1. Hvem er behandlingsansvarlig
ProdForm er behandlingsansvarlig for persondata om kunder (organisasjoner som bruker plattformen) og besøkende på prodform.com. For deltaker-data som samles inn gjennom en test, er kunden behandlingsansvarlig og ProdForm databehandler. Forholdet reguleres av en databehandleravtale (DPA) som er en del av Vilkårene.
2. Hvilke persondata vi samler
Konto-data: navn, e-post, organisasjonstilhørighet, rolle. Bruksdata: hvilke tester du oppretter, innstillinger, tidspunkter for innlogging. Tekniske data: IP-adresse, nettleser-type, enhetstype, samtykke-status for cookies. Deltaker-data (lagret på vegne av kunde): svar på tester, eventuelle valgfrie demografi-felt, deltakerkode eller e-post hvis testen krever identifikasjon. Vi samler aldri sensitive kategorier (helse, biometri, religion, politisk overbevisning) med mindre kunden eksplisitt konfigurerer det og innhenter eget samtykke.
3. Formål og rettslig grunnlag
Konto-data behandles for å levere tjenesten (avtale, GDPR art. 6(1)(b)). Bruksdata og tekniske data behandles for å drifte, sikre og forbedre plattformen (berettiget interesse, art. 6(1)(f)). Markedsføring og analyse-cookies behandles kun med ditt samtykke (art. 6(1)(a)). Deltaker-data behandles på vegne av kunden — rettslig grunnlag fastsettes av kunden, typisk samtykke fra deltakeren før testen starter.
4. Hvem behandler dataene (underleverandører)
ProdForm bruker følgende databehandlere: Supabase (database, auth, fil-lagring — EU-region), Vercel (hosting og CDN), Sentry (feillogging), Anthropic (AI-funksjoner — kun når du eksplisitt bruker AI-verktøy). Alle har inngåtte databehandleravtaler. Oppdatert liste over underleverandører kan fås ved henvendelse. Kunder varsles minst 30 dager før vi tar i bruk nye underleverandører som behandler persondata.
5. Overføring utenfor EØS
Hoveddata lagres i EU. Sentry og Anthropic kan behandle deler av data utenfor EØS. Overføringene skjer på grunnlag av EU-kommisjonens standardkontrakter (SCC) supplert med tekniske tiltak. Vi vurderer overføringene løpende mot gjeldende rettspraksis.
6. Hvor lenge vi lagrer data
Aktive tester: data lagres så lenge testen pågår. Avsluttede tester: deltaker-svar med personidentifikatorer lagres i 24 måneder etter avslutning, deretter anonymiseres de — koblingen mellom svar og person fjernes permanent. Anonymiserte aggregat-data kan beholdes uten tidsbegrensning. Bruker- og organisasjons-kontoer lagres så lenge kontoen er aktiv, og slettes innen 30 dager etter at kontoen avsluttes (backups inkludert). Logs og tekniske data lagres i opptil 90 dager.
7. Dine rettigheter
Du har rett til innsyn, retting, sletting ("retten til å bli glemt"), begrensning, dataportabilitet og innsigelse mot behandling. For deltakere finnes selvbetjente verktøy for innsyn og sletting via lenken i invitasjons-e-posten. For konto-data: send forespørsel til kontakt@prodform.no — vi svarer innen 30 dager. Du kan klage til Datatilsynet (datatilsynet.no) hvis du mener vi behandler dataene dine i strid med GDPR.
8. Sikkerhet
Vi bruker kryptering i transit (TLS 1.3) og ved lagring (AES-256). Tilgang til persondata internt er rollebasert og logges. Multi-tenant isolasjon håndheves med Row Level Security i databasen. Alle ansatte med tilgang til kundedata har signert taushetserklæring. Sikkerhetshendelser varsles berørte kunder uten ugrunnet opphold og senest innen 72 timer, i tråd med GDPR art. 33.
9. Barn og aldersgrense
ProdForm er ikke beregnet på personer under 16 år. Kontoer for testorganisasjoner krever at brukeren er minst 18 år. Deltakere må være minst 16 år for å kunne gi gyldig samtykke til behandling av persondata uten foreldresamtykke. Tester rettet mot personer under 16 år krever særskilt avtale med ProdForm.
10. Endringer i erklæringen
Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller regelverk. Vesentlige endringer varsles på e-post til registrerte brukere minst 30 dager før de trer i kraft. Datoen øverst viser når erklæringen sist ble endret. Tidligere versjoner kan fås ved henvendelse.