Personvernerklæring

Nilsen Konsult (org.nr. 931 405 861 MVA, Norge) er behandlingsansvarlig for personopplysningene som behandles gjennom Kroni-appen og nettstedet kroni.no. Det betyr at vi bestemmer formålene med, og midlene for, behandlingen, og at vi har ansvaret for at behandlingen skjer i samsvar med personopplysningsloven og personvernforordningen (GDPR).

Kroni er en familieapp hvor en forelder oppretter oppgaver, ukepenger og belønninger for sine barn. For at appen skal kunne fungere, må vi behandle et minimum av personopplysninger om både forelderen og barnet. Vi har gjennomgående valgt løsninger som samler så lite som mulig — for eksempel ber vi aldri om barnets etternavn, e-postadresse eller bilde, og det går aldri ekte penger gjennom systemet. Personvern er bygget inn i tjenesten, ikke lagt på som et vedlegg.

Hvis du har spørsmål om personvern, eller ønsker å utøve dine rettigheter etter GDPR, kan du nå oss på support@kroni.no.

Om forelderen behandler vi:

• E-postadresse (brukes som innlogging via vår autentiseringspartner Clerk).
• Eventuelt navn på Apple ID dersom du velger «Logg på med Apple».
• Valgfritt visningsnavn som vises i familien (kan være kun fornavn eller et kallenavn).
• Abonnementstatus (gratis, prøveperiode, månedlig, årlig, livstid, avsluttet) og en RevenueCat-app-bruker-ID som er knyttet til din Clerk-bruker-ID.
• IP-adresse og enhets-/nettleserinformasjon ved innlogging og ved kontakt med våre serverendepunkter, brukt til sikkerhet og feilsøking.
• Tidsstempler for hendelser i appen (oppretting av oppgaver, godkjenninger, innlogginger).
• Valgfri språkpreferanse.

Om barnet behandler vi:

• Fornavn (typisk slik forelderen kaller barnet i hverdagen — et kallenavn er like greit).
• Eventuelt fødselsår — kun året, aldri dag eller måned. Dette er valgfritt og brukes til alderstilpasning av appen.
• Eventuelt en firesifret PIN, lagret som hash (bcrypt). Vi lagrer aldri PIN-en i klartekst.
• En valgt avatarnøkkel som peker til ett av appens forhåndsdefinerte ikoner. Vi lagrer ikke bilder lastet opp av bruker.
• Enhets-ID og push-token for å sende varsler om nye oppgaver, godkjenninger og belønninger til barnets enhet.

Vi samler ikke inn etternavn på barnet, fullstendig fødselsdato, e-postadresse, telefonnummer, bilder eller stemmedata, posisjon, eller andre særlige kategorier av personopplysninger om barnet.

Når det gjelder kjøp og fakturering, behandles betalingsopplysningene (kortdata, faktureringsadresse mv.) av Apple eller Google som merchant of record. Kroni mottar kun en ordrebekreftelse uten kortinformasjon, samt et anonymisert kjøpsobjekt fra RevenueCat (produkt-id, kjøpstidspunkt, fornyelsestidspunkt, eventuell prøveperiode-status).

Om bruken av Appen behandler vi:

• Oppgaver og oppgavemaler (titler, beløp, hyppighet, tildelinger).
• Fullføringer, godkjenninger og avslag.
• Belønninger og innløsninger.
• Saldoer av virtuelle kroner per barn.
• Tekniske loggdata fra Sentry — krasjrapporter med stack-trace, brødsmuler (breadcrumbs) av nylige hendelser i appen, ytelses-/distribuerte traces, samt enhets-, OS- og appversjon. Hendelsene tagges med forelderens Clerk-bruker-ID og e-postadresse, og barneprofilens interne ID hvis feilen oppstår på barnets side. Sentry driftes som en selvhostet instans på samme infrastruktur som resten av tjenesten; loggene forlater ikke vår infrastruktur og deles ikke med tredjeparter, særlig ikke for markedsføringsformål. Andelen ytelses-traces er begrenset (10–20 % i produksjon).

De fleste opplysningene får vi direkte fra forelderen ved registrering, ved oppretting av barneprofiler og ved bruk av appens funksjoner. Barnets enhet pares til familien gjennom en sekssifret kode som forelderen oppgir, og barnet selv legger ikke inn personopplysninger ut over det forelderen har forhåndsutfylt.

Tekniske data — IP-adresse, enhetsmodell, operativsystem, appversjon, tidsstempler og lignende — samles automatisk når appen kontakter våre serverendepunkter, og er nødvendig for at tjenesten skal fungere og for å oppdage misbruk.

Abonnementsinformasjon mottar vi fra Apple App Store og Google Play, formidlet via vår abonnementsplattform RevenueCat.

