Personvern
Versjon 1
Foreløpig versjon. Dette dokumentet er en grundig plassholder mens vi venter på endelig gjennomgang av norsk advokat. Innholdet beskriver det vi faktisk gjør i dag, men formuleringene kan bli justert når den profesjonelle gjennomgangen er ferdig. Versjon vil økes når lovlig tekst er på plass.
Bulgariareiser respekterer personvernet ditt. Denne erklæringen forklarer hvilke opplysninger vi samler om deg, hvorfor, hvor lenge vi lagrer dem, og hvilke rettigheter du har — i tråd med EU/EØS sin personvernforordning (GDPR) og norsk personopplysningslov.
Behandlingsansvarlig
Bulgariareiser er en norsk-bulgarsk familiebedrift drevet av Dobrinka og Claus. Spørsmål om personvern kan sendes til hello@bulgariareiser.no. Du kan også klage til Datatilsynet (datatilsynet.no) hvis du mener vi behandler opplysningene dine i strid med lovverket.
Hvilke opplysninger vi samler inn
Når du oppretter en konto eller bruker tjenesten, kan vi samle inn følgende:
- Påkrevd ved registrering: Navn, e-postadresse, passord (lagres kryptert/hashet, aldri i klartekst).
- Frivillig på Min side: Profilbilde, telefonnummer, adresse, fødselsdato, språk du snakker, kontaktpreferanser, interesser.
- Påkrevd for betalte tjenester (når lansert): Adresse og kontaktinformasjon, jf. forbrukerlovgivning. Betalingsdetaljer behandles direkte av Stripe — vi mottar kun referansenummer.
- Samtykke ved registrering: Versjon av personvernerklæring + vilkår du har godkjent, tidspunkt for godkjenning, valg om markedsføringssamtykke.
- Brukerhandlinger: Artikler du har lagret som favoritt, eventuelle slettingsforespørsler.
- Tekniske data: Innloggingsøkter (IP-adresse, nettleser, tidsstempler), standard server-logger for sikkerhet og feilsøking.
Lovlig grunnlag for behandling (GDPR Art. 6)
Vi behandler personopplysninger basert på følgende rettslige grunnlag, avhengig av hva opplysningene brukes til:
- Samtykke (Art. 6(1)(a)): Nyhetsbrev, markedsføring, eventuell fremtidig analyse via informasjonskapsler. Samtykke kan trekkes tilbake når som helst.
- Kontrakt (Art. 6(1)(b)): Navn, e-post, passord og adresse er nødvendige for å levere tjenesten du har registrert deg for.
- Berettiget interesse (Art. 6(1)(f)): Standard logging for sikkerhet, svindelforebygging og driftsstabilitet. Veier vår interesse i en trygg tjeneste mot din personverninteresse.
Dine rettigheter etter personvernlovgivningen
Som registrert har du følgende rettigheter, som beskrevet i GDPR artikler 15–22:
- Innsyn (Art. 15): Du kan be om kopi av alle dataene vi har om deg. Tilgjengelig som JSON-eksport på /min-side.
- Retting (Art. 16): Du kan endre opplysningene dine selv på Min side, eller be oss rette feil.
- Sletting (Art. 17, "retten til å bli glemt"): Du kan be om kontosletting på Min side. Forespørselen har 30 dagers ventetid (sikkerhetsmargin mot tap av tilgang); etter 30 dager slettes kontoen permanent, inkludert favoritter, profilbilde og eventuelle påmeldinger til samme e-postadresse.
- Begrensning (Art. 18): Du kan be om at vi begrenser behandlingen mens en eventuell tvist behandles.
- Dataportabilitet (Art. 20): JSON-eksporten er i et maskinlesbart format som kan overføres til andre tjenester.
- Innsigelse (Art. 21): Du kan motsette deg markedsføring via avhukingsvalg, eller motsette deg behandling for øvrig ved å kontakte oss.
- Automatiserte beslutninger (Art. 22): Vi gjør ingen automatisert profilering eller automatiserte avgjørelser om deg.
