Personvernerklæring

1. Behandlingsansvarlig

Lokale Helter AS (org.nr 933 716 538) er behandlingsansvarlig for personopplysninger samlet inn gjennom Enovi-tjenesten. Kontakt: hei@enovi.no

2. Hvilke opplysninger vi samler inn

Konto

• E-postadresse (kreves for innlogging via magic link)
• Navn (valgfritt)
• IP-adresse ved innlogging (lagres som en del av sesjonsdata)

Prosjektdata

• Boligens adresse, byggeår, gnr/bnr (Eiendomsregisteret)
• Opplastede bilder, fakturaer og tilskuddsbrev
• U-verdier, areal, modellnavn og andre tekniske opplysninger om tiltakene
• AI-generert metadata om filene dine (fase, tiltakstype, beskrivelse)

Betalingsdata

Betaling behandles av Stripe som selvstendig behandlingsansvarlig. Vi lagrer kun Stripes referanseidentifikator (session ID, payment intent ID), beløp og status. Kortinformasjon lagres aldri av Enovi.

3. Behandlingsgrunnlag

• Avtale (GDPR art. 6(1)(b)): når du oppretter en konto og bruker tjenesten
• Berettiget interesse (art. 6(1)(f)): drift av tjenesten, feildiagnose, sikkerhet
• Rettslig forpliktelse (art. 6(1)(c)): bokføringsplikt på betalingstransaksjoner

4. Hvor lenge vi oppbevarer data

• Kontodata: så lenge du har en aktiv konto. Sletting på forespørsel.
• Prosjektfiler (bilder, fakturaer): 12 måneder etter ferdig pakke, så slettes automatisk. Du kan slette tidligere når som helst via prosjektsiden.
• Betalingstransaksjoner: 5 år (bokføringsloven §13)
• Magic-link-tokens: 15 minutter, deretter slettet
• Sesjons-cookies: 30 dager rullerende

5. Hvem deler vi data med

• Anthropic (PBC, USA): vi sender bilder og PDF-er for AI-analyse via Vercel AI Gateway. Anthropic har zero data retention↗-policy for API-bruk og lagrer ikke innholdet ditt.
• Vercel Inc. (USA): hosting og fil-lagring (Vercel Blob, Frankfurt-region for EU-personvern).
• Stripe Inc. (USA): betalingsbehandling.
• Resend (USA): utsending av magic-link og varsel-e-poster.
• Neon (USA): hosting av PostgreSQL-database (EU-region).

Vi deler aldri data med markedsføringspartnere, datameglere eller andre tredjeparter for kommersielle formål.

6. Overføring til tredjeland

Noen av våre databehandlere er etablert i USA. Overføringer baseres på EU-Kommisjonens standard kontraktsbestemmelser (Standard Contractual Clauses) og Data Privacy Framework der det er aktuelt. Filer lagres i EU (Frankfurt) med mindre AI-analyse er nødvendig — i så fall sendes filinnholdet kortvarig til Anthropics API.

7. Dine rettigheter

Under GDPR har du rett til:

• Innsyn i hva vi lagrer om deg
• Korrigering av uriktige opplysninger
• Sletting ("retten til å bli glemt")
• Begrensning av behandling
• Dataportabilitet — eksport av dine data i maskinlesbar form
• Innvending mot behandling basert på berettiget interesse
• Tilbaketrekking av samtykke der det gjelder

Send forespørsel til hei@enovi.no. Vi svarer innen 30 dager. Du har også rett til å klage til Datatilsynet↗.

8. Sikkerhet

• HTTPS overalt, ingen klartekst-trafikk
• Filer lagres i kryptert lagring (AES-256 at rest)
• Magic-link-tokens hashes (SHA-256) før lagring
• Sesjons-cookies er HTTP-only, Secure (i prod), SameSite=Lax
• Server-side komprimering av bilder før AI-analyse begrenser data-eksponering
• Administrasjons-tilgang krever TOTP 2-faktor

9. Endringer i denne erklæringen

Vesentlige endringer varsles via e-post til registrerte brukere minst 30 dager før de trer i kraft. Mindre justeringer (språk, tydeliggjøring) gjøres uten varsel, men datoen øverst oppdateres alltid.