Privatlivspolitik
1. Den dataansvarlige
Den dataansvarlige for behandlingen af dine personoplysninger i forbindelse med Nearly-appen og getnearly.com er:
- Virksomhed: Nearly (enkeltmandsvirksomhed)
- CVR-nr.: CVR følger (under registrering)
- Adresse: [PLACEHOLDER: registreret adresse — udfyldes inden offentliggørelse]
- E-mail: [email protected]
Nearly er en enkeltmandsvirksomhed og er som udgangspunkt ikke forpligtet til at udpege en DPO (GDPR Art. 37). Er du i tvivl om databeskyttelse, er du altid velkommen til at kontakte os på [email protected].
Denne privatlivspolitik gælder for Nearly-appen (iOS og Android) samt getnearly.com og tilknyttede webflader.
2. Retsgrundlag og formål — samlet oversigt
Vi behandler kun personoplysninger, der er nødvendige for at levere appen og dens funktioner (dataminimeringsprincippet, GDPR Art. 5(1)(c)). Nedenstående tabel angiver retsgrundlaget for hver behandlingskategori i overensstemmelse med GDPR Art. 6 og, hvor relevant, Art. 9.
| # | Datakategori | Konkrete data | Formål | Retsgrundlag |
|---|---|---|---|---|
| 1 | Venteliste-tilmelding | E-mailadresse, tilmeldingstidspunkt, kilde (fx "web-forside") | Underrette dig om Nearly-appens lancering; ingen markedsføring uden nyt samtykke | Art. 6(1)(a) — eksplicit samtykke (afkrydsningsfelt ved tilmelding). Du kan til enhver tid afmelde dig via [email protected]. |
| 2 | In-app feedback | Fritekst-feedback indsendt frivilligt via appen. Kan indhentes anonymt — vi beder ikke om navn eller e-mail. | Forbedring af appen og brugeroplevelsen; ikke delt med tredjeparter | Art. 6(1)(f) — legitim interesse (produktforbedring). Behandlingen er anonym, hvis du ikke selv angiver personoplysninger i friteksten. |
| 3 | Kontooplysninger | E-mailadresse, internt bruger-ID (UUID v4), oprettelsestidspunkt, valgt login-metode | Oprettelse og drift af brugerkonto; autentifikation | Art. 6(1)(b) — opfyldelse af aftale |
| 4 | Favoritter | Produkt-ID'er knyttet til bruger-ID | Gemme dine favoritprodukter synkroniseret på tværs af enheder | Art. 6(1)(b) — opfyldelse af aftale |
| 5 | Samtykke-logning | Bruger-ID, formål-ID, samtykke-status, tidsstempel, CMP-version | Dokumentation af samtykke jf. GDPR Art. 7(1) | Art. 6(1)(c) — retlig forpligtelse |
| 6 | Anonyme søgehændelser | Søgeord, tidsstempel, anonymt sessions-ID (genereret tilfældigt ved app-start; knyttes aldrig til bruger-ID) | Forbedring af søgefunktionen og katalogprioritering | Art. 6(1)(f) — legitim interesse |
| 7 | Affiliate-klik-tracking | Klik-tidspunkt, produkt-ID, affiliate-netværk-ID, sessions-ID | Korrekt provisionsafregning med affiliate-partnere; se § 7 (affiliateoplysning) | Art. 6(1)(b) og/eller Art. 6(1)(f) |
| 8 | Tekniske logfiler | IP-adresse (kortvarig, pseudonymiseret), app-version, fejlkoder | Fejldiagnosticering og driftssikkerhed | Art. 6(1)(f) — legitim interesse |
| 9 | Markedsanalyse-aggregater (kun Fase 5) | Genuint anonymiserede aggregater (min. kohorte k ≥ 50 brugere, 7-dages rullende vinduer) | Salg af anonymiserede forbrugsanalyser til B2B-kunder | Art. 6(1)(a) — eksplicit, separat samtykke. Output-aggregater: uden for GDPR (Betragtning 26) |
2.1 Hvad vi IKKE indsamler (privacy-by-design)
Vi har bevidst designet appen til at undgå indsamling af oplysninger i særlige kategorier jf. GDPR Art. 9:
- Hudtype, allergi-filtre og shade-præferencer gemmes udelukkende i den aktuelle sessions-hukommelse (RAM) og slettes automatisk ved sessionsafslutning. De knyttes aldrig til dit bruger-ID.
