Integritetspolicy

Denna integritetspolicy beskriver hur Redor AS (nedan ”vi”, ”oss” eller ”Redor”) samlar in, använder, lagrar och skyddar dina personuppgifter när du använder Bungaflow. Policyn gäller alla användare av tjänsten, inklusive gäster som använder gästportalen.

Vi behandlar personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR) och den norska personuppgiftslagen. Genom att använda Bungaflow samtycker du till insamling och användning av information i enlighet med denna integritetspolicy.

Ord med stor begynnelsebokstav har den betydelse som definieras i våra användarvillkor.

I. Definitioner

• ”Personuppgiftsansvarig” — Redor AS, org.nr. 916 505 310, som bestämmer ändamålet med och medlen för behandling av personuppgifter.
• ”Personuppgifter” — all information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar fysisk person, inklusive namn, e-postadress, IP-adress, enhetsidentifierare och platsdata.
• ”Behandling” — varje åtgärd som utförs med personuppgifter, oavsett om den är automatiserad eller inte, såsom insamling, registrering, organisering, lagring, anpassning, utlämning eller radering.
• ”Personuppgiftsbiträde” — en tredje part som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Detta inkluderar våra tjänsteleverantörer.
• ”Registrerad”/ ”Du” — den fysiska person vars personuppgifter behandlas, inklusive användare av tjänsten och gäster.
• ”Tjänsten” — Bungaflow-plattformen, inklusive webbapplikation, API:er, gästportal och relaterade tjänster, tillgänglig på bungaflow.com.
• ”Användningsdata” — data som samlas in automatiskt vid användning av tjänsten, såsom IP-adress, webbläsartyp, besökta sidor och tidpunkt.
• ”Cookies” (kakor) — små datafiler som lagras på din enhet för att känna igen dig och lagra inställningar.

II. Insamling och användning av personuppgifter

a. Personuppgifter vi samlar in

När du använder Bungaflow kan vi be dig att uppge följande personuppgifter:

• E-postadress
• Fullständigt namn
• Enhetsinformation (adress, namn och typ för delad fastighet)
• Användningsdata

b. Användningsdata

Användningsdata samlas in automatiskt när du använder tjänsten. Detta kan inkludera IP-adress, webbläsartyp och -version, vilka sidor du besöker, tidpunkt för besök, tid spenderad på sidor, unika enhetsidentifierare och annan diagnostisk data.

När du använder tjänsten via en mobil enhet kan vi också samla in information om enhetstyp, mobil-ID, operativsystem och webbläsartyp.

c. Innehåll du lägger in

Utöver personuppgifter behandlar vi innehåll som du aktivt lägger in i tjänsten:

• Bokningar och kalenderdata
• Utgifter och kvitton (inklusive bilder)
• Underhållsloggar, FDV-dokument och skaderapporter
• Uppgifter och checklistor
• Gästboksinlägg och stugboksinlägg
• Meddelanden mellan medlemmar
• Husregler
• Inventarier, nödförråd och försäkringsuppgifter
• Kontaktregister (t.ex. rörmokare, elektriker)
• Lokal guideinformation (närliggande platser och tjänster)
• Aktivitetslogg (åtgärder utförda i enheten)
• Enhetsinformation som WiFi-lösenord (krypterat med AES-256-GCM)

d. Push-notiser

Om du aktiverar push-notiser lagrar vi teknisk information (endpoint, nycklar) som är nödvändig för att leverera notiser till din enhet. Denna information raderas när du inaktiverar notiser eller raderar ditt konto.

e. Data från gästportalen

Gäster som använder gästportalen via en delad länk behöver inte skapa ett konto. Vi samlar inte in personuppgifter från gäster om de inte aktivt lägger in information, till exempel gästboksinlägg (namn och meddelande). IP-adresser kan loggas tillfälligt i serverloggar i säkerhetssyfte.

