Privatlivspolitik

Introduktion

Hos Sitecheck tager vi dit privatliv alvorligt. Denne privatlivspolitik forklarer, hvordan vi indsamler, bruger og beskytter dine personlige oplysninger, når du bruger vores hjemmesideanalysetjeneste. Sitecheck er en tjeneste leveret af Elunor (CVR-nr. 46462041), en enkeltmandsvirksomhed registreret i Danmark, som er dataansvarlig for de personoplysninger, der behandles via tjenesten. Denne privatlivspolitik er et oplysningsdokument i henhold til GDPR og skaber ikke garantier eller erstatningsansvar ud over, hvad der følger af gældende lovgivning og servicevilkårene.

Dataansvarlig

Den dataansvarlige for dine personoplysninger er Elunor (CVR-nr. 46462041), en enkeltmandsvirksomhed registreret i Danmark, som driver Sitecheck-tjenesten. Forretningsadresse: Jens Benzons Gade 14, 2. tv, 5000 Odense C. Du kan kontakte os på support@sitecheck.dk vedrørende spørgsmål om privatliv eller for at udøve dine rettigheder.

Retsgrundlag for behandling (GDPR art. 6)

Vi behandler dine personoplysninger på følgende retsgrundlag:

• Opfyldelse af kontrakt (art. 6, stk. 1, litra b): Behandling af dine kontooplysninger, scanningsresultater og abonnementsoplysninger er nødvendig for at levere den tjeneste, du har tilmeldt dig.
• Legitime interesser (art. 6, stk. 1, litra f): Vi behandler minimale tekniske data (f.eks. serverlogfiler, fejlsporing) for at drive, sikre og forbedre platformen. Dette afvejes mod dine privatlivsinteresser.
• Samtykke (art. 6, stk. 1, litra a): Analyse og valgfrie cookies aktiveres kun, efter du har givet udtrykkeligt samtykke via vores cookiebanner. Du kan trække samtykket tilbage til enhver tid.
• Retlig forpligtelse (art. 6, stk. 1, litra c): Vi opbevarer regnskabsmateriale som krævet af bogføringsloven.

Dataindsamling

Cookies og sporing

Vi bruger cookies og lignende teknologier til at levere og forbedre vores service. Du har fuld kontrol over valgfrie cookies gennem vores Cookie-præferencer.

Dine rettigheder (GDPR)

I henhold til databeskyttelsesforordningen (GDPR) har du følgende rettigheder:

• Ret til indsigt (art. 15): Anmod om en kopi af dine personoplysninger og information om, hvordan de behandles
• Ret til berigtigelse (art. 16): Få rettet unøjagtige eller ufuldstændige personoplysninger
• Ret til sletning (art. 17): Anmod om sletning af dine personoplysninger ("retten til at blive glemt")
• Ret til begrænsning af behandling (art. 18): Begræns, hvordan vi bruger dine data i visse tilfælde
• Ret til dataportabilitet (art. 20): Modtag dine data i et struktureret, maskinlæsbart format
• Ret til indsigelse (art. 21): Gør indsigelse mod behandling baseret på legitime interesser
• Ret til at trække samtykke tilbage (art. 7, stk. 3): Træk samtykke til valgfri dataindsamling tilbage til enhver tid, uden at det påvirker tidligere behandling
• Ret til ikke at være underlagt automatiserede afgørelser (art. 22): Vi træffer ingen udelukkende automatiserede afgørelser med retsvirkning eller tilsvarende betydelig virkning for dig
• Ret til at klage (art. 77): Indgiv en klage til Datatilsynet, hvis du mener, at dine personoplysninger behandles ulovligt

For at udøve nogen af disse rettigheder, kontakt os på support@sitecheck.dk. Vi besvarer din henvendelse inden for 30 dage som krævet af GDPR. For komplekse eller flere anmodninger kan vi forlænge fristen med yderligere to måneder med forudgående underretning. Du har også ret til at klage til Datatilsynet: Carl Jacobsens Vej 35, 2500 Valby (www.datatilsynet.dk).

