Vad gör SOWA Privacy?

SOWA Privacy är ett Chrome-tillägg som identifierar och ersätter känsliga uppgifter i AI-prompter lokalt – i din webbläsare – innan prompten når ChatGPT, Claude, Gemini eller något annat AI-verktyg.

Är SOWA Privacy gratis?

Ja. Starter-planen är gratis för alltid och inkluderar 30+ regexmönster, grundläggande NER-detektering och TXT-filsökning. Pro (4,99 EUR per månad), Business (7,99 EUR per användare och månad) och Enterprise (anpassat) låser upp ytterligare funktioner.

Vilka AI-verktyg fungerar SOWA Privacy med?

SOWA Privacy fungerar med ChatGPT, Claude, Gemini, Microsoft Copilot, Grok, Perplexity, HuggingFace Chat och vilket som helst egenhostat OpenAI-kompatibelt gränssnitt.

Är SOWA Privacy GDPR-kompatibelt?

SOWA Privacy är utformat för GDPR-efterlevnad. All detektering sker lokalt i webbläsaren, ingen promptdata överförs till SOWA:s servrar och källkoden är öppen källkod under MIT-licens för fullständig revisionsmöjlighet.

Skickar SOWA Privacy mina uppgifter till någon server?

Nej. Detekteringen sker helt i din webbläsare med hjälp av lokal regex, ONNX-baserade NER-modeller och valfritt lokala LLM:er. Endast prompten med ersatta platshållare vidarebefordras till den AI-leverantör du väljer.

Integritetspolicy

Hur SOWA Privacy hanterar dina uppgifter – spoiler: de stannar på din enhet.

SOWA Privacy – Secure Online Watcher for Anonymity
Webbläsartillägg för Chrome och Microsoft Edge, samt webbplatsen sowaprivacy.ai (och sowaprivacy.ai) där du kan skapa ett konto och starta en betald prenumeration.
Senast uppdaterad: 26 maj 2026

1. Inledning & tillämpningsområde

SOWA Privacy ("vi", "oss", "vår") skyddar dina personuppgifter när du använder AI-chattbotar som ChatGPT, Claude, Gemini, Copilot och Grok. Produkten är uppdelad i två ytor, och båda omfattas av denna integritetspolicy:

Webbläsartillägget. Detektering och anonymisering av personuppgifter i dina prompter. Körs helt i din webbläsare. Den kostnadsfria Starter-nivån fungerar utan konto.
Webbplatsen på sowaprivacy.ai / sowaprivacy.ai. Kontoregistrering, prenumerationshantering, kontakt- och säljformulär samt marknadsföringssidor. Krävs endast om du väljer att starta en betald prenumeration, hantera en organisation eller kontakta vårt team.

Vår grundläggande princip är dataminimering: allt som kan stanna på din enhet gör det. Innehållet i dina AI-konversationer och de personuppgifter som tillägget identifierar i dem når aldrig våra servrar. Detta gäller oavsett om du har en betald prenumeration eller inte.

SOWA Privacy utvecklas av SOWA Privacy (registrering pågår). Vår källkod är offentligt tillgänglig på github.com/Sowa-Privacy, så alla påståenden i denna policy kan oberoende verifieras mot koden.

2. Uppgifter som behandlas i webbläsartillägget

2.1 Detektering av personuppgifter (enbart lokalt)

SOWA Privacy söker igenom text du skriver i AI-chattbotgränssnitt för att identifiera personuppgifter – namn, e-postadresser, telefonnummer, ID-nummer, inloggningsuppgifter, finansiella identifierare och annan känslig information. Denna detektering sker helt och hållet i din webbläsare. Ingen text – varken originalet eller den anonymiserade versionen – skickas till SOWA Privacy eller någon server vi driver.

2.2 Ingen insamling av AI-konversationer

Innehållet i dina AI-konversationer och eventuella personuppgifter som tillägget identifierar lämnar aldrig din enhet. Vi samlar inte in, överför, lagrar eller behandlar dem på någon server. Tillägget innehåller ingen analys, telemetri, spårningspixlar eller fingeravtryckstagning.