III. Cookies och spårningsteknik

Vi använder cookies (kakor) och liknande teknologier för att driva och förbättra tjänsten. Samtycke till cookies hanteras av Cookiebot (Usercentrics), vår samtyckeshanteringslösning (CMP).

a. Nödvändiga cookies

Dessa krävs för att tjänsten ska fungera och kräver inte samtycke:

• Sessionscookies: Supabase auth-token för inloggning och sessionshantering.
• Språkinställning: Lagrar valt språk.
• Cookiebot-samtycke: Lagrar dina cookie-inställningar.
• Temainställning: Lagrar val av ljust eller mörkt tema (localStorage).

b. Inställningscookies

Kommer ihåg dina val och inställningar för att ge en bättre användarupplevelse. Sätts endast med ditt samtycke.

c. Statistikcookies

Analyticscookies som hjälper oss att förstå hur tjänsten används så att vi kan förbättra den. Sätts endast med ditt uttryckliga samtycke.

d. Marknadsföringscookies

Används inte för närvarande, men kategorin finns i Cookiebot för framtida bruk. Sätts aldrig utan ditt samtycke.

Du kan när som helst ändra dina cookie-inställningar via Cookiebot-bannern eller länken ”Cookie-inställningar” i sidfoten. En fullständig och automatiskt uppdaterad översikt över alla cookies finns i Cookiebots cookie-deklaration på webbplatsen.

IV. Rättslig grund för behandling

Vi behandlar personuppgifter med följande rättsliga grunder enligt GDPR:

• Avtal (art. 6(1)(b)): Behandling som är nödvändig för att fullgöra avtalet med dig — kontoskapande, autentisering, bokning, utgiftsdelning, underhållslogg, uppgifter, notiser och leverans av tjänsten.
• Samtycke (art. 6(1)(a)): Valfria cookies (statistik, inställningar, marknadsföring), nyhetsbrev och behandling av data via AI-assistenten.
• Berättigat intresse (art. 6(1)(f)): Tjänsteutveckling, felrättning, säkerhet, bedrägeriförebyggande och förbättring av användarupplevelsen. Dessutom utskick av produktnyheter, företagsnyheter och tjänsteuppdateringar till befintliga användare. Vi gör en intresseavvägning för att säkerställa att dina rättigheter inte åsidosätts.
• Rättslig förpliktelse (art. 6(1)(c)): Behandling som är nödvändig för att uppfylla lagstadgade krav, såsom bokföringslagstiftning och anmälan vid säkerhetsincidenter.

V. Användning av personuppgifter

Vi använder dina personuppgifter för följande ändamål:

• Kontohantering: Skapa och hantera ditt användarkonto, autentisera dig och ge tillgång till tjänstens funktioner.
• Tjänsteleverans: Leverera kärnfunktionalitet som bokning, utgiftsdelning, underhållslogg, uppgiftslistor, gästportal och meddelanden.
• Kommunikation: Skicka push-notiser, e-postnotiser om kontoändringar, säkerhetsuppdateringar och villkorsändringar. Vi skickar även produktnyheter, företagsnyheter, information om nya samarbeten och tjänsteuppdateringar via e-post. Du kan när som helst avregistrera dig från icke-väsentliga e-postmeddelanden via avregistreringslänken i varje utskick.
• Betalning: Behandla prenumerationsbetalningar via Stripe (vi lagrar inte dina betalkortuppgifter).
• AI-assistent: Leverera AI-baserad assistans via OpenAI. Data du skickar till AI-assistenten behandlas av OpenAI i enlighet med deras personuppgiftsbiträdesavtal.
• Förbättring av tjänsten: Analysera användningsmönster för att förbättra funktionalitet, prestanda och användarupplevelse.
• Säkerhet: Upptäcka och förebygga bedrägeri, missbruk och säkerhetshot.
• Rättsliga förpliktelser: Uppfylla lagstadgade krav som bokföring och rapportering.

