Personvernerklæring for Enkel Middag
Sist oppdatert: 2026-06-02 Versjon: 2.1
1. Behandlingsansvarlig
S&P Studio AS (org.nr. 837 698 472), Oslo, er behandlingsansvarlig for personopplysninger som behandles gjennom Enkel Middag («Tjenesten»).
Spørsmål om personvern, eller anmodninger om utøvelse av rettigheter etter personvernforordningen (GDPR), rettes til:
E-post: personvern@enkelmiddag.no Postadresse: S&P Studio AS, Oslo, Norge
Selskapet har per dato ikke et eget personvernombud (DPO), men har ledelsesansvar for personvern internt.
2. Hvilke personopplysninger vi behandler
Vi behandler følgende kategorier av personopplysninger:
2.1 Identifikasjons- og kontaktopplysninger
- E-postadresse
- Visningsnavn (fornavn — du oppgir dette ved registrering)
- Pålogging-leverandør (Apple, Google eller e-post/passord)
- Et unikt bruker-ID (UUID) generert av Supabase
- Bruker-ID fra Apple eller Google ved bruk av disse påloggingsmetodene
2.2 Brukerprofil og preferanser
- Husholdningsstørrelse
- Kostholdsvalg (vegetar, glutenfri, halal osv.)
- Smaks- og preferanseinnstillinger
- Aktive ukedager du planlegger for
- Streaks og statistikk knyttet til bruksmønsteret
2.3 Innholdsdata du genererer
- Ukemenyer (genererte og redigerte)
- Handleliste
- Vurdering av oppskrifter (tommel opp/ned)
- Hvilke oppskrifter du har laget («Lagd før»)
- Egne notater eller tilpassede oppskrifter, dersom du oppretter slike
2.4 Husholdningsdata (ved deling)
- Hvilken husholdning du tilhører og rollen din (eier eller medlem)
- Den delte ukemenyen og handlelisten
- Hvem som la til, krysset av eller endret en vare
- Tidspunktet du ble med i husholdningen
2.5 Abonnements- og betalingsstatus
- Status på prøveperiode og abonnement
- Plan (månedlig eller årlig)
- Utløpsdato for abonnement
Faktisk betalingsinformasjon (kortnummer mv.) håndteres utelukkende av Apple og er ikke tilgjengelig for oss.
2.6 Tekniske data
- Enhetsmodell (f.eks. iPhone 15) og operativsystemversjon
- Apptilstand (versjonsnummer)
- IP-adresse (kortvarig — for sikkerhets- og driftslogger hos databehandlere)
- Anonymisert enhets-ID for analyseformål
2.7 Bruksdata og analyser
Vi bruker analyseverktøyet PostHog til å forstå hvordan appen brukes:
- Hvilke skjermer og funksjoner du åpner
- Hendelser som «opprettet ukemeny», «la til vare på handleliste», «vurderte oppskrift»
- Tidspunkter for bruk og varighet på sesjoner
Disse dataene knyttes til ditt bruker-ID slik at vi kan analysere brukerflyten over tid (f.eks. hvor mange brukere som fullfører onboarding). Vi deler ikke disse dataene med annonsenettverk og bruker dem ikke til markedsføring.
2.8 Krasjlogger og feilrapporter
Ved feil eller krasj i appen sendes anonymiserte krasjrapporter til Sentry. Dette omfatter:
- Feilmelding og «stack trace» (hvor i koden feilen oppstod)
- Apptilstand på krasjtidspunktet (skjerm, brukerhandling)
- Enhetsmodell og iOS-versjon
- Bruker-ID for å gruppere flere krasj fra samme bruker
Vi bruker disse dataene utelukkende til å diagnostisere og rette feil.
2.9 Posisjonsdata
Tjenesten ber ikke om posisjonsdata i nåværende versjon.
3. Formål og rettslig grunnlag
Vi behandler personopplysningene dine for følgende formål, med følgende rettslige grunnlag etter GDPR:
| Formål | Rettslig grunnlag (GDPR) |
|---|---|
| Opprette og drifte din brukerkonto | Art. 6(1)(b) — avtale |
| Generere personlige ukemenyer og handleliste | Art. 6(1)(b) — avtale |
| Synkronisere data mellom enheter og husholdningsmedlemmer | Art. 6(1)(b) — avtale |
| Administrere abonnement og prøveperiode | Art. 6(1)(b) — avtale |
| Sende viktige beskjeder om kontoen din (passordtilbakestilling, bekreftelser) | Art. 6(1)(b) — avtale |
| Forbedre appen via bruksanalyse (PostHog) | Art. 6(1)(f) — berettiget interesse |
| Identifisere og rette feil (Sentry-krasjlogger) | Art. 6(1)(f) — berettiget interesse |
| Sende push-varsler om planlagt middag | Art. 6(1)(a) — samtykke (gis i iOS-dialog) |
| Overholde rettslige forpliktelser (regnskap, skatteloven) | Art. 6(1)(c) — rettslig forpliktelse |
Du kan når som helst trekke tilbake et samtykke (f.eks. ved å skru av push-varsler i iPhone-innstillingene). Tilbaketrekking påvirker ikke lovligheten av tidligere behandling.
