Personvernerklæring

1. Hvem er behandlingsansvarlig

Regna Verkt drives av en selvstendig næringsdrivende (spansk autónomo) etablert i Spania (EU) og er behandlingsansvarlig for personopplysninger som behandles i forbindelse med nettstedet, API-et og relaterte tjenester. Kontakt i personvernspørsmål: privacy@regnaverkt.com.

2. Hva vi samler inn og hvorfor

Vi behandler tre kategorier personopplysninger:

• Kontoopplysninger. E-postadresse og (valgfritt) organisasjonsnavn. Samles inn ved registrering for å levere tjenesten, sende transaksjonsmeldinger (fakturaer, fornyelsespåminnelser, feilhåndtering) og autentisere deg. Rettslig grunnlag: avtale (GDPR art. 6(1)(b)).
• Faktureringsopplysninger. Navn, faktureringsadresse og MVA-registreringsnummer - samles inn av LemonSqueezy, vår Merchant of Record. Regna Verkt får kun en kundereferanse og abonnementsstatus fra LemonSqueezy; vi håndterer eller lagrer ikke kortopplysninger. Rettslig grunnlag: avtale + rettslig plikt til fakturering.
• API-bruk. Vi logger hvert autentisert API-kall med API-nøkkel-ID, endepunkt, svarstatus og tidsstempel - for måling, misbruksdeteksjon og produktforbedring. Logger beholdes 90 dager, aggregerte tellere på ubestemt tid. Rettslig grunnlag: berettiget interesse (GDPR art. 6(1)(f)).
• Analyse (valgfritt). Hvis du aksepterer analyse-informasjonskapsler, registrerer Google Analytics 4 anonymiserte bruksmønstre på markedssiden (sidevisninger, referrer, enhetsklasse). IP-adresser anonymiseres av Google før de skrives til kontoen. Rettslig grunnlag: samtykke (GDPR art. 6(1)(a)); du kan trekke tilbake samtykke når som helst via informasjonskapsel-innstillingene nederst på siden.

3. Informasjonskapsler

Vi bruker to klasser informasjonskapsler:

• Strengt nødvendige. Autentiseringssesjon, CSRF-token, språkvalg, samtykke for informasjonskapsler. Kreves for at siden skal fungere og settes uten samtykke. Beholdes opptil 180 dager.
• Analyse. Google Analytics (`_ga`, `_ga_*`). Settes kun etter at du har klikket "Aksepter analyse" på samtykke-banneret. Beholdes opptil 14 måneder.

Vi bruker ikke annonse-informasjonskapsler, sosiale widgets eller cross-site-trackere. Web-fonter kommer fra Google Fonts, som ikke setter informasjonskapsler, men logger besøkende IP. Ta kontakt hvis du vil diskutere alternativer.

4. Databehandlere og tredjeparter

Vi deler personopplysninger kun med tjenesteleverandører som opptrer som databehandlere i henhold til en signert databehandleravtale:

• LemonSqueezy - abonnementsfakturering. Merchant of Record; mottar faktureringsadresse og MVA-opplysninger.
• Resend - transaksjonsmail (velkomstmail, dunning, tilbakestilling av passord).
• Hetzner Online GmbH - EU-basert hosting i Finland for selvbetjeningsplattformen. Personopplysninger lagres innenfor EU; backuper er kryptert i ro.
• Amazon Web Services (AWS) - brukes på to steder: (i) per-tenant Enterprise-infrastruktur (API Gateway, Lambda, DynamoDB, S3) i AWS-regionen kunden kontrakterer (f.eks. eu-north-1 Stockholm, eu-west-1 Dublin) for dataresidens; (ii) SQS-kø for utgående webhooks som selvbetjeningskunder kan konfigurere. AWS er GDPR-tilpasset og ISO 27001 + SOC 2 Type II-sertifisert. AWS GDPR-senter.
• Google Analytics 4 - anonymisert brukeranalyse, lastes kun etter samtykke.

Vi selger aldri personopplysninger. Vesentlige endringer i denne underbehandlerlisten varsles minst 14 dager på forhånd; i den perioden kan du motsette deg ved å maile privacy@regnaverkt.com.

5. Internasjonale overføringer

LemonSqueezy, AWS (i regioner utenfor EU, hvis kontraktert) og Google Analytics kan innebære overføringer til USA. Når det er aktuelt baserer vi oss på EUs standardavtaleklausuler, modul 2 (behandlingsansvarlig til databehandler), i henhold til kommisjonens beslutning 2021/914, supplert med konsekvensutredninger for overføring. AWS, LemonSqueezy og Google deltar alle i EU-US Data Privacy Framework som primært grunnlag. Der det er teknisk mulig bruker vi EU-regioner som standard (Resends EU-region, Hetzners datasenter i Finland, AWS eu-north-1 for Enterprise-tenants som ikke kontrakterer noen annen region).

6. Dine rettigheter

I henhold til GDPR og den spanske personvernloven (LOPDGDD) kan du, når som helst, be oss om å:

• bekrefte hvilke personopplysninger vi har om deg og gi en kopi (tilgang);
• rette feilaktige eller ufullstendige opplysninger (retting);
• slette kontoen din og tilhørende personopplysninger (sletting) - aktiv data slettes innen 30 dager; krypterte backuper ruller av innen ytterligere 90 dager; regnskapsdokumenter beholdes i seks år i henhold til spansk regnskapsrett (artikkel 30 i den spanske handelsloven);
• eksportere kontodataene dine i et strukturert maskinlesbart format (dataportabilitet);
• begrense eller motsette deg viss behandling.

Mail privacy@regnaverkt.com, så svarer vi innen 30 dager. Du har også rett til å klage til det spanske datatilsynet (AEPD - Agencia Española de Protección de Datos).

7. Sikkerhet

Vi hoster tjenesten innenfor EU, krypterer trafikk under overføring og backuper i ro, og begrenser produksjonstilgang til et lite antall utviklere med maskinvaretoken-2FA.

8. Selskapsdata (ikke personopplysninger)

Selskapsdatasettet vi serverer (organisasjonsnummer, regnskap, eierforhold, hendelser) aggregeres fra offentlige norske, svenske og amerikanske registerinnleveringer. I enkelte tilfeller omfatter dette navn på fysiske personer som er styremedlemmer eller aksjonærer. Vi behandler den informasjonen som databehandler på vegne av kunden som kjører forespørselen; behandlingsansvarlig er kunden. Vi beriker eller krysskobler ikke disse dataene med noen annen personopplysningskilde.

9. Endringer i erklæringen

Vesentlige endringer varsles via e-post til aktive kunder minst 14 dager på forhånd, og revisjonsdatoen øverst på siden oppdateres.