Vi behandler personopplysninger på følgende rettslige grunnlag etter GDPR artikkel 6:

• Avtale (artikkel 6 nr. 1 bokstav b): Behandling som er nødvendig for å oppfylle avtalen med forelderen — typisk å levere selve familieappen, opprette og vedlikeholde kontoen, gjennomføre kjøp og fornying av abonnement.
• Samtykke (artikkel 6 nr. 1 bokstav a): Push-varsler og eventuelle valgfrie funksjoner som krever ditt aktive samtykke. Samtykke kan trekkes tilbake når som helst.
• Berettiget interesse (artikkel 6 nr. 1 bokstav f): Sikring av tjenesten mot misbruk, feilsøking, statistikk på aggregert nivå, og forsvar mot rettskrav.
• Rettslig forpliktelse (artikkel 6 nr. 1 bokstav c): Når vi må oppbevare bilag og regnskapsdata etter bokføringsloven, eller når vi må reagere på pålegg fra offentlige myndigheter.

For barn som er under 13 år benytter vi forelderens samtykke etter GDPR artikkel 8, slik denne er gjennomført i norsk personopplysningslov § 5.

Vi behandler personopplysninger for å:

• opprette, drifte og vedlikeholde forelderkontoer og tilknyttede barneprofiler;
• la barnet markere oppgaver som utført, og la forelderen godkjenne disse;
• føre saldo av virtuelle kroner og vise denne i barnets app;
• sende relevante push-varsler, forutsatt at samtykke er gitt;
• håndtere abonnement, prøveperiode og fornying via App Store og Google Play;
• besvare henvendelser til kundeservice og personvernhenvendelser;
• oppdage og forebygge misbruk, kontoovertakelse og brudd på vilkårene;
• forbedre tjenesten basert på aggregert, anonymisert bruksstatistikk;
• etterkomme rettslige forpliktelser, herunder regnskapsplikt og pålegg fra myndigheter.

Vi bruker ikke personopplysninger til adferdsstyrt markedsføring rettet mot barn, ikke til profilering med rettslige eller tilsvarende vesentlige virkninger, og ikke til salg av data til tredjeparter.

Vi lagrer personopplysninger så lenge det er nødvendig for de formålene de er samlet inn for, og deretter ikke lenger enn loven tillater eller pålegger.

• Aktive kontoer: Opplysningene oppbevares så lenge avtalen løper og kontoen brukes aktivt.
• Fullførte og godkjente oppgaver: Slettes eller anonymiseres som hovedregel innen 90 dager fra godkjenning.
• Sletting av konto: Når forelderen sletter familiekontoen, slettes alle personopplysninger om forelderen og barna innen 30 dager, med unntak av regnskapsbilag (5 år) og rettskravsbevis.
• Logger og sikkerhetsdata: Lagres typisk i 30 til 180 dager.
• Henvendelser til kundeservice: Lagres normalt opptil 24 måneder.

Vi deler ikke personopplysninger med tredjeparter for deres egne formål. Vi har som uttrykt prinsipp å dele så lite data som overhodet mulig — vi minimerer både mengden, kategoriene og antall mottakere. Noe deling er likevel teknisk uunngåelig for at appen skal fungere (innlogging, fakturering, distribusjon), og denne delingen skjer da utelukkende med databehandlere bundet av databehandleravtale (DPA) etter GDPR artikkel 28, eller — for Apple og Google — som selvstendig behandlingsansvarlige for merchant-of-record-leddet.

• Hetzner Online GmbH — drift av Kronis applikasjonsservere og PostgreSQL-databaser. Maskinene er plassert i Hetzners datasenter i Finland, innenfor EU/EØS, og hele kjernedatamengden (kontoer, barneprofiler, oppgaver, fullføringer, virtuelle saldoer, Sentry-logger) holdes der.
• Clerk, Inc. — autentisering og kontohåndtering for forelderen. Behandler e-post, innloggingshendelser og eventuelt navn fra «Logg på med Apple». Clerk har egen personvernerklæring.
• RevenueCat, Inc. — håndterer abonnementstilstand og synkronisering av kjøp/fornying på tvers av App Store og Google Play. Mottar et anonymisert app-bruker-ID og kjøpsmetadata; ingen kortinformasjon. RevenueCat har egen personvernerklæring.
• Mailpace (Ohmysmtp Ltd., etablert i Storbritannia) — leverer våre transaksjonelle e-poster fra avsenderdomenet kroni.no (autentisert med SPF, DKIM og DMARC). Behandler e-postadressen din (hentet fra Clerk) og selve innholdet i meldingene vi sender deg. Formålet er utelukkende levering av kontonødvendige tjeneste-e-poster — bekreftelse ved registrering, tilbakestilling av passord, e-postverifisering, faktureringsvarsler (mislykket betaling, utløp av abonnement) og invitasjonslenker til familiehusholdning. Behandlingsgrunnlaget er avtale (GDPR art. 6 nr. 1 bokstav b) — vi kan ikke drifte kontoen uten å levere disse meldingene. Mailpace er underleverandør (sub-processor) under databehandleravtalen vi har med deg, og holder leveranselogger i henhold til sin publiserte oppbevaringsplan; selve e-postinnholdet lagres ikke langsiktig hos oss. Disse meldingene er nødvendige tjeneste-meldinger og kan ikke reserveres mot uten at kontoen slettes; eventuelle markedsførings-e-poster (vi sender ingen i dag) ville eventuelt kreve separat samtykke. Vi har valgt å sende egne, lokaliserte e-poster i tråd med Kronis visuelle identitet i stedet for å bruke Clerks standardmaler, som er deaktivert.
• Apple Distribution International Ltd. (App Store) og Google Commerce Limited (Google Play) — distribusjon og betaling som merchant of record. Apples og Googles personvernvilkår gjelder for det de samler inn.
• Expo (Expo Application Services) — formidling av push-varsler.
• Cloudflare, Inc. — DDoS-beskyttelse og CDN for kroni.no.

