Tilbake til CasamigoSist oppdatert: 2026-05-27

Personvernerklæring

Casamigo AS ("Casamigo", "vi") drifter mobilappen og nettsiden Casamigo, som kobler boligeiere i Spania med uavhengige tjenestetilbydere ("Tjenesten"). Denne erklæringen forklarer hvilke personopplysninger vi samler inn, hvorfor, og dine rettigheter under EUs personvernforordning (GDPR) og spansk organisk lov 3/2018 om databeskyttelse (LOPDGDD).

1. Hvem er behandlingsansvarlig

Casamigo AS, Norge (organisasjonsnummer under etablering), er behandlingsansvarlig for personopplysningene som behandles gjennom Tjenesten. Du kan kontakte personvernteamet på privacy@casamigo.app.

2. Opplysninger vi samler inn

Gitt av deg

  • Konto: navn, e-post, telefonnummer, passord (hash), rolle (boligeier eller tilbyder), språkpreferanse.
  • Profil: avatar, bio, adresse (boligeiere) eller tjenesteområde (tilbydere), ferdigheter, porteføljebilder.
  • For tilbydere: NIF / skatteidentifikasjon, autónomo-status, forsikringsinformasjon, bankdetaljer (håndtert av Stripe — se §5).
  • For Verifactu-tilbydere: digitalt signeringssertifikat og notarial fullmakt (apoderamiento) — lagret kryptert i Supabase Vault (EU-region), brukt til å signere og sende fakturaer til den spanske skatteetaten (AEAT) på tilbyderens vegne.
  • For tilbydere med obligatorisk ansvarsforsikring: forsikringsbevis (PDF/bilde) med forsikringsselskap, polisenummer, dekning, start-/utløpsdato og forsikringstakers NIF.
  • Jobbinnhold: jobbeskrivelser, bilder du laster opp, priser, meldinger.
  • Identitetsverifiseringsdokumenter (tilbydere): lastet opp via Stripe Identity.

Automatisk innsamlet

  • Enhetsdata: operativsystem, app-versjon, enhetsmodell, språk, tidssone.
  • Bruksdata: skjermer sett, handlinger tatt, kræsjlogger.
  • Lokasjonsdata: omtrentlig posisjon (by) alltid; presis GPS kun ved innsjekking på jobb, med ditt samtykke på enheten.
  • GPS-metadata på bilder: før/etter-bilder inkluderer koordinater og tidsstempel; lagres med bookingen.

Fra tredjeparter

  • Stripe: betalingsbekreftelse, utbetalingsstatus, resultat av identitetsverifisering.
  • Google / Apple: navn og e-post hvis du logger inn med disse kontoene.

