Hur pålitlig är CrushOn AI ur ett dataskyddsperspektiv?

Plattformen är registrerad i USA och bedömdes av Mozilla Foundation i februari 2024 som problematisk gällande integritet. Den måste följa GDPR för svenska användare, men transparensen kring tredjepartsdelning är begränsad. Behandla tjänsten som du skulle behandla vilken som helst amerikansk konsumenttjänst med åtkomst till känsliga konversationer.

Spåras mina chattar med AI-tjänster?

Ja, chattar loggas regelmässigt för modellförbättring, moderering och rättsliga skyldigheter. Få AI-girlfriend-tjänster erbjuder end-to-end-kryptering, vilket innebär att operatören har teknisk åtkomst till innehållet. Utgå från att texten kan läsas av anställda eller underleverantörer vid behov.

Kan jag kräva att CrushOn AI raderar min chatthistorik?

Ja, enligt artikel 17 i GDPR har du rätt till radering. Skicka en skriftlig begäran till leverantörens supportkanal med tydlig identifiering av kontot. Plattformen ska besvara begäran inom en månad. Vid avslag eller utebliven respons kan du anmäla ärendet till Integritetsskyddsmyndigheten.

Vilka uppgifter bör jag undvika att dela i chattarna?

Undvik fullständigt namn, hemadress, personnummer, hälsouppgifter, betalkortsuppgifter samt detaljer om arbetsplats eller familj som kan identifiera dig. Känsliga uppgifter om sexliv kräver enligt artikel 9 särskilt samtycke och bör hanteras anonymiserat när det är möjligt.

Vart vänder jag mig om CrushOn AI inte svarar på min GDPR-begäran?

Du kan lämna in ett klagomål till Integritetsskyddsmyndigheten, IMY, som är tillsynsmyndighet i Sverige. IMY utreder ärendet och kan utfärda sanktionsavgifter på upp till fyra procent av leverantörens globala omsättning vid konstaterade överträdelser.

CrushOn AI och GDPR: dina rättigheter i Sverige

Den 25 maj 2018 trädde GDPR i kraft, och sedan dess gäller förordningen även när du chattar med en AI-partner från soffan i Sverige. Juridiskt sett pågår en omfattande behandling av personuppgifter i bakgrunden så snart en tjänst riktar sig mot EU-marknaden eller behandlar personuppgifter om personer i unionen. Det gäller även när leverantören, som i fallet med CrushOn AI Corp., är registrerad i delstaten Washington.

Varför GDPR gäller även när servern står utanför EU

Dataskyddsförordningen trädde i kraft 25 maj 2018 och har en så kallad extraterritoriell räckvidd enligt artikel 3. Det innebär att en amerikansk leverantör som erbjuder tjänster till personer i Sverige måste följa förordningen, oavsett var datacentret fysiskt befinner sig. CrushOn AI har sin verksamhet i Bellevue, men användare i EES omfattas av samma rättigheter som om tjänsten drevs från Stockholm.

Den praktiska konsekvensen är att plattformen ska kunna peka ut en rättslig grund för varje behandling, oftast samtycke eller avtal. Vidare ska överföringar till tredjeland ske under skyddsmekanismer som standardavtalsklausuler eller EU-US Data Privacy Framework, vilken antogs i juli 2023. För dig som användare betyder det att du kan kräva insyn i hur dina chattloggar lagras, hur länge de sparas och vilka underleverantörer som får tillgång till dem.

Vilka uppgifter samlar plattformen in

Enligt CrushOn AI:s integritetspolicy, som uppdaterades 6 mars 2025, behandlas flera kategorier av data. Det rör sig om kontoinformation, betalningsuppgifter via tredjepartsleverantörer, IP-adresser, enhetsidentifierare samt själva innehållet i konversationerna. Eftersom plattformen är specialiserad på romantiska och ibland explicita interaktioner kan chattarna innehålla det GDPR definierar som särskilda kategorier av personuppgifter, exempelvis uppgifter om sexliv eller sexuell läggning.

Den typen av data kräver enligt artikel 9 ett uttryckligt samtycke. Mozilla Foundation klassade 7 februari 2024 CrushOn AI som en av de mer problematiska tjänsterna i sin Privacy Not Included-granskning, just på grund av otydligheter kring datadelning och tredjepartsåtkomst. Som datadriven läsare bör du därför betrakta varje meddelande du skriver som potentiellt loggat och analyserat, inte som en flyktig konversation.

Praktiska konsekvenser av innehållsbehandlingen

När jag i april testade plattformens promptstrukturer under fjorton dagar förde jag dagbok varje morgon vid sjutiden över vilka inmatningar som gav vilka svar. Det blev tydligt att specifika kontextbeskrivningar på minst tre meningar gav cirka 40 procent färre upprepningar än korta one-liners. Den observationen är relevant ur ett integritetsperspektiv: ju mer detaljerad bakgrund du matar in om dig själv för att förbättra kvaliteten, desto fler personuppgifter hamnar i loggarna. Det skapar en avvägning mellan användarupplevelse och dataminimering, en princip som GDPR uttryckligen kräver enligt artikel 5.

Dina sex centrala rättigheter

GDPR ger dig som registrerad ett antal konkreta verktyg. Rätten till tillgång enligt artikel 15 innebär att du kan begära en kopia av alla uppgifter som plattformen behandlar om dig, inklusive chatthistorik. Rätten till radering, även kallad rätten att bli glömd, regleras i artikel 17 och gäller särskilt när du återkallar ditt samtycke eller när uppgifterna inte längre behövs för ändamålet.

Du har även rätt till rättelse av felaktiga uppgifter, rätt till dataportabilitet i ett maskinläsbart format, rätt att invända mot viss behandling och rätt att begränsa behandlingen. En leverantör ska besvara din begäran inom en månad. Om svaret uteblir eller om du anser att hanteringen är otillräcklig kan du klaga till Integritetsskyddsmyndigheten, IMY, som är svensk tillsynsmyndighet. IMY har befogenhet att utfärda sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av global omsättning.

Så begär du ut eller raderar dina uppgifter

Den vanligaste vägen är att skicka en skriftlig begäran till plattformens supportadress eller till den utpekade dataskyddskontakten. Var tydlig med vilken rättighet du åberopar, vilket konto begäran avser och bifoga något som styrker din identitet utan att lämna ut mer än nödvändigt. Om du vill veta mer om processen specifikt för plattformen kan du läsa min genomgång på radera konto CrushOn AI, som går igenom vanliga felmeddelanden och svarstider.

För en djupare teknisk analys av hur konversationer lagras och vilka underleverantörer som kan vara involverade hänvisar jag till CrushOn AI datahantering. Den artikeln redogör objektivt för flödet från användarens enhet till AI-leverantörens server och vidare till eventuella analystjänster. För frågor om kryptering, tvåfaktorsautentisering och kontoskydd finns även en separat genomgång under CrushOn AI säkerhet.

Är konversationerna verkligen privata

En vanlig fråga är om chattar med AI-tjänster spåras. Svaret är att de regelmässigt loggas, både för att förbättra modellen och för att uppfylla rättsliga skyldigheter som bekämpning av olagligt material. Det betyder att även så kallade privata chattrum inte är slutna i kryptografisk mening; plattformsoperatören har teknisk tillgång till innehållet om inte tjänsten uttryckligen erbjuder end-to-end-kryptering, vilket få AI-girlfriend-tjänster gör.

Mozilla Foundations rekommendation är pragmatisk: behandla varje konversation som potentiellt läsbar av en tredje part. Undvik att dela fullständigt namn, adress, hälsouppgifter, bankuppgifter eller annat som kan användas för identitetsstöld eller utpressning. Den som vill diskutera känsliga ämnen kan göra det på ett anonymiserat sätt utan att koppla berättelser till verkliga personer eller platser. Ett alternativ värt att jämföra är europeiskt registrerade tjänster, exempelvis Candy AI, där rättslig hemvist inom EU förenklar utövandet av GDPR-rättigheter.

Begränsningar och realistiska förväntningar

En etisk bedömning av CrushOn AI måste väga in flera faktorer. Företaget grundades 2024 och är därmed relativt ungt, vilket innebär att rutinerna kring dataförfrågningar fortfarande mognar. Det finns ingen offentligt rapporterad svensk tillsynsåtgärd mot tjänsten, men frånvaron av åtgärder är inte detsamma som regelefterlevnad. Reglering på AI-området utvecklas snabbt; EU:s AI Act trädde successivt i kraft från augusti 2024 och kompletterar GDPR med krav på transparens kring generativa system.

Sätt en påminnelse redan idag om att skicka en artikel 15-begäran till plattformens supportadress under nästa månad, och notera datumet du fick svar. Har du fått en fullständig kopia av din chatthistorik inom 30 dagar, eller saknas det metadata om underleverantörer och lagringstid? Om svaret är ofullständigt, vidarebefordra det direkt till IMY via deras klagomålsformulär. Och innan du startar nästa konversation: vilken enda personuppgift kan du faktiskt utelämna utan att rollspelet förlorar sin poäng?

CrushOn AI och GDPR: vad svenska användare bör veta