Dataopbevaring

• Kontodata: opbevares, mens din konto er aktiv. Når du sletter din konto, slettes profildata, identiteter, scanningskonfigurationer og scanningsresultater inden for 30 dage
• Scanningsresultater og skærmbilleder: gemmes, mens din konto er aktiv, i henhold til rapportgrænserne på din plan. Slettes sammen med kontoen
• Regnskabsmateriale: opbevares i 5 år fra udgangen af det regnskabsår, hvor transaktionen fandt sted, som krævet af bogføringsloven §10. Dette gælder også efter sletning af konto. Omfatter fakturaer, kvitteringer og Stripe-transaktionsmetadata — ikke autentificerings- eller scanningsdata
• Serverlogfiler: rullende 30-dages opbevaring, derefter automatisk slettet
• Fejllogfiler: førstepartsdiagnostik for applikationsfejl (tekniske fejlmeddelelser og stak-spor, ingen analyse) opbevares i 30 dage, derefter automatisk slettet
• Analysedata (PostHog): 180 dage, derefter automatisk slettet. Indsamles kun, hvis du har givet analysesamtykke
• Databasesikkerhedskopier: krypterede sikkerhedskopier opbevares i op til 30 dage, derefter overskrevet
• Cookie-samtykke: gemt indtil du trækker samtykke tilbage eller rydder browserdata

Datasikkerhed og brudsmeddelelse

Vi implementerer branchestandardsikkerhedsforanstaltninger for at beskytte dine data, herunder kryptering under transport (TLS/SSL), kryptering af sikkerhedskopier, saltet password-hashing, rollebaseret adgangskontrol og databaseadgang efter "least privilege"-princippet via Postgres Row-Level Security. En oversigt over tekniske og organisatoriske foranstaltninger fremgår af Bilag II til Databehandleraftalen. Disse foranstaltninger udgør ikke en garanti mod sikkerhedshændelser, og oplysningen herom skaber ikke erstatningsansvar ud over, hvad der følger af servicevilkårene. Vores autentificerings- og databaselag drives af Supabase (EU-region). I tilfælde af et brud på persondatasikkerheden, der sandsynligvis vil indebære en risiko for dine rettigheder og frihedsrettigheder, anmelder vi bruddet til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter, at vi er blevet bekendt med det, jf. GDPR art. 33. Hvis bruddet sandsynligvis vil indebære en høj risiko, underretter vi også berørte brugere uden unødig forsinkelse, jf. GDPR art. 34.

Tredjepartstjenester og underdatabehandlere

Vi bruger følgende tredjepartstjenester til at levere Sitecheck. For tjenester, der fungerer som databehandlere på vores vegne, har vi indgået databehandleraftaler (DPA'er) som krævet af GDPR art. 28. For tjenester, der fungerer som selvstændige eller fælles dataansvarlige (særligt OAuth-loginudbydere og Stripe), gælder deres egne privatlivspolitikker for den behandling, de udfører. Sitecheck er ikke ansvarlig for tredjepartstjenesters databehandling, tilgængelighed eller nøjagtighed, og oplysningen om disse tjenester skaber ikke garantier eller erstatningsansvar ud over, hvad der følger af servicevilkårene.

• Supabase Inc. (databehandler) — autentificering, Postgres-database og lagring. Servere i EU (Frankfurt). DPA indgået. https://supabase.com/privacy
• PostHog Inc. — EU Cloud (databehandler) — opt-in produktanalyse. Data gemmes i EU. Indlæses kun efter udtrykkeligt cookiesamtykke. DPA indgået. https://posthog.com/privacy
• Stripe Payments Europe Ltd. (selvstændig dataansvarlig for betalingsbehandling) — modtager dit navn, e-mail, faktureringsadresse og kortoplysninger direkte via Stripe Checkout. Vi ser eller gemmer aldrig fulde kortnumre. Stripe er PCI DSS Level 1-certificeret. https://stripe.com/privacy
• Google LLC — OAuth-login (selvstændig dataansvarlig) — hvis du logger ind med Google, modtager vi dit navn, e-mail, Google-konto-ID og (hvis tilgængeligt) URL til profilbillede. Googles behandling som OAuth-udbyder er underlagt Googles egen privatlivspolitik. https://policies.google.com/privacy
• Google LLC — PageSpeed Insights API (selvstændig dataansvarlig for analyser, du anmoder om) — URL'er, du indsender til performanceanalyse, sendes til Google. Overførsler dækket af Standard Contractual Clauses. https://policies.google.com/privacy
• GitHub, Inc. (Microsoft Corporation) (selvstændig dataansvarlig) — hvis du logger ind med GitHub, modtager vi dit brugernavn, primær e-mail, GitHub-bruger-ID og (hvis tilgængeligt) URL til profilbillede. https://docs.github.com/site-policy/privacy-policies
• Resend, Inc. (databehandler) — levering af transaktionelle e-mails (kontobekræftelser, password-nulstillinger, uptime-alarmer, faktureringsmeddelelser). Vi sender ikke markedsføringsmails. DPA indgået. https://resend.com/legal/privacy-policy
• BlitzBrowser (databehandler) — hosted headless-Chrome-rendering, der bruges til at hente og analysere de URL'er, du indsender til scanning. De URL'er, du indsender, det renderede DOM og request/response-metadata sendes til denne tjeneste udelukkende for at udføre scanningen og opbevares ikke hos BlitzBrowser ud over scanningen.
• Vercel Inc. (databehandler) — applikationshosting og edge-levering. USA-baseret; overførsler dækket af Standard Contractual Clauses. DPA indgået. https://vercel.com/legal/privacy-policy
• Hetzner Online GmbH (databehandler) — serverinfrastruktur til vores scanningsdæmoner (sitecheck-runner, scan-daemon, uptime-daemon) og S3-kompatibel objektlagring til scanningsartefakter (skærmbilleder, JSON-rapporter). EU-datacentre (Tyskland/Finland). DPA indgået. https://www.hetzner.com/legal/privacy-policy

