1. Personuppgiftsansvarig

Personuppgiftsansvarig för behandlingen av dina personuppgifter är Aurolabs AB, org.nr 559521-3498, med e-postadress hej@matagenten.se.

2. Vilka uppgifter vi samlar in

MatAgenten samlar in den information du anger vid registrering och användning av tjänsten:

• Namn och e-postadress
• Inloggning via lösenordsfri engångskod (7 tecken, giltig i 10 minuter, hashad med bcrypt)
• Hushållsstorlek, matbudget, portioner per vecka och leveransfrekvens
• Allergier, kostpreferenser och matpreferenser (gillar/gillar inte)
• Vald butik (Willys, Hemköp, Coop eller ICA)
• Butikskonto-uppgifter — se avsnitt 6 nedan
• Genererade veckomenyer, recept, receptalternativ och inköpslistor
• Supportkonversationer och feedbacksvar (om du kontaktar oss via appen)
• Annonsvisningar: vilken annons som visades, visningstid och om du klickade (kopplat till en tillfällig sessions-ID, ej till dig personligen)
• Teknisk data: IP-adress (anonymiserad), tidsstämplar, enhetstyp och händelselogg
• Betaluppgifter hanteras av Stripe — vi lagrar aldrig kortnummer

Rättslig grund: Behandlingen sker med stöd av GDPR artikel 6.1(b) (fullgörande av avtal — du registrerar dig för att använda tjänsten) och artikel 6.1(f) (berättigat intresse — säkerhet, missbruksskydd, tjänsteförbättring).

3. Hur vi använder dina uppgifter

Dina uppgifter används för att:

• Skapa personliga veckomenyer baserade på dina preferenser, allergier och budget
• Generera recept med alternativa förslag du kan bläddra mellan
• Generera inköpslistor anpassade efter aktuella erbjudanden
• Spara varor till din lista hos din valda butik (om du kopplat ditt butikskonto)
• Hantera din prenumeration och betalningar via Stripe
• Skicka e-postnotiser om nya menyer och inköpslistor
• Ge dig AI-baserad support via vår chattfunktion
• Samla in feedback för att förbättra tjänsten
• Skydda tjänsten mot missbruk (rate limiting, replay-skydd)

Vi säljer aldrig dina uppgifter till tredje part.

4. AI och databehandling

Vi använder OpenAI:s API för att generera recept, inköpslistor och supportsvar. Följande skickas som kontext till AI-modellen:

• Allergier, kostpreferenser och matpreferenser
• Budget per person per dag och hushållsstorlek
• Aktuella erbjudanden från din valda butik
• Supporthistorik (vid supportchatt — aldrig personuppgifter)

Inga personuppgifter som namn, e-post, lösenord eller butiksinlogg delas med AI-leverantören. OpenAI:s datapolicy garanterar att API-data inte används för att träna deras modeller.

5. Support och feedback

MatAgenten erbjuder en AI-driven supportchatt och ber dig ibland om feedback:

• Supportmeddelanden lagras kopplat till ditt konto för att ge kontextuella svar
• Eskalerade ärenden kan läsas av vår personal (Aurolabs AB)
• Feedbacksvar lagras anonymiserat (kopplat till ditt konto) för att förbättra tjänsten
• Du kan stänga en supportkonversation när som helst

6. Butikskonto — kryptering och säkerhet

Om du kopplar ditt butikskonto (t.ex. Willys, Hemköp) lagras dina inloggningsuppgifter krypterade med AES-256-GCM — samma krypteringsstandard som banker och myndigheter använder.

MatAgenten använder dina butiksinloggningar enbart för att spara varor till din inköpslista hos butiken. Du bekräftar alltid själv innan något sparas. Vi genomför aldrig ett köp utan ditt aktiva godkännande.

Du kan när som helst ta bort dina sparade butiksinloggningar via inställningarna i appen. Vid borttag raderas de krypterade uppgifterna permanent.

7. Vad händer vid ett dataintrång?

Vi tar säkerhet på allvar, men vill vara transparenta med risker:

• Om databasen läcker: Inga lösenord lagras — vi använder lösenordsfri inloggning via engångskod. Butikslösenord är krypterade med AES-256-GCM och är oläsliga utan krypteringsnyckeln, som lagras separat.
• Om hela servern komprometteras: En angripare som får tillgång till både databasen och krypteringsnyckeln kan teoretiskt dekryptera butikslösenord. Vi minimerar denna risk genom att begränsa åtkomst, övervaka servern och planera migrering till HSM-baserad nyckelhantering.

Vid ett bekräftat dataintrång meddelar vi berörda användare och Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR artikel 33.

