Personvernerklæring
Sist oppdatert: 6. mai 2026
1. Behandlingsansvarlig
Behandlingsansvarlig for personopplysninger på Carby.no er:
Carby
E-post: personvern@carby.no
2. Hvilke opplysninger behandler vi?
2.1 Opplysninger du gir oss
- E-postadresse – ved registrering av brukerkonto eller reservasjonsskjema
- Betalingsinformasjon – behandles eksklusivt av Stripe. Vi lagrer ikke kortnummer eller bankdetaljer.
2.2 Opplysninger generert ved bruk
- Oppslags-logg (anonymisert): Når du slår opp et registreringsnummer, lagres en SHA-256-hash av nummeret (ikke nummeret i klartekst) for cache og feilsøking. Denne er ikke reversibel til det opprinnelige nummeret.
- IP-adresse (hashet): For rate-limiting lagres en enveis-hash av IP-adressen. Klartekst IP lagres ikke.
- Sesjons-tokens: En kortlivet token (24 timer) knyttes til hvert oppslag for å muliggjøre visning av resultat-siden. Utløper automatisk.
- Informasjonskapsler (cookies): Teknisk nødvendige cookies for innlogging (Supabase-sesjon). Se cookie-policy for detaljer.
2.3 Opplysninger vi aldri lagrer
- Navn, adresse eller annen identifiserende informasjon om kjøretøyeiere
- Registreringsnummer i klartekst i logger, databaser eller analyseverktøy
- Opplysninger fra tredjeparter uten eksplisitt grunnlag
3. Formål og rettslig grunnlag
| Behandling | Formål | Grunnlag (GDPR) |
|---|---|---|
| E-postadresse (konto) | Autentisering, kontoadministrasjon | Art. 6(1)(b) – avtale |
| E-postadresse (reservasjon) | Behandle forespørsel om reservasjon | Art. 6(1)(b) – avtale |
| Hashed oppslags-logg | Cache, statistikk, feilsøking | Art. 6(1)(f) – berettiget interesse |
| Hashed IP for rate-limit | Forhindre misbruk av tjenesten | Art. 6(1)(f) – berettiget interesse |
| Betalingsopplysninger | Abonnement og fakturabehandling | Art. 6(1)(b) – avtale |
4. Databehandlere og tredjeparter
Vi deler opplysninger med følgende databehandlere under databehandleravtale:
- Supabase Inc. (USA/EU) – Database og autentisering. Data lagres i Frankfurt (eu-central-1). Supabase personvernerklæring
- Vercel Inc. (USA) – Hosting og CDN. Trinnvis Vercel Edge i Europa. Vercel personvernerklæring
- Stripe Inc. (USA) – Betalingsbehandling. Stripe er sertifisert PCI DSS Level 1. Stripe personvernerklæring
Vi overfører ikke personopplysninger til andre tredjeparter uten ditt samtykke.
5. Lagringstid
- Brukerkontoer: Inntil brukeren sletter kontoen eller ber om sletting
- Sesjons-tokens: 24 timer, deretter automatisk slettet
- Hashet oppslags-logg: 7 dager for cache, 90 dager for statistikk-aggregater
- Hashet IP (rate-limiting): 24 timer
- Reservasjon (bekreftet): Inntil bruker trekker reservasjonen tilbake
- Stripe-transaksjonsdata: 5 år (norsk bokføringslovgivning)
6. Dine rettigheter
Under GDPR har du rett til å:
- Innsyn (art. 15): Be om kopi av opplysninger vi behandler om deg
- Retting (art. 16): Korrigere feilaktige opplysninger
- Sletting (art. 17): Be om sletting («retten til å bli glemt»)
- Begrensning (art. 18): Begrense behandlingen i visse tilfeller
- Dataportabilitet (art. 20): Motta dine data i maskinlesbart format
- Innsigelse (art. 21): Protestere mot behandling basert på berettiget interesse
Send forespørsler til personvern@carby.no. Vi besvarer innen 30 dager.
Reservasjonsrett for registreringsnummer
Ønsker du at vi ikke lagrer oppslags-cache for et bestemt registreringsnummer? Bruk reservasjonsskjemaet. Etter e-postbekreftelse fjernes eventuelle cache-data og fremtidige oppslag returnerer 410 Gone uten å lagre ny cache.
Slett konto
Innloggede brukere kan slette kontoen fra kontosiden. All tilknyttet data slettes innen 30 dager.
7. Klagerett
Du har rett til å klage til Datatilsynet dersom du mener vi behandler personopplysninger i strid med personvernregelverket.
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
datatilsynet.no
8. Informasjonssikkerhet
Vi bruker følgende sikkerhetstiltak:
- HTTPS for all trafikk (TLS 1.2+)
- SHA-256-hashing av registreringsnummer og IP-adresser
- Row-Level Security (RLS) i Supabase-databasen
- Kryptering av sensitive felter med pgcrypto
- HSTS-header (Strict-Transport-Security) aktivert
9. Endringer i personvernerklæringen
Vi oppdaterer denne erklæringen ved vesentlige endringer i behandlingen. Datoen øverst på siden viser siste oppdatering. Vesentlige endringer varsles per e-post til registrerte brukere.