Vi selger ikke personopplysningene dine til tredjeparter og deler dem ikke med annonsenettverk.
4. Profilering og automatiserte avgjørelser
Tjenesten gir deg automatisk genererte forslag til ukemenyer, oppskrifter og handleliste basert på dine preferanser, vurderinger og brukshistorikk. Dette er en form for profilering i GDPR-forstand.
Profileringen har ingen rettslige eller tilsvarende vesentlige virkninger for deg etter GDPR Art. 22, og du kan når som helst:
- Endre eller fjerne preferansene dine
- Avvise foreslåtte oppskrifter (og dermed påvirke fremtidige forslag)
- Manuelt overstyre alle forslag
Algoritmen tar ikke autonome avgjørelser med rettslige konsekvenser. Du har likevel rett til å be om mer informasjon om hvordan forslagene genereres.
5. Hvem vi deler personopplysninger med
5.1 Databehandlere
Vi benytter følgende databehandlere som behandler personopplysninger på våre vegne. Alle har inngått skriftlige databehandleravtaler i samsvar med GDPR Art. 28.
| Tjeneste | Formål | Lokasjon | Overføringsgrunnlag (utenfor EØS) |
|---|---|---|---|
| Supabase | Lagring av brukerkonto, ukemeny, handleliste, husholdninger | EU (Frankfurt) | Ikke aktuelt — innen EØS |
| RevenueCat | Abonnementshåndtering | USA | Standardkontraktsklausuler (SCC) |
| Apple | Innlogging med Apple, App Store-betalinger, push-varsler | USA | Adekvansvurdering / SCC |
| Innlogging med Google (kun ved bruk) | USA | Adekvansvurdering / SCC | |
| PostHog | Bruksanalyse | EU (Tyskland) | Ikke aktuelt — innen EØS |
| Sentry | Krasjrapportering og feilsporing | EU (Tyskland) | Ikke aktuelt — innen EØS |
| Resend | Utsendelse av transaksjonelle e-poster (bekreftelse, passordreset) | USA | Standardkontraktsklausuler (SCC) |
| Cloudflare | Domene- og DNS-tjenester for enkelmiddag.no | Globalt | Standardkontraktsklausuler (SCC) |
5.2 Andre brukere (husholdning)
Hvis du blir med i en husholdning, blir følgende synlig for de andre medlemmene:
- Visningsnavnet ditt og rollen din (eier eller medlem)
- Når du la til, krysset av eller endret en vare på handlelisten
- Når du genererte eller endret ukemenyen
- Tidspunktet du ble med i husholdningen
E-postadresse, kostholdsvalg, statistikk, betalingsdata og andre personlige opplysninger deles ikke med medlemmene.
5.3 Offentlig myndighet
Vi kan utlevere personopplysninger dersom dette er pålagt ved lov, rettslig kjennelse eller pålegg fra kompetent myndighet (f.eks. politiet, Skatteetaten).
5.4 Ved virksomhetsoverdragelse
Ved fusjon, oppkjøp eller virksomhetsoverdragelse kan personopplysninger overføres til ny eier. Vi vil i så fall varsle deg på forhånd og gi deg mulighet til å slette kontoen før overføringen.
6. Overføring av personopplysninger til tredjeland
Enkelte av våre databehandlere er etablert i USA. Overføring av personopplysninger til USA skjer på grunnlag av:
- Standardkontraktsklausuler (SCC) vedtatt av EU-kommisjonen, eller
- Adekvansvurdering der dette foreligger (EU-US Data Privacy Framework for sertifiserte aktører)
Vi gjennomgår jevnlig hvilke databehandlere vi bruker og bytter til EU-baserte alternativer der det er praktisk mulig.
