Draft
Draft for review. This document is pending the clinic’s legal review before publishing. Bracketed [PLACEHOLDER] values, including the company registration number, exact refund and withdrawal windows, and price validity, must be confirmed.
Sweden Precision Health Science Institute AB is a Swedish, physician-led precision and preventive-health clinic. We work with some of the most sensitive personal data that exists: your genetic markers, your biomarkers and laboratory results, and the health signals from your wearable devices. This Privacy Policy explains, in plain language, what data we collect, why we collect it, how we protect it, and the rights you have under the EU General Data Protection Regulation (GDPR). It applies to our patients, to individuals participating through a corporate health programme, and to visitors of our website.
1. Who we are (data controller)
The data controller responsible for your personal data is:
- Sweden Precision Health Science Institute AB
- Stora Gatan 64, 193 30 Sigtuna, Sweden
- Corporate registration number (org.nr): [XXXXXX-XXXX] (to be inserted)
- Email: info@sphsi.se
The controller decides why and how your personal data is processed and is your primary point of contact for any privacy-related question. If we appoint a Data Protection Officer (DPO) or a dedicated data-protection contact, their details will be published here.
2. What personal data we collect
The categories of data we process depend on the services you use. Most of this data is classified as special-category (sensitive) data under Article 9 GDPR and receives the strongest level of protection.
- Identity and contact data: name, date of birth, personal identity number (personnummer) where required for medical care, postal address, email address, and telephone number.
- Health declaration and medical history: information you provide about your symptoms, conditions, medication, lifestyle, family history, and health goals.
- Biomarkers and laboratory data: blood, urine, and other clinical test results processed by us or by accredited laboratories on our behalf.
- Genetic data: genetic markers and single-nucleotide polymorphisms (SNPs) derived from samples or from genotyping data you provide.
- Wearable and device data: health and activity metrics from connected devices and services such as Garmin (for example heart rate, heart-rate variability, sleep, stress, respiration, and activity), where you choose to connect them.
- Appointment, billing, and correspondence data: bookings, invoices, payment status, and messages between you and us.
- Website and technical data: limited technical information collected via cookies and similar technologies (see Section 11).
3. Legal basis for processing
We only process your personal data where we have a lawful basis to do so under the GDPR.
- Explicit consent for sensitive data (Article 9(2)(a)): our collection and use of your health, biomarker, genetic, and wearable data is based on the explicit consent you give us before we begin. This is the core legal basis for our precision-health services.
- Consent for ordinary data (Article 6(1)(a)): we rely on your consent to process your contact details and to deliver the services you have requested.
- Contract (Article 6(1)(b)): where processing is necessary to provide the services agreed with you or with the corporate client through which you participate.
- Legal obligation (Article 6(1)(c) and Article 9(2)(h)/(i)): where we are required to process or retain medical records under Swedish healthcare law (such as the Patient Data Act, Patientdatalagen).
You may withdraw your consent at any time (see Section 9). Withdrawing consent does not affect processing carried out before the withdrawal, and some data may need to be retained to meet legal obligations.
4. Why we use your data (purposes)
- To deliver our precision and preventive-health assessments and produce your personal health report.
- To combine your genetic, biomarker, and wearable data into individualised insights and recommendations reviewed by a physician.
- To provide medical consultations, follow-up, and ongoing care.
- To deliver and report on corporate health programmes (in aggregated, de-identified form to corporate clients, unless you have separately consented otherwise).
- To manage bookings, billing, and communication with you.
- To improve the quality and safety of our services and to meet our legal and regulatory obligations.
We do not sell your personal data, and we do not use your sensitive data for advertising.
5. Who processes your data
Your data is accessed only by people and organisations that need it to deliver our services, and always under confidentiality and data-protection obligations.
- Our physicians and clinical staff, who are bound by professional medical confidentiality.
- Accredited laboratories and genotyping providers that analyse your samples on our behalf.
- Sub-processors providing IT, secure hosting, and software services strictly under our instructions.
- Wearable and device platforms (for example Garmin) where you have connected your account; their own handling of your data is governed by their privacy terms.
Every external party that processes personal data on our behalf does so under a written data-processing agreement that meets the requirements of Article 28 GDPR.
6. Where your data is stored (EU/EEA residency)
We store and process your personal data within the European Union / European Economic Area (EU/EEA). We aim to keep all sensitive data resident in the EU/EEA. If, in exceptional cases, data must be transferred outside the EU/EEA, we will only do so where an adequate level of protection is ensured, for example through an adequacy decision or EU Standard Contractual Clauses together with appropriate supplementary safeguards.
