1. Behandlingsansvarlig
Behandlingsansvarlig er Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Danmark, som driver virksomhet under binavnet OpenBanking IO ApS.
Henvendelser om personvern og GDPR: [email protected].
2. Hva vi samler inn
Personopplysninger: kun e-postadressen din, som vi mottar når du logger inn via OIDC. Vi bruker den til fakturering og driftsmeldinger. Ingen markedsføring uten ditt samtykke, ingen salg av data, ingen annonser, ingen profilering.
Bankdata: med ditt PSD2-samtykke henter og lagrer vi bankkonto- og transaksjonsdataene dine. Dette er selve tjenesten — vi behandler dem kun for å levere dem tilbake til deg.
3. Formål og rettsgrunnlag
- Levering av tjenesten og fakturering — kontrakt, GDPR art. 6 nr. 1 bokstav b
- Sikkerhet og varsler når et banksamtykke er i ferd med å utløpe — berettiget interesse, GDPR art. 6 nr. 1 bokstav f
- Tilgang til bankdataene dine i henhold til PSD2 — ditt samtykke, GDPR art. 6 nr. 1 bokstav a, gitt direkte hos banken din og kan når som helst trekkes tilbake
4. Databehandlere og underdatabehandlere
Vi bruker et lite utvalg europeiske databehandlere:
- Enable Banking Oy (Espoo, Finland) — bankforbindelse; en registrert AISP under tilsyn av det finske finanstilsynet (FIN-FSA) i henhold til PSD2. Verken vi eller Enable Banking lagrer bankinnloggingsdetaljene dine.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — hosting i ISO/IEC 27001:2022-sertifiserte datasentre i Tyskland og Finland.
- Gcore — DDoS-beskyttelse og nettverkskant på europeisk infrastruktur.
- Stripe (Stripe Payments Europe, Ltd., Irland) — kortbetalinger og påfyllinger. Vi lagrer aldri kortopplysninger.
Bankdata deles aldri med tredjeparter utover disse databehandlerne.
5. Hvor dataene dine lagres
Alle data lagres og behandles innenfor EU — i datasentre i Tyskland og Finland. Vi overfører ikke dataene dine utenfor EU.
6. Oppbevaring og sletting
Vi oppbevarer dataene dine så lenge kontoen din er aktiv. Når du sletter kontoen din, slettes bankkonto- og transaksjonsdataene dine.
Du kan også når som helst trekke tilbake enkelte banksamtykker; vi slutter da å hente data fra den banken.
7. Sikkerhet
Data krypteres under transport og i hvile. Driften kjører i ISO/IEC 27001:2022-sertifiserte datasentre, bak europeisk DDoS-beskyttelse.
Funnet en sårbarhet? Rapporter den til [email protected]. Vi bekrefter rapporter innen 48 timer og ber deg koordinere med oss før du offentliggjør noe.
8. Rettighetene dine
Etter GDPR har du rett til innsyn, retting, sletting, dataportabilitet, begrensning av behandling og innsigelse. For å utøve noen av disse, skriv til [email protected].
Hvis du mener vi behandler dataene dine ulovlig, kan du klage til Datatilsynet, det danske datatilsynet (datatilsynet.dk).
9. Varsler om utløp av samtykke
I henhold til PSD2 utløper banksamtykker med jevne mellomrom og må fornyes. Vi sender deg en e-post før et samtykke utløper, så synkroniseringen fortsetter uavbrutt. Dette er driftsmeldinger, ikke markedsføring, og de sendes på grunnlag av vår berettigede interesse i å holde tjenesten i gang for deg.
10. Endringer av denne erklæringen
Hvis vi endrer denne erklæringen vesentlig — for eksempel ved å legge til en databehandler eller et nytt formål — varsler vi deg på e-post før endringen trer i kraft. Datoen øverst gjenspeiler alltid den gjeldende versjonen.
11. Kontakt
- Personvern- og GDPR-henvendelser: [email protected]
- Generell support: [email protected]
- Sikkerhetsrapporter: [email protected]