Personvernerklæring
Sist oppdatert: 14. mai 2026
Denne personvernerklæringen forklarer hvordan Peilar.no samler inn, bruker og beskytter dine personopplysninger. Erklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR, forordning (EU) 2016/679) og den norske personopplysningsloven (lov 15. juni 2018 nr. 38).
1. Behandlingsansvarlig
Peilar AS, org.nr. [XXX XXX XXX], registrert i Foretaksregisteret, er behandlingsansvarlig for personopplysninger som samles inn via Peilar.no.
Forretningsadresse: Mobekkvegen 499, 2232 Tobøl
Postadresse: Peilar AS, Mobekkvegen 499, 2232 Tobøl
Kontaktpunkt for personvernhenvendelser (rettigheter, klager, forespørsler):
- E-post: personvern@peilar.no
- Generell kontakt: hei@peilar.no
Tjenesten er ikke underlagt krav om å utnevne et personvernombud (DPO) etter GDPR art. 37. Vi behandler ikke personopplysninger i stor skala, er ikke offentlig myndighet, og foretar ikke systematisk, storskala overvåking av enkeltpersoner eller behandling av særlige kategorier av personopplysninger.
2. Hvilke personopplysninger vi samler inn
2.1 Kontoinformasjon
Når du registrerer en brukerkonto lagrer vi e-postadressen din og et kryptografisk passord-hashet (bcrypt) via Supabase Auth. Vi har aldri tilgang til passordet ditt i klartekst. E-postadressen er nødvendig for innlogging, kvitteringer og varsler om endringer i tjenesten.
Obligatorisk/valgfritt: E-postadresse er påkrevd for å opprette konto og kjøpe rapporter. Uten e-postadresse kan tjenestens betalte funksjoner ikke benyttes, jf. GDPR art. 13(2)(e).
2.2 Kjøpsinformasjon
Når du kjøper en rapport lagrer vi: hvilken adresse rapporten gjelder, tidspunkt for kjøpet, beløp (kr 299,00) og ordrereferanse fra Vipps. Vi lagrer ikke kortnummer, kontonummer eller andre betalingsdetaljer — dette håndteres utelukkende av Vipps MobilePay AS som selvstendig behandlingsansvarlig.
2.3 Bruksdata
Vi registrerer hvilke adresser du søker på, hvilke sider du besøker, og når du besøker dem. Disse dataene brukes til å forbedre tjenesten og oppdage tekniske feil. Søkehistorikk knyttet til din brukerkonto oppbevares i 12 måneder. Begrunnelsen for 12 måneder er at risikodata er sesongavhengig (flomrisiko er størst om våren, skredrisiko om vinteren), og ett fullt år gir sammenlignbare søkeperioder for tjenesteforbedring. Etter 12 måneder anonymiseres dataene automatisk.
2.4 Tekniske data
Ved besøk på nettstedet registreres IP-adresse, nettlesertype (User-Agent), operativsystem, referrer-URL (hvilken side du kom fra) og tidspunkt i serverlogger. Vi benytter ikke fingeravtrykk-teknologi (canvas fingerprinting, WebGL fingerprinting e.l.).
2.5 Adressegeokoding
Når du søker etter eller kjøper en rapport, konverteres adressen til geografiske koordinater (breddegrad/lengdegrad) for å hente relevante data fra offentlige kartjenester. Selve adressen er offentlig informasjon (Kartverket), men kombinasjonen av adresse og brukerkonto utgjør en personopplysning som behandles etter GDPR. Koordinatene lagres knyttet til den aktuelle søk- eller kjøpsposten.
2.6 Informasjonskapsler
Vi bruker et begrenset antall informasjonskapsler. Se vår informasjonskapselside for fullstendig oversikt.
