Fotokontor
Personvernerklæring
Sist oppdatert: 22. mai 2026
1. Behandlingsansvarlig
Personopplysninger behandles av:
Rex Solutions
v/ Bennet Rexhepi
Oslo, Norge
E-post: hei@fotokontor.no
Rex Solutions er behandlingsansvarlig for personopplysninger om fotografer (kunder av tjenesten). For personopplysninger om fotografers egne kunder er fotografen behandlingsansvarlig, og Rex Solutions opptrer som databehandler — se Vilkår for bruk § 10 for databehandleravtalen.
2. Hvilke personopplysninger vi samler inn
Om fotografer som bruker Fotokontor:
- Navn og e-postadresse (ved registrering)
- Brukernavn (slug) og visningsnavn
- Profilbilde (valgfritt)
- IP-adresse og innloggingstidspunkt (sikkerhet)
- Betalingsinformasjon håndteres av Stripe — vi lagrer aldri kortnummer
- Aktivitetslogg (hvilke handlinger som er utført i systemet)
Om fotografers kunder (behandlet på vegne av fotografen):
- Navn, e-postadresse og telefonnummer fra bookingskjema
- IP-adresse og tidsstempel ved digital signering av kontrakter
- User-agent (nettleserinformasjon) ved kontraktsignering
- Bilder og filer lastet opp av fotografen
- Svar på spørreskjemaer
Teknisk informasjon:
- Informasjonskapsler (session-token for innlogging)
- Feillogg via Sentry (anonymisert der mulig)
3. Rettslig grunnlag for behandling (GDPR art. 6)
| Formål | Grunnlag |
|---|---|
| Levere tjenesten (innlogging, lagring, e-post) | Avtale (art. 6 b) |
| Fakturering og betalingsbehandling | Avtale (art. 6 b) |
| Sikkerhet, feillogging og misbruksdeteksjon | Berettiget interesse (art. 6 f) |
| Overholde regnskapslovens krav (5 år) | Rettslig forpliktelse (art. 6 c) |
| Sende produktoppdateringer til eksisterende kunder | Berettiget interesse (art. 6 f) |
4. Databehandlere og tredjeparter
Vi bruker følgende underleverandører som behandler personopplysninger på våre vegne. Alle har databehandleravtaler i henhold til GDPR art. 28.
| Leverandør | Formål | Land |
|---|---|---|
| Supabase Inc. | Database, autentisering og fillagring | EU (Frankfurt, DE) |
| Vercel Inc. | Webhosting og serverinfrastruktur | EU |
| Resend Inc. | Utsending av e-post | USA (SCCs) |
| Upstash Inc. | Rate limiting og mellomlagring | EU |
| Stripe Inc. | Betalingsbehandling | EU (Irland) |
| Sentry (Functional Software) | Feillogging og overvåking | EU (Frankfurt, DE) |
For overføringer til USA (Resend) benyttes EUs standardkontraktbestemmelser (SCCs) i henhold til GDPR art. 46 nr. 2 bokstav c.
5. Lagringstid
- Kontodata: Beholdes så lenge kontoen er aktiv. Slettes innen 30 dager etter kontoavslutning.
- Betalingshistorikk: Beholdes i 5 år (regnskapsloven § 13).
- Signeringslogg (IP, tidsstempel): Beholdes i 10 år (kontraktrettslig bevis).
- Aktivitetslogger: Beholdes i 90 dager, deretter slettes automatisk.
- Sikkerhetslogger: Beholdes i 12 måneder.
6. Dine rettigheter (GDPR art. 15–22)
Du har rett til å:
- Innsyn (art. 15): Se hvilke personopplysninger vi har om deg
- Retting (art. 16): Korrigere uriktige opplysninger
- Sletting (art. 17): Kreve at opplysninger slettes («retten til å bli glemt»)
- Begrensning (art. 18): Begrense behandlingen under visse omstendigheter
- Dataportabilitet (art. 20): Motta dine data i maskinlesbart format
- Innsigelse (art. 21): Protestere mot behandling basert på berettiget interesse
Send forespørsel til hei@fotokontor.no. Vi svarer innen 30 dager.
Dersom du mener vi behandler dine personopplysninger i strid med GDPR, kan du klage til Datatilsynet: datatilsynet.no
7. Informasjonskapsler (cookies)
Vi bruker kun teknisk nødvendige informasjonskapsler:
- sb-auth-token: Innloggingssession (Supabase Auth). Slettes ved utlogging.
- fk-cookie-consent: Lagrer ditt samtykkevalg (localStorage).
Vi bruker ingen sporings-, analyse- eller reklamecookies fra tredjeparter.
8. Sikkerhet
Vi sikrer personopplysninger gjennom:
- Kryptering av data i transitt (TLS 1.3) og i hvile
- Row Level Security (RLS) i databasen — fotografer kan kun se egne data
- Signerte URL-er for tilgang til private filer (maks 24 timers gyldighet)
- Rate limiting på alle offentlige endepunkter
- Automatisk feildeteksjon via Sentry
Ved et personvernbrudd som medfører risiko for den registrerte, varsler vi Datatilsynet innen 72 timer (GDPR art. 33) og berørte parter uten unødig opphold (art. 34).
9. Endringer
Vesentlige endringer i denne erklæringen varsles på e-post minst 30 dager i forveien. Dato for siste oppdatering vises øverst på siden.
10. Kontakt
Rex Solutions v/ Bennet Rexhepi
Oslo, Norge
hei@fotokontor.no