Dataskydd och personuppgiftspolicy

Senast uppdaterad: 2026-02-23

1. Introduktion

Lobba respekterar och skyddar personuppgifter enligt EU:s dataskyddsförordning (GDPR). Denna policy beskriver hur vi hanterar och skyddar personuppgifter samt våra kunders och vårt eget ansvar vid databehandling.

2. Roller och ansvar enligt GDPR

Lobbas ansvar:

  • Lobba är personuppgiftsansvarig för de personuppgifter vi behandlar om våra kunder och deras medarbetare, exempelvis namn och e-postadresser som används för att administrera systemkonton, fakturering och inloggning via vår identitetsleverantör.
  • Lobba är personuppgiftsbiträde för den data som våra kunder lagrar och behandlar i Lobba, såsom mötesförfrågningar, mötesbokningar, mötesanteckningar och uppgifter om politiker.

Kundens ansvar:

  • Kunden är personuppgiftsansvarig för all data de själva hanterar i Lobba, inklusive uppgifter om deltagare i möten, politiska ståndpunkter och annan information de lagrar i systemet.
  • Kunden ansvarar för att följa GDPR och säkerställa att laglig grund finns för behandlingen.

3. Personuppgifter vi hanterar

Kunduppgifter:

Namn och e-postadress till kundens medarbetare som nyttjar systemet, som används för inloggning (via Clerk) och för att skicka automatiserade e-postnotifikationer (via Resend).

Teknisk metadata:

Uppgifter som loggas för att säkerställa systemets funktionalitet (exempelvis IP-adresser, inloggningsförsök, rate-limiting och tekniska fel).

Känsliga personuppgifter (Artikel 9):

Genom plattformens natur kommer kunder att behandla uppgifter om politiska företrädare och politiska åsikter. Lobba tillämpar strikta tekniska säkerhetsåtgärder (inklusive kryptering) för att skydda denna data.

4. Rättslig grund för databehandling (som Ansvarig)

Vi behandlar personuppgifter baserat på följande rättsliga grunder enligt artikel 6 i GDPR:

  • Avtal: Behandling är nödvändig för att fullgöra avtalet med våra kunder och tillhandahålla Lobba-systemet (inkl. inloggning).
  • Berättigat intresse: För att säkerställa systemets funktionalitet, säkerhet och vidareutveckling genom analys av teknisk metadata, samt för viss marknadsföring mot företag.

5. Ändamål med databehandling

Vi behandlar personuppgifter endast för följande ändamål:

  • Tillhandahålla, säkra och underhålla Lobba-systemet.
  • Skicka automatiserade systemnotifikationer och mötesunderlag (Briefs).
  • Förbättra systemets funktionalitet genom tekniska loggar.
  • Kontakta potentiella kunder för att marknadsföra och sälja våra B2B-tjänster.

6. Den registrerades rättigheter

Enligt GDPR har registrerade följande rättigheter:

  • Rätt till tillgång (registerutdrag).
  • Rätt till rättelse.
  • Rätt till radering ("rätten att bli bortglömd").
  • Rätt till begränsning.
  • Rätt att invända mot behandling som baseras på berättigat intresse.

För att utöva dina rättigheter gällande data där vi är personuppgiftsansvariga, kontakta oss på hello@lobba.ai. Avser ditt ärende data som din organisation (arbetsgivare) har lagt in i plattformen, vänligen vänd dig i första hand till din organisations administratör.

Du har rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY).

7. Dataplats och säkerhet

Lobba tillämpar hög säkerhetsstandard. Primär datalagring av kundens CRM-data sker på servrar inom EU via Supabase. Våra säkerhetsåtgärder inkluderar:

  • Kryptering av data at-rest (AES-256) och in-transit (TLS 1.2+).
  • Starka autentiserings- och åtkomstkontroller för systemåtkomst.
  • Regelbundna säkerhetsgranskningar och sårbarhetstester i våra molnmiljöer.

8. Lagring av data

  • Kunduppgifter: Sparas så länge kunden har ett aktivt konto hos Lobba och raderas senast 30 dagar efter avslutat avtal (vid begäran).
  • Teknisk metadata: Sparas i högst 12 månader för felsökning och säkerhetsanalys och raderas därefter automatiskt.

9. Behandling av potentiella kunders personuppgifter

Vi behandlar personuppgifter (namn, e-post, telefon, företagsroll) om potentiella B2B-kunder med stöd av vårt berättigade intresse att erbjuda våra tjänster. Data samlas in från offentliga källor och lagras i högst 12 månader om inget avtal inleds. Potentiella kunder har rätt att när som helst invända mot denna marknadsföring.

10. Underleverantörer (Sub-processors)

För att tillhandahålla plattformen använder Lobba noga utvalda underleverantörer som agerar personuppgiftsbiträden eller underbiträden. Dessa inkluderar, men är inte begränsade till:

  • Supabase (Databas och huvudlagring, primärt inom EU)
  • Vercel (Molnhosting och nätverkssäkerhet, körning inom EU)
  • Clerk (Autentisering och identitetshantering)
  • OpenAI & Google Cloud (AI-drivna sök- och textfunktioner. Ingen data används för modellträning)
  • Resend (E-postinfrastruktur)

Samtliga leverantörer är bundna av strikta dataskyddsavtal (DPA). En fullständig och alltid aktuell lista över underbiträden finns på lobba.ai/sub-processors.

11. Dataöverföring utanför EU/EES

Vissa av våra underleverantörer är baserade i USA (ex. Clerk, OpenAI, Resend). Vid överföring av personuppgifter utanför EU/EES säkerställer vi en adekvat skyddsnivå genom att leverantörerna är certifierade under EU-U.S. Data Privacy Framework (DPF) och/eller genom tillämpning av EU-kommissionens standardavtalsklausuler (SCC).

12. Hantering av säkerhetsincidenter

Lobba har etablerade rutiner för att hantera säkerhetsincidenter. Vid en incident som innebär risk för registrerades rättigheter eller påverkar kundens data, informeras kunden omedelbart, och ärendet rapporteras till IMY inom 72 timmar vid behov.

13. Uppdateringar av policyn

Lobba förbehåller sig rätten att uppdatera denna policy vid behov. Vid väsentliga ändringar informeras våra kunder via e-post eller plattformen.

14. Externa tjänster och OAuth-behörigheter

Lobba integrerar med externa tjänster (Google och Microsoft) för att förbättra användarupplevelsen. Vi använder följande OAuth-scopes och behandlar användardata enligt nedanstående principer:

Externa tjänster vi har tillgång till:

Google-tjänster:

  • Gmail-åtkomst (gmail.send): Vi får behörighet att skicka e-post från ditt Gmail-konto endast när du aktivt väljer funktionen "skicka mail" för att kontakta politiker angående möten.
  • Kalender-åtkomst (calendar.events): Vi får behörighet att skapa och läsa kalenderhändelser i din Google Kalender när du aktivt väljer funktionen "skicka kalenderinbjudan" för möten som skapas i systemet. Vi läser även kalenderdata för att synkronisera mötesstatuser (accepterat/avböjt) och uppdateringar (tid/plats-ändringar) tillbaka till vårt system.

Microsoft-tjänster:

  • Outlook-åtkomst (Mail.Send): Vi får behörighet att skicka e-post från ditt Outlook-konto endast när du aktivt väljer funktionen "skicka mail" för att kontakta politiker.
  • Kalender-åtkomst (Calendars.ReadWrite.Shared): Vi får behörighet att skapa och läsa kalenderhändelser i din Outlook/Exchange-kalender när du aktivt väljer att skicka kalenderinbjudan från systemet. Vi läser även kalenderdata för att synkronisera statuser.

Hur vi använder data från externa tjänster:

  • Vi använder e-poståtkomst uteslutande för att skicka e-post å dina vägnar när du uttryckligen begär detta.
  • Vi läser endast kalenderdata för att synkronisera mötesstatuser och uppdateringar för möten som skapats genom vårt system. Vi läser, analyserar eller bearbetar inte innehåll från dina e-postkonton eller annan kalenderdata för andra ändamål än de du uttryckligen har begärt.

Datalagring och delning av data från externa tjänster:

  • Vi lagrar ingen e-postdata från externa tjänster varaktigt i våra system (med undantag för de interaktioner du aktivt väljer att logga i ditt CRM).
  • För kalenderdata lagrar vi endast mötesstatuser och grundläggande mötesuppdateringar (tid, plats, deltagare) för möten som skapats genom vårt system.
  • Vi säljer aldrig användardata från externa tjänster till tredje parter och delar inte datan med tredje part för reklam eller marknadsföring.
  • OAuth-tokens för externa tjänster lagras säkert enbart för att genomföra den begärda åtgärden.

Säkerhet för data från externa tjänster:

  • All kommunikation med externa tjänster sker över krypterade anslutningar (HTTPS/TLS).
  • Vi implementerar starka åtkomstkontroller för alla API-anrop och följer respektive tjänsts säkerhetsriktlinjer för hantering av OAuth-tokens.

Dina rättigheter gällande data från externa tjänster:

  • Du kan när som helst återkalla Lobbas åtkomst till dina externa tjänster genom respektive tjänsts kontoinställningar (Google eller Microsoft).
  • Du har full kontroll över när och hur vi använder dina externa tjänster genom systemets inställningar.

15. Kontaktinformation

För frågor om denna policy eller Lobbas hantering av personuppgifter, kontakta oss på:

  • E-post: hello@lobba.ai
  • Adress: Lobba CRM AB, ℅ Gustav Wiel-Berggren, Bobergsgatan 77B, 115 48 Stockholm