3. Rettslig grunnlag for behandling
Vi behandler personopplysninger basert på følgende rettslige grunnlag i GDPR artikkel 6(1):
| Formål | Grunnlag | Hjemmel |
|---|---|---|
| Opprette og administrere brukerkonto | Avtale | Art. 6(1)(b) |
| Levere kjøpt risikorapport og PDF | Avtale | Art. 6(1)(b) |
| Behandle betaling via Vipps | Avtale | Art. 6(1)(b) |
| Oppbevare kjøpshistorikk (bilagsdata) | Rettslig forpliktelse | Art. 6(1)(c), bokføringsloven § 13 |
| Sikkerhet og svindelforebygging | Berettiget interesse | Art. 6(1)(f) |
| Anonymisert analyse og tjenesteforbedring | Berettiget interesse | Art. 6(1)(f) |
| Ikke-nødvendige informasjonskapsler | Samtykke | Art. 6(1)(a) |
Berettiget interesse (art. 6(1)(f)) — interesseavveining: For sikkerhetsformål forfølger vi den konkrete interesse i å forhindre uautorisert tilgang til brukerkontoer og misbruk av betalingssystemet, og i å identifisere og avhjelpe tekniske feil. For tjenesteforbedring forfølger vi interessen i å forstå hvilke adressetyper og regioner som søkes hyppigst for å prioritere datakvalitet og utvikling. Vi har vurdert at disse interessene i begge tilfeller veier tyngre enn inngrep i ditt personvern, da behandlingen er begrenset i omfang, data anonymiseres der det er mulig, og du har rett til å gjøre innsigelse (se § 8 f). Du kan lese mer om interesseavveiingen ved å kontakte oss på personvern@peilar.no.
4. Automatisert behandling og profilering
Risikorapportene genereres helautomatisk basert på adressens geografiske koordinater sammenholdt med offentlige datasett. Ingen menneskelig vurdering inngår i genereringen av den individuelle rapporten.
Logikken bak automatisert beregning: For hver adresse hentes data fra 60+ offentlige kilder (NVE, NGU, Kartverket, MET, SSB mfl.). Hvert datasett sammenholdes med adressens koordinater ved hjelp av geografisk analyse (punkt-i-polygon og bufferanalyser). Resultatet kategoriseres i risikoskalaer (f.eks. lav/middels/høy) basert på forhåndsdefinerte terskler fastsatt av oss. Rapporten er et informasjonsprodukt om eiendommens geografiske beliggenhet, ikke en avgjørelse om deg som person.
Vi benytter IKKE automatisert behandling som har rettsvirkning for deg eller i betydelig grad påvirker deg på tilsvarende måte (jf. GDPR artikkel 22). Risikorapporten fatter ingen beslutninger om din kredittverdighet, forsikringsvilkår, ansettelsesforhold eller lignende. Du har likevel rett til menneskelig overprøving av risikoberegningen dersom du mener den berører deg rettslig — kontakt oss på personvern@peilar.no.
Vi bruker ikke dine søk eller kjøp til å bygge personprofiler for markedsføring, prisdiskriminering eller målretting.
5. Tredjeparter og databehandlere
Vi deler personopplysninger med følgende tredjeparter. Databehandleravtale (DPA) er inngått med alle leverandører som opptrer som databehandlere.
| Leverandør | Rolle | Formål | Data som deles | Lokasjon |
|---|---|---|---|---|
| Supabase Inc. | Databehandler | Autentisering, database, lagring | E-post, hashet passord, kjøpsdata, rapporter | EU (Frankfurt) |
| Vercel Inc. | Databehandler | Hosting, CDN, edge-funksjoner | IP-adresse, forespørselsdata, serverlogger | EU / USA (via edge) |
| Vipps MobilePay AS | Selvstendig behandlingsansvarlig | Betalingsbehandling | Beløp, ordrereferanse. Vipps behandler kortdata på egne vilkår — vi mottar ikke kortdata. | Norge/EØS |
Merk om Vipps: Vipps MobilePay AS er selvstendig behandlingsansvarlig for betalingsopplysningene de behandler. Det betyr at Vipps har egne plikter overfor deg under GDPR, og at du kan utøve personvernrettigheter direkte overfor Vipps for betalingsdata. Se Vipps' personvernerklæring på vipps.no/personvern.
Offentlige datakilder (NVE, NGU, Kartverket, MET, SSB osv.) mottar ingen personopplysninger fra oss. Vi sender kun anonyme geografiske koordinater til offentlige API-er for å hente risikodata.
