Custodium AS – utkast til publisering. Ikrafttredelsesdato settes ved lansering.
Denne erklæringen er skrevet på norsk fordi tjenesten i første omgang tilbys i Norge. Dersom det oppstår motstrid mellom ulike språkversjoner, vil den norske versjonen normalt ha forrang.
1. Om denne erklæringen
Denne personvernerklæringen forklarer hvordan Custodium AS behandler personopplysninger når du bruker Svindelskanner-appen, tilhørende nettsider, kundeservice, forum og eventuelle premiumfunksjoner. Erklæringen gjelder for behandlinger som skjer når du oppretter konto, logger inn, skanner lenker eller QR-koder, bruker forumet, mottar meldinger fra oss eller på annen måte bruker tjenesten.
2. Behandlingsansvarlig
Custodium AS er behandlingsansvarlig for personopplysningene som behandles i Svindelskanner. Selskapets organisasjonsnummer er 937 547 811. Kontaktadresse for personvernhenvendelser og øvrige henvendelser er post@custodium.no.
3. Hvem tjenesten er ment for
Svindelskanner er i utgangspunktet rettet mot brukere i Norge. Tjenesten er ikke ment for barn under 13 år. Dersom vi blir kjent med at en konto er opprettet av et barn under 13 år uten gyldig samtykke fra forelder eller foresatt der dette kreves, kan kontoen stenges og tilknyttede opplysninger slettes eller anonymiseres.
Aldersgrensen er satt konservativt for å gjøre tjenesten mer forsvarlig og lettere å drifte i samsvar med reglene som normalt gjelder for informasjonssamfunnstjenester rettet mot barn.
4. Hvilke opplysninger vi behandler
- Konto- og identifikasjonsopplysninger, som navn, e-postadresse, brukernavn, innloggingsmetode og tekniske identifikatorer knyttet til autentisering via e-post, Apple eller Google.
- Opplysninger du selv legger inn i tjenesten, som URL-er, domenenavn, QR-relaterte lenker, foruminnlegg, kommentarer, rapporter, supporthenvendelser og eventuelle frivillige svar om tidligere erfaring med svindel.
- Resultat- og brukerhistorikk, som risikoscore, forklaringer, anbefalinger, søkehistorikk og tilknytning mellom slike resultater og brukerprofilen din.
- Tekniske og driftsrelaterte opplysninger, som IP-adresse, enhetstype, operativsystem, appversjon, språkinnstillinger, krasjlogger, sikkerhetslogger og tilsvarende informasjon som er nødvendig for drift, feilsøking og sikkerhet.
- Lokasjonsopplysninger i den utstrekning slike data fremkommer fra IP-adresse, enhetsinnstillinger eller annen funksjonalitet du bruker. Dersom presis lokasjon senere innføres, vil dette beskrives særskilt og eventuelt kreve egne tillatelser.
- Abonnements- og betalingsrelaterte opplysninger, som abonnementstype, kjøpsdato, fornyelsesstatus, kvitteringsdata og statusmeldinger fra betalingsleverandør eller appbutikk. Betalingskortopplysninger behandles i utgangspunktet av relevant betalingsleverandør eller appbutikk, ikke direkte av oss.
- Analyse- og produktopplysninger, som bruksmønstre, hendelser i appen, målinger av funksjonsbruk og pseudonymiserte eller aggregerte data som brukes til statistikk, forbedring og sikkerhetsarbeid.
5. Hvorfor vi behandler opplysningene og hvilket grunnlag vi bruker
Vi behandler personopplysninger bare når vi har et gyldig behandlingsgrunnlag. De viktigste formålene og grunnlagene er:
- For å opprette og administrere konto, levere appen, vise skanneresultater og gi deg tilgang til gratis- eller premiumfunksjoner. Grunnlaget er normalt at behandlingen er nødvendig for å oppfylle avtalen med deg.
- For å håndtere betaling, fornyelse, kundeservice, feilretting, tvister, misbrukshåndtering og sikkerhetsarbeid. Grunnlaget er normalt avtale, rettslig forpliktelse og/eller vår berettigede interesse i å drive tjenesten på en sikker og forsvarlig måte.
