🔒 GDPR & Dataskydd
Wavult Group — Privacy Compliance Dashboard · Uppdaterat maj 2026
82
EU Score
44
US Score
61
UAE Score
Asia (Q4+)

Kritiska åtgärder just nu

Prio Åtgärd Region Deadline
P1 KRITISK Privacy Notice & Cookie Policy
Måste finnas på wavult.com, quixzoom.com och alla produkter innan lansering		 🇸🇪 Sverige Före 15 juni 2026
P1 KRITISK Rättslig grund för bilddata (quiXzoom)
Zoomers samlar bilddata som kan innehålla ansikten — kräver DPA-registrering och Article 9-analys		 🇪🇺 EU Före lansering SE
P1 KRITISK DPA-anmälan hos IMY (Integritetsskyddsmyndigheten)
LandveX AB är personuppgiftsansvarig — behöver DPO eller DPA-kontakt		 🇸🇪 Sverige Juni 2026
P2 HÖG Data Processing Agreement (DPA) med zoomers
Zoomers är databehandlare — DPA-avtal krävs per GDPR Art. 28		 🇪🇺 EU Q2 2026
P2 HÖG Illinois BIPA — biometrisk data USA
QuiXzoom Inc tar bilder som kan inkludera ansikten i Illinois — kräver explicit consent och $5000/överträdelse i skadestånd		 🇺🇸 Illinois Före US-lansering
P2 HÖG Samtycke & opt-out Texas Privacy Act
TX HB 4 gäller LandveX Inc (Texas LLC) — kräver privacy notice och rättigheter för texasbor		 🇺🇸 Texas Före US-lansering
P3 MEDEL UAE Federal PDPL — registrering
Wavult Group FZCO (planerat) — UAE Federal Decree No. 45/2021 kräver compliance vid aktiv verksamhet		 🇦🇪 UAE Vid UAE-start
P3 MEDEL NL-lansering Q1 2027 — DPA anmälan AP
Autoriteit Persoonsgegevens (AP) — Nederländerna. Bör förberedas Q3 2026		 🇳🇱 Nederländerna Q3 2026
P4 LÅG Thailand PDPA
Team befinner sig i Thailand. PDPA gäller databehandling av thailändsk persondata		 🇹🇭 Thailand Löpande

