Sendi - Personvernerklæring

Denne erklæringen forklarer hvilke personopplysninger Sendi behandler om deg, hvorfor vi behandler dem, hvem vi deler dem med, og hvilke rettigheter du har. Erklæringen gjelder både nettstedet sendi.no og mobilappene (iOS og Android). Der hvor noe gjelder bare for én plattform, sier vi det eksplisitt.

Vi prøver å skrive på vanlig norsk, og vi nevner gjerne hvilket konkret felt eller hvilken konkret tjeneste vi snakker om — slik at du selv kan kontrollere hva vi gjør.

1. Hvem er behandlingsansvarlig?

ShipIt AS (org.nr. 935 745 942), Åsveien 6, 9510 Alta, er behandlingsansvarlig for personopplysningene som behandles gjennom Sendi.

Spørsmål om personvern, eller henvendelser om dine rettigheter, sendes til mail@sendi.no.

2. Hvilke opplysninger behandler vi?

Vi behandler bare opplysninger vi trenger for at Sendi skal fungere. Konkret samler vi inn:

2.1 Identitet og kontoopplysninger

Navn (fornavn og etternavn) — fra Vipps, Apple- eller Google-pålogging.
Telefonnummer — fra Vipps. Telefonnummeret brukes til å identifisere deg og til at andre brukere kan kontakte deg.
E-postadresse — hvis du logger inn med Apple eller Google. Vipps gir oss også en e-post hvis du har det registrert der.
Pålogginsidentifikator (provider sub) — en ugjennomtrengelig ID fra Vipps/Apple/Google som knytter deg til kontoen din.

2.2 Profil- og onboardingdata

Et kallenavn du eventuelt velger.
Din hjemadresse og hjemmets koordinater, hvis du velger å oppgi dette under onboarding. Dette er valgfritt og brukes til å foreslå relevante pakker og ruter.
Hvilken rolle du primært har på Sendi (avsender, frakter eller begge).

2.3 Pakker og oppdrag

Beskrivelse, mål, vekt og bilder av pakker du legger ut.
Hente- og leveringsadresse som tekst, samt presise GPS-koordinater (lengde- og breddegrad) for de samme stedene.
Pris (bud) i øre.
Tidsstempler for opprettelse, henting og levering av pakken.
Hendelseslogg per pakke — hvilke handlinger som er utført, av hvem og når. Dette utgjør en kvitterings- og revisjonslogg for selve oppdraget.

2.4 Ruter og lokasjoner

Planlagte ruter du oppretter (fra-/til-adresse, koordinater, polyline).
Lagrede lokasjoner du selv navngir (f.eks. «Hjem» eller «Jobb»), inkludert adresse og koordinater.
Sanntidsposisjon under aktiv levering. Når du er frakter og har en aktiv levering, sender appen din enhets-GPS til serveren slik at avsenderen kan følge med. Posisjonen lagres ikke i databasen, men passerer gjennom serveren mens den distribueres til mottakeren.

2.5 Meldinger og samtaler

Meldingstekst du sender til andre brukere (inntil 5000 tegn per melding).
Bildevedlegg du eventuelt deler i samtaler.
Lesekvitteringer (når du sist åpnet en samtale).

2.6 Enhets- og tekniske data

Push-token (FCM på Android, FCM via APNs på iOS) som identifiserer enheten din slik at vi kan sende deg varsler.
Autentiseringstoken (refresh- og access-tokens) som lagres lokalt i sikker lagring på enheten.
Sesjons-ID i en informasjonskapsel når du bruker nettstedet.
Feilrapporter via Sentry hvis appen eller serveren krasjer (se punkt 4).

Vi henter ikke inn betalingsopplysninger som kortnummer eller bankkonto. All betalingsformidling foregår utenfor Sendi (typisk via Vipps direkte mellom partene, eller kontant). Vi henter heller ikke inn skatteinformasjon, fødselsnummer eller helseopplysninger.

3. Hvorfor behandler vi opplysningene? (rettslig grunnlag)

Vi behandler personopplysninger på følgende rettslige grunnlag etter GDPR artikkel 6:

Oppfyllelse av avtale (art. 6(1)(b)): For å levere selve tjenesten — opprette konto, vise pakker, formidle kontakt mellom avsender og frakter, sende meldinger, vise hente- og leveringsadresser.
Samtykke (art. 6(1)(a)): For sanntids posisjonsdeling under aktiv levering, for lagring av hjem- og favorittlokasjoner, og for push-varsler. Du kan trekke samtykket når som helst — slå av posisjonsdeling i appen, slett lagrede lokasjoner under «Innstillinger → Lokasjoner», eller skru av varsler i operativsystemets innstillinger.
Berettiget interesse (art. 6(1)(f)): Vi sender deg driftsmeldinger om pakker du er involvert i, driver grunnleggende sikkerhets- og misbruksforebygging, og holder tjenesten oppe (feilrapportering via Sentry).
Rettslig forpliktelse (art. 6(1)(c)): Bokføringsloven krever at vi oppbevarer enkelte transaksjons- og oppdragsdata i inntil fem år.