VI. Delning av personuppgifter

Vi säljer inte dina personuppgifter. Vi kan dela personuppgifter i följande situationer:

• Med personuppgiftsbiträden: Vi delar personuppgifter med tjänsteleverantörer som behandlar data på våra vägnar (se avsnitt VII). Alla personuppgiftsbiträden är bundna av personuppgiftsbiträdesavtal i enlighet med GDPR art. 28.
• Med andra användare: Information du delar inom en enhet (bokningar, meddelanden, gästboksinlägg) är synlig för andra medlemmar i den enheten. Gästboksinlägg är synliga för alla med tillgång till gästportalen.
• Inom organisationer: Om din enhet är kopplad till en organisation kan organisationsadministratören se enhetens namn och medlemsinformation. Meddelanden, dokument och kungörelser som delas via organisationen är synliga för alla organisationens medlemmar.
• Vid verksamhetsöverlåtelse: Om Redor fusioneras med, förvärvas av eller överlåter väsentliga tillgångar till ett annat företag kan personuppgifter överföras. Du kommer att meddelas i förväg.
• Vid rättsliga krav: Vi kan lämna ut personuppgifter om vi är rättsligt förpliktade att göra det, eller för att skydda Redors rättigheter, användarnas säkerhet eller allmänhetens intressen.
• Med ditt samtycke: Vi kan dela personuppgifter för andra ändamål om du ger ditt uttryckliga samtycke.

VII. Tredjepartstjänster (personuppgiftsbiträden)

Följande tredjepartstjänster behandlar personuppgifter på våra vägnar för att leverera tjänsten:

a. Supabase — Autentisering och databas

Supabase hanterar användarautentisering (magic link (e-postlänk) och Google-inloggning) och lagrar data i en PostgreSQL-databas. Databasen är värd i EU-West (Irland). Supabase är GDPR-kompatibelt och erbjuder personuppgiftsbiträdesavtal.

Integritet: supabase.com/privacy

b. Stripe — Betalningshantering

Stripe hanterar alla betalningar och prenumerationer. Vi lagrar inte kortnummer eller betalningsuppgifter — dessa behandlas direkt av Stripe, som är PCI DSS-certifierat.

Integritet: stripe.com/privacy

c. OpenAI — AI-assistent

Bungaflows AI-assistent använder OpenAI (GPT-4o-mini) via API. Data du skickar till AI-assistenten överförs till OpenAI för bearbetning. OpenAI använder inte API-data för att träna sina modeller. Dela inte känsliga personuppgifter i chatten. AI-assistenten respekterar rollbaserad åtkomstkontroll — Lite-medlemmar kan bara använda AI-assistenten om det är aktiverat av deras administratör, och den data som visas filtreras baserat på administratörskonfigurerade moduler.

Integritet: openai.com/policies/privacy-policy

d. Vercel — Hosting och CDN

Vercel hostar Bungaflow och levererar innehåll via sitt CDN. Serverloggar kan innehålla IP-adresser och användningsdata.

Integritet: vercel.com/legal/privacy-policy

e. Cookiebot (Usercentrics) — Samtyckeshantering

Cookiebot hanterar cookie-samtycke och skannar webbplatsen efter cookies. Cookiebot lagrar dina samtyckesval.

Integritet: cookiebot.com/en/privacy-policy

f. Resend — E-postleverans

Resend hanterar utskick av transaktionella e-postmeddelanden (välkomst, inbjudningar, aviseringar och feedback). E-postadresser överförs till Resend för leverans.

Integritet: resend.com/legal/privacy-policy

g. Google Analytics (Google Tag Manager) — Webbplatsanalys

Vi använder Google Analytics via Google Tag Manager för att analysera webbplatsanvändning. Analyskakor sätts endast med ditt samtycke via Cookiebot. Google kan behandla IP-adresser och användningsdata.