Hvor lenge vi lagrer opplysningene
- Kontoopplysninger: Så lenge kontoen er aktiv. Etter slettingsforespørsel: 30 dagers ventetid, deretter permanent sletting.
- Innloggingsøkter: Standard varighet (utløper automatisk); slettes ved utlogging eller utløp.
- Påmeldinger til nyhetsbrev / "Varsle meg"-lister: Inntil du melder deg av eller ber om sletting.
- Sikkerhetslogger: Maks 90 dager, eller så lenge det er nødvendig for å undersøke konkrete hendelser.
- Sikkerhetskopier: Lokal rullerende sikkerhetskopi (3 nyeste). Når kontinuerlig sky-replikering aktiveres (Litestream → S3-kompatibel lagring), settes oppbevaringstid eksplisitt (planlagt 30 dager).
Hvem har tilgang til opplysningene
Tilgangsnivåene er strengt skilt:
- Administratorer (Claus): Full tilgang for å håndtere kontoer, slettingsforespørsler og driftsfeil.
- Redaktører (Dobrinka): Tilgang til redaksjonelt innhold og kommunikasjon rettet mot redaksjon. Ingen tilgang til andre brukeres innloggingsdata.
- Forfattere: Kun sine egne artikler og sin egen profil.
- Andre brukere: Ser aldri andre brukeres kontoopplysninger. Bare publiserte forfatterprofiler er offentlige.
Tredjeparter
Vi deler ikke personopplysninger med tredjeparter for kommersielle formål. Vi bruker eller planlegger å bruke følgende tjenesteleverandører for å levere tjenesten:
- Hetzner (Tyskland): Server-hosting i EU. Databehandleravtale på plass.
- Resend (når aktivert): Utsendelse av e-post (bekreftelse, passord-tilbakestilling). Får tilgang til e-postadressen din og innholdet i den enkelte e-posten.
- Cloudflare (eventuelt): CDN og DDoS-beskyttelse. Ser IP-adresser og forespørsler i forbindelse med drift.
- Stripe (når betalt nivå lanseres): Behandling av betalinger. Vi mottar kun referansenummer, aldri kortdata.
Vi henter ikke ut data til tredjeparter for markedsanalyse, retargeting, eller liknende. Hvis vi noen gang skulle utvide tredjeparts-listen, vil dette varsles og personvernerklæringens versjon økes.
Informasjonskapsler og lokal lagring
Vi bruker kun strengt nødvendige informasjonskapsler:
- payload-token: Innloggingsøkt. HTTP-only, sikker. Påkrevd for at innlogging skal fungere.
- Lokal nettleserlagring (localStorage): Brukes for å lagre favoritter for ikke-innloggede brukere (maks 3 — for å unngå at data bygger seg opp uten brukerens kunnskap). Lagres bare i nettleseren din, sendes aldri til serveren.
Ingen sporings- eller markedsføringskapsler. Hvis vi senere legger til analyse, vil vi velge en personvernvennlig løsning (typisk Plausible) som ikke krever samtykke-banner — eller varsle deg tydelig.
Internasjonale brukere
Tjenesten retter seg primært mot brukere i Norge og EU/EØS. Hvis du befinner deg i USA og ønsker å utøve rettigheter etter California Consumer Privacy Act (CCPA) eller liknende delstatslover, kontakt oss på hello@bulgariareiser.no — vi behandler henvendelsen på samme måte som GDPR-forespørsler.
Endringer i denne erklæringen
Vi kan oppdatere personvernerklæringen ved endringer i tjenesten eller lovgivningen. Vesentlige endringer fører til at versjonsnummeret økes og innloggede brukere bes om å bekrefte ny versjon ved neste innlogging. Mindre justeringer (skrivefeil, klargjøringer) gjøres uten å øke versjonen.
Kontakt
Spørsmål om personvern, eller utøvelse av rettighetene over: hello@bulgariareiser.no. Vi svarer normalt innen 30 dager (lovpålagt frist) men prøver å være raskere.