Klassas mina chattar på CrushOn AI som känsliga personuppgifter?

Ja, ofta. När samtalen rör hälsa, sexualitet eller relationer faller innehållet under GDPR artikel 9. Det kräver uttryckligt samtycke, inte bara ett generellt godkännande av villkoren. Mozilla Foundation noterade i februari 2024 att plattformen behandlar viss hälsorelaterad data.

Kan jag begära att mina uppgifter raderas?

Ja. Enligt GDPR artikel 17 har du rätt till radering inom rimlig tid, vanligtvis 30 dagar. Skicka begäran skriftligt till plattformens support, ange din e-post kopplad till kontot och åberopa specifikt rätten till radering.

Lagras data inom EU eller i USA?

CrushOn AI Corp. är baserat i Bellevue, Washington, så data behandlas sannolikt i USA. Det aktualiserar reglerna om tredjelandsöverföring och kräver lagliga mekanismer som EU-US Data Privacy Framework eller standardavtalsklausuler.

Används mina chattar för att träna AI-modellen?

Det framgår inte tydligt av offentligt tillgängliga källor. Mozilla Foundations granskning från 2024 påpekade brister i transparens. Granska gällande integritetspolicy och leta efter en separat opt-out för modellträning om sådan finns.

Vart vänder jag mig vid klagomål i Sverige?

Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet för GDPR i Sverige. Du kan lämna klagomål via deras webbplats om plattformen inte svarar på din begäran inom rimlig tid eller behandlar uppgifter olagligt.

CrushOn AI dataskydd: så hanteras dina personuppgifter

Vilken data samlas in och varför

I februari 2024 publicerade Mozilla Foundation sin granskning av AI-girlfriend-tjänster, och CrushOn AI fick särskild uppmärksamhet. Personuppgifter på en sådan plattform skiljer sig från ett vanligt socialt nätverk. Innehållet är ofta intimt, och därför klassas det rättsligt annorlunda. CrushOn AI samlar in flera kategorier av data när du skapar ett konto och börjar chatta. Det handlar om kontouppgifter som e-post, betalningsinformation via extern leverantör, teknisk metadata som IP-adress, enhets-ID och webbläsare, samt själva innehållet i konversationerna.

Den sista kategorin är mest känslig. Samtalen rör ofta sexualitet, mental hälsa och relationsmönster. Mozilla Foundation noterade i sin granskning från februari 2024 att plattformen använder hälsorelaterad data för att underlätta chattupplevelsen och övervaka olämpligt innehåll. Det betyder objektivt sett att innehållet läses maskinellt, inte enbart genereras. Skillnaden är viktig juridiskt. När en tjänst behandlar uppgifter om sexliv eller hälsa krävs uttryckligt samtycke enligt GDPR artikel 9, inte bara ett generellt godkännande av villkoren.

Var lagras uppgifterna och vad innebär överföring till USA

CrushOn AI Corp. har sitt säte i Bellevue, Washington. Det innebär att data sannolikt lagras eller behandlas i USA, antingen direkt eller via molnleverantörer. För svenska användare aktualiserar det reglerna om tredjelandsöverföring. Efter Schrems II-domen från 2020 räcker det inte längre med standardavtalsklausuler. Plattformen behöver också visa att amerikansk lag inte underminerar skyddet i praktiken. EU-US Data Privacy Framework trädde i kraft i juli 2023 och löser delar av problemet, men endast om leverantören är certifierad.

Var datan fysiskt befinner sig spelar roll vid en begäran om radering. En europeisk användare har rätt att få sina uppgifter borttagna inom 30 dagar enligt artikel 17, men i praktiken kan processen ta längre tid när datan ligger på servrar utanför EU. En datadriven utvärdering bör därför inkludera hur snabbt plattformen faktiskt svarar på en raderingsbegäran, inte bara vad villkoren utlovar. Du kan läsa mer i min separata analys av CrushOn AI och GDPR.

Samtycke, samtyckesnivåer och rättigheter

GDPR kräver att samtycke är frivilligt, specifikt, informerat och otvetydigt. På en AI-girlfriend-plattform är detta särskilt komplext. När du registrerar dig godkänner du oftast en lång integritetspolicy. Det räcker inte automatiskt för känslig data. Etisk hantering kräver separata samtyckesrutor för exempelvis träningsanvändning av dina chattar, marknadsföring och delning med tredje part.

Som svensk användare har du följande rättigheter du faktiskt kan utöva: tillgång till en kopia av dina uppgifter, rättelse av felaktig information, radering, begränsning av behandling, dataportabilitet och rätt att invända. Du har också rätt att klaga hos Integritetsskyddsmyndigheten (IMY) om plattformen inte svarar inom rimlig tid. Praktisk erfarenhet visar att begäran via e-post till supporten oftast räcker, men kräver att du tydligt anger vilken rättighet du åberopar och bifogar identifikation kopplad till kontot.

Tredje part: AI-leverantörer och annonsnätverk

Få plattformar bygger sina språkmodeller från grunden. Många använder API:er från större leverantörer som OpenAI, Anthropic eller open source-modeller som körs i moln som AWS och Azure. Det innebär att dina meddelanden potentiellt passerar flera juridiska personer innan ett svar genereras. Varje länk i kedjan måste vara reglerad i ett personuppgiftsbiträdesavtal.

Under en föreläsning i Stockholm den 14 februari diskuterade jag med ett trettiotal besökare varför AI-girlfriend-appar växer så snabbt i Sverige. Jag hade förberett siffror från Sensor Tower som visade att nedladdningarna ökat med över 200 procent globalt sedan 2022. Det som överraskade mig var att deltagarna i åldern 45 till 60 ställde de flesta frågorna om etisk design och emotionell påverkan. Mitt intryck efter kvällen var att den svenska debatten ofta fastnar i stereotyper istället för i de faktiska användarmönstren och i frågor om transparens kring datadelning.

Säkerhet i transit och vila

Teknisk säkerhet handlar om två lager. Data i transit skyddas normalt med TLS 1.2 eller 1.3, vilket är branschstandard. Data i vila krypteras vanligtvis med AES-256 på serversidan. Bägge är nödvändiga men inte tillräckliga. Nyckelhantering är minst lika viktigt. Om plattformen själv har tillgång till krypteringsnycklarna kan personalen i teorin läsa innehållet. End-to-end-kryptering är ovanligt inom AI-chatt, eftersom modellen behöver läsa texten för att svara.

Det är värt att granska om plattformen publicerar en sårbarhetspolicy eller har externa säkerhetsrevisioner. CrushOn AI tillhandahåller inte offentligt en SOC 2-rapport enligt de källor som finns tillgängliga, vilket gör objektiv verifiering svår. Min praktiska rekommendation finns i guiden om CrushOn AI och säkerhet, där jag går igenom konkreta inställningar steg för steg.

Praktiska steg för att minska din exponering

Du kan göra mycket själv för att begränsa hur mycket personuppgifter du lämnar ifrån dig. Skapa kontot med en separat e-postadress som inte är kopplad till ditt riktiga namn. Använd pseudonym i profilen. Undvik att nämna efternamn, adress, arbetsplats eller specifika datum i chatten. Stäng av röstinspelning om du inte aktivt använder funktionen, eftersom röstdata är biometriskt och därmed extra känsligt.

Granska betalningsmetoden. Förbetalda kort eller virtuella engångskort minskar kopplingen mellan ditt bankkonto och tjänsten. Läs igenom villkoren minst en gång per halvår, eftersom AI-bolag ofta uppdaterar sina policyer i takt med nya produktfunktioner. Om du vill jämföra hur ekosystemet ser ut i andra länder publicerar systersajten CrushOn AI Polen liknande analyser ur ett polskt regulatoriskt perspektiv.

Vad du bör kräva av plattformen

Skicka en konkret begäran redan i veckan: be supporten om en kopia av dina uppgifter, en lista över tredjepartsmottagare och en bekräftelse på lagringstid. Får du inte svar inom 30 dagar, lämna in ett klagomål till IMY via deras webbformulär. Håll också koll på hur EU:s AI Act fasas in stegvis fram till 2027, eftersom transparensreglerna börjar gälla även för AI-companions trots att de inte klassas som högrisksystem. Vilken av dina fyra grundläggande frågor (vad samlas in, hur länge, vem delas det med, hur tar du bort det) skulle du ställa först?

CrushOn AI dataskydd: en analys av hur dina personuppgifter hanteras