Tidslinje — lansering & compliance

Juni 2026
🚀 quiXzoom lansering Sverige
Privacy Notice, Cookie Policy och DPA-avtal för zoomers MÅSTE vara klara. IMY-anmälan. GDPR Art. 13/14 compliance (information till registrerade).
Q3 2026
📋 NL-förberedelse
Lokalisera privacy notices till holländska. Kontakta Autoriteit Persoonsgegevens (AP). Säkerställ EU-enhetlig cookie policy.
Q1 2027
🇳🇱 Marknad 2 — Nederländerna
Full GDPR-compliance operativ. AP-anmälan klar. Holländsk cookie banner. Lokal juridisk kontakt.
2027+
🌏 Asien-expansion
Thailand PDPA (om zoomer-verksamhet), Japan APPI (Q2+ 2027), Singapore PDPA. Lokal DPA-registrering per land.
🇸🇪
Sverige — Marknad 1
GDPR · IMY · LandveX AB
Pågår
⚖️
Lag: GDPR (EU 2016/679) + Lag (2018:218) med kompletterande bestämmelser
🏢
Tillsynsmyndighet: IMY — Integritetsskyddsmyndigheten (imy.se)
📸
quiXzoom-risk: Bilddata kan innehålla ansikten = biometrisk data (Art. 9 känslig data). Kräver explicit samtycke ELLER legitimt intresse med LIA
💶
Böter: Upp till €20M eller 4% av global omsättning (Art. 83)
📅
Rapportering: Dataintrång rapporteras till IMY inom 72 timmar
🔴
Privacy Notice på wavult.com och quixzoom.comKRITISK
🔴
Art. 9 analys — rättslig grund för bilddata med ansiktenKRITISK
🟡
DPA-avtal med zoomers (Art. 28 — behandlingsavtal)HÖG
🟡
ROPA — Register of Processing Activities upprättasHÖG
🔵
Cookie-samtycke (IAB TCF v2.2 rekommenderas)
🔵
Data retention policy — hur länge sparas bilder?
🇳🇱
Nederländerna — Marknad 2 Q1 2027
GDPR · AP · Uitvoeringswet AVG
Planera nu
🏢
Tillsynsmyndighet: AP — Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl)
📋
Anmälningsplikt: Ingen separat anmälan till AP, men dokumentation (ROPA) krävs. Kontakta AP proaktivt vid innovativ dataanvändning
🌐
Lokalisering: Privacy notice och cookie banner måste finnas på holländska
📸
Bilddata: AP är strikt kring biometrisk data — förbered tydlig LIA (Legitimate Interest Assessment)
🟡
AP-föranmälan — proaktiv kontakt Q3 2026Q3 2026
🟡
Privacy notice på holländska — Privacyverklaring
🔵
Lokalt juridiskt ombud i NL (Art. 27 EU-representant)
Cookie audit — Nederlandse cookiewet (ggf. Telecom Act)
🇱🇹
Litauen — QuiXzoom UAB (planerat)
GDPR · VDAI · LR APDIS
Planerat
🏢
Tillsynsmyndighet: VDAI — Valstybinė duomenų apsaugos inspekcija (vdai.lrv.lt)
📋
Krav: GDPR gäller fullt ut. Litauisk version av DPA-avtal och privacy notice vid aktiv verksamhet
💡
Fördel: Lägre bötesnivå i praktiken vs stora EU-länder. VDAI är generellt sett mer förhandlingsbar
VDAI-registrering vid bolagsstart UABFramtid
Litauisk privacy notice (lietuvių kalba)
🇪🇺
EU — AI Act (AMOS-system)
AI Act (EU 2024/1689) · Gäller aug 2026
Åtgärd krävs
🤖
AMOS: AI-granskningssystem — sannolikt hög risk (Art. 6) om det fattar beslut som påverkar individer
📸
quiXzoom Optical: Realtids-biometrisk identifiering i offentlig miljö = FÖRBJUDET (Art. 5.1.d) — säkerställ att systemet inte gör det
📋
Ikraftträdande: Förbudsregler gällde feb 2025. Högrisk-krav gäller fullt ut augusti 2026
💶
Böter: Upp till €35M eller 7% av global omsättning för förbjuden AI
🔴
AI-systemklassificering — mappar AMOS och quiXzoom mot risk-klasserKRITISK
🔴
Bekräfta: ingen realtids-biometrisk ID i offentlig miljöKRITISK
🟡
Teknisk dokumentation (Art. 11) om hög-risk AI
🔵
EU AI Act compliance officer utses (kan vara Dennis)
🇺🇸
Federal USA — Allmänt
Ingen federal integritetslag (ännu)
Sektoriell risk
⚖️
Status: USA saknar federal privacy-lag. American Privacy Rights Act (APRA) diskuteras i kongressen men ej antagen
📋
Tillämpliga: FTC Act §5 (ogiltig datapraxis), COPPA (barn under 13), ECPA (elektronisk kommunikation), sektoriella lagar (HIPAA om hälsodata)
🗺️
