Tusen Takk

DE EN NO

← Tilbake

Personvernerklæring

Per: mai 2026

1 Behandlingsansvarlig

Behandlingsansvarlig i henhold til personvernforordningen («GDPR») er:

Constantin Hirt
Gasborn 23
52062 Aachen, Tyskland
E-post: support@tusentakk.app

2 Virkeområde

Denne personvernerklæringen gjelder for mobilapplikasjonen «Tusen Takk» (iOS, eventuelt Android) samt nettstedet tusentakk.app.

3 Hvilke data vi behandler

3.1 Konto- og profildata

Ved registrering og bruk behandler vi følgende data:

• Navn (visningsnavn i appen);
• E-postadresse;
• Passord som bcrypt-hash (salt-runder: 10) — klartekstpassordet lagres aldri;
• Registreringstidspunkt;
• PayPal.Me-brukernavn (dersom lagret av Brukeren i profilen);
• Stripe Customer ID og Stripe Connect Account ID (dersom opprettet);
• Profilfoto / avatar (dersom lastet opp).

3.2 Transaksjons- og aktivitetsdata

• Sendte og mottatte Gavetoken (gavetype, beløp i cent, status, tidsstempler);
• Anledsningstekster og notater som eventuelt legges inn ved sending;
• Selfies og bildetekster som lastes opp for innløsning;
• Godkjennings-/avslagsbeslutninger og tidsstempler;
• Chat-bidrag (kommentarer, reaksjoner, bilder) i gavehistorikken;
• Poenghendelser («Social Score»), ukentlige utfordringer, prestasjoner, vennskapsforbindelser;
• For uregistrerte mottakere: e-postadressen deres som en ventende gave-post, inntil registrering eller i maksimalt 90 dager.

3.3 Enhets- og tekniske data

• Autentiseringstoken (JWT, gyldighet 30 dager, lagret lokalt på enheten);
• Push-varslingstoken (Expo Push Service), dersom Brukeren har aktivert push-varsler;
• Serverloggdata (tidspunkt, IP-adresse, user agent, tilgåtte endepunkter) for å sikre funksjonalitet og avverge angrep.

4 Formål og rettslige grunnlag for behandlingen

Formål	Rettslig grunnlag
Tilbud av appen, autentisering og kontoadministrasjon	Art. 6(1)(b) GDPR (avtaleoppfyllelse)
Behandling av gavetransaksjoner inkludert innløsning og utbetaling	Art. 6(1)(b) GDPR
Visning av selfies til Avsenderen for godkjenning	Art. 6(1)(b) GDPR; eventuelt Art. 9(2)(a) GDPR (samtykke), se punkt 6
Push-varsler	Art. 6(1)(a) GDPR (samtykke) og Art. 6(1)(b) GDPR
Poeng-, nivå- og ledertavlefunksjon	Art. 6(1)(b) GDPR
Serverlogger for IT-sikkerhet	Art. 6(1)(f) GDPR (berettiget interesse)
Overholdelse av lovpålagte forpliktelser (f.eks. informasjons- og oppbevaringsplikt)	Art. 6(1)(c) GDPR

5 Mottakere og databehandlere

Vi deler personopplysninger med mottakere kun der dette er nødvendig for å levere tjenesten eller det foreligger en lovpålagt forpliktelse. Følgende databehandlere og uavhengige mottakere benyttes:

• PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxembourg — behandling av utbetalinger via PayPal.Me. Kun PayPal.Me-brukernavnet og utbetalingsbeløpet overføres.
• Stripe Payments Europe, Ltd., Irland — alternativ utbetaling via Stripe Connect.
• Expo (650 Industries, Inc.), USA — levering av push-varslingstjenesten. Dataoverføring til USA på grunnlag av EUs standardkontraktsbestemmelser.
• Replit, Inc., USA — hosting og drift av backend-serverne (Express) og appinfrastrukturen. Dataoverføring til USA på grunnlag av passende garantier i henhold til Art. 44 ff. GDPR (EUs standardkontraktsbestemmelser / EU–US Data Privacy Framework).
• Apple Inc. — distribusjon av appen via App Store; tekniske telemetridata overføres i henhold til Apples retningslinjer.