3. Hvorfor vi bruker opplysningene dine (formål og rettslig grunnlag)

  • Levering av Tjenesten (avtale, art. 6(1)(b) GDPR): opprette kontoer, matche jobber med tilbydere, behandle betalinger, muliggjøre chat, håndtere tvister.
  • Identitetsverifisering og svindelforebygging (rettslig plikt + berettiget interesse, art. 6(1)(c), (f)): sjekke NIF, verifisere tilbyder via Stripe, blokkere utestengte kontoer fra å registrere seg på nytt.
  • Verifactu-overholdelse (rettslig plikt, art. 6(1)(c) GDPR + Real Decreto 1007/2023): når en tilbyder utsteder en faktura via Casamigo, signerer og sender vi fakturadataene (tilbyderens og kundens NIF, fakturanummer, dato, beløp, MVA, IRPF) til AEAT (spansk skatteetat) med tilbyderens digitale sertifikat (fullmakt). AEAT er lovbestemt mottaker, ikke databehandler.
  • Verifisering av ansvarsforsikring (avtale + rettslig plikt, art. 6(1)(b), (c)): for regulerte kategorier (elektrisk, rør, klimaanlegg, bygg) krever spansk lov ansvarsforsikring. Vi lagrer og verifiserer beviset for å oppfylle denne plikten og la tilbyderen by.
  • Skatterapportering etter DAC7 (rettslig plikt, art. 6(1)(c)): Stripe rapporterer tilbyderes inntekt til EU-skattemyndigheter på våre vegne, som påkrevd av direktiv (EU) 2021/514. I tillegg genererer og lagrer vi en aggregert årlig DAC7-rapport.
  • Aggregert regnskap (berettiget interesse + rettslig plikt, art. 6(1)(c), (f)): vi eksporterer daglige aggregerte finansielle summer (totaler per regnskapskonto, ingen brukeridentifikatorer) til vårt regnskapssystem Fiken AS (Norge).
  • Teknisk feilsporing (berettiget interesse, art. 6(1)(f)): feilspor og krasj sendes til Sentry GmbH (Tyskland) for diagnostikk. Konfigurert til ikke å auto-feste e-post/IP, og sensitive data filtreres på server.
  • Bruks-analytikk (samtykke, art. 6(1)(a)): kun hvis du melder deg på, registrerer Firebase Analytics aggregerte hendelser. Du kan trekke samtykket når som helst i Innstillinger.
  • Kundeservice og sikkerhet (berettiget interesse, art. 6(1)(f)): gjennomgå rapporterte brukere, håndtere klager, håndheve Vilkårene våre.
  • Markedsføring (samtykke, art. 6(1)(a)): kun hvis du melder deg på. Du kan trekke samtykket når som helst i appen.

4. Hvem ser opplysningene dine

Tilbydere du matches med ser navn, profilbilde, jobbeskrivelse og omtrentlig posisjon før du aksepterer et anbud. Full adresse deles kun med tilbyderen hvis anbud du aksepterer. Andre boligeiere og tilbydere ser aldri dine private detaljer.

5. Databehandlere og mottakere

Vi bruker følgende databehandlere, alle bundet av databehandleravtaler (DPA):

  • Supabase Inc. (USA, med EU-regioner — Frankfurt) — database, autentisering, lagring (inkl. forsikrings-bucket), Vault (kryptert lagring av digitale apoderamiento-sertifikater), sanntid. Standard personvernklausuler gjelder.
  • Stripe Payments Europe Ltd. (Irland) — betalinger, utbetalinger, identitetsverifisering, DAC7-skatterapportering. Stripe er selvstendig behandlingsansvarlig for dataene de mottar.
  • Fiken AS (Norge — EØS-land med adekvansvedtak) — regnskapssystem. Mottar kun aggregerte daglige finansielle totaler per konto, uten brukeridentifikatorer, NIF eller personopplysninger.
  • Sentry GmbH (Tyskland — EU) — feil- og kræsj-sporing. Konfigurert til ikke å auto-feste e-post/IP; sensitive data renses på server.
  • Google LLC (Firebase Cloud Messaging) (USA/EU) — transaksjonelle push-varsler.
  • Google LLC (Firebase Analytics) (USA/EU) — anonym, aggregert bruksanalyse, aktiv kun etter eksplisitt samtykke i appen.
  • Google LLC (Cloud Translation API) (USA/EU) — automatisk oversettelse av chatmeldinger og jobbeskrivelser. Kun tekstinnholdet sendes til Google; ingen brukeridentifikatorer inkluderes.
  • Google LLC (Maps Platform og Places API) (USA/EU) — kartrendering, adressesøk og geokoding. Når du søker etter eller velger en adresse, sendes søket og de resulterende koordinatene til Google.
  • Resend Inc. (USA) — transaksjonelle e-poster (verifisering, passordtilbakestilling).
  • Apple Inc., Google LLC — app-distribusjon, valgfri innlogging.
  • Vercel Inc. (USA/EU) — nettsiden-hosting.