Integritet: policies.google.com/privacy

h. OpenStreetMap (Nominatim / Overpass) — Geokodning och platssökning

Vi använder Nominatim för geokodning och Overpass API för att hitta närliggande platser. Enhetens adress och koordinater överförs.

Integritet: osmfoundation.org/wiki/Privacy_Policy

i. Meteorologisk institutt (MET) — Väderprognos

Vi hämtar väderprognoser från METs API baserat på enhetens koordinater. Endast koordinater överförs.

Integritet: met.no/om-oss/personvern

j. iCal-import — Kalendersynkronisering

Användare kan importera bokningar från Airbnb, Booking.com, Finn.no och Google Calendar via iCal-flöden. Dessa tjänster omfattas av sina egna integritetspolicyer. Vi hämtar endast kalenderdata (datum och bokningsdetaljer) från dessa källor.

VIII. Överföring av personuppgifter

Dina personuppgifter kan överföras till och lagras på servrar utanför Norge/EES, eftersom vissa av våra personuppgiftsbiträden har infrastruktur i andra länder (främst USA).

Vid överföring till länder utanför EES säkerställer vi en adekvat skyddsnivå genom:

• EU-kommissionens adekvansbeslut (t.ex. EU-US Data Privacy Framework)
• Standardavtalsklausuler (SCCs) antagna av EU-kommissionen
• Personuppgiftsbiträdesavtal med relevanta säkerhetsåtgärder

IX. Lagring och radering av personuppgifter

Vi lagrar personuppgifter endast så länge som det är nödvändigt för de ändamål som beskrivs i denna policy, eller så länge vi är lagstadgat skyldiga att bevara dem.

• Kontodata: Lagras så länge kontot är aktivt. Vid radering av konto tas personuppgifter bort inom 30 dagar, med undantag för data vi är lagstadgat skyldiga att bevara.
• Användningsdata: Lagras under en kortare period för analys och felsökning, om inte längre lagring är nödvändig för säkerhet eller rättsliga ändamål.
• Betalningsdata: Stripe bevarar transaktionsdata i enlighet med PCI DSS-krav och tillämplig bokföringslagstiftning.
• Serverloggar: IP-adresser och tekniska loggar raderas automatiskt efter 30 dagar.

Bungaflow erbjuder en exportfunktion i inställningarna som låter dig ladda ner alla data kopplade till en enhet. Vi rekommenderar att du använder denna regelbundet för att ha en egen säkerhetskopia av dina data.

Du kan när som helst begära radering av ditt konto och tillhörande personuppgifter genom att kontakta oss på hei@redor.no.

X. Datasäkerhet

Vi tar säkerheten för dina personuppgifter på allvar och har implementerat tekniska och organisatoriska åtgärder för att skydda dem:

• Känsliga data (t.ex. WiFi-lösenord) krypteras med AES-256-GCM före lagring.
• All trafik överförs via HTTPS/TLS.
• Säkerhetsrubriker som HSTS, X-Frame-Options och Content-Security-Policy är aktiverade.
• Autentisering hanteras av Supabase med säker sessionshantering.
• Regelbunden säkerhetsgranskning av kod och infrastruktur.
• Rollbaserad åtkomstkontroll (Admin, Lite) med konfigurerbar sidåtkomst säkerställer att användare bara har tillgång till data de är behöriga för.

Ingen metod för överföring via internet eller elektronisk lagring är 100 % säker. Vi strävar efter att använda kommersiellt godtagbara metoder för att skydda dina personuppgifter, men kan inte garantera absolut säkerhet.

Vid säkerhetsincidenter som påverkar personuppgifter kommer vi att meddela Datatilsynet (den norska dataskyddsmyndigheten) inom 72 timmar (GDPR art. 33) och berörda användare utan onödigt dröjsmål om incidenten medför hög risk för den registrerades rättigheter och friheter (GDPR art. 34).