Nyckelstater: California (CCPA/CPRA), Texas (TDPSA), Illinois (BIPA), Virginia (VCDPA), Colorado (CPA)
🟡
Privacy Policy (engelska) — täcker alla US-stater
🔵
FTC-kompatibel datapraktik — var konsekvent med policy vs verklighet
🏴󠁵󠁳󠁴󠁸󠁿
Texas — LandveX Inc (LLC)
TDPSA (Texas Data Privacy & Security Act) · Gäller 1 juli 2024
Åtgärd krävs
⚖️
Tröskel: Gäller om bolaget behandlar persondata om texasbor och inte är ett litet företag per US-definition
Rättigheter: Rätt till access, korrigering, radering, portabilitet, opt-out (försäljning av data, målgruppsannonsering)
🚫
Opt-out: Konsumenter kan opt-out ur försäljning av persondata och riktad annonsering — knapp krävs på sajten
💰
Böter: Upp till $7 500/avsiktlig överträdelse (Texas AG)
🔴
"Do Not Sell/Share" länk på quixzoom.comKRITISK
🟡
Privacy Notice specifik för Texas-rättigheter
🟡
Data subject request process (svar inom 45 dagar)
🔵
Data Protection Assessment (DPA) för hög-risk behandling
🏴󠁵󠁳󠁩󠁬󠁿
Illinois — BIPA (Biometri)
Biometric Information Privacy Act 740 ILCS 14
Hög risk
👁️
Gäller: Insamling av fingeravtryck, näthinnescanning, ansiktsgeometri, handgeometri eller vosstryck av Illinois-bor
📸
quiXzoom-risk: Om bilderna innehåller ansikten och ansiktsgeometri extraheras = BIPA tillämpas. Kräver skriftligt samtycke i förväg
💰
Böter: $1 000 per oaktsam överträdelse, $5 000 per avsiktlig. Class action-risk — ett av USAs mest litigerade integritetslagar
📅
Preskription: 5 år. Facebook betalade $650M i BIPA-uppgörelse (2021)
🔴
Teknisk analys: extraherar quiXzoom ansiktsgeometri?KRITISK
🔴
Om ja: BIPA-samtycke innan bildtagning av IL-borKRITISK
🟡
Retention policy — radera biometrisk data inom 3 år
🔵
Jurisdiktionsstrategi — undvik IL initialt om risk är hög
🏴󠁵󠁳󠁣󠁡󠁿
Kalifornien — CCPA/CPRA
CCPA + CPRA · California Privacy Rights Act
Förbered
⚖️
Tröskel: Gäller om: >$25M omsättning ELLER behandlar data från >100 000 CA-konsumenter/år ELLER >50% intäkt från dataförsäljning
Rättigheter: Rätt att veta, radera, korrigera, portabilitet, opt-out ur dataförsäljning, begränsa känslig data
📋
Enforcement: California Privacy Protection Agency (CPPA) — aktiv tillsyn sedan 2023
💰
Böter: $2 500 – $7 500 per avsiktlig överträdelse
🟡
"Do Not Sell or Share" knapp (om trösklar nås)
🟡
CPRA Privacy Notice — lista kategorier av data som samlas
🔵
GPC-signal (Global Privacy Control) — webbläsar-opt-out respekteras
Datakartering — vet vi exakt vad vi samlar om CA-bor?
🏛️
Delaware — QuiXzoom Inc
Delaware PDPA · Gäller jan 2025
Bevaka
⚖️
Tröskel: Behandlar data om >35 000 DE-konsumenter/år (lägre tröskel än TX/CA)
Rättigheter: Access, korrigering, radering, portabilitet, opt-out (targeted ads, profiling)
📋
Enforcement: Delaware AG — 60 dagars cure period innan böter
💡
Notering: Delaware = bolagsregistrering, inte nödvändigtvis verksamhet. Kräver compliance vid aktiv databehandling av Delaware-bor
🔵
Bevaka tröskelvärden — handla när DE-användarbas växer
Inkludera DE-rättigheter i US privacy notice
🇦🇪
UAE Federal — PDPL
Federal Decree-Law No. 45 of 2021
Förbered
⚖️
Lag: Federal Personal Data Protection Law (PDPL) — antagen nov 2021, implementeringsfas pågår
🏢
Tillsynsmyndighet: UAE Data Office (dataprivacy.gov.ae)
Rättigheter: Liknar GDPR — rätt till access, radering, korrigering, portabilitet, invändning
📋
Rättslig grund: Samtycke, avtal, rättslig skyldighet, vitala intressen, allmänt intresse, legitimt intresse
🌍
Gränsöverskridande: Dataöverföring till länder utan adekvat skydd kräver avtal eller tillstånd
💰
Böter: Upp till AED 20M (~$5.4M) för allvarliga överträdelser
🟡
UAE Data Office registrering vid FZCO-startVid start
🟡
Privacy Notice på arabiska — krav för UAE-marknaden
🔵
Dataöverföring EU → UAE — säkerställ adequacy eller SCC
