Integritetspolicy

Nilsen Konsult (norskt org.nr. 931 405 861 MVA) är personuppgiftsansvarig för de personuppgifter som behandlas via Kroni-appen och webbplatsen kroni.no. Det innebär att vi bestämmer ändamålen och medlen för behandlingen och ansvarar för att den sker i enlighet med personuppgiftslagstiftningen och GDPR.

Kroni är en familjeapp där en förälder skapar sysslor, veckopeng och belöningar för sina barn. För att appen ska fungera måste vi behandla ett minimum av personuppgifter om både förälder och barn. Vi har genomgående valt lösningar som samlar in så lite som möjligt — vi frågar aldrig efter barnets efternamn, e-postadress eller bild, och inga riktiga pengar passerar systemet. Integritet är inbyggt, inte påklistrat.

För integritetsfrågor eller för att utöva dina GDPR-rättigheter når du oss på support@kroni.no.

Om föräldern behandlar vi:

• E-postadress (används som inloggning via vår autentiseringspartner Clerk).
• Namn från Apple ID om du väljer «Logga in med Apple».
• Valfritt visningsnamn som syns i familjen (förnamn eller smeknamn).
• Abonnemangsstatus (gratis, prov, månadsvis, årligen, livstid, avslutad) och ett RevenueCat-app-användar-ID kopplat till ditt Clerk-användar-ID.
• IP-adress och enhets-/webbläsarinformation vid inloggning och anrop till våra serverändpunkter, för säkerhet och felsökning.
• Tidsstämplar för händelser i appen (skapande av sysslor, godkännanden, inloggningar).
• Valfri språkpreferens.

Om barnet behandlar vi:

• Förnamn (det föräldern brukar kalla barnet — ett smeknamn går lika bra).
• Eventuellt födelseår — endast året, aldrig dag eller månad. Frivilligt, används för åldersanpassning.
• Eventuell fyrsiffrig PIN, lagrad som hash (bcrypt). Aldrig i klartext.
• En vald avatar-nyckel som pekar på en av appens fördefinierade ikoner. Vi lagrar inga uppladdade bilder.
• Enhets-ID och push-token för att skicka aviseringar om nya sysslor, godkännanden och belöningar.

Vi samlar inte in efternamn på barnet, fullständigt födelsedatum, e-postadress, telefonnummer, bilder eller röstdata, plats, eller andra särskilda kategorier av personuppgifter.

För köp och fakturering hanteras betalningsuppgifterna (kortdata, faktureringsadress m.m.) av Apple eller Google som merchant of record. Kroni får endast en orderbekräftelse utan kortinformation samt ett anonymiserat köpobjekt från RevenueCat (produkt-id, köptidpunkt, förnyelsetidpunkt, eventuell provperiod).

Om användningen av appen behandlar vi:

• Sysslor och syssel-mallar (titlar, belopp, frekvens, tilldelningar).
• Slutförda, godkända och avvisade sysslor.
• Belöningar och inlösningar.
• Saldon i virtuella kronor per barn.
• Teknisk telemetri från Sentry — krasch-rapporter med stack-trace, brödsmulor (breadcrumbs) av nyligen utförda händelser, prestanda- och distribuerade traces, samt enhets-, OS- och appversion. Händelser taggas med förälderns Clerk-användar-ID och e-postadress, samt barnprofilens interna ID om felet uppstår på barnets sida. Sentry körs som en självhostad instans på samma infrastruktur som resten av tjänsten; loggarna lämnar inte vår infrastruktur och delas inte med tredje part, särskilt inte i marknadsföringssyfte. Andelen prestanda-traces är begränsad (10–20% i produktion).

Det mesta får vi direkt från föräldern vid registrering, vid skapande av barnprofiler och vid normal användning av appen. Barnets enhet parkopplas till familjen via en sexsiffrig kod som föräldern anger; barnet matar inte in personuppgifter utöver det föräldern fyllt i.

Tekniska data — IP-adress, enhetsmodell, OS, appversion, tidsstämplar och liknande — samlas in automatiskt när appen kontaktar våra serverändpunkter, och behövs för att tjänsten ska fungera och för att upptäcka missbruk.

Abonnemangsinformation kommer från Apple App Store och Google Play, förmedlat via vår abonnemangsplattform RevenueCat.

