.

11. Klage til Datatilsynet

Hvis du mener, at vi behandler dine personoplysninger i strid med GDPR, har du ret til at indgive en klage til Datatilsynet:

12. Ændringer til denne politik

Vi opdaterer denne privatlivspolitik hvis vores behandling ændrer sig væsentligt. Ved ændringer noterer vi datoen nedenfor. Fortsat brug af Klaro efter ændringer betragtes som accept af den opdaterede politik.