2.3 Uppgifter som lagras lokalt av tillägget

Tillägget använder din webbläsares lokala lagring (chrome.storage.local och chrome.storage.session) för att spara:

Inställningar och preferenser – detekteringskategorier, språk, tema, webbplatsregler, anpassade regex- / vitliste- / svartlisteposter.
Anonymiseringsordlista – mappningen mellan originalvärden och deras platshållare, så att AI-svar kan de-anonymiseras på din skärm.
Granskningslogg – ett SHA-256-kedjeformat register över vad som identifierades, när och på vilken webbplats. Lagras enbart på din enhet. Du kan exportera det (JSON/CSV) eller rensa det från granskningssidan.
Sessionstoken och cachelagrade rättigheter (endast om inloggad) – den JWT som utfärdats av Supabase Auth plus det senaste svaret från /api/entitlements/me. Används för att hålla betalda funktioner upplåsta offline.

Du kan radera alla lokalt lagrade uppgifter när som helst genom att rensa tilläggets lagring i din webbläsare, eller genom att avinstallera tillägget.

3. Uppgifter som behandlas när du skapar ett konto

Att skapa ett SOWA Privacy-konto är valfritt. Den kostnadsfria Starter-nivån fungerar utan konto. Du behöver ett konto bara för att starta en Pro- eller Business-prenumeration, hantera en organisation eller logga in tillägget på en betald plan.

3.1 Registrering och inloggning

När du registrerar dig på sowaprivacy.ai samlar vi in:

E-postadress – används som kontoidentifierare och för transaktionsmail (verifiering, lösenordsåterställning, viktiga kontomeddelanden).
Lösenord – hashat och lagrat av Supabase Auth; aldrig synligt för oss i klartext.
Fullständigt namn (valfritt) – används för att adressera dig i instrumentpanelen och på fakturor.
Standardplan – den nivå som för närvarande är kopplad till ditt konto (Starter / Pro / Business).
Tidsstämpel för kontoskapande – för granskning och livscykelhantering.

Sessioner utfärdas som en JWT av Supabase Auth. JWT:n plus en uppdateringstoken lagras i webbläsarens lagring (webbplats) eller chrome.storage.local (tillägg). Vi sätter inga spårningscookies; de enda cookies på webbplatsen är autentiseringssessionscookien satt av Supabase Auth (nödvändig, förstaparts).

3.2 Organisationsmedlemskap (Business-plan)

Om du är på Business-planen och skapar eller går med i en organisation behandlar vi dessutom:

Organisationsnamn och slug.
Medlemslista – e-postadresser och roller för användare som bjudits in till din organisation.
Väntande inbjudningar – den inbjudna e-postadressen, token som används för att acceptera inbjudan och den inbjudande användaren. Tokens löper ut och raderas när inbjudan accepteras, avböjs eller återkallas.

När du bjuder in en kollega delas deras e-postadress med vårt backend så att vi kan vidarebefordra inbjudan. Den inbjudna personen blir ett självständigt registrerat subjekt under denna policy från det ögonblick de accepterar.

3.3 Rättighetskontroll

Både webbplatsen och tillägget anropar /api/entitlements/me för att ta reda på vilka funktioner som är upplåsta för din plan. Svaret innehåller endast funktionsflaggor och din plannivå – det innehåller inte promptinnehåll, granskningsdata eller personuppgifter utöver ditt eget användar-ID. Tillägget cachelagrar svaret i upp till 60 minuter (uppdateras via chrome.alarms) så att det fortsätter fungera offline.

3.4 Ansluta tillägget till ditt konto

När du klickar "Logga in" i tilläggets popup öppnar Chrome:s chrome.identity.launchWebAuthFlow ett fönster på sowaprivacy.ai/auth/extension-connect. Efter autentisering returnerar webbplatsen en kortlivad överlämningstoken, som tillägget byter mot en Supabase-session via /api/extension/handoff/exchange. Token är engångsbruk och löper ut inom minuter.