7. How we protect your data (security)
We apply technical and organisational measures appropriate to the sensitivity of the data, including encryption in transit and at rest, strict role-based access control, authentication, logging, network protection, and confidentiality obligations for all staff and sub-processors. We review these measures regularly and act on any incident in accordance with our breach-notification duties under the GDPR.
8. How long we keep your data (retention)
We keep your personal data only for as long as necessary for the purposes described above or as required by law.
- Medical records: retained in accordance with Swedish healthcare law. (Under the Patient Data Act, journal records are generally kept for at least [10] years; final period to be confirmed.)
- Genetic, biomarker, and wearable data: retained for [X] years after your last interaction, unless you withdraw consent earlier. [Placeholder, to be confirmed.]
- Billing and accounting records: retained for [7] years as required by the Swedish Accounting Act (Bokföringslagen).
- Website/technical data: retained for the period stated in our Cookie Policy.
When data is no longer needed, it is securely deleted or irreversibly anonymised.
9. Your rights
Under the GDPR you have the following rights regarding your personal data:
- Access: obtain confirmation of, and a copy of, the data we hold about you.
- Rectification: have inaccurate or incomplete data corrected.
- Erasure: have your data deleted ("the right to be forgotten"), subject to legal retention obligations for medical records.
- Restriction and objection: ask us to limit or stop certain processing.
- Data portability: receive your data in a structured, commonly used, machine-readable format, or have it transferred to another provider where technically feasible.
- Withdraw consent: withdraw any consent you have given, at any time, without affecting the lawfulness of processing before withdrawal.
- Lodge a complaint: contact the Swedish supervisory authority, the Swedish Authority for Privacy Protection (Integritetsskyddsmyndigheten, IMY), at www.imy.se, if you believe we have not handled your data correctly. We ask that you contact us first so we can try to resolve the matter.
To exercise any of these rights, contact us at info@sphsi.se. We will respond without undue delay and within the time limits set by the GDPR.
10. Corporate clients
Where you take part through your employer or another corporate client, that organisation does not receive your individual health, genetic, or biomarker results. Corporate clients receive only aggregated, de-identified reporting that cannot identify any individual, unless you have given separate, specific consent for individual sharing.
11. Cookies
Our website uses a limited set of cookies and similar technologies. We set non-essential cookies only with your consent. For full details on the cookies we use and how to manage them, please see our Cookie Policy.
12. Changes to this policy
We may update this Privacy Policy from time to time. The current version and its effective date are always published on this page. For material changes affecting sensitive data, we will seek renewed consent where required.
13. Contact us
For any question about this policy or your personal data, contact us at:
- Sweden Precision Health Science Institute AB
- Stora Gatan 64, 193 30 Sigtuna, Sweden
- Email: info@sphsi.se
Last updated: 18 June 2026.
This document is a draft prepared for review and is pending the clinic's formal legal review. Bracketed values and retention periods are placeholders that must be confirmed before publication. It does not yet constitute final legal advice or a binding privacy notice.
Related policies: Terms of Service · Cookie Policy
Utkast
Utkast för granskning. Detta dokument inväntar klinikens juridiska granskning före publicering. Värden inom [PLACEHOLDER], bland annat organisationsnummer, exakta ånger- och returfrister samt prisernas giltighet, måste bekräftas.
Sweden Precision Health Science Institute AB är en svensk, läkarledd klinik inom precisions- och preventiv hälsa. Vi arbetar med några av de mest känsliga personuppgifter som finns: dina genetiska markörer, dina biomarkörer och laboratorieresultat samt hälsodata från dina bärbara enheter. Denna integritetspolicy förklarar, på ett tydligt språk, vilka uppgifter vi samlar in, varför vi gör det, hur vi skyddar dem och vilka rättigheter du har enligt EU:s dataskyddsförordning (GDPR). Policyn gäller våra patienter, personer som deltar genom ett företagshälsoprogram samt besökare på vår webbplats.
1. Vilka vi är (personuppgiftsansvarig)
Personuppgiftsansvarig för dina personuppgifter är:
- Sweden Precision Health Science Institute AB
- Stora Gatan 64, 193 30 Sigtuna, Sverige
- Organisationsnummer (org.nr): [XXXXXX-XXXX] (infogas)
- E-post: info@sphsi.se
Den personuppgiftsansvarige bestämmer varför och hur dina personuppgifter behandlas och är din primära kontaktpunkt i integritetsfrågor. Om vi utser ett dataskyddsombud (DSO) eller en särskild dataskyddskontakt kommer uppgifterna att publiceras här.