7. Lagringstid
Vi lagrer personopplysninger kun så lenge det er nødvendig for formålene de ble samlet inn for, eller så lenge vi er pålagt etter lov.
| Datakategori | Lagringstid |
|---|---|
| Aktiv brukerkonto og innholdsdata | Så lenge kontoen er aktiv |
| Slettet konto — alle data | Slettet innen 30 dager etter sletting |
| Krasjlogger (Sentry) | 90 dager |
| Bruksanalyse (PostHog) | Inntil 24 måneder |
| Transaksjonelle e-poster (kvitteringer, bekreftelser) | Inntil 5 år (regnskapsplikt) |
| Sikkerhetslogger og IP-adresser hos databehandlere | Inntil 30 dager |
| Sikkerhetskopier (backup) | Inntil 30 dager etter sletting |
Etter slettingsperioden anonymiseres dataene fullstendig eller slettes permanent.
8. Dine rettigheter
Du har etter GDPR følgende rettigheter:
- Innsyn (Art. 15) — kopi av alle opplysninger vi har om deg
- Retting (Art. 16) — korrigering av uriktige opplysninger
- Sletting / «retten til å bli glemt» (Art. 17) — sletting av konto og alle tilknyttede data
- Begrensning av behandling (Art. 18) — midlertidig stans i behandling
- Dataportabilitet (Art. 20) — å motta dine data i strukturert, maskinlesbart format og overføre dem til en annen aktør
- Innsigelse (Art. 21) — protest mot behandling basert på berettiget interesse
- Trekke tilbake samtykke (Art. 7) — når som helst, uten at dette påvirker tidligere behandling
8.1 Hvordan utøve rettighetene
I appen:
- Innsyn / dataportabilitet: Profil → Personvern → «Last ned mine data» — leverer en JSON-fil med alle dine data
- Sletting: Profil → Personvern → «Slett konto» — sletter alle data innen 30 dager
Per e-post: personvern@enkelmiddag.no
Vi besvarer henvendelser uten ugrunnet opphold og senest innen 30 dager, jf. GDPR Art. 12. Ved spesielt komplekse henvendelser kan denne fristen forlenges med inntil to måneder; vi varsler i så fall.
9. Klage til Datatilsynet
Hvis du mener at vi behandler personopplysningene dine i strid med personvernregelverket, har du rett til å klage til Datatilsynet:
Datatilsynet Postboks 458 Sentrum, 0105 Oslo Telefon: 22 39 69 00 E-post: postkasse@datatilsynet.no Nettside: datatilsynet.no
Vi setter likevel pris på om du tar kontakt med oss først, slik at vi får anledning til å rette opp eventuelle feil.
10. Sikkerhet
Vi tar sikkerheten din på alvor. Tiltakene våre inkluderer:
- Kryptering under overføring — all kommunikasjon med våre servere skjer over TLS 1.2 eller nyere (HTTPS)
- Kryptering i hvile — Supabase krypterer data lagret på disk
- Tilgangskontroll — Row Level Security (RLS) i Supabase sikrer at kun du og medlemmene av husholdningen din kan lese delte data
- Sikker pålogging — OAuth via Apple/Google, eller passord-hashing (bcrypt) ved e-postpålogging
- Sikker tokenlagring — sesjonsnøkler lagres i iOS Keychain via expo-secure-store
- Begrenset tilgang internt — kun ansatte med tjenstlig behov har tilgang til personopplysninger
Ingen sikkerhetsløsning er hundre prosent ufeilbarlig. Ved et eventuelt brudd på personvernsikkerheten som innebærer høy risiko for dine rettigheter og friheter, vil vi varsle deg uten ugrunnet opphold, jf. GDPR Art. 34.
11. Barns personvern
Tjenesten er ikke rettet mot barn under 16 år. Vi samler ikke bevisst inn personopplysninger fra barn under denne alderen uten samtykke fra foreldre eller foresatte.
Personer mellom 13 og 15 år kan opprette konto med uttrykkelig samtykke fra foreldre eller foresatte, jf. Personopplysningsloven § 5.
Hvis du er forelder/foresatt og blir oppmerksom på at barnet ditt har gitt oss personopplysninger uten ditt samtykke, ta kontakt med oss på personvern@enkelmiddag.no slik at vi kan slette opplysningene.
12. Endringer i personvernerklæringen
Vi kan oppdatere denne erklæringen ved behov. Ved vesentlige endringer varsler vi deg via appen og/eller e-post minst 30 dager før endringene trer i kraft.
Den til enhver tid gjeldende versjonen er tilgjengelig på enkelmiddag.no/personvern. Datoen for siste oppdatering vises øverst i dokumentet.
Ved fortsatt bruk av Tjenesten etter at endringene har trådt i kraft, anses du å ha tatt erklæringen til etterretning. For behandlinger som krever samtykke vil vi innhente nytt samtykke der dette er nødvendig.
13. Kontakt
S&P Studio AS Oslo, Norge Personvernhenvendelser: personvern@enkelmiddag.no Generelle henvendelser: kontakt@enkelmiddag.no Nettside: enkelmiddag.no