4. Fakturering (Stripe)

När du startar en betald Pro- eller Business-prenumeration hanteras faktureringen av Stripe. Uppgiftsfördelningen är:

Stripe tar emot direkt: dina kortuppgifter, faktureringsnamn, faktureringsadress, land och eventuella skatteidentifierare du anger. Vi ser eller lagrar aldrig fullständiga kortnummer – Stripe Checkout samlar in dem i en iframe servad från stripe.com.
Vi tar emot från Stripe (via webhook): ditt Stripe-kund-ID, prenumerations-ID, plannivå, faktureringscykel (månadsvis/årsvis), provperiodsstatus, prenumerationstillstånd (aktiv / provperiod / försenad betalning / avbruten) samt fakturaMetadata (belopp, valuta, status, URL till hostad faktura). Vi lagrar dessa på ditt konto i Supabase så att vi kan visa rätt tillstånd på faktureringssidan.
14-dagars provperiod: nya Pro- och Business-prenumerationer inkluderar en 14-dagars provperiod. Inget kort krävs för att starta; om du inte lägger till en betalningsmetod innan provperioden löper ut pausas prenumerationen automatiskt.
Stripe webhook-händelselogg: vi registrerar inkommande Stripe-händelser (checkout.session.completed, customer.subscription.*, invoice.payment_*) för att göra webhook-leverans idempotent. Loggen innehåller Stripe-händelse-ID och tidsstämpel; inga kortuppgifter ingår.
Självbetjäningsfaktureringsportal: när du klickar "Hantera prenumeration" på faktureringssidan öppnar vi Stripes hostade faktureringsportal. Där kan du uppdatera din betalningsmetod, byta plan, ladda ner fakturor eller avbryta – allt direkt med Stripe.

5. Kontakt- och säljformulär

5.1 Kontaktformulär (contact.html)

När du skickar formuläret på kontaktsidan skickas de uppgifter du anger (namn, e-post, valfritt företag, valfritt telefon, intresseområde, meddelande) via Resend till en av våra avdelningsinkorgar baserat på det ämne du väljer:

Allmänt → info@sowaprivacy.ai
Support → support@sowaprivacy.ai
Säkerhet → security@sowaprivacy.ai
Feedback → feedback@sowaprivacy.ai

E-postmeddelandet skickas från no-reply@sowaprivacy.ai, med din e-postadress angiven som Svara-till, så att vi kan svara direkt. Resend behandlar meddelandet enbart för leverans och lagrar inga marknadsföringsprofiler. Se Resends integritetspolicy.

5.2 Sälj-/förfrågningsformulär (sales.html)

När du skickar formuläret på säljsidan vidarebefordras de uppgifter du anger (namn, e-post, företag, meddelande) till HubSpot via HubSpot Forms API i EU-regionen. Vi använder HubSpot som vårt CRM för att spåra inkommande säljförfrågningar.

Om HubSpots spårningscookie (hubspotutk) finns i din webbläsare när du skickar formuläret, skickas dess värde med så att HubSpot kan koppla inskicket till befintlig analys. Vi laddar inte HubSpots spårningsskript på vår marknadsföringsplats, så vi sätter inga HubSpot-cookies själva. Se avsnitt 13 för mer information.

6. AI API-leverantörer (användarinitierat, enbart tillägg)

När du använder tilläggets inbyggda AI-chattproxy skickas den anonymiserade texten – med dina personuppgifter redan ersatta av platshållare – till den AI API-leverantör du väljer. Detta sker bara när du aktivt utlöser det. Stödda slutpunkter:

OpenAI API (api.openai.com)
OpenRouter (openrouter.ai)
Fireworks AI (api.fireworks.ai)
Mistral AI (mistral.ai)

Begäran går från din webbläsare direkt till den valda leverantören, autentiserad med din egen API-nyckel, som lagras enbart i chrome.storage.local. Vi ser varken dina API-nycklar eller förfrågningarna. Den leverantörs integritetspolicy du väljer styr vad de gör med den anonymiserade text de tar emot.

7. Nedladdning av lokala AI-modeller

Om du väljer att aktivera NER eller lokal LLM-detektering i tilläggets inställningar laddas nödvändiga modellfiler ned från:

HuggingFace (huggingface.co) – modeller för namngiven entitetsigenkänning (~65 MB).
GitHub (raw.githubusercontent.com) – tilläggsresurser och WebLLM-modellfiler.
WebLLM CDN – lokala LLM-modellvikter (~200 MB) när Power Mode är aktiverat.

Dessa är standard HTTPS GET-förfrågningar. Inga personuppgifter skickas utöver vad varje HTTP-förfrågan inkluderar (din IP-adress). Inferens körs helt på din enhet via WebAssembly (ONNX Runtime) och WebGPU (WebLLM).

