Personvernerklæring
Utkast av 16. juli 2026 · Ikke trådt i kraft
Dokumentet er skrevet ut fra en gjennomgang av kildekoden, ikke av en advokat.
Punkter markert SLIK er faktiske spørsmål som må avklares før
publisering. Erklæringen beskriver tjenesten slik den er ment å fungere ved lansering;
se docs/privacy-gaps.md for hvilke påstander som forutsetter kode som ennå
ikke er levert.
- Hvem er behandlingsansvarlig
- Hvilke opplysninger vi behandler
- Formål og rettslig grunnlag
- Hvem vi deler opplysninger med
- Overføring utenfor EØS
- Hvor lenge vi lagrer opplysningene
- Dine rettigheter
- Aldersgrense og barn
- Alkoholinnhold og geografisk sperre
- Automatiserte avgjørelser
- Informasjonskapsler og lagring på enheten
- Sikkerhet
- Endringer
- Kontakt og klageadgang
1. Hvem er behandlingsansvarlig
Behandlingsansvarlig for personopplysningene som beskrives her er SELSKAPSNAVN, organisasjonsnummer ORG.NR, POSTADRESSE.
Du kan kontakte oss om personvern på E-POST.
AVKLAR: personvernombud (DPO) er ikke oppnevnt. Sannsynligvis ikke påkrevd etter art. 37, men vurderingen bør dokumenteres.
2. Hvilke opplysninger vi behandler
Opplysninger du gir oss
| Opplysning | Når | Obligatorisk? |
|---|---|---|
| E-postadresse | Registrering | Ja |
| Passord (lagres kun som bcrypt-hash, aldri i klartekst) | Registrering | Ja, om du ikke bruker Google-innlogging |
| Brukernavn | Registrering | Ja — vises offentlig på ledertavler |
| Visningsnavn, profilbilde, bio, hjemby | Profil | Nei |
| Fødselsdato | Onboarding | Ja — se punkt 8. Kan ikke endres etter at den er satt |
| Hjemland | Onboarding/profil | Ja — styrer hvilket innhold du får se, se punkt 9 |
| Samtykke til markedsføring fra sponsorer | Onboarding | Nei — frivillig, og du kan vinne premier uten |
| Fullt navn, e-post og postadresse | Kun når du krever en premie | Ja, for å sende premien |
Opplysninger som oppstår når du bruker tjenesten
- Aktivitet i appen: quiz-svar og poeng, ukentlige aktivitetsregistreringer («streaks»), plassering på ledertavler, samlemerker, deltakelse i utfordringer og turneringer, innsjekk på arrangementer, og hendelser i venne-feeden.
- Enhetsopplysninger: en enhetsidentifikator, plattform (iOS/Android/web), operativsystem- og appversjon, og tidspunkt for siste pålogging. Registreres ved hver innlogging.
- Push-token dersom du slår på varsler.
- IP-adresse i tjenerlogger, og ved innsending av quiz-svar.
- Kunde-ID hos Stripe dersom du kjøper Premium. Vi mottar og lagrer aldri kortnummeret ditt — betalingen skjer hos Stripe.
Hvis du bruker skjemaet på nettsiden
Ber du om tilgang med e-postadressen din på taptober.com, videresendes adressen til innboksen vår via e-postleverandøren vår. Den lagres ikke i noen database, og vi bruker den bare til å svare deg. Grunnlaget er berettiget interesse (art. 6(1)(f)) — du har selv tatt kontakt.
Det vi ikke gjør
Dette er verifisert i koden per 16. juli 2026:
- Vi bruker ingen analyseverktøy og ingen sporingspiksler.
- Vi bruker ingen annonse-ID (IDFA/AAID) og deler ikke data med annonsenettverk.
- Vi henter ikke posisjonen din. Appen ber aldri om stedstilgang.
- Kamera brukes kun til QR-skanning, og bildevalg kun til profilbilde.
- Vi selger ikke personopplysninger.
Om «øl-merker»: Taptober registrerer ikke hva eller hvor mye du drikker. Samlemerkene i appen låses opp av quiz og aktivitet, og en «streak» er et trykk på en aktivitetsknapp — ikke en drikkelogg.
3. Formål og rettslig grunnlag
| Formål | Opplysninger | Rettslig grunnlag (GDPR art. 6) |
|---|---|---|
| Opprette og drifte kontoen din, levere spillet | Konto, profil, aktivitet | Avtale, art. 6(1)(b) |
| Ledertavler og sosiale funksjoner | Brukernavn, poeng, by/land | Avtale, art. 6(1)(b) |
| Sende og levere premier | Navn, e-post, postadresse | Avtale, art. 6(1)(b) |
| Aldersgrense for alkoholrelatert innhold | Fødselsdato | Rettslig forpliktelse, art. 6(1)(c), jf. alkoholloven |
| Geografisk sperre for alkoholreklame | Hjemland | Rettslig forpliktelse, art. 6(1)(c) |
| Push-varsler | Push-token | Samtykke, art. 6(1)(a) — du kan slå av når som helst |
| Markedsføring fra sponsorer | E-post, samtykkeflagg | Samtykke, art. 6(1)(a) |
| Sikkerhet, feilsøking og hindring av juks | IP, enhetsopplysninger, feillogger | Berettiget interesse, art. 6(1)(f) |
| Betaling for Premium | Stripe kunde-ID | Avtale, art. 6(1)(b) |
4. Hvem vi deler opplysninger med
Vi deler bare det som er nødvendig, og kun med databehandlere som er bundet av databehandleravtale etter art. 28.
| Mottaker | Hva de får | Hvorfor | Hvor |
|---|---|---|---|
| Hetzner | All lagret data (drift av tjener og database) | Hosting | Helsingfors, Finland — EØS |
| Cloudflare R2 | Krypterte databasesikkerhetskopier | Sikkerhetskopi | REGION IKKE FASTSATT |
| Sentry | Feilrapporter. Konfigurert til ikke å sende personopplysninger | Feilovervåking | EU- ELLER US-INSTANS? |
| Expo (650 Industries) | Push-token og varselinnhold | Push-varsler | USA |
| Stripe | Betalingsopplysninger du oppgir hos dem | Betaling | USA |
| Verifisering av innlogging (kun ved Google-innlogging) | Innlogging | USA | |
| E-POSTLEVERANDØR — BEKREFT | E-postadresse og innhold i e-post vi sender deg | Utsending av e-post | BEKREFT |
| Arrangøren av festivalen du er med i | Brukernavn, poeng, aktivitet i deres festival | Drift av festivalen | EØS |
AVKLAR: Er arrangørene selvstendig behandlingsansvarlige eller behandlere? Dette avgjør om det trengs art. 26-avtale om felles behandlingsansvar. Spørsmålet er reelt: arrangører kan sende push-varsler til sine deltakere og se aktivitetsdata.
5. Overføring utenfor EØS
Databasen og applikasjonen driftes i Finland, altså innenfor EØS. Enkelte databehandlere er likevel amerikanske (Expo, Stripe, Google). Overføringer dit skjer på grunnlag av EU-kommisjonens standard personvernbestemmelser (SCC) og/eller EU–US Data Privacy Framework.
AVKLAR: Region for sikkerhetskopier hos Cloudflare R2 er satt til «auto», som ikke garanterer lagring i EU. Sikkerhetskopiene inneholder hele databasen. Må enten låses til EU eller beskrives korrekt her — dette er et kapittel V-spørsmål.
6. Hvor lenge vi lagrer opplysningene
| Opplysning | Lagringstid |
|---|---|
| Konto og profil | Så lenge kontoen finnes. Slettes når du sletter kontoen |
| Aktivitet og poeng | Slettes sammen med kontoen |
| Premiekrav (navn, adresse) | MÅ FASTSETTES — bokføringsloven kan kreve 5 år for utsendte premier |
| Tjenerlogger med IP | MÅ FASTSETTES — anbefalt 30 dager |
| Krypterte sikkerhetskopier | 30 dager, deretter slettet automatisk |
| Innloggingstokens | 15 minutter (tilgang) / 30 dager (fornyelse) |
Merk at en slettet konto kan ligge i krypterte sikkerhetskopier i inntil 30 dager før kopiene roteres ut.
7. Dine rettigheter
Du har rett til å:
- få innsyn i opplysningene vi har om deg (art. 15),
- rette opplysninger som er feil (art. 16),
- slette kontoen og opplysningene dine (art. 17),
- få utlevert opplysningene i et maskinlesbart format (art. 20),
- protestere mot behandling basert på berettiget interesse (art. 21),
- trekke tilbake samtykke til markedsføring eller varsler når som helst, uten at det påvirker lovligheten av behandlingen før du trakk det tilbake.