Vi behandlar personuppgifter på följande rättsliga grunder enligt GDPR artikel 6:

• Avtal (artikel 6.1.b): Behandling som krävs för att fullgöra avtalet med föräldern — leverera familjeappen, skapa och underhålla kontot, genomföra köp och förnyelser.
• Samtycke (artikel 6.1.a): Push-aviseringar och andra valfria funktioner som kräver ditt aktiva samtycke. Samtycket kan när som helst återkallas.
• Berättigat intresse (artikel 6.1.f): Säkring av tjänsten mot missbruk, felsökning, aggregerad statistik, försvar mot rättsliga anspråk.
• Rättslig förpliktelse (artikel 6.1.c): När vi måste bevara bokföringsunderlag enligt norsk bokföringslag, eller följa myndighetsbeslut.

För barn under 13 år bygger vi på förälderns samtycke enligt GDPR artikel 8, så som den genomförts i norsk personuppgiftslag § 5.

Vi behandlar personuppgifter för att:

• skapa, drifta och underhålla föräldrakonton och tillhörande barnprofiler;
• låta barnet markera sysslor som klara, och låta föräldern godkänna dem;
• föra saldot av virtuella kronor och visa det i barnets app;
• skicka relevanta push-aviseringar, förutsatt att samtycke har lämnats;
• hantera abonnemang, prov och förnyelse via App Store och Google Play;
• besvara kundtjänst- och integritetsärenden;
• upptäcka och förhindra missbruk, kontoövertagande och brott mot villkoren;
• förbättra tjänsten baserat på aggregerad, anonymiserad användningsstatistik;
• uppfylla rättsliga skyldigheter, inklusive bokföring och myndighetsbeslut.

Vi använder inte personuppgifter för beteendestyrd marknadsföring riktad till barn, profilering med rättsliga eller liknande betydande effekter, eller försäljning av data till tredje part.

Vi lagrar personuppgifter så länge det är nödvändigt för de ändamål de samlats in för, och därefter inte längre än lagen tillåter eller kräver.

• Aktiva konton: Uppgifterna sparas så länge avtalet löper och kontot är i aktiv användning.
• Slutförda och godkända sysslor: Raderas eller anonymiseras som regel inom 90 dagar efter godkännande.
• Borttagning av konto: När föräldern raderar familjekontot raderas alla personuppgifter inom 30 dagar, med undantag för bokföringsunderlag (5 år) och bevisning vid rättsliga anspråk.
• Loggar och säkerhetsdata: Vanligtvis 30 till 180 dagar.
• Kundtjänstärenden: Normalt upp till 24 månader.

Vi delar inte personuppgifter med tredje part för deras egna ändamål. Vi har som uttalad princip att dela så lite data som möjligt — vi minimerar mängd, kategorier och antal mottagare. Viss delning är ändå tekniskt oundviklig (inloggning, fakturering, distribution), och då sker den enbart med personuppgiftsbiträden enligt biträdesavtal (DPA) i enlighet med GDPR artikel 28, eller — för Apple och Google — som självständiga personuppgiftsansvariga för merchant-of-record-rollen.

• Hetzner Online GmbH — drift av Kronis applikationsservrar och PostgreSQL-databaser. Maskinerna ligger i Hetzners datacenter i Finland, inom EU/EES. Hela kärndatamängden (konton, barnprofiler, sysslor, slutförda, virtuella saldon, Sentry-loggar) finns där.
• Clerk, Inc. — autentisering och kontohantering för föräldern. Behandlar e-post, inloggningshändelser och Apple ID-namn vid «Logga in med Apple». Clerk har egen integritetspolicy.
• RevenueCat, Inc. — hanterar abonnemangsstatus och synkroniserar köp/förnyelser mellan App Store och Google Play. Tar emot ett anonymiserat app-användar-ID och köpmetadata; ingen kortinformation. RevenueCat har egen integritetspolicy.
• Mailpace (Ohmysmtp Ltd., etablerat i Storbritannien) — levererar våra transaktionella e-postmeddelanden från avsändardomänen kroni.no (autentiserad med SPF, DKIM och DMARC). Behandlar din e-postadress (från Clerk) och själva innehållet i de meddelanden vi skickar dig. Ändamålet är uteslutande att leverera kontonödvändiga tjänste-mejl — registreringsbekräftelse, lösenordsåterställning, e-postverifiering, faktureringsaviseringar (misslyckad betalning, abonnemangets utgång) och inbjudningslänkar till familjehushåll. Rättslig grund är avtal (GDPR art. 6.1.b) — vi kan inte drifta kontot utan att leverera dessa meddelanden. Mailpace är underbiträde (sub-processor) under det biträdesavtal vi har med dig och bevarar leveranseloggar enligt sin publicerade lagringsplan; själva e-postinnehållet lagras inte långsiktigt hos oss. Dessa meddelanden är nödvändiga tjänstemeddelanden och kan inte avregistreras utan att kontot raderas; eventuella marknadsförings-mejl (vi skickar inga idag) skulle kräva separat samtycke. Vi har valt att skicka egna, lokaliserade mejl i linje med Kronis visuella identitet i stället för Clerks standardmallar, som är inaktiverade.
• Apple Distribution International Ltd. (App Store) och Google Commerce Limited (Google Play) — distribution och betalning som merchant of record. Apples och Googles villkor styr det de själva samlar in.
• Expo (Expo Application Services) — leverans av push-aviseringar.
• Cloudflare, Inc. — DDoS-skydd och CDN för kroni.no.

