Personvernerklæring

Behandlingsansvarlig for personopplysningene som behandles i MinBarnevakt er: App, App, APP! AS Org.nr. 836 886 809 E-post: contact@app-app-app.app Hvis du har spørsmål om behandlingen av dine personopplysninger, ta kontakt på e-postadressen ovenfor.

Vi samler inn og behandler følgende kategorier av personopplysninger: Telefonnummer Brukes for innlogging via SMS (engangskode) og for å identifisere brukeren unikt i systemet. Navn Vises i grensesnitt, timelister og lønnslipper. Rolle (arbeidsgiver / barnevakt) Avgjør hvilken funksjonalitet brukeren har tilgang til. Fødselsnummer (11 siffer) Registreres frivillig av barnevakten og brukes til a-melding og lønnsrapportering. Lagres kryptert (AES-256-GCM via Supabase Vault). Kontonummer (11 siffer) Registreres frivillig av barnevakten og brukes for betalingsinformasjon i lønnslipp og «kopier til nettbank»-funksjon. Lagres kryptert. Timeregistreringer Dato, antall timer og valgfri kommentar per arbeidsøkt. Brukes som grunnlag for lønn. Lønnskjøringer og lønnslipper Brutto, skattetrekk og nettobeløp beregnet fra timeregistreringer og engasjementsbetingelser. Engasjementsbetingelser Timelønn og skattetrekksprosent avtalt mellom arbeidsgiver og barnevakt. Språkpreferanse Brukes for å vise grensesnittet på valgt språk.

Behandlingen av personopplysninger er basert på følgende rettslige grunnlag i henhold til GDPR artikkel 6: Artikkel 6 nr. 1 bokstav b – Avtale Behandling av telefonnummer, navn, rolle, timeregistreringer og lønnsdata er nødvendig for å oppfylle avtalen om tjenesten mellom MinBarnevakt og brukeren. Artikkel 6 nr. 1 bokstav c – Rettslig forpliktelse Behandling av fødselsnummer, kontonummer og lønnsdata kan være nødvendig for å overholde regnskapslovens krav til oppbevaring av regnskapsdokumentasjon (fem år). Artikkel 6 nr. 1 bokstav a – Samtykke Utsendelse av engangskode via SMS er basert på brukerens samtykke ved å oppgi telefonnummer og be om koden.

Vi deler personopplysninger med følgende underleverandører (databehandlere). Alle har inngått databehandleravtale (DPA) og behandler data innenfor EU/EØS: Supabase (database og autentisering) Postgres-database med radnivå-sikkerhet (RLS) og kryptert lagring av sensitiv data. Datasentre i EU (Irland og Frankfurt). Twilio (SMS-tjeneste) Brukes utelukkende til å sende engangskoder for innlogging og invitasjons-SMS. Twilio behandler telefonnummer etter konfigurasjon begrenset til EU-regioner. Vercel (applikasjonsdrift) Drifter Next.js-applikasjonen og håndterer HTTP-forespørsler. Behandler ikke personopplysninger utover det som er nødvendig for å levere HTTP-svar. Vi selger ikke personopplysninger til tredjeparter og deler ikke data med andre enn de nevnte underleverandørene.

Alle data lagres i EU/EØS. Lagringstid: • Lønnsdata (lønnskjøringer og lønnslipper): minimum 5 år, jf. regnskapsloven § 13 • Øvrige personopplysninger: frem til brukeren sletter kontoen sin • Fødselsnummer og kontonummer: slettes umiddelbart dersom brukeren oppdaterer eller sletter opplysningene Sikkerhetstiltak: • Radnivå-sikkerhet (RLS) i databasen sikrer at brukere kun kan se sine egne data • Fødselsnummer og kontonummer krypteres med AES-256-GCM via Supabase Vault • Fødselsnummer og kontonummer vises aldri i fulltekst – kun maskert (f.eks. *** ** *****) • All kommunikasjon skjer over HTTPS • Revisjonslogg (audit log) for sensitive operasjoner

Du har følgende rettigheter etter GDPR: Innsyn (art. 15) Du kan be om innsyn i hvilke personopplysninger vi behandler om deg. Retting (art. 16) Du kan be om at uriktige eller ufullstendige opplysninger rettes. Sletting (art. 17) Du kan be om at personopplysningene dine slettes, med mindre videre oppbevaring er påkrevd ved lov (f.eks. lønnsdata etter regnskapsloven). Dataportabilitet (art. 20) Du kan be om å få ut dine personopplysninger i et maskinlesbart format. Innsigelse og begrensning (art. 18–21) Du kan protestere mot eller be om begrensning av behandlingen i nærmere bestemte situasjoner. For å utøve dine rettigheter, kontakt oss på e-postadressen i punkt 1. Vi svarer innen 30 dager. Du har rett til å klage til Datatilsynet (www.datatilsynet.no) dersom du mener vi behandler personopplysningene dine i strid med regelverket.