Dersom vi endrer databehandlere eller legger til nye underleverandører, oppdaterer vi denne siden. Ved vesentlige endringer varsles registrerte brukere per e-post.
6. Overføring til utlandet
Supabase Inc. lagrer databasen utelukkende i EU-regionen (Frankfurt, Tyskland / AWS eu-central-1). Personopplysninger forlater ikke EØS-området via Supabase for primærlagring. Supabase benytter EUs standardkontraktsklausuler (SCC, 2021-versjonen) som overføringsgrunnlag for eventuell tilgang fra Supabase-ansatte utenfor EØS. Supabase har publisert en Transfer Impact Assessment (TIA) i samsvar med EDPB Recommendations 01/2020.
Vercel Inc. drifter en global edge-infrastruktur. Tekniske data (IP-adresse, forespørselsmetadata) prosesseres av Vercels nærliggende edge-noder, som kan befinne seg utenfor EØS. Disse overføringene skjer på to kumulative grunnlag:
- EU-US Data Privacy Framework (DPF): Vercel Inc. er sertifisert under EUs tilstrekkelighetsbeslutning for EU-US Data Privacy Framework, vedtatt av EU-kommisjonen 10. juli 2023 (Commission Implementing Decision (EU) 2023/1795). Sertifiseringen er offentlig tilgjengelig på dataprivacyframework.gov. DPF gir EU-borgere klageadgang via Data Protection Review Court (DPRC) og er underlagt tilsyn av U.S. Federal Trade Commission.
- EUs standardkontraktsklausuler (SCC): Som supplerende mekanisme benytter vi de oppdaterte SCC-ene vedtatt 4. juni 2021 (Commission Implementing Decision 2021/914, Modul 2), inntatt i databehandleravtalen med Vercel.
Vi har gjennomgått leverandørenes Transfer Impact Assessments (TIA-er) og konkludert med at de kontraktsmessige, tekniske og organisatoriske tiltakene — herunder kryptering i hvile (AES-256) og under transport (TLS 1.2 eller nyere) — gir et tilstrekkelig beskyttelsesnivå tilsvarende det som garanteres i EØS, jf. EDPB Recommendations 01/2020.
Vipps MobilePay AS behandler betalingsdata utelukkende innenfor Norge og EØS. Ingen overføring til tredjeland skjer via Vipps.
Fullstendige databehandleravtaler er tilgjengelig etter forespørsel til personvern@peilar.no.
7. Oppbevaringsperioder
| Datatype | Oppbevaringstid | Begrunnelse |
|---|---|---|
| Kontoinformasjon (e-post) | Til kontoen slettes, eller 3 år etter siste innlogging | Art. 6(1)(b) — avtaleforholdet |
| Kjøpsbilag (bilagsdata) | 5 år etter regnskapsårets utløp | Art. 6(1)(c), bokføringsloven § 13 nr. 1–4 |
| PDF-rapport (kopi i Supabase Storage) | 5 år etter kjøpet | Art. 6(1)(b) — leveranse og reklamasjonsrettigheter |
| Søkehistorikk (identifiserbar) | 12 måneder, deretter automatisk anonymisering | Art. 6(1)(f) — tjenesteforbedring og sesongbasert analyse |
| Geocodede koordinater (per søk/kjøp) | Følger tilknyttet post | Slettes med søkehistorikk / etter 5 år for kjøpsdata |
| Serverlogger (IP, User-Agent, tidspunkt) | 90 dager | Art. 6(1)(f) — sikkerhet og feilsøking; GDPR fortalepunkt 49 |
| Sesjonsinformasjon / autentiseringstokens | Til utlogging; refresh token maks. 7 dager | Art. 6(1)(b) — sikker autentisering |
| Backup-data (Supabase automatiske sikkerhetskopier) | 30 dagers rullerende overskriving | Teknisk nødvendighet; slettede data fjernes fra backup innen 30 dager |
| E-post til kundestøtte (hei@peilar.no) | 2 år etter siste henvendelse | Art. 6(1)(f) — dokumentasjon og tvisteløsning |
| Informasjonskapsler | Varierer per kapsel | Se informasjonskapselside |
Når oppbevaringstiden utløper, slettes eller anonymiseres dataene automatisk. Anonymiserte og aggregerte data (f.eks. statistikk over hvilke kommuner som søkes hyppigst) er ikke personopplysninger og kan oppbevares uten tidsbegrensning.
Om bokføringsloven: Kjøpsbilag underlagt oppbevaringsplikt etter bokføringsloven kan ikke slettes etter begjæring, selv ved bruk av retten til sletting etter GDPR art. 17. Oppbevaringsplikten gjelder 5 år regnet fra utgangen av det kalenderåret transaksjonen ble bokført, jf. bokføringsloven § 13 første ledd.
Om backup: Data du ber oss slette fra aktiv database, kan teknisk sett finnes i Supabase-sikkerhetskopier i inntil 30 dager. Etter denne perioden er dataene permanent slettet fra alle systemer.
Om inaktive kontoer: Kontoer uten innlogging i 3 år vil bli varslet per e-post og deretter slettet etter 30 dagers varsel, med unntak av data vi er rettslig forpliktet til å oppbevare.
8. Dine rettigheter
Etter GDPR kapittel III og personopplysningsloven har du følgende rettigheter. Utøv dem ved å kontakte oss på personvern@peilar.no. Vi svarer innen 30 dager (kan forlenges med 60 dager ved komplekse forespørsler, jf. GDPR art. 12(3)).
- Innsyn (art. 15) — få kopi av alle personopplysninger vi har om deg, inkludert formål, kategorier, mottakere og oppbevaringstid. Kopien leveres i et forståelig format.
- Retting (art. 16) — korrigere uriktige eller ufullstendige opplysninger uten ugrunnet opphold.
- Sletting (art. 17) — be om at opplysningene slettes. Unntak: vi kan ikke slette data bokføringsloven pålegger oss å oppbevare (kjøpsbilag i 5 år fra regnskapsårets slutt). Slettede data kan finnes i backup i inntil 30 dager (se § 7).
- Begrensning (art. 18) — be om at vi begrenser behandlingen (lagrer men ikke aktivt bruker opplysningene) der du bestrider riktigheten, behandlingen er ulovlig men du motsetter deg sletting, vi ikke lenger trenger opplysningene men du trenger dem til et rettskrav, eller du har fremsatt innsigelse etter art. 21.
- Dataportabilitet (art. 20) — motta dine data i et strukturert, maskinlesbart format (JSON/CSV). Gjelder data du selv har oppgitt, behandlet automatisert med grunnlag i avtale eller samtykke.
- Innsigelse (art. 21) — protestere mot behandling basert på berettiget interesse (art. 6(1)(f)). Vi vil da vurdere om vår interesse veier tyngre enn din. Innsigelse mot behandling for direkte markedsføring medfører umiddelbar opphør.
- Automatiserte avgjørelser (art. 22) — Peilar.no benytter automatiserte algoritmer for beregning av risikonivåer for eiendommer. Dersom du mener en slik beregning berører deg rettslig eller på tilsvarende måte i vesentlig grad, kan du be om menneskelig overprøving, fremsette ditt syn og bestride resultatet ved å kontakte oss.
- Trekke samtykke (art. 7(3)) — trekke samtykke for ikke-nødvendige informasjonskapsler når som helst, uten at det påvirker lovligheten av tidligere behandling.
- Klage til Datatilsynet (art. 77) — se § 9.
For å verifisere din identitet ved rettighetsforespørsler kan vi be deg bekrefte e-postadressen knyttet til kontoen. Alle forespørsler er gratis. Vi kan kun ilegge gebyr eller avslå ved åpenbart grunnløse eller overdrevne forespørsler, jf. art. 12(5) — vi bærer da bevisbyrden for dette.