- Favoritprodukter gemmes som abstrakte produkt-ID'er, ikke som afledte profil-attributter.
- Søgninger logges anonymt uden bruger-ID og uden cross-session persistens.
- Frie tekstfelter der inviterer til symptombeskrivelse eksisterer ikke i appen.
3. Modtagere og videregivelse
Vi videregiver kun personoplysninger til tredjeparter i det omfang, det er nødvendigt, og på et dokumenteret grundlag.
| Modtager | Rolle | Formål | Geografisk placering |
|---|---|---|---|
| Supabase Inc. | Databehandler (Art. 28) | Hosting af database (venteliste, feedback, kontooplysninger, favoritter), autentifikation, API | Frankfurt, EU (eu-central-1); AWS er sub-processor (DPF-certificeret) |
| Cloudflare Inc. | Databehandler (Art. 28) | Hosting og CDN for getnearly.com; kortsigtet behandling af IP-adresser til DDoS-beskyttelse og caching | EU-noder + USA (DPF-certificeret + SCCs) |
| [PLACEHOLDER: affiliate-netværk, fx Adtraction/Partner-Ads/Awin] | Selvstændig dataansvarlig / databehandler [PLACEHOLDER: præcisér rolle] | Klik-tracking og provisionsafregning; se § 7 (affiliateoplysning) | [PLACEHOLDER: bekræft lokation og overførselsgrundlag inden offentliggørelse] |
| Apple Inc. (Sign in with Apple) | Selvstændig dataansvarlig for sin del af autentifikationsflowet | Social login; vi modtager kun et anonymt token | USA — DPF-certificeret |
| Google LLC (Google Sign-In) | Selvstændig dataansvarlig for sin del af autentifikationsflowet | Social login; vi modtager kun OAuth-token og e-mailadresse | USA — DPF-certificeret + SCCs |
Vi sælger ikke personoplysninger til tredjeparter. Eventuelt salg af markedsanalyse-data (Fase 5) sker udelukkende i form af genuint anonyme aggregater (GDPR Betragtning 26).
4. Opbevaringsperioder (Art. 5(1)(e))
| Datakategori | Opbevaringsperiode | Begrundelse |
|---|---|---|
| Venteliste-e-mail | Indtil Nearly lanceres + 90 dage; slettes straks ved afmelding | Art. 6(1)(a) — behandlingen ophører, når formålet (launch-notifikation) er opfyldt eller samtykket tilbagekaldes |
| In-app feedback | Maks. 24 måneder fra indsendelse | Art. 6(1)(f) — nødvendig og proportional for produktforbedring; anonymiseres løbende |
| Kontooplysninger og favoritter | Aktiv konto + 30 dage efter brugers sletning | Art. 6(1)(b) — nødvendig for aftaleopfyldelse |
| Samtykke-logning | 3 år fra samtykkets indhentelse | Art. 6(1)(c) — dokumentationskrav (GDPR Art. 7(1)) |
| Anonyme søgehændelser | 12 måneder rullende | Art. 6(1)(f) — nødvendig og proportional for katalog-forbedring |
| Tekniske logfiler (inkl. kortvarig IP) | Maks. 30 dage | Art. 6(1)(f) — minimalt nødvendig til fejldiagnose og sikkerhed |
| Affiliate-klik-data | [PLACEHOLDER: typisk 90 dage — bekræft med affiliate-netværket] | Art. 6(1)(b) — nødvendig til provisionsafregning |
5. Dine rettigheder (GDPR Art. 12–22)
Du har følgende rettigheder efter GDPR. Vi besvarer din henvendelse inden for 30 dage (Art. 12(3)), med mulighed for forlængelse til 3 måneder ved komplekse sager.
Sådan udøver du dine rettigheder: Send en e-mail til [email protected] med en kort beskrivelse af din anmodning. Har du brugerkonto i appen, kan du tilgå en del af rettighederne direkte i appen (Profil → Privatliv & samtykke). Vi besvarer uden unødig forsinkelse og gratis.
5.1 Ret til indsigt — Art. 15
Du kan til enhver tid anmode om en kopi af de personoplysninger, vi behandler om dig. Funktionen "Download mit data" i appen genererer en maskinlæsbar JSON-eksport af alle data knyttet til dit bruger-ID.
5.2 Ret til berigtigelse — Art. 16
Hvis dine personoplysninger er urigtige eller ufuldstændige, kan du anmode om rettelse. E-mail og profilinformation kan opdateres direkte i appen.