8. Betalning och Stripe

Prenumerationer hanteras av Stripe. Vi lagrar ditt Stripe-kund-ID och prenumerationsstatus, men aldrig dina kortuppgifter. Du kan hantera din prenumeration, se kvitton och avsluta när som helst via inställningarna i appen.

• Vid misslyckad betalning försöker Stripe automatiskt igen upp till 3 gånger under 3 veckor.
• Om ingen betalning lyckas avslutas din prenumeration automatiskt.
• Du kan när som helst uppdatera din betalningsmetod via inställningarna.

9. Lagring och säkerhet

• All data lagras på servrar inom EU (DigitalOcean, Amsterdam-region)
• Lösenordsfri inloggning via engångskod (7 tecken) som skickas per e-post — giltig i 10 minuter
• Butikslösenord krypteras med AES-256-GCM — se avsnitt 6
• Autentisering via JWT i HttpOnly/Secure/SameSite-cookies
• All trafik krypteras med HTTPS (TLS 1.2+) och HSTS
• Rate limiting och replay-skydd mot brute force och missbruk
• Stripe-webhooks verifieras med kryptografisk signatur
• Säkerhetsheaders: X-Frame-Options, Content-Type-Options, Permissions-Policy

10. Cookies

MatAgenten använder cookies för att:

• Hålla dig inloggad — en nödvändig cookie (HttpOnly, Secure) som krävs för att tjänsten ska fungera
• Spara ditt cookie-val — så vi vet vad du godkänt
• Anonym trafikanalys — via Google Analytics, laddas bara om du godkänner

Du kan när som helst ändra ditt cookie-val genom att rensa webbläsarens cookies — bannern visas då igen vid nästa besök.

11. Datalagring och radering

Vi behåller dina uppgifter så länge du har ett aktivt konto. Vid kontoborttagning:

• Alla personuppgifter raderas permanent inom 30 dagar
• Butiksinloggningar raderas omedelbart
• Supportkonversationer anonymiseras
• Feedbacksvar anonymiseras (behålls för statistik utan koppling till dig)
• Stripe-data hanteras enligt Stripes retentionspolicy

Händelseloggar (anonymiserade) kan behållas upp till 12 månader för säkerhets- och felsökningsändamål.

12. Allergier och hälsoinformation

13. Tredjeparter

Vi delar data med följande tjänster, enbart i den utsträckning som krävs:

• OpenAI — receptgenerering och supportsvar (anonymiserad matprofil, inga personuppgifter). Data används ej för modellträning.
• Stripe — betalningshantering. Stripe är PCI DSS Level 1-certifierad.
• Resend — e-postutskick (din e-postadress och namn). EU-baserad behandling.
• Google Analytics — anonym trafikanalys (villkorat ditt samtycke).
• Willys / Hemköp / Coop / City Gross — varukorgshantering (ditt butikskonto-ID, krypterade inloggningsuppgifter dekrypteras tillfälligt vid varje synkronisering).
• DigitalOcean — serverhosting inom EU.

Ingen tredje part får tillgång till mer data än vad som krävs för att utföra sin specifika funktion.

14. Dina rättigheter enligt GDPR

Enligt EU:s dataskyddsförordning (GDPR) har du rätt att:

• Få tillgång till alla personuppgifter vi har om dig (artikel 15)
• Rätta felaktiga uppgifter (artikel 16)
• Radera ditt konto och alla uppgifter — “rätten att bli glömd” (artikel 17)
• Exportera dina uppgifter i maskinläsbart format — dataportabilitet (artikel 20)
• Begränsa behandlingen av dina uppgifter (artikel 18)
• Invända mot behandling som inte är nödvändig för tjänsten (artikel 21)
• Klaga till Integritetsskyddsmyndigheten (IMY) om du anser att vi bryter mot GDPR

Kontakta oss på hej@matagenten.se så hanterar vi din begäran inom 30 dagar.

15. Tjänstebeskrivning

MatAgenten är en AI-driven tjänst som:

• Genererar veckomenyer gratis på startsidan — utan konto eller registrering
• Genererar personliga veckomenyer med recept baserade på dina preferenser (Pro)
• Skapar inköpslistor anpassade efter aktuella erbjudanden i svenska matbutiker
• Sparar varor till din inköpslista hos din valda butik (valfritt, Pro)
• Erbjuder receptalternativ du kan bläddra mellan utan extra kostnad
• Ger AI-baserad support för frågor om tjänsten

Tjänsten erbjuds “i befintligt skick” (as is). Vi strävar efter hög tillgänglighet men garanterar inte att tjänsten är felfri eller alltid tillgänglig.