Overføring av data til tredjeland utenfor EU/EØS skjer kun på grunnlag av passende garantier i henhold til Art. 44 ff. GDPR.

6 Selfies og særlige kategorier av data

Selfies som lastes opp for innløsning av et Gavetoken avbilder typisk personer og er beskyttet som personopplysninger. Der en selfie inneholder ansiktstrekk som i individuelle tilfeller kan klassifiseres som biometriske data i henhold til Art. 9 GDPR, innhenter vi uttrykkelig samtykke før opplasting (avkrysningsboks med informasjon på innløsningsskjermen).

Selfies brukes ikke til automatisert ansiktsgjenkjenning. De lagres utelukkende for visning i den respektive gavehistorikken mellom Avsender og Mottaker.

Brukeren kan til enhver tid trekke tilbake samtykket med fremtidig virkning ved å slette en enkelt selfie via appen eller fjerne hele kontoen sin.

7 Lagringstid

• Konto- og profildata: inntil kontosletting.
• Transaksjonsdata: inntil kontosletting, deretter anonymisering; lovpålagte oppbevaringsfrister forblir upåvirket.
• Selfies og chat-innhold: inntil slettet av Brukeren eller ved kontosletting, senest 30 dager etter kontosletting.
• Ventende gaver (e-postadresser til uregistrerte mottakere): automatisk sletting etter 90 dager uten krav.
• Serverlogger: maks. 30 dager.
• Push-token: inntil tilbaketrekking av push-samtykke eller kontosletting.

8 Dine rettigheter

Du har til enhver tid rett til:

• Innsyn i data lagret om deg (Art. 15 GDPR);
• Retting av unøyaktige data (Art. 16 GDPR);
• Sletting (Art. 17 GDPR);
• Begrensning av behandling (Art. 18 GDPR);
• Dataportabilitet (Art. 20 GDPR);
• Innsigelse mot behandling basert på Art. 6(1)(f) GDPR (Art. 21 GDPR);
• Tilbaketrekking av avgitt samtykke med fremtidig virkning (Art. 7(3) GDPR);
• Å klage til en tilsynsmyndighet (Art. 77 GDPR).

For å utøve rettighetene dine er en enkel melding til support@tusentakk.app eller bruk av «Slett konto»-funksjonen i appen (Profil → Innstillinger) tilstrekkelig.

9 Sikkerhet

• All dataoverføring utelukkende kryptert via HTTPS/TLS;
• Passord hashes med bcrypt og lagres ikke i klartekst;
• Autentisering via JWT-token med begrenset gyldighet;
• Tilgang til databasen er kun mulig for autoriserte tjenester og personer;
• Rate-begrensning på sensitive endepunkter (innlogging, registrering, give-sending, avatar-opplasting);
• Regelmessige oppdateringer av komponenter i bruk.

10 Automatiserte avgjørelser og profilering

Det foregår ingen utelukkende automatisert beslutningstaking i henhold til Art. 22 GDPR. Godkjenning av en selfie utføres alltid manuelt av Avsenderen. Poeng tildeles etter faste regler og fører ikke til rettslige eller tilsvarende vesentlige virkninger.

11 Endringer av denne personvernerklæringen

Vi forbeholder oss retten til å oppdatere denne personvernerklæringen når appfunksjoner endres eller rettssituasjonen krever det. Vesentlige endringer vil bli kommunisert via appen eller per e-post.

12 Personvernkontakt

For spørsmål om personvern eller for å utøve dine rettigheter, kontakt oss på:

Constantin Hirt — Personvern
Gasborn 23
52062 Aachen
E-post: support@tusentakk.app