I tillegg er følgende lovbestemte mottakere offentlige myndigheter vi er rettslig forpliktet til å sende data til (ikke databehandlere):

  • Agencia Estatal de Administración Tributaria (AEAT, Spania) — mottaker av Verifactu-innsendinger (tilbyder- og kundens NIF, fakturadata) etter RD 1007/2023, samt DAC7-rapporter.

6. Internasjonal overføring

Noen databehandlere har servere utenfor EØS. Overføringer beskyttes av EU-US Data Privacy Framework (Stripe, Google, Vercel, Resend) og/eller standard personvernklausuler vedtatt av Europakommisjonen. Overføringer til Norge (Fiken) skjer under EØS-adekvansvedtaket.

7. Hvor lenge vi lagrer data

  • Aktiv kontodata: så lenge kontoen din eksisterer.
  • Slettede kontoer: de fleste personopplysninger slettes eller anonymiseres innen 30 dager.
  • Transaksjonsdata og Verifactu-fakturaer: beholdes i 6 år for å oppfylle spansk handelslov (art. 30) og skattelov (art. 70).
  • Årlige DAC7-rapporter: beholdes 6 år under spansk skattelovgivning og direktiv (EU) 2021/514.
  • Ansvarsforsikringsbevis: opptil 90 dager etter at polisen blir inaktiv eller utløpt; forsikringstakers NIF anonymiseres ved utløp.
  • Digitale apoderamiento-sertifikater: slettes automatisk ved sertifikat-utløp eller tilbakekall.
  • GPS-koordinater i booking-bilder: nulles automatisk etter 2 år.
  • Tvistebevis (bilder, chat): beholdes 2 år etter tvistens avslutning.
  • Feilspor (Sentry): 90 dager (produktstandard).
  • Analyse-hendelser (Firebase): 14 måneder (konfigurert til minimum).
  • Sikkerhetskopier: slettes innen 90 dager.

8. Dine rettigheter

Under GDPR har du rett til å:

  • Få innsyn i personopplysningene vi har om deg.
  • Rette unøyaktige opplysninger.
  • Slette opplysningene dine (med forbehold om lovpålagte lagringsplikter).
  • Begrense eller protestere mot visse behandlinger.
  • Motta dine opplysninger i et portabelt format ("Last ned dataene mine" i appen).
  • Trekke tilbake samtykke når som helst.
  • Klage til Datatilsynet (Norge) eller Agencia Española de Protección de Datos (AEPD, www.aepd.es).

Utøv rettighetene ved å skrive til privacy@casamigo.appeller bruke "Last ned dataene mine" og "Slett konto"-funksjonene i appen.

9. Kontosletting

Du kan slette kontoen fra profilen din i appen. Dette anonymiserer profilen umiddelbart. Noen data beholdes for å oppfylle lovpålagte plikter (Verifactu-fakturaer, DAC7-skattedata) eller for å beskytte den andre partens rettigheter under en åpen tvist.

10. Barn

Tjenesten er ikke ment for brukere under 18 år. Vi verifiserer alder ved registrering via fødselsdato (håndhevet på databasenivå). Vi samler ikke bevisst inn data fra mindreårige.

11. Sikkerhet

Passord lagres som hash. Trafikk krypteres med TLS. Betalingskortdata treffer aldri serverne våre — håndteres direkte av Stripe. Row-level security-regler begrenser databasetilgang til eieren av hver post. Digitale sertifikater lagres i Supabase Vault med AES-256-kryptering.

12. Informasjonskapsler og sporing

Nettsiden bruker kun strengt nødvendige informasjonskapsler (sesjon, språkpreferanse). Mobilappen bruker en enhetsidentifikator for push-varsler. Vi bruker ikke reklamesporere.

13. Endringer i erklæringen

Vesentlige endringer varsles i appen og via e-post. Datoen "Sist oppdatert" øverst gjenspeiler siste revisjon.

14. Kontakt

Spørsmål om personvern? Skriv til privacy@casamigo.app.