Du bruker rettighetene dine i appen under Profil, eller ved å kontakte oss på E-POST. Vi svarer innen 30 dager.
FORUTSETTER KODE SOM IKKE ER LEVERT: sletting og utlevering finnes ikke i API-et per 16. juli 2026. Disse punktene er usanne inntil de er bygget, og en personvernerklæring som lover dem uten at de finnes er i seg selv et brudd.
8. Aldersgrense og barn
Aldersgrensen for å bruke Taptober er 18 år. Taptober er ikke ment for barn, og vi samler ikke bevisst inn opplysninger om personer under 18.
Vi ber om fødselsdato ved onboarding, og en fødselsdato som gjør deg yngre enn 18 blir avvist — den lagres ikke. Fødselsdatoen kan ikke endres etter at den er satt: en aldersgrense man kan omgå ved å oppgi en ny fødselsdato er ingen aldersgrense.
Alkoholrelatert innhold, som ølkatalogen og premier med aldersgrense, er i tillegg sperret for brukere som ikke oppfyller aldersgrensen i landet sitt (18 år, 21 i USA).
Er du forelder og mener barnet ditt har opprettet konto, kontakt oss på E-POST, så sletter vi kontoen.
9. Alkoholinnhold og geografisk sperre
Etter alkoholloven § 9-2 er alkoholreklame forbudt i Norge. Innhold fra bryggerier vises derfor ikke til brukere med hjemland Norge, Sverige, Finland, Island, Sør-Afrika eller Russland. Brukere i Frankrike får kun produktinformasjon, i tråd med Loi Évin.
Sperren styres av hjemlandet du selv oppgir.
AVKLAR: hjemland er selvrapportert og kan endres av brukeren. Sperren er derfor erklært, ikke bevist. Koden advarer selv mot å bruke feltet som eneste grunnlag for en rettslig sperre.
10. Automatiserte avgjørelser
To ting avgjøres automatisk:
- Plassering og premier. Poeng og rangering beregnes automatisk på tjeneren ut fra ferdighet — svar og hastighet. Hvem som er kvalifisert til en premie avgjøres automatisk ut fra plassering, alder og land.
- Aldersgrense og geografisk sperre som beskrevet over.
Du kan alltid kontakte oss for å få en avgjørelse vurdert av et menneske.
AVKLAR: koden inneholder en ferdig automatisk utestengning ved mistanke om juks, som deaktiverer kontoen uten menneskelig vurdering, og som blant annet utløses av delt IP-adresse — altså felles wifi. Den er per i dag ikke koblet til og kjører aldri. Kobles den på uten menneskelig vurdering, er den i strid med art. 22, og dette punktet må skrives om.
11. Informasjonskapsler og lagring på enheten
Nettsidene våre setter ingen informasjonskapsler, og vi har ingen sporingsverktøy. Derfor har vi heller ingen samtykkebanner.
I appen lagres innloggingsnøklene dine i telefonens sikre lagring. I arrangørportalen lagres de i nettleserens localStorage. Dette er nødvendig for at du skal forbli innlogget, og slettes når du logger ut.
På taptober.com lagrer vi språkvalget ditt (taptober-lang) i nettleserens
localStorage, slik at siden husker om du vil lese norsk, engelsk eller tysk. Det er den eneste
tingen nettsiden lagrer på enheten din, og den forlater aldri nettleseren.
Skriften på nettsidene våre lastes fra vår egen tjener, ikke fra Google Fonts. Å laste skrift fra Google ville sendt IP-adressen din til USA hver gang du åpnet en side.
12. Sikkerhet
- All trafikk går over HTTPS.
- Passord lagres som bcrypt-hash.
- Databasen ligger på en tjener innenfor EØS og er ikke eksponert mot internett.
- Sikkerhetskopier krypteres med AES-256 før de forlater tjeneren.
- Tilgang til data er avgrenset per festival og per rolle.
13. Endringer
Ved vesentlige endringer varsler vi deg i appen eller på e-post før endringen trer i kraft. Datoen øverst viser når erklæringen sist ble endret.
14. Kontakt og klageadgang
Spørsmål om personvern: E-POST
Mener du at vi behandler opplysningene dine i strid med regelverket, kan du klage til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo — datatilsynet.no. Vi setter pris på at du tar kontakt med oss først, så vi får rettet opp.
Tilbake til taptober.com · © 2026 Taptober