8. Underbiträden

De tredjepartstjänster vi förlitar oss på för att driva webbplatsen listas nedan. Var och en hanterar ett specifikt dataomfång och styrs av sina egna villkor för databehandling.

Underbiträde	Ändamål	Region
Supabase	Kontoautentisering, profiler, organisationer, rättigheter, prenumerationstabell. Integritetspolicy.	EU (Frankfurt)
Stripe	Betalningshantering, prenumerationshantering, faktureringsportal, fakturor. Integritetspolicy.	USA / globalt; EU SCC:er på plats
Resend	Transaktionell e-postleverans för kontaktformulärsmeddelanden, dirigerade efter ämne till våra info / support / säkerhet / feedback-inkorgar. Integritetspolicy.	USA (Delaware); EU SCC:er på plats
HubSpot	CRM för säljformulärsinskick och inkommande säljförfrågningar. Integritetspolicy.	EU (Frankfurt)
Vercel	Hosting av marknadsföringsplatsen och serverlöst API. Behandlar HTTP-trafik (IP-adress, user agent) för routing och driftloggar. Integritetspolicy.	EU-kant; USA-infrastruktur med EU SCC:er
PostHog	Integritetsvänlig produktanalys för marknadsföringsplatsen – sidvisningar och aggregerade interaktioner. Samtyckesstyrd: laddas bara efter att du tackat ja. Ingen sessionsuppspelning. Integritetspolicy.	EU (Frankfurt)
HuggingFace	Statisk leverans av NER-modellfiler. Endast opt-in.	Globalt CDN
GitHub	Källkodsrepositorium; statisk leverans av WebLLM-modellresurser. Endast opt-in.	USA

Vi säljer, hyr ut eller delar inte dina uppgifter med någon utanför listan ovan. Vi driver inget annonsnätverk och inget sessionsuppspelningsverktyg. Den enda beteendeanalysen är PostHog, som är avaktiverad som standard och laddas på marknadsföringsplatsen enbart efter att du tackat ja via samtyckesbanderollen – och aldrig inuti webbläsartillägget.

9. Rättsliga grunder (GDPR artikel 6)

Fullgörande av avtal (art. 6.1 b) – för att tillhandahålla tillägget och de konto-/faktureringsfunktioner du aktivt använder: registrering, inloggning, rättighetskontroll, prenumerationshantering, fakturor.
Rättslig förpliktelse (art. 6.1 c) – för att bevara faktura- och skatterelevanta uppgifter under de perioder som krävs enligt tillämplig bokförings- och skattelagstiftning.
Berättigat intresse (art. 6.1 f) – för att hålla tjänsten säker (driftloggar, hastighetsbegränsning, webhook-signaturverifiering) och för att svara på kontaktformulärmeddelanden.
Samtycke (art. 6.1 a) – för produktanalys på marknadsföringsplatsen (PostHog), och för valfria komponenter som laddar ned en tredjepartsmodell vid första användning (NER, lokal LLM). Analys är avaktiverad tills du accepterar samtyckesbanderollen; du kan dra tillbaka ditt samtycke när som helst (se avsnitt 13). De lokala modellfilerna kan raderas från tillägget när som helst.

10. Lagring

Hur länge varje typ av uppgifter bevaras:

Lokalt lagrade tilläggsdata (inställningar, ordlista, granskningslogg, cachelagrad session) – bevaras på din enhet tills du rensar dem eller avinstallerar tillägget. Vi har ingen kopia på våra servrar.
Kontoprofil (e-post, hashat lösenord, namn, plan) – bevaras medan ditt konto är aktivt. Raderas inom 30 dagar efter en begäran om kontoborttagning, utom för fält som måste bevaras av fakturerings- eller rättsliga skäl (se nedan).
Organisationsmedlemskap och inbjudningstokens – bevaras medan organisationen existerar. Inbjudningstokens raderas när de accepteras, avböjs, återkallas eller löper ut.
Stripe-faktureringsdata på vår sida (kund-ID, prenumerationstillstånd, planhistorik) – bevaras medan prenumerationen är aktiv och under den period som krävs enligt tillämplig bokförings- och skattelagstiftning (vanligtvis 10 år i EU, 7 år i vissa jurisdiktioner). Kortuppgifter lagras inte på vår sida vid något tillfälle.
Fakturor – samma som ovan. Tillgängliga för dig i Stripes faktureringsportal under samma period.
Stripe webhook-händelselogg – bevaras på obestämd tid för idempotens och granskning, men innehåller enbart Stripe-händelse-ID och tidsstämplar, inga kortuppgifter.
Kontaktformulärsmejl (Resend) – meddelandet levereras transiänt via Resend; Resends egna leveransloggar bevaras enligt dess policy (typiskt upp till 30 dagar). Vi bevarar ingen separat kopia på våra servrar.
Säljformulärsinskick i HubSpot – bevaras i upp till 24 månader från senaste kontakt, såvida vi inte har en aktiv affärsrelation med dig; i så fall tillämpar vi samma bevaringstid som för kontodata. Du kan be oss radera din HubSpot-post tidigare.
Serversidans driftloggar (Vercel / Supabase) – IP-adresser, begäranssökvägar och tidsstämplar i kortfristiga driftloggar bevaras enligt varje leverantörs egna bevaringspolicy, vanligtvis 7–30 dagar. De innehåller inget AI-promptinnehåll och inga personuppgifter som tillägget identifierade åt dig.

När du raderar ditt konto anonymiserar vi uppgifter vi måste bevara av rättsliga skäl (t.ex. fakturor) och raderar allt annat.

11. Internationella dataöverföringar

Supabase, HubSpot och Vercel-kantnätverket betjänar primärt EU-användare från EU-datacenter. Stripe, Resend och GitHub har sitt säte i USA; överföringar till dem täcks av Europeiska kommissionens standardavtalsklausuler och, i tillämpliga fall, EU–US Data Privacy Framework. HuggingFace levererar modellfiler från ett globalt CDN; modellnedladdningar är statiska HTTPS GET-förfrågningar utan personuppgifter.

12. Webbläsarbehörigheter

Tillägget begär följande Chrome-behörigheter. Vi listar var och en och varför den behövs:

activeTab – för att komma åt innehållet i den aktiva fliken för PII-detektering i textfält.
storage – för att spara inställningar, anonymiseringsordlista och (om inloggad) din session och rättigheter lokalt.
tabs – för att identifiera vilken AI-chattbotwebbplats du befinner dig på och för att hantera tilläggets gränssnitt över flikar.
contextMenus – för att erbjuda högerklicksalternativ för snabb anonymisering, vitlistning och svartlistning.
sidePanel – för att visa tilläggets sidopanelgränssnitt.
windows – för att hantera popup- och panelfönster.
offscreen – för att köra NER-inferens i ett isolerat sammanhang som värdsidan inte kan se eller anropa.
identity – för att logga in tillägget på ditt SOWA Privacy-konto via chrome.identity.launchWebAuthFlow. Används enbart när du klickar "Logga in".
alarms – för att uppdatera dina rättigheter en gång i timmen så att planändringar gäller även när du inte aktivt använder tillägget.

Innehållsskriptet körs på <all_urls>, men detektering och Privacy Owl aktiveras enbart på de sju AI-chattdomänerna i standardintegrationslistan (ChatGPT, OpenAI, Claude, Gemini, Copilot, Grok, x.ai). Du kan lägga till eller ta bort webbplatser under Inställningar → Webbplatser & Integritet.