Personuppgifter kan lämnas ut till myndigheter när vi är rättsligt förpliktade att göra det.

En aktuell lista över biträden kan beställas via support@kroni.no.

Några av våra biträden — särskilt Clerk och RevenueCat — är etablerade i USA och kan ha dataflöden dit. Sådan överföring sker med stöd av EU-kommissionens standardavtalsklausuler (SCC) enligt GDPR artikel 46, kompletterat med tekniska och organisatoriska åtgärder.

Kronis kärndatabaser och applikationsservrar drivs hos Hetzner i Finland, så den löpande behandlingen sker inom EU/EES. Den «centrala» datamängden — sysslor, slutförda, virtuella saldon, barnprofiler och Sentry-loggar — lämnar därmed aldrig EES i normal drift.

Vi har vidtagit rimliga tekniska och organisatoriska åtgärder:

• TLS-kryptering på all trafik.
• Hashning av känsliga fält — barnets PIN är bcrypt-hash.
• Åtkomstkontroll efter need-to-know.
• Loggning och övervakning via vår självhostade Sentry-instans, samt regelbundna säkerhetsuppdateringar.
• Regelbundna databassäkerhetskopior och återställningsrutiner.
• Vi behandlar aldrig kortnummer, CVC-koder eller BankID-data.

Som registrerad har du följande rättigheter enligt GDPR:

• Tillgång (art. 15): Få veta vilka uppgifter vi har och en kopia.
• Rättelse (art. 16): Få felaktiga eller ofullständiga uppgifter rättade.
• Radering (art. 17): Begära radering av personuppgifter.
• Begränsning (art. 18): Be att vi tillfälligt pausar behandlingen.
• Dataportabilitet (art. 20): Få dina uppgifter i ett strukturerat, maskinläsbart format.
• Invändning (art. 21): Invända mot behandling som baseras på berättigat intresse.
• Återkallelse av samtycke (art. 7.3): Återkalla samtycke när som helst.

Mejla support@kroni.no. Vi svarar inom 30 dagar.

Anser du att vi behandlar dina personuppgifter i strid med reglerna, har du rätt att klaga. För Kroni är norska Datatilsynet primär tillsynsmyndighet:

Datatilsynet
Postboks 458 Sentrum, 0105 Oslo, Norge
Telefon: +47 22 39 69 00
Webb: datatilsynet.no

Som svensk medborgare kan du även vända dig till Integritetsskyddsmyndigheten (IMY): imy.se.

Vi uppskattar dock om du hör av dig till oss först.

Åldersgränsen för digitalt samtycke enligt GDPR artikel 8 är 13 år i Norge (och i Sverige enligt svensk genomförande). Barn under 13 år får endast använda Kroni via en barnprofil skapad av en förälder eller vårdnadshavare, som samtycker på barnets vägnar.

För barn som är 13 år eller äldre kan föräldern beakta barnets eget samtycke. Oavsett ligger all administration och kontoinnehav hos föräldern.

I mobilappen: Vi använder ingen reklamspårning, inga tredjepartsanalysverktyg med personidentifierande identifierare och ingen fingerprinting. För felsökning skickar appen kraschrapporter och en begränsad andel prestanda-traces till vår självhostade Sentry-instans, jfr punkt 02 och 09. Loggarna används enbart för felsökning.

På kroni.no: Vi använder bara strikt nödvändiga kakor.

Vid en personuppgiftsincident anmäler vi den till tillsynsmyndigheten inom 72 timmar, enligt GDPR artikel 33. Om incidenten sannolikt medför hög risk för de berörda underrättar vi dig direkt, enligt GDPR artikel 34.

Vi kan uppdatera denna policy för att spegla ändringar i tjänsten eller lagen. Väsentliga ändringar aviseras minst 30 dagar i förväg.

För integritetsfrågor och rättighetsärenden:

Nilsen Konsult
E-post: support@kroni.no