DPO/Privacy Officer utses för UAE-verksamhet
🏦
DMCC / Dubai — Frizonsspecifikt
DMCC Data Protection Policy + UAE PDPL
Ej startat
🏢
Wavult Group FZCO (planerat) — Dubai Multi Commodities Centre
📋
DMCC: Har egna interna data-policies utöver federal lag. Compliance-krav som del av licensvillkor
🆚
DIFC vs ADGM: Dubai International Financial Centre och Abu Dhabi Global Market har egna dataskyddslagar (liknare GDPR). Relevanta om ni väljer dessa frizoner
📅
DIFC Data Protection Law 2020: Gäller entiteter licensierade i DIFC — starkare skydd än federal lag, GDPR-liknande
Frizonsval — DMCC vs DIFC ur dataperspektivBeslut krävs
Lokal juridisk rådgivare UAE för registreringsprocess
🇹🇭
Thailand — PDPA
Personal Data Protection Act B.E. 2562 (2019) · Fullt gällande 2022
Pågår (team på plats)
👥
Team: Hela Wavult-teamet befinner sig i Thailand (workcamp). PDPA gäller för behandling av thailändsk persondata
⚖️
Liknar GDPR: Rättslig grund, samtycke, datasubjekts rättigheter, DPA-anmälan hos PDPC
🏢
Tillsynsmyndighet: PDPC — Personal Data Protection Committee (pdpc.or.th)
📋
Krav på plats: Om ni behandlar personaldata (anställda/konsulter) i Thailand = PDPA tillämpas
💰
Böter: Upp till 5M THB (~$140K) + straffrättslig risk för ledning
🟡
HR-dataskydd — anställda/konsulter i ThailandNu
🔵
PDPA privacy notice om zoomer-verksamhet startar i TH
PDPC registrering vid eventuell TH-marknadsexpansion
🇯🇵
Japan — APPI
Act on Protection of Personal Information · Senast rev. 2022
Framtid
🏢
Tillsynsmyndighet: PPC — Personal Information Protection Commission (ppc.go.jp)
📋
Extraterritorial: Gäller utländska bolag som hanterar persondata om japanska individer för affärsverksamhet
🆔
Känslig data: Ras, religion, politisk åsikt, hälsa, brottshistorik, handikapp = kräver explicit samtycke
🌍
Gränsöverföring: Kräver dataöverföringsavtal med mottagare utanför Japan
📅
PPC-rapport: Utländska bolag ska rapportera till PPC vid mottagande av JP-persondata under vissa villkor
PPC-anmälan inför JP-lanseringQ2 2027+
Privacy policy på japanska — obligatoriskt för JP-marknad
Lokal juridisk kontakt Japan (APPI-specialist)
🇸🇬
Singapore — PDPA
Personal Data Protection Act 2012 · Rev. 2021
Framtid
🏢
Tillsynsmyndighet: PDPC — Personal Data Protection Commission (pdpc.gov.sg)
💡
Fördel: Singapore är regionalt tech-nav med relativt pragmatisk dataskyddsregim. Bra hub för Asien-expansion
📋
Krav: Samtycke, syftebegränsning, dataminimering, retention-policy, säkerhet. Liknar GDPR men mer flexibelt
💰
Böter: Upp till SGD 1M (~$750K) eller 10% av omsättning (2021-revision)
PDPC-registrering vid SG-expansion
Data Protection Officer (DPO) utses i Singapore
Asien-hub strategi — SG vs Dubai som APAC-nav
🇰🇷
Sydkorea — PIPA
Personal Information Protection Act
Framtid
⚖️
Notering: En av världens striktaste dataskyddslagar. Kräver lokal juridisk representation och koreanskt dataskyddssystem
🌍
Gränsöverföring: Kräver explicit samtycke från varje individ för dataexport till länder utan adequacy (inkl. EU)
💰
Böter: Upp till 3% av omsättning. Class action vanlig i KR
KR-expansion kräver dedikerat legal teamLång sikt
Lokal juridisk partner Seoul inför ev. expansion
🇮🇳
Indien — DPDP Act
Digital Personal Data Protection Act 2023
Bevaka
📅
Status: Antagen aug 2023, regler (Rules) pågår remiss 2024-2025. Fullt ikraftträdande troligen 2025-2026
👥
Stor marknad: 1.4 miljarder människor — enormt potential för quiXzoom och crowdsourced data
🚫
Datalokaliseringsrisk: Möjliga restriktioner på gränsöverföring av IN-data. Bevaka Rules som publiceras
💰
Böter: Upp till INR 250 Cr (~$30M) för allvarliga överträdelser
Bevaka DPDP Rules — publicering 2025-2026
Indien-strategi inklusive lokal datalagring?

