Personvernerklæring

Behandlingsansvarlig for personopplysninger er 3dprinta AS (org.nr 935381800), med adresse Digermulveien 366, 8324 Digermulen.

Spørsmål om personvern rettes til hei@hengerhub.no eller telefon +4797619701.

Når du bruker HengerHub behandler vi:

• Identifikasjons-data: fullt navn, fødselsdato.
• Kontaktinformasjon: mobilnummer (verifisert via SMS), e-postadresse.
• Førerkort-data: førerkortnummer, klasser, utløpsdato. Lagres kryptert og brukes til verifikasjon ved booking.
• Kjøretøy-data: registreringsnummer, merke, modell, tillatt hengervekt. Hentes fra Statens vegvesen og lagres på din profil.
• Booking-historikk: tidspunkter, valgte hengere, betalt beløp, refusjoner.
• Betalingsdata: betalingsmetode (Vipps eller kort) og siste 4 sifre i kort. Hele kortnummer behandles aldri hos oss. Det går direkte til Stripe (PCI-DSS-sertifisert).
• Lokasjonsdata: kun under aktiv leie, ved opplåsing/låsing av hengeren via Bluetooth, for å verifisere at du er ved hentestedet. Lokasjonsdata lagres ikke etter retur.
• Teknisk data: IP-adresse, nettleser, enhets-ID, tidspunkt for sidebesøk. For sikkerhet og driftsstabilitet.

Vi behandler personopplysninger for å:

• Levere tjenesten (verifisere identitet, opprette konto, gjennomføre booking, håndtere betaling og retur). Rettslig grunnlag: avtale, GDPR art. 6 nr. 1 bokstav b.
• Oppfylle lovpålagte krav (bokføringsloven, hvitvaskingsloven, krav fra Skatteetaten). Rettslig grunnlag: rettslig forpliktelse, GDPR art. 6 nr. 1 bokstav c.
• Forebygge svindel og misbruk. Rettslig grunnlag: berettiget interesse, GDPR art. 6 nr. 1 bokstav f.
• Forbedre tjenesten via aggregert, anonymisert bruksdata (analytics). Rettslig grunnlag: samtykke, GDPR art. 6 nr. 1 bokstav a. Du kan trekke samtykket når som helst i cookie-banneret.
• Sende driftsmeldinger (booking-bekreftelse, hentetid-påminnelse, refusjons-bekreftelse). Rettslig grunnlag: avtale.

Personopplysninger lagres så lenge det er nødvendig for formålet:

• Aktive konti: så lenge du er kunde hos oss.
• Booking-historikk og fakturadata: 5 år etter avtaleslutt, jf. bokføringslovens krav.
• Audit-log (admin-handlinger): 5 år, av forensiske hensyn.
• Teknisk data (IP, sesjonslogg): 90 dager.
• Lokasjonsdata under leie: slettes ved retur.
• Slettet konto: sletter vi data umiddelbart med unntak av det som krever lagring av lovpålagte grunner (5-års regnskapsdata).

Som registrert har du rett til:

• Innsyn i hvilke opplysninger vi har om deg.
• Retting av feilaktige opplysninger.
• Sletting("retten til å bli glemt") når data ikke lenger er nødvendig. Med unntak for lovpålagt lagring.
• Begrensning av behandling i visse tilfeller.
• Dataportabilitet. Utlevering av dine data i strukturert, maskinlesbart format.
• Innsigelse mot behandling basert på berettiget interesse.
• Tilbaketrekking av samtykke for analytics og marketing.

For å utøve disse rettighetene, kontakt hei@hengerhub.no. Vi svarer innen 30 dager.

Vi deler personopplysninger med følgende databehandlere:

• Supabase Inc (USA, GDPR-samsvar via SCCs) - database og autentisering. Data lagres i EU-region (Stockholm).
• Vipps MobilePay AS (Norge). Vipps-betaling og Vipps Login.
• Stripe Inc (USA, GDPR-samsvar via SCCs) - kortbetaling. Vi sender aldri kortnummer; Stripe håndterer det direkte.
• Statens vegvesen (Norge). Kjøretøydata-oppslag ved registrering av bil og henger.
• Brønnøysundregistrene (Norge) - organisasjonsdata-oppslag for partner-søknader.
• Mapbox Inc (USA). Kart og adresse-autocomplete. Søketermer sendes anonymt.
• LINK Mobility (Norge). Utsendelse av SMS (verifikasjon, booking-bekreftelse, backup-PIN).
• Resend Inc (USA, GDPR-samsvar via SCCs) - utsendelse av e-post.
• Igloohome (Singapore). Bluetooth-lås-styring under aktiv leie. Hengerens lås-event lagres lokalt hos Igloohome i 30 dager.

Vi har databehandleravtaler (DPA) med alle ovennevnte. Data overføres til USA kun via SCCs (Standard Contractual Clauses) som gir samme beskyttelses-nivå som GDPR.

Se egen cookie-erklæring for detaljer om hvilke informasjonskapsler vi bruker og hvordan du administrerer dem.

Vi bruker tekniske og organisatoriske tiltak for å sikre personopplysninger: kryptering i transit (HTTPS) og at-rest (AES-256), tilgangsstyring basert på minimum-privilege, regelmessige backups, audit-log på alle admin-handlinger, og uavhengig sårbarhetstesting.

Hvis vi oppdager databrudd som kan medføre risiko for dine rettigheter, varsler vi Datatilsynet innen 72 timer og deg uten ugrunnet opphold.

Hvis du mener vi behandler personopplysningene dine i strid med regelverket, kan du klage til Datatilsynet:

Datatilsynet
Postboks 458 Sentrum
0105 Oslo
datatilsynet.no

Vi kan oppdatere denne personvernerklæringen ved nye tjenester, endrede databehandlere, eller endringer i lovverket. Vesentlige endringer varsles på e-post minst 30 dager før de trer i kraft. Versjonshistorikk holdes tilgjengelig ved forespørsel.