2. Vilka personuppgifter vi samlar in
Vilka kategorier av uppgifter vi behandlar beror på vilka tjänster du använder. Merparten av dessa uppgifter klassas som känsliga personuppgifter (särskilda kategorier) enligt artikel 9 GDPR och ges det starkaste skyddet.
- Identitets- och kontaktuppgifter: namn, födelsedatum, personnummer där det krävs för vården, postadress, e-postadress och telefonnummer.
- Hälsodeklaration och sjukdomshistoria: uppgifter du lämnar om symtom, tillstånd, läkemedel, livsstil, ärftlighet och hälsomål.
- Biomarkörer och laboratoriedata: blod-, urin- och andra kliniska provsvar som behandlas av oss eller av ackrediterade laboratorier för vår räkning.
- Genetiska uppgifter: genetiska markörer och enbaspolymorfier (SNP:er) som härleds från prover eller från genotypningsdata du tillhandahåller.
- Data från bärbara enheter: hälso- och aktivitetsmått från anslutna enheter och tjänster såsom Garmin (till exempel puls, pulsvariabilitet, sömn, stress, andning och aktivitet), när du väljer att ansluta dem.
- Boknings-, faktura- och korrespondensuppgifter: bokningar, fakturor, betalstatus och meddelanden mellan dig och oss.
- Webbplats- och tekniska uppgifter: begränsad teknisk information som samlas in via cookies och liknande tekniker (se avsnitt 11).
3. Rättslig grund för behandlingen
Vi behandlar endast dina personuppgifter när vi har en laglig grund för det enligt GDPR.
- Uttryckligt samtycke för känsliga uppgifter (artikel 9.2 a): vår insamling och användning av dina hälso-, biomarkör-, genetiska och bärbara-enhetsuppgifter grundas på det uttryckliga samtycke du lämnar innan vi börjar. Detta är den centrala rättsliga grunden för våra precisionshälsotjänster.
- Samtycke för vanliga uppgifter (artikel 6.1 a): vi stöder oss på ditt samtycke för att behandla dina kontaktuppgifter och leverera de tjänster du begärt.
- Avtal (artikel 6.1 b): när behandlingen är nödvändig för att tillhandahålla de tjänster som avtalats med dig eller med den företagskund genom vilken du deltar.
- Rättslig förpliktelse (artikel 6.1 c och artikel 9.2 h/i): när vi enligt svensk hälso- och sjukvårdslagstiftning (såsom patientdatalagen) är skyldiga att behandla eller bevara journaluppgifter.
Du kan när som helst återkalla ditt samtycke (se avsnitt 9). Återkallelsen påverkar inte behandling som skett dessförinnan, och vissa uppgifter kan behöva bevaras för att uppfylla rättsliga skyldigheter.
4. Varför vi använder dina uppgifter (ändamål)
- För att leverera våra precisions- och preventionsbedömningar och ta fram din personliga hälsorapport.
- För att kombinera dina genetiska, biomarkör- och bärbara-enhetsdata till individanpassade insikter och rekommendationer som granskas av läkare.
- För att tillhandahålla läkarkonsultationer, uppföljning och fortlöpande vård.
- För att leverera och rapportera företagshälsoprogram (i aggregerad, avidentifierad form till företagskunder, om du inte separat samtyckt till annat).
- För att hantera bokningar, fakturering och kommunikation med dig.
- För att förbättra kvaliteten och säkerheten i våra tjänster och uppfylla våra rättsliga och regulatoriska skyldigheter.
Vi säljer inte dina personuppgifter och vi använder inte dina känsliga uppgifter för marknadsföring.
5. Vem som behandlar dina uppgifter
Dina uppgifter används endast av personer och organisationer som behöver dem för att leverera våra tjänster, alltid under sekretess- och dataskyddsskyldigheter.
- Våra läkare och kliniska medarbetare, som omfattas av yrkesmässig läkarsekretess.
- Ackrediterade laboratorier och genotypningsleverantörer som analyserar dina prover för vår räkning.
- Underbiträden som tillhandahåller IT-, säker drift- och programvarutjänster strikt enligt våra instruktioner.
- Plattformar för bärbara enheter (till exempel Garmin) där du har anslutit ditt konto; deras egen hantering av dina uppgifter styrs av deras integritetsvillkor.
Varje extern part som behandlar personuppgifter för vår räkning gör det enligt ett skriftligt personuppgiftsbiträdesavtal som uppfyller kraven i artikel 28 GDPR.