5.3 Ret til sletning — Art. 17
Du kan anmode om sletning af din konto og alle tilknyttede personoplysninger. Appen indeholder en "Slet konto"-funktion, der gennemfører cascade-sletning på tværs af alle brugertabeller. Apple App Store kræver, at alle apps tilbyder en in-app-sletningsfunktion — dette er implementeret.
5.4 Ret til begrænsning — Art. 18
Under visse omstændigheder kan du anmode om, at behandlingen begrænses. Vi må da kun opbevare, ikke aktivt behandle, oplysningerne.
5.5 Ret til dataportabilitet — Art. 20
For personoplysninger, som du selv har tilvejebragt og som behandles på grundlag af samtykke eller aftale ved automatiserede midler, kan du modtage data i et struktureret, maskinlæsbart format (JSON).
5.6 Ret til indsigelse — Art. 21
Hvis vi behandler dine personoplysninger på grundlag af legitim interesse (Art. 6(1)(f)), har du til enhver tid ret til at gøre indsigelse. Du kan framelde analytics via appens privatlivsindstillinger (profil-ikon → Privatliv & samtykke).
5.7 Ret til at tilbagekalde samtykke — Art. 7(3)
Hvor behandlingen er baseret på dit samtykke, kan du til enhver tid tilbagekalde dette med virkning fremadrettet. Tilbagekaldelse er teknisk lige så let som at give samtykke (ét klik i appens CMP).
5.8 Ret til ikke at være genstand for automatiserede individuelle afgørelser — Art. 22
Nearly træffer ikke afgørelser, der udelukkende er baseret på automatiseret behandling og har retsvirkning for dig.
6. Sikkerhed (Art. 32)
Vi iværksætter passende tekniske og organisatoriske foranstaltninger, herunder:
- Kryptering under lagring: AES-256 (Supabase / AWS eu-central-1)
- Kryptering under transmission: TLS 1.2+ på alle forbindelser
- Autentifikation: Bruger-sessions gemmes i enhedens sikre nøglelagring (iOS Keychain / Android Keystore)
- Adgangsstyring: Rollebaseret adgangskontrol (RBAC) i Supabase; minimalt antal medarbejdere med adgang til produktionsdatabasen
- PII i logs: Vi logger bevidst ikke personhenførbare oplysninger i applikationslogfiler
- Brudprocedure: Intern procedure for håndtering af personoplysningsbrud med notifikation til Datatilsynet inden 72 timer (Art. 33)
7. Affiliateoplysning (Markedsføringsloven § 6)
Nearly tjener kommission, når du klikker på et produktlink og efterfølgende køber hos en tilknyttet forhandler (fx Matas, Lyko, Cocopanda). Dette sker via affiliatenetværk. Kommissionen påvirker ikke den viste pris — du betaler det samme, som hvis du selv fandt frem til forhandleren.
Produktlinks med affiliatesporing er markeret eller fremgår af sammenhængen. Den organiske rangering (pris + dupe-match-score) påvirkes aldrig af betalte aftaler. Se også Handelsbetingelser § 7 for yderligere detaljer.
8. Ret til at tilbagekalde samtykke til venteliste
Har du tilmeldt dig ventelisten, kan du til enhver tid afmelde dig og anmode om sletning af din e-mailadresse ved at skrive til [email protected] med emnet "Afmeld venteliste". Vi sletter din e-mail inden for 5 hverdage og bekræfter slettelsen pr. e-mail.
9. Klage til Datatilsynet
Hvis du mener, at Nearly behandler dine personoplysninger i strid med GDPR eller Databeskyttelsesloven, har du ret til at indgive klage til:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: 33 19 32 00
E-mail: [email protected]
Web: www.datatilsynet.dk
10. Ændringer i denne politik
Vi opdaterer denne privatlivspolitik, hvis vores databehandlingspraksis ændres, eller hvis lovgivningen kræver det. Ændringsdatoen fremgår øverst i dokumentet. Væsentlige ændringer meddeles via en notifikation i appen eller e-mail mindst 14 dage inden ikrafttræden.
11. Datakilder
Nearly anvender produktdata fra Open Beauty Facts (openbeautyfacts.org), et fællesskabsdrevet, åbent produktregister. Disse data er licenseret under Open Database License (ODbL) 1.0. Produktbilleder fra Open Beauty Facts er typisk bidragydernes egne, under CC-BY-SA. Bidragyderne bag Open Beauty Facts ejer dataene.