13. Cookies och lokal lagring

Tillägget lagrar ingenting i cookies – enbart i chrome.storage.local och chrome.storage.session.
Marknadsföringswebbplatsen sätter en liten sowa-theme-post i localStorage för att komma ihåg ditt mörkt/ljust-val, och en sowa-analytics-consent-post för att komma ihåg ditt analysval. Ingen av dem är en spårningscookie.
Instrumentpanelen (konto-, fakturerings- och inställningssidor) sätter en nödvändig, förstaparts autentiseringscookie via Supabase Auth så att din session överlever sidomladdningar. Denna cookie är strikt nödvändig för tjänsten och används inte för spårning.
PostHog-analys – bara om du accepterar samtyckesbanderollen. När du tackat ja sätter PostHog förstapartscookies / localStorage-poster för att räkna sidvisningar och aggregerade interaktioner på marknadsföringsplatsen. Det är avaktiverat som standard, respekterar automatiskt din webbläsares "Do Not Track"-signal, kör ingen sessionsuppspelning och laddas aldrig inuti tillägget. Du kan ändra dig när som helst – att avböja (eller rensa sowa-analytics-consent-posten) stoppar det och banderollen återkommer vid ditt nästa besök.
HubSpot – vi laddar inte HubSpots klientsidsspårningsskript på marknadsföringsplatsen, så vi sätter inga HubSpot-cookies själva. Om din webbläsare redan har en HubSpot-cookie (hubspotutk) från en annan webbplats kan dess värde vidarebefordras med säljformulärsinskick; att rensa eller blockera den påverkar aldrig din möjlighet att använda tillägget eller ditt konto.

14. Säkerhet

Innehållet i dina AI-konversationer och identifierade PII lämnar aldrig din webbläsare, så dessa uppgifter exponeras inte för någon risk för intrång på serversidan. Dina lokala uppgifter skyddas av din webbläsares och ditt operativsystems egna säkerhetsmodell – håll din webbläsare uppdaterad.

Konto- och faktureringsdata lagras hos våra underbiträden under deras respektive säkerhetsregimer. På vår sida tillämpar vi minsta-privilegium-teknik: säkerhet på radnivå i Supabase-databasen, verifiering av Stripe webhook-signatur, hemligheter lagrade enbart i Vercels krypterade miljövariabler, HTTPS på varje slutpunkt och kortlivade JWT:er med rotationsuppdateringstoken.

15. Dina rättigheter

Enligt GDPR (och motsvarande lagstiftning i andra jurisdiktioner) har du rätt att:

Få tillgång till de personuppgifter vi innehar om dig.
Rätta felaktiga eller ofullständiga uppgifter.
Radera dina uppgifter, med förbehåll för de rättsliga bevaringsskyldigheter som beskrivs i avsnitt 10.
Begränsa behandlingen i vissa situationer.
Invända mot behandling baserad på berättigat intresse.
Dataportabilitet – ta emot en kopia av dina kontouppgifter i ett maskinläsbart format.
Återkalla samtycke när som helst där behandlingen baseras på samtycke.
Lämna in ett klagomål till din lokala tillsynsmyndighet. En lista över EU-myndigheter finns på edpb.europa.eu.

För lokala tilläggsdata utövar du dessa rättigheter direkt: inställningarna visar alla lagrade poster, granskningssidan låter dig exportera och rensa loggen, och avinstallering av tillägget raderar allt. För konto- och faktureringsdata, maila info@sowaprivacy.ai från adressen på kontot, eller använd produktens "Radera konto"-funktion där den är tillgänglig; vi svarar inom 30 dagar.

16. Barn

Tillägget riktar sig inte till barn. Du måste vara minst 16 år (eller den digitala samtyckesåldern i din jurisdiktion) för att skapa ett SOWA Privacy-konto eller starta en prenumeration. Den kostnadsfria Starter-nivån av tillägget behandlar allt lokalt och vi samlar inte medvetet in personuppgifter från någon – inklusive barn – via det.

17. Öppen källkod och transparens

SOWA Privacy är öppen källkod under en källkodstillgänglig licens. Vår fullständiga källkod finns på github.com/Sowa-Privacy. Du – eller vilken säkerhetsforskare som helst – kan granska koden för att verifiera att tillägget fungerar exakt som beskrivs i denna policy. Vi anser att transparens är den starkaste formen av förtroende.

18. Ändringar av denna policy

Vi kan komma att uppdatera denna integritetspolicy från tid till annan. Datumet "Senast uppdaterad" överst på sidan återspeglar den senaste revisionen. Vid väsentliga ändringar meddelar vi dig via instrumentpanelen och, i förekommande fall, via e-post till adressen på ditt konto.

19. Kontakt

För frågor, förfrågningar eller klagomål om denna integritetspolicy, vänligen kontakta oss:

Juridisk enhet och postadress: se vårt Impressum.

Om du inte kan nå en tillfredsställande lösning med oss har du rätt att lämna in ett klagomål till dataskyddstillsynsmyndigheten i ditt bosättningsland.