BBolifix
Logg innStart et prosjekt
Juridisk · Utkast

Personvernerklæring

Versjon 0.1 · 24. april 2026 · Oppdateres når Bolifix AS er stiftet

Utkast til advokat-review. Denne erklæringen følger GDPR art. 13–14 og norske regler, men skal gjennomgås av jurist før full lansering.

1. Behandlingsansvarlig

Bolifix AS (under stifting), Bergen, Norge. Kontakt: einarms@outlook.com. Personvernombud (DPO) er ikke oppnevnt i MVP-fase og vurderes ved skalering.

2. Behandlingsgrunnlag

  • Avtale (GDPR art. 6(1)(b)): matching, chat, tilbudsmaler, AI-utkast, rating, abonnementsfakturering.
  • Berettiget interesse (art. 6(1)(f)): svindel-prevensjon, moderering, sikkerhet, AI-validering.
  • Rettslig forpliktelse (art. 6(1)(c)): bokføringsloven, tilsynsmyndigheter, DSA-rapportering.
  • Samtykke (art. 6(1)(a)): markedsførings-e-post, ikke-strengt-nødvendige cookies.

3. Kategorier personopplysninger

KategoriKundeHåndverker
IdentitetNavn, valgfri BankID-badgeNavn, org.nr, representant
KontaktE-post, telefon, adresseE-post, telefon, forretningsadresse
LokasjonJobb-adresse, ev. GPS ved bookingService-områder
TransaksjonJobbeskrivelse, chat, rating, opplastet avtaleutkastSamme + abonnementsdata
TekniskIP, user-agent, cookie-IDIP, user-agent, cookie-ID

Vi lagrer ikke fødselsnummer i klartekst. Hvis du aktiverer valgfri BankID-badge, lagres kun et pseudonymisert identifikasjonssporing (HMAC-SHA-256).

4. Underleverandører (databehandlere)

Alle leverandører har signert databehandleravtale (DPA) før produksjonsbruk.

  • Supabase (Frankfurt, EU) — database, auth, storage, realtime, edge functions
  • Vercel (EU-primær) — applikasjons-hosting
  • Resend (EU) — transaksjonell e-post
  • PostHog (EU) — produktanalyse (anonymisert)
  • Sentry (EU) — feilhåndtering
  • Stripe (Irland/EU) — abonnementsfakturering, ikke Connect
  • Criipto (EU) — BankID-autentisering, valgfri
  • Anthropic (USA/EU) — AI-generering av avtaleutkast; DPF + SCC som overføringsgrunnlag. TIA dokumentert.

5. Lagringsperioder

  • Opplastet avtale-PDF (hvis lastet opp): 10 år (reklamasjon + regnskap)
  • AI-utkast (publisert): 10 år når koblet til avtale, ellers 12 mnd
  • Chat-meldinger i kontraktstråder: 10 år (bevis i tvist)
  • Abonnement + faktura: 5 år etter oppsigelse (bokføringsloven)
  • Service-forespørsler uten avtale: 12 måneder
  • Verifikasjonsdokumenter (forsikring, Sentral godkjenning): til utløp + 5 år
  • Brreg-cache: 7 dager

6. Dine rettigheter (GDPR art. 15–22)

  • Innsyn: eksport av alle dine data som JSON + ZIP innen 30 dager.
  • Korrigering: via profilside eller support.
  • Sletting: pseudonymisering der det er mulig; bokføringspliktig data beholdes til lagringsperiode utløper.
  • Dataportabilitet: maskinlesbar eksport.
  • Innsigelse mot automatiserte beslutninger (art. 22): AI-avtaleutkast treffer ingen beslutninger på dine vegne — det er alltid et forslag til gjennomgang.
  • Klage: til Datatilsynet (datatilsynet.no).

7. Datadeling mellom brukere

Når du sender en aktiv forespørsel til en håndverker, deles navn, telefon, og adresse med den aktuelle håndverkeren. Håndverkerens offentlige profilopplysninger er alltid synlig for kunder på kartet.

8. EU/EØS-hosting

Primærdata lagres i EU (Supabase Frankfurt, Vercel EU-regioner). Enkelte underleverandører (særlig Anthropic) behandler data i USA under DPF + Standard Contractual Clauses.

9. Cookies

Se egen cookie-erklæring. Vi bruker aktivt samtykke (ekomloven § 3-15) for ikke-strengt-nødvendige cookies.

10. Endring av erklæringen

Vesentlige endringer varsles via e-post og innlogging minst 14 dager før de trer i kraft. Versjonshistorikk er tilgjengelig på forespørsel.