1. データ管理者

お客様の個人データの管理者責任者は、NIF 54052380Bを持つ個人事業主のVictor Bertheliusであり、Frihetの商標で事業を行っています。納税住所はC/ Cervera n9, Radazul 38109, S/C de Tenerifeです。データ保護に関するお問い合わせは、[email protected]までメールでご連絡ください。

2. 収集するデータ

当社は以下の種類のデータを収集します：アカウントデータ：登録時に提供する氏名、電子メールアドレス、パスワード（暗号化済み）、会社名、税務データ。利用データ：訪問したページ、利用した機能、利用頻度、設定の好みなど、本サービスの利用方法に関する情報。支払いデータ：お客様のクレジットカードまたはデビットカード情報はStripeによって直接処理され、Frihetは完全なカード番号をサーバーに保存しません。技術データ：IPアドレス、ブラウザの種類、オペレーティングシステム、デバイス識別子、接続データ。 Business data: information you store in Frihet as part of your business operations, including client and vendor records (names, email addresses, phone numbers, postal addresses), invoices, quotes, expenses, products, CRM contact persons, activity logs, notes, and financial summaries. This data is accessible via the Frihet web app, REST API, and MCP server based on your authentication credentials.

3. 処理の法的根拠

当社は、以下の法的根拠に基づいてお客様の個人データを処理します：契約の履行（GDPR第6条1項b）：処理は、お客様が契約したサービスを提供するために必要です。同意（GDPR第6条1項a）：商業通信およびニュースレターの送信のためであり、お客様はいつでも同意を撤回できます。正当な利益（GDPR第6条1項f）：サービスの改善、詐欺の防止、プラットフォームのセキュリティのため。法的義務（GDPR第6条1項c）：適用される税務上および法的な義務を遵守するため。

4. 処理の目的

当社は、お客様のデータを以下の目的で利用します：契約されたサービスの提供と管理；支払いの処理と請求；お客様のアカウント、サービス更新、テクニカルサポートに関するお客様との連絡；商業通信の送信（事前同意の上）；ユーザー体験の改善とパーソナライゼーション；サービスの利用に関する統計的および集約的な分析；法的および税務上の義務の遵守；詐欺および乱用の検出と防止。

5. データの受領者

当社は、サービス提供に必要な以下のサービスプロバイダーのみとお客様のデータを共有します：Stripe（支払い処理、米国拠点、DPF遵守）。Firebase/Google Cloud（インフラストラクチャと認証、米国拠点、DPF遵守）。Resend（トランザクションメール送信、米国拠点）。Google Analytics 4（Cookieを使用するウェブ分析、ユーザーの事前同意がある場合のみ有効、米国拠点、DPF遵守）。Vercel Inc.（ウェブホスティングとCookieなしの分析、米国拠点）。PostHog（製品分析、ユーザーの事前同意がある場合のみ有効、米国拠点）。Umami（ウェブ分析、EU内で自己ホスト、Cookieなし、プライバシーを尊重）。すべてのプロバイダーは、適切なセキュリティ対策を提供し、適用されるデータ保護規制を遵守していることを保証して選択されています。 OpenAI (ChatGPT integration, only when you connect Frihet to ChatGPT; based in the US, DPF certified). Google Gemini (AI-powered features within Frihet such as document analysis and smart categorization; based in the US, DPF certified, governed by Google Cloud data processing terms).

6. 国際的なデータ転送

当社のサービスプロバイダーの一部は、欧州経済地域外、具体的には米国に拠点を置いています。これらの転送は、以下の保護措置の下で行われます：加盟プロバイダーについては、EU-米国データプライバシーフレームワーク（Data Privacy Framework）；欧州委員会によって承認された標準契約条項；または、存在する場合は、欧州委員会の十分性決定。これらの転送に適用される保証に関する追加情報は、[email protected]までお問い合わせください。

7. 保存期間

当社は、収集された目的のために必要な期間、お客様の個人データを保持します：アカウントデータとユーザーコンテンツ：アカウントの有効期間中、およびキャンセル後30日間（データのエクスポートを可能にするため）。請求データ：税務上の義務を遵守するために法的に義務付けられている期間（現在、一般税法に従い4年間）。利用データと分析データ：匿名化および集計された形式で、期間の制限なし。商業通信：お客様が同意を撤回するまで。