Internationale dataoverførsler: Nogle af de tjenester, der er anført ovenfor (Stripe, Google, GitHub/Microsoft, Vercel, Resend), er baseret i eller drives fra USA. Når personoplysninger overføres uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), baserer vi os på Europa-Kommissionens Standard Contractual Clauses (SCC'er) jf. GDPR art. 46, eller — for overførsler til organisationer certificeret under EU-U.S. Data Privacy Framework — Europa-Kommissionens tilstrækkelighedsafgørelse af 10. juli 2023.

Vi sender ikke markedsføring eller nyhedsbreve. E-mails fra Sitecheck er udelukkende transaktionelle: kontoverificering, password-nulstilling, faktureringsmeddelelser, uptime-alarmer og sikkerhedsmeddelelser. Du kan ikke fravælge strengt nødvendige transaktionelle e-mails, så længe du har en aktiv konto.

Automatiserede afgørelser

Sitecheck træffer ingen afgørelser baseret udelukkende på automatiseret behandling eller profilering, der har retsvirkninger eller tilsvarende betydeligt påvirker dig (GDPR art. 22). Opgradering af abonnementsniveau og adgangskontrol er regelbaserede processer, ikke AI-drevne profileringsafgørelser.

Aggregerede og anonymiserede data

Vi kan generere aggregerede, deidentificerede eller anonymiserede data afledt af din brug af tjenesten — f.eks. fordeling af fundne issue-typer på tværs af alle scanninger, scanningers performance-målinger, statistik over funktionsbrug eller benchmarkdata. Sådanne data identificerer ikke dig, din konto, dine kunder eller specifikke scannede URL'er og er ikke personoplysninger, når de er anonymiseret. Vi kan bruge, opbevare, offentliggøre og dele sådanne aggregerede eller anonymiserede data uden begrænsning med henblik på at drive, sikre, forbedre og benchmarke tjenesten eller producere rapporter og statistikker. Vi vil ikke offentliggøre anonymiserede data på en måde, der med rimelighed kan føre til reidentifikation.

Databeskyttelsesrådgiver (DPO)

Elunor er ikke forpligtet til at udpege en databeskyttelsesrådgiver efter GDPR art. 37: vores hovedaktiviteter består ikke af regelmæssig og systematisk overvågning af registrerede i stor skala eller af storskala-behandling af særlige kategorier af personoplysninger. Privatlivsforhold håndteres direkte af den dataansvarlige. Du kan til enhver tid kontakte os på support@sitecheck.dk vedrørende privatlivsspørgsmål, udøvelse af dine rettigheder eller henvendelser om bekymringer.

Børns privatliv

Sitecheck er ikke rettet mod børn. Efter Danmarks gennemførelse af GDPR art. 8 (databeskyttelsesloven §6 stk. 3) er aldersgrænsen for digitalt samtykke i Danmark 13 år. Vi indsamler ikke bevidst personoplysninger fra børn under 13 år uden verificeret forældresamtykke. Hvis du har mistanke om, at vi har indsamlet data fra et barn under 13 år, bedes du kontakte os på support@sitecheck.dk, så sletter vi dem omgående.

Ændringer i denne politik

Vi kan opdatere denne privatlivspolitik fra tid til anden for at afspejle ændringer i lovgivning, regulatorisk vejledning eller vores behandlingsarrangementer. Vi vil underrette dig om væsentlige ændringer ved at opdatere 'Sidst opdateret'-datoen øverst i denne politik og, hvor det kræves af lovgivningen, ved at indhente nyt samtykke eller give direkte besked via e-mail. Fortsat brug af tjenesten efter ikrafttrædelsesdatoen udgør accept af den reviderede politik.

Kontakt os

Hvis du har spørgsmål om denne privatlivspolitik eller hvordan vi håndterer dine data, bedes du kontakte os: