GDPR · DPA · Overlevering
Dataeierskap, GDPR og overlevering
Sist oppdatert: 2. juni 2026
Denne siden samler alt vi mener om dataene dine på ett sted: hvor de bor, hvem som har tilgang, hvordan du henter dem ut, og hva som skjer hvis du sier opp. Vi har bevisst gjort dette så konkret som mulig — du skal ikke trenge en advokat for å forstå hva du går med på.
1. Hvem eier hva
Du eier dataene dine — alt sluttbrukerne dine genererer på plattformen, samt forretningsinnholdet, merkevaren og domenet ditt. Zelirotech eier infrastrukturen som driver det: serverkonfigurasjonen, de delte React- og Tailwind-komponentene, og Supabase-prosjektet vi administrerer. Du har en aktiv, ikke-eksklusiv lisens til å bruke den ferdige kodebasen så lenge abonnementet er aktivt. Dataene er dine uansett.
- Dine: kundedata, innhold, brukerkontoer, bestillinger, alt du eller dine sluttbrukere legger inn.
- Dine: domenet, logoer, merkevareelementer, all skreddersydd forretningslogikk vi bygger eksplisitt for deg.
- Våre: den underliggende infrastrukturen, gjenbrukbare UI-komponenter, deploy-pipelinen, og Supabase-administrasjonen.
2. Hvor data lagres
Vi har bevisst valgt en administrert modell: alle kunder kjører på en delt, multi-tenant Supabase-instans driftet av Zelirotech, med Postgres row-level security som garanterer at ingen kunde noensinne ser en annen kundes rader. Dataene ligger i EU region — innenfor EU/EØS, slik at GDPR alltid gjelder. Frontenden hostes på Cloudflares globale edge-nettverk.
- Database: Supabase-administrert Postgres i EU region.
- Frontend: Cloudflare edge-noder globalt — statiske ressurser, ingen lagring av kundedata.
- Filer: Supabase Storage, samme region som databasen.
- Backups: daglige automatiske backups, oppbevart i 30 dager.
3. Vår rolle under GDPR
Under personvernforordningen (GDPR / Personopplysningsloven) er du behandlingsansvarlig (data controller) for sluttbrukerdataene dine. Zelirotech er databehandler (data processor) — vi behandler kun data på din instruks, for å levere tjenesten du abonnerer på. Vi mineraliserer aldri, analyserer aldri og selger aldri dataene dine. Du kan be om en signert databehandleravtale (DPA) etter Art. 28 når som helst — send oss en e-post, så får du den innen én virkedag.
4. Eksport når som helst
Inne i dashbordet ditt finner du en "Eksporter dataene mine"-knapp under Innstillinger. Den genererer en JSON-arkivfil med profilen din, prosjektene, meldingene, sakene, varslingene og faktureringshistorikken. For rå databaseutdata (CSV eller SQL-dump) — eller en full kopi av Supabase-prosjektet ditt — send oss en e-post og du har det innen 3 virkedager, gratis.
- Selvbetjent JSON-eksport: Dashbord → Innstillinger → Eksporter dataene mine.
- CSV per tabell: tilgjengelig på forespørsel innen 3 virkedager.
- Full Postgres-dump (.sql): tilgjengelig på forespørsel innen 3 virkedager.
- Filer fra Supabase Storage: leveres som en zip-arkivfil sammen med dumpen.
5. Garanti om 30-dagers utskrift etter oppsigelse
Hvis du sier opp abonnementet, slettes ikke dataene dine umiddelbart. Du har 30 dager på deg til å be om en full eksport — i hvilket format som helst (JSON, CSV, SQL, Supabase-prosjektoverføring til en konto du eier). Etter 30 dager slettes alle aktive data permanent. Vi beholder kun fakturadata vi er lovpålagt å oppbevare (Bokføringsloven krever 5 år for norske foretak), uten tilgang til applikasjonsdataene.
6. Dine GDPR-rettigheter
Du har følgende rettigheter under GDPR. Skriv til oss for å utøve dem — vi svarer innen 30 dager (Art. 12).
- Rett til innsyn (Art. 15): be om en kopi av dataene vi behandler om deg.
- Rett til retting (Art. 16): be om at uriktige data korrigeres.
- Rett til sletting / å bli glemt (Art. 17): be om at dataene dine slettes.
- Rett til dataportabilitet (Art. 20): motta dataene i et strukturert, maskinlesbart format.
- Rett til begrensning (Art. 18) og innsigelse (Art. 21).
- Rett til å klage til Datatilsynet hvis du mener vi har behandlet dataene dine ulovlig.
7. Avviksvarsling (Art. 33)
Hvis vi oppdager et personvernbrudd som påvirker dataene dine, varsler vi deg uten ugrunnet opphold og senest innen 72 timer — med en beskrivelse av hva som skjedde, hvilke data som ble berørt, hva vi har gjort for å begrense skaden, og hvilke tiltak vi anbefaler at du tar. Vi varsler også Datatilsynet hvis bruddet kvalifiserer.
8. Oppbevaringsperioder
Vi oppbevarer dataene dine kun så lenge vi har et lovlig grunnlag.
- Aktive kontoer: oppbevares så lenge abonnementet er aktivt.
- Oppsagte kontoer: 30-dagers utskriftsvindu, deretter permanent slettet.
- Fakturaer og betalingsmetadata: 5 år, som krevd av Bokføringsloven (§ 13).
- Supportkorrespondanse: maks 2 år etter sak lukket.
- Logger og driftsovervåking: maks 90 dager.
Underleverandører
Vi bruker disse betrodde leverandørene for å drifte tjenesten. Alle har signerte databehandleravtaler og er GDPR-kompatible. Listen oppdateres ved endringer.
| Leverandør | Formål | Region |
|---|---|---|
| Supabase | Database, autentisering og fillagring | EU region |
| Cloudflare | Frontend-hosting og CDN | Globalt edge-nettverk |
| Stripe | Betalingsbehandling og abonnement | EU + USA (SCC-er) |
| Resend | Transaksjonell e-post | EU + USA (SCC-er) |
| Lovable AI Gateway | AI-funksjoner (kun ved aktivt valg) | EU + USA |
Spørsmål om dataene dine?
Skriv direkte til oss. Vi svarer innen 24 timer på hverdager.
For personvernforespørsler, GDPR-rettigheter eller en signert databehandleravtale (DPA), skriv til: aleksander@zelirotech.dev