- For å moderere forumet, håndheve forumregler og beskytte andre brukere og tjenesten mot trakassering, spam, svindelforsøk, sabotasje og annet misbruk. Grunnlaget er vår berettigede interesse og, der det er relevant, oppfyllelse av avtalen.
- For å forbedre algoritmer, brukeropplevelse, oppdagelse av trusler, statistikk og rapportering. Der det er mulig, søker vi å bruke pseudonymiserte eller aggregerte data. Grunnlaget er normalt vår berettigede interesse, og i enkelte tilfeller samtykke dersom loven krever det.
- For å sende driftsmeldinger, sikkerhetsvarsler og andre nødvendige tjenestemeldinger. Grunnlaget er normalt avtale eller vår berettigede interesse i sikker drift.
- For å sende markedsføring på e-post, push eller lignende kanaler der dette ikke er strengt nødvendig for tjenesten. Dette skjer bare når du har samtykket, eller der slik markedsføring ellers er tillatt etter gjeldende regler.
6. Om skanneresultater, historikk og forbedring av tjenesten
Når du bruker Svindelskanner, kan vi lagre lenker du sjekker, resultatene som genereres og tilknyttede metadata. Dette gjør vi for å levere historikk til kontoen din, avdekke misbruk, forbedre kvaliteten i tjenesten og produsere aggregert innsikt.
Når vi bruker søkehistorikk eller resultater til analyse, produktforbedring eller såkalt intel-funksjonalitet, vil vi så langt som mulig bruke pseudonymisering, aggregering eller andre tiltak som reduserer risikoen for at enkeltbrukere kan identifiseres. Vi forbeholder oss retten til å utelate, generalisere eller ikke publisere data dersom det finnes risiko for direkte eller indirekte identifisering.
7. Intel-siden og aggregerte data
Svindelskanner kan publisere statistikk, trender, volumdata, kategorier, gjennomsnittlige risikobilder og lignende innsikt i en egen intel-del av tjenesten. Slike visninger skal i utgangspunktet være aggregert og anonymisert.
Dersom vi viser populære domener, URL-er eller lignende mønstre, vil dette bare skje når vi vurderer at visningen er forsvarlig. Vi kan legge inn terskelverdier, forsinke publisering, forkorte eller generalisere informasjon, eller avstå fra visning helt dersom vi mener at publisering kan medføre personvern- eller sikkerhetsrisiko.
8. Hvor lenge vi lagrer opplysningene
Vi lagrer ikke personopplysninger lenger enn nødvendig for formålene de ble samlet inn for, med mindre loven krever eller tillater lengre lagring. Som utgangspunkt gjelder følgende:
- Kontoopplysninger lagres så lenge kontoen er aktiv. Ved sletting av konto slettes eller anonymiseres kontoopplysninger normalt innen 30 dager, med forbehold for sikkerhetskopier og lovpålagte oppbevaringskrav.
- Skannerhistorikk og resultater lagres normalt så lenge kontoen er aktiv eller til du sletter historikken der slik funksjonalitet er tilgjengelig. Ved kontosletting slettes eller anonymiseres historikken normalt innen 30 dager, mens restdata i sikkerhetskopier kan bli stående i en begrenset periode før de overskrives.
- Sikkerhetslogger, tilgangslogger og tekniske feillogger lagres normalt i opptil 12 måneder, med mindre lengre oppbevaring er nødvendig for å undersøke misbruk, håndtere en sikkerhetshendelse eller oppfylle en rettslig plikt.
- Supporthenvendelser og korrespondanse lagres normalt i opptil 24 måneder etter at saken er avsluttet, med mindre det er nødvendig å oppbevare dem lenger av dokumentasjons- eller tvistgrunner.
- Foruminnhold kan forbli publisert etter at konto er slettet, men vil da normalt anonymiseres ved at navn, profil eller andre identifikatorer fjernes eller gjøres utilgjengelige, med mindre vi må bevare innholdet i identifiserbar form for å håndheve regler, håndtere klager eller oppfylle rettslige krav.
- Kjøps- og regnskapsrelaterte opplysninger oppbevares så lenge vi er rettslig forpliktet til det etter bokførings-, regnskaps- eller skatteregler.
Dersom vi endrer lagringsperiodene vesentlig, vil dette oppdateres i denne erklæringen.