Personopplysninger kan utleveres til offentlige myndigheter dersom vi er rettslig forpliktet til det.

En oppdatert oversikt fås ved å kontakte support@kroni.no.

Enkelte av våre databehandlere — særlig Clerk og RevenueCat — er etablert i USA og kan ha datastrømmer dit. Slik overføring skjer på grunnlag av EU-kommisjonens standardkontraktklausuler (SCC) i tråd med GDPR artikkel 46, supplert med tekniske og organisatoriske tiltak.

Kronis kjernedatabaser og applikasjonsservere driftes hos Hetzner i Finland, slik at den løpende behandlingen skjer innenfor EU/EØS. Den «sentrale» datamengden — oppgaver, fullføringer, virtuelle saldoer, barneprofiler, samt Sentry-logger — forlater dermed aldri EØS i normal drift.

Vi har gjennomført rimelige tekniske og organisatoriske tiltak:

• TLS-kryptering på all trafikk.
• Hashing av sensitive felt — barnets PIN er bcrypt-hash.
• Tilgangskontroll og prinsippet om need-to-know.
• Logging og overvåkning via vår selvhostede Sentry-instans, samt regelmessige sikkerhetsoppdateringer.
• Regelmessig sikkerhetskopiering og rutiner for gjenoppretting.
• Vi behandler aldri kortnumre, CVC-koder eller BankID-data.

Som registrert har du etter GDPR følgende rettigheter:

• Innsyn (art. 15): Få vite hvilke opplysninger vi har, og motta en kopi.
• Retting (art. 16): Få korrigert uriktige eller ufullstendige opplysninger.
• Sletting (art. 17): Be om at vi sletter personopplysninger.
• Begrensning (art. 18): Be om at vi midlertidig stanser bruken.
• Dataportabilitet (art. 20): Motta opplysninger i strukturert maskinlesbart format.
• Innsigelse (art. 21): Protestere mot behandling basert på berettiget interesse.
• Tilbaketrekk av samtykke (art. 7 nr. 3): Trekke tilbake samtykke.

Send e-post til support@kroni.no. Vi besvarer innen 30 dager.

Hvis du mener vi behandler personopplysningene dine i strid med regelverket, har du rett til å klage til Datatilsynet:

Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon: 22 39 69 00
Nettsted: datatilsynet.no

Vi setter likevel pris på om du tar kontakt med oss først.

Aldersgrensen for digitalt samtykke etter GDPR artikkel 8 er i Norge satt til 13 år. Barn under 13 år kan kun bruke Kroni gjennom en barneprofil opprettet av en forelder eller foresatt, og forelderen samtykker på vegne av barnet.

For barn som er 13 år eller eldre kan forelderen vurdere barnets eget samtykke. Kroni er uansett bygget slik at all administrasjon ligger hos forelderen.

I mobilappen: Vi bruker ingen reklamesporing, ingen tredjeparts analyseverktøy med personhenførbare identifikatorer, og ingen fingerprinting. For feilsøking sender appen krasjrapporter og en begrenset andel ytelses-traces til vår selvhostede Sentry-instans, jf. punkt 02 og 09. Disse loggene benyttes utelukkende til feilsøking, og deles ikke videre.

På kroni.no: Vi bruker kun teknisk nødvendige informasjonskapsler.

Dersom det skjer et brudd, melder vi til Datatilsynet innen 72 timer, jf. GDPR art. 33. Hvis bruddet sannsynligvis vil medføre høy risiko for de berørte, varsler vi deg direkte, jf. GDPR art. 34.

Vi kan endre erklæringen for å reflektere endringer i tjenesten eller lovgivningen. Vesentlige endringer varsles minst 30 dager før de trer i kraft.

For spørsmål om personvern og rettighetsutøvelse:

Nilsen Konsult
E-post: support@kroni.no