Kritiska åtgärder — Prioritet 1 (Före lansering)

🔴
1. Privacy Notice på wavult.com, quixzoom.com — Art. 13/14 GDPR + Texas TDPSA + CCPA-krav. Inkludera: vad samlas, varför, hur länge, rättigheter, kontakt.Deadline: juni 2026
🔴
2. IMY-anmälan (Sverige) — LandveX AB som personuppgiftsansvarig. Kontakta IMY proaktivt kring bilddata-modellen.Deadline: juni 2026
🔴
3. Art. 9-analys bilddata — Utred exakt om och när quiXzoom-bilder inkluderar biometrisk data. Kräver intern teknisk utredning + juridisk bedömning.Omedelbart
🔴
4. Zoomer DPA-avtal (Art. 28) — Alla zoomers är databehandlare. Behandlingsavtal krävs innan uppdrag. Template-avtal att ta fram.Deadline: juni 2026
🔴
5. Illinois BIPA-analys — Riskbedömning om ansiktsgeometri extraheras. Vid JA: BIPA-samtyckeprocess obligatorisk.Före US-lansering

Prioritet 2 — Q3 2026

🟡
6. ROPA — Register of Processing Activities — Dokumentera alla behandlingsaktiviteter per bolag. Obligatoriskt GDPR Art. 30.
🟡
7. Cookie Policy & CMP — Consent Management Platform (t.ex. Cookiebot eller OneTrust). IAB TCF v2.2 rekommenderas.
🟡
8. Dataintrång-process — Intern rutin för 72h-rapportering till IMY + kommunikation till drabbade.
🟡
9. NL-förberedelse — Holländsk privacy notice + AP-kontakt inför Q1 2027-lansering.
🟡
10. AI Act-klassificering — Formell bedömning av AMOS och quiXzoom-systemet mot EU AI Act risk-klasser.

Löpande / Framtid

🔵
DPO-utseende — Formell Data Protection Officer (kan vara Dennis + externt stöd).
🔵
UAE FZCO registrering — Dataskyddsregistrering vid FZCO-start.
🔵
Thailand PDPA — HR-dataskydd för teamet på plats + vid eventuell TH-expansion.
Asien-expansion: JP APPI, SG PDPA, KR PIPA — aktiveras per marknad.
Indien DPDP — Bevaka Rules-publikation. Stor potentiell marknad för quiXzoom.