9. Hvem vi deler opplysningene med
Vi kan dele personopplysninger med leverandører og samarbeidspartnere som behandler opplysninger på våre vegne eller som selv er behandlingsansvarlige for deler av leveransen. Dette kan omfatte leverandører av hosting, database, autentisering, analyse, sikkerhets-API-er, e-post, kundeservice, betalingsinfrastruktur og appdistribusjon.
Per i dag kan dette blant annet omfatte one.com, Supabase, RevenueCat, Superwall, Apple App Store, Google Play, Stripe (dersom tatt i bruk), Cloudflare, Google, Microsoft og Have I Been Pwned.
Leverandørbildet kan endres over tid. Vi vil forsøke å holde informasjonen om kategorier av mottakere oppdatert, men navn på enkeltleverandører kan endres uten særskilt varsel dersom funksjonen i tjenesten tilsier det.
Vi selger ikke personopplysninger som sådan. Vi kan likevel dele opplysninger når dette er nødvendig for å levere tjenesten, oppfylle lovpålagte plikter, håndtere krav eller beskytte våre eller andres rettigheter.
10. Overføring utenfor EU/EØS
Noen av våre leverandører eller underleverandører kan befinne seg utenfor EU/EØS, eller behandle data derfra. Dersom personopplysninger overføres til land uten et tilsvarende beskyttelsesnivå, vil vi søke å bruke et gyldig overføringsgrunnlag, som for eksempel EU-kommisjonens standard personvernbestemmelser eller andre lovlige mekanismer.
11. Cookies, analyse og push-varsler
Appen kan bruke analyse- og sporingsverktøy utover det som er strengt nødvendig for drift. Der loven krever det, vil slike verktøy bare aktiveres etter gyldig samtykke. Nødvendige tekniske løsninger som kreves for sikker innlogging, betalingskontroll, feilsøking og grunnleggende drift kan brukes uten slikt samtykke der dette er lovlig.
Vi kan sende push-varsler, men skiller mellom nødvendige tjenestemeldinger og markedsføringspregede meldinger. Driftsmeldinger, sikkerhetsvarsler og vesentlige opplysninger om konto eller abonnement kan sendes som del av tjenesten. Markedsføringsmeldinger sendes bare når du har samtykket eller når loven ellers tillater det. Du kan når som helst trekke et samtykke tilbake i appinnstillinger, på enheten din eller via kontakt med oss, avhengig av kanal.
12. Forum, brukerinnhold og moderering
Når du bruker forumet, behandler vi opplysninger som fremgår av innlegg, kommentarer, rapporter, bilder, lenker og modereringshistorikk. Formålet er å drive forumet, håndheve reglene, beskytte andre brukere og dokumentere modereringsbeslutninger.
Du bør ikke publisere personopplysninger om andre, sensitive opplysninger eller annet innhold som ikke bør deles offentlig. Selv om forumet er moderert, kan vi ikke garantere at alt innhold oppdages eller fjernes umiddelbart.
13. Dine rettigheter
Du kan, innenfor rammene av gjeldende personvernlovgivning, be om innsyn, retting, sletting, begrensning, dataportabilitet eller protestere mot visse former for behandling. Dersom behandlingen bygger på samtykke, kan du trekke samtykket tilbake når som helst. Dette påvirker ikke lovligheten av behandling som fant sted før tilbaketrekket.
Du kan også klage til Datatilsynet dersom du mener at vår behandling av personopplysninger er i strid med regelverket.
14. Sikkerhet
Vi arbeider med organisatoriske, tekniske og kontraktsmessige tiltak for å beskytte personopplysninger mot uautorisert tilgang, endring, tap og misbruk. Ingen løsning kan imidlertid garanteres å være fullstendig sikker, og du må derfor også selv bruke tjenesten med normal aktsomhet.
15. Endringer i denne erklæringen
Vi kan oppdatere denne personvernerklæringen når tjenesten, leverandørbildet, lovkravene eller vår behandling endres. Dersom endringene er vesentlige, vil vi forsøke å varsle på en egnet måte, for eksempel i appen eller via e-post.
16. Kontakt
Spørsmål om personvern, forespørsler om rettigheter og andre henvendelser kan sendes til post@custodium.no.