Personvern og informasjonskapsler
Personvernerklæring for Boly, i samsvar med personopplysningsloven, GDPR og ekomloven. Ved uoverensstemmelse mellom språkversjoner på denne siden gjelder den norske teksten.
1. Hvem vi er
Boly er en tjeneste for formidling av kontakt mellom utleiere og leietakere i et regulert, kommunegodkjent kretsløp. Gamechanging AS eier og drifter Boly. Nav har bidratt til utviklingen i partnerskap med Gamechanging og er ikke databehandler for personopplysningene i plattformen.
Behandlingsansvarlig for opplysningene som behandles i tjenesten er kommunen/saksbehandler som har aktivert Boly for ditt område. Boly (Gamechanging) er databehandler på vegne av behandlingsansvarlig.
Kontakt: info@bolynorge.no
2. Hvilke personopplysninger vi behandler
Vi behandler kun opplysninger som er nødvendige for å levere tjenesten (prinsippet om dataminimering, GDPR art. 5 (1) c):
| Kategori | Formål | Rettslig grunnlag |
|---|---|---|
| Navn, e-post, telefon | Konto, innlogging, varsler | Avtale (art. 6 (1) b) |
| Foretrukket språk | Språkvalg for UI og e-post | Berettiget interesse (art. 6 (1) f) |
| Rolle (utleier / kommune/saksbehandler / leietaker) | Tilgangsstyring | Avtale |
| Kommuneregion | Knytte bruker til riktig område | Avtale |
| Adresse/koordinater på bolig | Formidling av utleieobjekt | Avtale |
| Husregler, overtakelsesrapporter | Leieforholdet | Avtale |
| Chat-meldinger, vedlegg | Kommunikasjon mellom partene | Avtale |
| Signeringslogg (teknisk referanse, tidsstempel) | Gyldighetsbevis for signert avtale | Rettslig forpliktelse (art. 6 (1) c) |
| Bankkontonummer (valgfritt – kun hvis utleier velger kontobetaling for fakturagrunnlag) | Generere fakturagrunnlag til kommunen/saksbehandler ved formidling | Avtale (art. 6 (1) b) |
| Påloggingsstatistikk / audit logs | IT-sikkerhet, feilsøking | Berettiget interesse |
Bankkontonummer lagres kun dersom utleier aktivt har valgt kontobetaling i stedet for standard fakturabetaling. Tilgang er begrenset til utleieren selv og autoriserte saksbehandlere i samme region (rolle- og områdefiltrering), og informasjonen slettes automatisk 24 måneder etter siste oppdatering når boligen ikke lenger er aktivt formidlet. Se §5.
Vi lagrer ikke fødselsnummer eller DUF-nummer, bankkort-PAN, CVV eller annen betalingsinstrumentslegitimasjon, helseopplysninger, etnisitet eller politiske meninger. Passord håndteres av Supabase Auth med bcrypt/argon2.
3. Særlige kategorier og sensitive opplysninger
Boly er ikke designet for å samle inn særlige kategorier av personopplysninger (GDPR art. 9) eller opplysninger om straffbare forhold (art. 10). Vi ber brukere om å unngå å dele sensitive personopplysninger (f.eks. helse, straffesak eller opplysninger om andre) i chatten og i fritekstfelt. Slike opplysninger er ikke nødvendige for formidlingen, og vil – hvis de oppstår – behandles med samme sikkerhetsnivå som øvrige chat-data og slettes i henhold til lagringstidene under §5.
4. Informasjonskapsler og samtykke
Boly bruker informasjonskapsler i tre kategorier:
| Kategori | Aktivt nå | Samtykke |
|---|---|---|
| Strengt nødvendige (innlogging, sesjon, CSRF-tokens) | Ja | Ikke påkrevd (ekomloven § 2-7b) |
| Statistikk (anonymisert, aggregert) | Planlagt | Aktivt samtykke |
Boly benytter ikke markedsføringskapsler eller sporing på tvers av nettsteder. Dersom dette innføres på et senere tidspunkt, vil vi be om et nytt aktivt samtykke.
Du kan når som helst endre valg via «Informasjonskapsler»-knappen i bunnen av nettsiden. «Avvis alle» er plassert like lett tilgjengelig som «Godta alle», i tråd med Datatilsynets veileder og ekomloven.
5. Lagringstid
- Kontoopplysninger: Så lenge kontoen er aktiv; kan slettes 12 måneder etter siste innlogging (konfigurerbart hos behandlingsansvarlig).
- Signerte avtaler: 5 år etter at leieforholdet er avsluttet (bokføringsloven § 13 (3)). Behandlingsansvarlig kan forlenge dette ved dokumentert arkiv- eller rettsbehov.
- Chat-meldinger og vedlegg: 24 måneder etter siste aktivitet (automatisk nattlig sletting).
- Overtakelsesrapporter: 3 år etter at rapporten er godkjent.
- Bankkontonummer / fakturagrunnlag: 24 måneder etter siste oppdatering når boligen ikke lenger er aktivt formidlet (automatisk nattlig sletting). Slettes kaskadisk ved sletting av boligannonsen.
- Varsler (notifications): 12 måneder.
- Audit logs / sikkerhetslogger: 12 måneder.
6. Delingspartnere (databehandlere)
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Supabase (Auth + DB + Storage) | Backend, autentisering | EU (Frankfurt) |
| Vercel | Hosting av frontend | EU (Stockholm, arn1) |
| Mailjet | Utsending av transaksjonelle e-poster | EU |
| Signicat | BankID-signering | EU (Norge) |
| Kartverket / Geonorge | Adressesøk (ingen personidentifikasjon) | Norge |
Boly sender ikke personopplysninger til land utenfor EU/EØS.
7. Dine rettigheter (GDPR kap. III)
Du har rett til å:
- få innsyn i opplysningene vi har om deg (art. 15),
- få rettet feil (art. 16),
- be om sletting (art. 17),
- begrense behandlingen (art. 18),
- få dataportabilitet (art. 20),
- protestere mot behandling basert på berettiget interesse (art. 21).
Henvendelser om behandlingsansvarliges plikter sendes til kommunen/saksbehandler for ditt område, eller til info@bolynorge.no, som vil videreformidle.
Klagerett: Du kan klage til Datatilsynet dersom du mener behandlingen er i strid med loven.
8. Sikkerhet
- All kommunikasjon skjer over HTTPS (TLS 1.2+).
- Passord håndteres av Supabase Auth (bcrypt/argon2).
- Tilgang til data styres slik at brukere normalt bare ser egne opplysninger og det som er nødvendig for rollen og området de er knyttet til.
- Signering av avtaler gjøres med BankID (kvalifisert elektronisk signatur).
- Ratebegrensning: maks 3 signeringsforsøk per konto per døgn.
9. Endringer
Vesentlige endringer varsles via e-post og i appen minst 14 dager i forveien.