8. お客様の権利 (ARCO-POL)

GDPRおよびLOPDGDDに従い、お客様は以下の権利を有します：アクセス：お客様に関して当社が処理する個人データを知る権利。修正：不正確または不完全なデータを訂正する権利。消去（忘れられる権利）：データが不要になった場合に削除を要求する権利。異議：特定の状況下でお客様のデータの処理に異議を唱える権利。データポータビリティ：構造化され、一般的に使用される形式（CSV、JSON）でデータを受け取る権利。制限：特定の状況下で処理の制限を要求する権利。これらの権利を行使するには、身分証明書のコピーを添付して[email protected]までメールを送信してください。30日以内に返信いたします。また、スペインデータ保護庁（www.aepd.es）に苦情を申し立てる権利も有します。

9. Cookieと分析

frihet.ioでは、以下の分析ツールを使用しています：Umami（EUで自己ホスト型、Cookieなし、識別可能な個人データなし、同意不要でGDPRに準拠）。Google Analytics 4（追跡Cookieを使用、当社のCookieバナーを通じてユーザーの明示的な同意が得られた場合のみ有効、米国拠点、DPF遵守）。PostHog（製品分析、同意があった場合のみ有効）。Vercel AnalyticsおよびSpeedInsights（Cookieなし、匿名化されたパフォーマンス指標）。当社のウェブサイトを初めて訪問すると、Cookie同意バナーが表示されます。Cookieを使用するツール（GA4、PostHog）は、ユーザーが明示的に同意した場合にのみ有効になります。Cookieの設定からいつでも同意を撤回できます。当社のウェブアプリケーション（app.frihet.io）では、サービスの機能に厳密に必要な言語とセッションの設定を保存するためにローカルストレージ（localStorage）を使用しています。

10. AI, API, and Developer Integrations

Frihet provides programmatic access to your business data through a REST API (api.frihet.io) and an MCP server (mcp.frihet.io) that can be used with AI assistants such as Claude, ChatGPT, Cursor, and other compatible tools. Data accessible via API and AI tools: When you or an authorized AI assistant connects to Frihet via API or MCP, the following data categories may be accessed based on your API key permissions: business profile information (company name, plan type); client and vendor contact data (names, email addresses, phone numbers, postal addresses); invoice and quote details (line items, amounts, dates, status); expense records (descriptions, amounts, categories); product catalog (names, prices); CRM data (contact persons, activity logs, notes); financial summaries (monthly revenue, expenses, profit); and webhook configurations (endpoint URLs, subscribed events). Data minimized in third-party AI integrations: When Frihet is accessed through third-party AI platforms (such as OpenAI ChatGPT), certain sensitive data categories are automatically excluded or redacted from tool responses. Specifically, government-issued tax identifiers (NIF, CIF, VAT numbers) and signing credentials are not transmitted through these integrations. Users who need to manage tax identifiers should use the Frihet web application directly at app.frihet.io. AI processing: Frihet uses Google Gemini for AI-powered features including document analysis, smart categorization, and business intelligence. Your business data processed by these AI features is not used to train AI models. Data sent to AI services is governed by our data processing agreements with the respective providers. OAuth and API authentication: API access requires authentication via API key (fri_ prefix) or OAuth 2.0 with PKCE. OAuth access tokens expire after 1 hour; refresh tokens after 30 days. Tokens can be revoked at any time from your Frihet account settings. No training on your data: Neither Frihet nor any of our AI service providers use your business data to train, fine-tune, or improve AI or machine learning models. Your data is processed solely to provide the requested service functionality.

11. データ管理者への連絡先

お客様の個人データの処理またはお客様の権利の行使に関するご質問は、以下のデータ管理者までご連絡ください：[email protected]。Victor Berthelius, C/ Cervera n9, Radazul 38109, S/C de Tenerife。お客様からのご要望には、最大限の注意と透明性をもって対応することをお約束します。

プライバシーポリシー