9. Klage til Datatilsynet
Dersom du mener at vi behandler personopplysninger i strid med regelverket, har du rett til å klage til Datatilsynet, jf. GDPR art. 77:
- Datatilsynet
- Postboks 458 Sentrum, 0105 Oslo
- Telefon: 22 39 69 00
- E-post: postkasse@datatilsynet.no
- Nettside: datatilsynet.no
Dersom du er bosatt i et annet EØS-land, kan du velge å klage til tilsynsmyndigheten i ditt bostedsland, som da vil samarbeide med Datatilsynet. En oversikt over europeiske tilsynsmyndigheter finnes på edpb.europa.eu.
Vi anbefaler at du kontakter oss på personvern@peilar.no først slik at vi kan forsøke å løse forholdet.
10. Sikkerhetsbrudd og avvikshåndtering
Vi har plikt til å melde brudd på personopplysningssikkerheten til Datatilsynet uten ugrunnet opphold og — der det er mulig — senest innen 72 timer etter at vi fikk kjennskap til bruddet (GDPR art. 33). Fristen regnes fra det tidspunkt vi ble kjent med at et brudd har skjedd. Ufullstendig melding kan ettersendes i trinn, jf. art. 33(4).
Dersom bruddet sannsynligvis vil medføre høy risiko for dine rettigheter og friheter, vil vi varsle deg direkte per e-post uten ugrunnet opphold (GDPR art. 34).
- Vi fører et internt avviksregister over alle brudd på personopplysningssikkerheten, inkludert brudd som ikke er meldepliktige, jf. art. 33(5).
- Våre databehandlere (Supabase, Vercel) er kontraktsmessig forpliktet til å varsle oss uten ugrunnet opphold ved brudd på sine systemer, jf. art. 33(2).
Meld om mulige sikkerhetsbrudd til: personvern@peilar.no
11. Barn
Peilar.no er rettet mot voksne over 18 år. Aldersgrensen er satt av kontraktsrettslige årsaker (myndighetsalder etter avtaleloven) og er strengere enn den personvernrettslige grensen for barns samtykke til informasjonssamfunnstjenester etter GDPR art. 8.
Dersom vi oppdager at vi har samlet inn data fra en person under 18 år, vil vi stenge tilgang umiddelbart og slette alle personopplysninger innen 14 dager. Foresatte kan kontakte oss på personvern@peilar.no for å be om sletting.
12. Sikkerhetstiltak
Vi har implementert tekniske og organisatoriske sikkerhetstiltak tilpasset risikoen forbundet med behandlingen, jf. GDPR art. 32 og prinsippet om innebygd personvern og personvern som standard (art. 25).
Tekniske tiltak
- All trafikk krypteres med TLS 1.2 eller nyere (HTTPS, TLS 1.3 foretrukket) mellom brukere og tjenesten
- Passord lagres aldri i klartekst; Supabase benytter bcrypt med tilstrekkelig arbeidsparameter
- Tilgangskontroll på radnivå i databasen (Row Level Security, RLS) — din data er kun tilgjengelig for din brukerkonto
- Sesjonstokener har begrenset levetid og ugyldiggjøres ved utlogging og passordendring
- Databasebackup kryptert i hvile (AES-256) hos Supabase
- Tilgangslogger for administrative handlinger og uvanlig aktivitet
Organisatoriske tiltak
- Prinsippet om minste privilegium — kun nødvendig personale har tilgang til produksjonsdata
- Regelmessige sikkerhetsoppdateringer av all programvare og avhengigheter
- Dataminimering: vi samler kun inn opplysninger som er nødvendige for tjenestens formål, jf. art. 5(1)(c)
- Skriftlige databehandleravtaler med alle underleverandører som behandler personopplysninger, jf. art. 28
Leverandørenes sertifiseringer
- Supabase: SOC 2 Type 2-sertifisert, regelmessig revidert av uavhengig tredjepart
- Vercel: ISO/IEC 27001-sertifisert
13. Endringer i personvernerklæringen
Denne personvernerklæringen kan oppdateres. Oppdatert dato vises øverst. Ved vesentlige endringer — for eksempel nye formål, nye databehandlere, endringer i overføringsgrunnelag eller endringer i oppbevaringsperioder — varsler vi registrerte brukere per e-post minst 14 dager før endringen trer i kraft.
Se også: Avtalevilkår og Informasjonskapsler