XI. Dina rättigheter enligt GDPR

Som registrerad har du följande rättigheter enligt GDPR:

• Rätt till tillgång (art. 15): Du har rätt att få bekräftat huruvida vi behandlar dina personuppgifter, och i så fall få tillgång till uppgifterna och information om behandlingen.
• Rätt till rättelse (art. 16): Du har rätt att få felaktiga personuppgifter om dig rättade utan onödigt dröjsmål.
• Rätt till radering (art. 17): Du har rätt att få dina personuppgifter raderade när det inte längre finns en legitim grund för behandlingen.
• Rätt till begränsning (art. 18): Du har rätt att begära att behandlingen begränsas i vissa situationer.
• Rätt till dataportabilitet (art. 20): Du har rätt att ta emot dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format, och att överföra dem till en annan personuppgiftsansvarig.
• Rätt att invända (art. 21): Du har rätt att invända mot behandling baserad på berättigat intresse, inklusive profilering.
• Rätt att återkalla samtycke: Om behandlingen grundas på samtycke kan du återkalla det när som helst. Återkallandet påverkar inte lagligheten av behandling som utfördes före återkallandet.

Utövande av rättigheter

För att utöva dina rättigheter, kontakta oss på hei@redor.no. Vi kan be dig att bekräfta din identitet innan vi behandlar begäran. Vi svarar inom 30 dagar efter mottagen begäran. Vid komplexa eller många begäranden kan fristen förlängas med ytterligare 60 dagar, med förhandsmeddelande till dig.

Du har rätt att lämna in klagomål till Datatilsynet (den norska dataskyddsmyndigheten) om du anser att behandlingen av dina personuppgifter strider mot GDPR eller norsk dataskyddslagstiftning.

Datatilsynet: datatilsynet.no

XII. Automatiserade beslut och profilering

Bungaflow använder inte automatiserat beslutsfattande eller profilering enligt GDPR art. 22 som har rättsliga eller liknande betydande effekter för dig. AI-assistenten ger information och förslag men fattar inga beslut å dina vägnar.

Utgiftsberäkningar, kostnadsfördelning och andra beräkningar i tjänsten är verktyg — inte ekonomisk eller juridisk rådgivning. Du ansvarar själv för att verifiera beräkningarna och fatta dina egna beslut.

XIII. Barn

Bungaflow riktar sig inte till barn under 16 år. Vi samlar inte medvetet in personuppgifter från barn under 16. Om du blir medveten om att ett barn har gett oss personuppgifter, vänligen kontakta oss så att vi kan radera informationen.

Barn över 16 kan ha en ”Lite”-roll i en enhet, men kontot ska skapas och hanteras av en vårdnadshavare.

XIV. Länkar till andra webbplatser

Tjänsten kan innehålla länkar till externa webbplatser som inte drivs av oss (t.ex. iCal-källor, Stripes betalningsportal, OpenAI). Vi har ingen kontroll över och tar inget ansvar för innehållet, integritetspolicyerna eller praxis hos dessa tredjepartswebbplatser. Vi rekommenderar att du läser integritetspolicyn för varje webbplats du besöker.

XV. Ändringar i denna integritetspolicy

Vi kan uppdatera denna integritetspolicy för att återspegla förändringar i tjänsten, lagstiftning eller vår praxis. Vid väsentliga ändringar meddelas du minst 30 dagar i förväg via e-post.

Datumet ”Senast uppdaterad” längst upp i dokumentet uppdateras vid varje ändring. Vi rekommenderar att du granskar denna policy regelbundet.

XVI. Kontaktinformation

Har du frågor om denna integritetspolicy eller vill utöva dina rättigheter kan du kontakta oss:

Personuppgiftsansvarig:

Redor AS
Org.nr. 916 505 310
E-post: hei@redor.no
Webbplats: www.redor.no

Tillsynsmyndighet:

Datatilsynet (Norges dataskyddsmyndighet)
www.datatilsynet.no