16. Konto och registrering

• Du måste vara minst 18 år för att skapa ett konto
• Du ansvarar för att hålla din e-postadress säker — den används för inloggning
• Ett konto per person — dela inte ditt konto med andra
• Vi förbehåller oss rätten att neka eller avsluta konton som missbrukar tjänsten

17. Prenumeration och betalning

MatAgenten erbjuder två kontotyper:

• Gratis — 3 recept per vecka (1 meny), veckans erbjudanden, inga receptbilder, ingen butikskoppling, inga inköpslistor
• Pro (99 kr/mån inkl. moms) — obegränsade menyer, receptbilder, butikskoppling, inköpslistor, matlådor, e-postnotiser

• Nya Pro-konton får 14 dagars kostnadsfri provperiod
• Pro-prenumerationen förnyas automatiskt varje månad tills du säger upp den
• Du kan avsluta din prenumeration när som helst via inställningarna — du behåller tillgången till periodens slut
• Vid avslutad prenumeration nedgraderas kontot till Gratis
• Återbetalning sker inte för påbörjade perioder, om inte annat krävs enligt lag
• Vid referral-bonusar förlängs din period med gratisdagar — detta påverkar inte ditt pris

18. Användningsgränser

Gratis-konto:

• Max 1 meny per vecka (3 recept)
• Inga receptbilder
• Ingen butikskoppling eller inköpslistor
• Inga matlådor

Pro-konto:

• Max 2 nya veckomenyer per vecka
• Max 2 individuella receptbyten per vecka
• Bläddring mellan redan genererade alternativ är obegränsat
• Vi förbehåller oss rätten att justera gränserna vid behov

19. Godtagbar användning

Du förbinder dig att inte:

• Använda tjänsten för olagliga ändamål
• Försöka kringgå tekniska begränsningar eller säkerhetsfunktioner
• Automatisera åtkomst till tjänsten (bots, scraping) utan skriftligt tillstånd
• Dela ditt konto eller dina inloggningsuppgifter med andra
• Publicera AI-genererade recept som dina egna i kommersiellt syfte

20. Ansvarsbegränsning

Aurolabs AB ansvarar inte för:

• Felaktiga recept eller kostråd från AI-modellen
• Allergiska reaktioner — se avsnitt 12
• Priser, tillgänglighet eller innehåll i produkter hos butiker
• Störningar eller avbrott i tjänsten
• Förlust av data vid tekniska problem (vi tar regelbundna backups)
• Tredjepartstjänsters tillgänglighet (Stripe, butiker, OpenAI)

Vårt totala ansvar är begränsat till det belopp du betalat för tjänsten under de senaste 3 månaderna.

21. Tillfälliga tjänsteavbrott

Vi strävar efter att hålla MatAgenten tillgänglig dygnet runt, men tjänsten kan tillfälligt vara helt eller delvis otillgänglig vid:

• Planerat underhåll, systemuppdateringar eller infrastrukturmigreringar
• Implementation av nya funktioner eller förbättringar av användarupplevelsen
• Oväntad överbelastning eller kapacitetsanpassningar
• Tekniska incidenter hos oss eller våra underleverantörer

Under ett tillfälligt avbrott kan du inte generera nya menyer, inköpslistor eller använda butikskopplingar. Befintliga recept och data påverkas inte och finns kvar när tjänsten återupptas. Vi meddelar vid planerade avbrott via e-post eller i appen när det är möjligt.

Tillfälliga avbrott berättigar inte till återbetalning, prisavdrag eller kompensation, oavsett avbrottets längd eller orsak. Din prenumerationsperiod förlängs inte till följd av avbrott. Vid längre oplanerade avbrott (mer än 7 sammanhängande dagar) kan du avsluta din prenumeration med omedelbar verkan genom att kontakta oss.

22. Immateriella rättigheter

MatAgenten, dess design, kod och varumärke tillhör Aurolabs AB. AI-genererade recept som skapas för dig får användas fritt för personligt bruk. Offentliga recept i vår receptbank får delas med hänvisning till MatAgenten.

23. Ändringar av villkor

Vi kan uppdatera denna policy och dessa villkor. Vid väsentliga ändringar meddelar vi dig via e-post minst 30 dagar i förväg. Datum för senaste uppdatering anges ovan. Fortsatt användning av tjänsten efter ändring innebär godkännande av de nya villkoren.

24. Tillämplig lag

Dessa villkor regleras av svensk lag. Tvister avgörs av svensk allmän domstol med Stockholms tingsrätt som första instans, om inte tvingande konsumentlagstiftning ger dig rätt att välja annan domstol.