6. Var dina uppgifter lagras (EU/EES)
Vi lagrar och behandlar dina personuppgifter inom Europeiska unionen / Europeiska ekonomiska samarbetsområdet (EU/EES). Vi strävar efter att hålla alla känsliga uppgifter inom EU/EES. Om uppgifter i undantagsfall måste överföras utanför EU/EES gör vi det endast när en adekvat skyddsnivå säkerställs, till exempel genom ett beslut om adekvat skyddsnivå eller EU:s standardavtalsklausuler tillsammans med lämpliga kompletterande skyddsåtgärder.
7. Hur vi skyddar dina uppgifter (säkerhet)
Vi tillämpar tekniska och organisatoriska åtgärder som är lämpliga i förhållande till uppgifternas känslighet, inklusive kryptering vid överföring och lagring, strikt rollbaserad åtkomstkontroll, autentisering, loggning, nätverksskydd och sekretesskyldigheter för all personal och alla underbiträden. Vi ser regelbundet över dessa åtgärder och agerar vid incidenter i enlighet med våra anmälningsskyldigheter enligt GDPR.
8. Hur länge vi sparar dina uppgifter (lagringstid)
Vi sparar dina personuppgifter endast så länge det är nödvändigt för de ändamål som beskrivs ovan eller så länge lagen kräver.
- Journaluppgifter: bevaras i enlighet med svensk hälso- och sjukvårdslagstiftning. (Enligt patientdatalagen bevaras journaler i regel i minst [10] år; slutlig tid bekräftas.)
- Genetiska, biomarkör- och bärbara-enhetsdata: bevaras i [X] år efter din senaste kontakt, om du inte återkallar samtycket tidigare. [Platshållare, bekräftas.]
- Faktura- och bokföringsuppgifter: bevaras i [7] år enligt bokföringslagen.
- Webbplats-/tekniska uppgifter: bevaras under den tid som anges i vår cookiepolicy.
När uppgifter inte längre behövs raderas de säkert eller anonymiseras oåterkalleligt.
9. Dina rättigheter
Enligt GDPR har du följande rättigheter avseende dina personuppgifter:
- Tillgång: få bekräftelse på, och en kopia av, de uppgifter vi har om dig.
- Rättelse: få felaktiga eller ofullständiga uppgifter rättade.
- Radering: få dina uppgifter raderade ("rätten att bli bortglömd"), med förbehåll för rättsliga krav på bevarande av journaluppgifter.
- Begränsning och invändning: begära att vi begränsar eller upphör med viss behandling.
- Dataportabilitet: få dina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format, eller få dem överförda till en annan leverantör där det är tekniskt möjligt.
- Återkalla samtycke: när som helst återkalla samtycke du lämnat, utan att det påverkar lagligheten av behandling som skedde dessförinnan.
- Lämna klagomål: kontakta den svenska tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY), www.imy.se, om du anser att vi inte hanterat dina uppgifter korrekt. Vi ber dig gärna kontakta oss först så att vi kan försöka lösa frågan.
För att utöva någon av dessa rättigheter, kontakta oss på info@sphsi.se. Vi svarar utan onödigt dröjsmål och inom de tidsfrister som anges i GDPR.
10. Företagskunder
Om du deltar via din arbetsgivare eller annan företagskund får den organisationen inte ta del av dina individuella hälso-, genetiska eller biomarkörresultat. Företagskunder får endast aggregerad, avidentifierad rapportering som inte kan identifiera någon enskild person, om du inte lämnat separat och specifikt samtycke till individuell delning.
11. Cookies
Vår webbplats använder ett begränsat antal cookies och liknande tekniker. Vi sätter icke-nödvändiga cookies endast med ditt samtycke. För fullständig information om vilka cookies vi använder och hur du hanterar dem, se vår cookiepolicy.
12. Ändringar i denna policy
Vi kan komma att uppdatera denna integritetspolicy då och då. Den aktuella versionen och dess ikraftträdandedatum publiceras alltid på denna sida. Vid väsentliga ändringar som rör känsliga uppgifter inhämtar vi förnyat samtycke där så krävs.
13. Kontakta oss
Vid frågor om denna policy eller dina personuppgifter, kontakta oss på:
- Sweden Precision Health Science Institute AB
- Stora Gatan 64, 193 30 Sigtuna, Sverige
- E-post: info@sphsi.se
Senast uppdaterad: 18 juni 2026.
Detta dokument är ett utkast framtaget för granskning och inväntar klinikens formella juridiska granskning. Värden inom hakparenteser och lagringstider är platshållare som måste bekräftas före publicering. Det utgör ännu inte slutlig juridisk rådgivning eller en bindande integritetsinformation.
Relaterade dokument: Användarvillkor · Cookiepolicy