4. Hvem deler vi opplysninger med?

Vi deler ikke personopplysningene dine med tredjeparter for markedsføring, og vi selger dem ikke videre. Vi bruker imidlertid følgende databehandlere som behandler opplysninger på våre vegne for å få tjenesten til å fungere:

Vipps MobilePay AS (Norge) — innlogging og verifikasjon. Vi mottar navn, telefonnummer og e-post fra Vipps når du logger inn.
Apple Inc. (USA) — «Logg inn med Apple» hvis du velger denne påloggingsmetoden. Apple kan gi oss et anonymisert e-postalias.
Google LLC (USA) — «Logg inn med Google» (vi mottar navn, e-post og en provider-ID), samt Google Maps Platform som vi bruker til kartvisning, adressesøk og geokoding. Det betyr at adresser og stedsnavn du søker etter, eller koordinater appen ber om kart for, sendes til Google.
Firebase Cloud Messaging / Google LLC (USA) — brukes for push-varsler på både iOS og Android. På iOS videreformidler Firebase varselet videre til Apples APNs (Apple Push Notification service). Vi sender et enhetsspesifikt push-token og selve varselinnholdet (typisk en kort tekst om en ny melding eller en oppdatering på en pakke).
Sentry GmbH (Tyskland / EU) — feilrapportering fra både server og mobilapp. Sentry mottar tekniske detaljer om krasj, inkludert stack traces, enhetsmodell, OS-versjon og en intern bruker-ID. Vi prøver å unngå at meldinger eller adresser havner i feilrapporter, men kan ikke garantere fullstendig PII-fri logging.
Fly.io (EU, Amsterdam) — hosting av server og PostgreSQL-database. Her ligger kontoen din, pakker, samtaler og lokasjonsdata.
Tigris Data (S3-kompatibel objektlagring, drevet via Fly.io) — bildene du laster opp (pakkebilder, vedlegg i samtaler) lagres her.

Vi har eller arbeider med å få på plass databehandleravtaler etter GDPR art. 28 med alle databehandlerne over.

5. Overføring av personopplysninger ut av EU/EØS

Hovedlagringen vår ligger innenfor EU/EØS (Amsterdam, hos Fly.io). Noen tjenester innebærer likevel at opplysninger overføres til USA — først og fremst Google Maps Platform, Firebase Cloud Messaging, Apple Sign-in og Apples APNs.

For Google og Apple skjer overføringen i hovedsak under EU-US Data Privacy Framework (DPF) — en adekvansvurdering EU-kommisjonen vedtok i juli 2023, som både Google og Apple er sertifisert under. Der DPF ikke gjelder eller ikke er tilstrekkelig, faller overføringene tilbake på leverandørenes standard kontraktsklausuler (SCC), som inngår i deres standard databehandleravtaler.

Vær oppmerksom på at vi som regel kun ser at en tjeneste oppgir DPF/SCC i sine vilkår — vi har ikke selvstendig granskt det rettslige grunnlaget i hvert enkelt tilfelle. Hvis du har spesifikke spørsmål om en bestemt overføring, kontakt oss på mail@sendi.no.

Uansett begrenser vi det vi sender til det funksjonen krever — typisk en adresse-streng til Google for geokoding, eller et push-token og en kort varseltekst til Firebase.

6. Hvor lenge lagrer vi opplysningene?

Konto, profil, lagrede lokasjoner og ruter: Så lenge du har en aktiv konto. Når du sletter kontoen, slettes disse.
Pakker og oppdrag (fullført): Inntil fem år etter regnskapsårets slutt, jf. bokføringsloven. Etter denne perioden anonymiseres oppføringene.
Meldinger: Så lenge samtalen er aktiv. Når en konto slettes, anonymiseres avsenderens del av meldingene (innholdet erstattes med «[Slettet]» og brukerkoblingen fjernes), slik at den andre parten fortsatt har sin kopi av samtalen.
Bilder: Så lenge pakken/samtalen er aktiv. Slettes når kontoen slettes eller når pakken er ferdig levert og oppbevaringsperioden er utløpt.
Sanntidsposisjon under levering: Lagres ikke. Den passerer kun gjennom serveren mens leveringen pågår.
Push-token: Til du logger ut eller til tokenet erstattes/slutter å virke.
Autentiserings- og sesjonstoken: Til de utløper, du logger ut, eller du tilbakekaller tilgangen.
Feilrapporter (Sentry): 30–90 dager (Sentrys standardoppbevaring), deretter slettes de automatisk hos Sentry.

I dag har Sendi ikke en egen «slett konto»-knapp inne i appen. Inntil dette er på plass kan du be om sletting ved å sende e-post til mail@sendi.no, så håndterer vi forespørselen manuelt og bekrefter når det er gjort.

7. Dine rettigheter

Du har en rekke rettigheter etter personvernforordningen:

Innsyn i opplysningene vi har om deg.
Retting av opplysninger som er feil eller ufullstendige.
Sletting av opplysningene dine (med de forbeholdene som følger av bokføringsloven).
Begrensning av behandlingen i bestemte situasjoner.
Dataportabilitet — å få utlevert opplysninger du selv har gitt oss i et maskinlesbart format.
Innsigelse mot behandling som baserer seg på berettiget interesse.
Trekke tilbake samtykke der behandlingen er basert på samtykke.

For å bruke rettighetene dine, send en e-post til mail@sendi.no. Vi vil normalt svare innen 30 dager. Vi kan be om at du bekrefter identiteten din før vi gir ut opplysninger.

8. Sikkerhet

All trafikk mellom appen/nettleseren og serveren går over TLS (HTTPS / gRPC over TLS).
Autentiseringstokener lagres i sikker enhetslagring (iOS Keychain via flutter_secure_storage på mobil).
Refresh-tokener lagres hashet i databasen — vi har aldri tilgang til tokenet i klartekst.
Vi har aldri ditt Vipps- eller Google-passord — påloggingen håndteres av leverandøren.
Tilgang til produksjonsdatabasen er begrenset til et lite antall personer i Sendi-teamet.

9. Plattformspesifikke forhold (iOS / Android)

Funksjonelt behandler vi de samme opplysningene uansett hvilket operativsystem du bruker. To ting er likevel verdt å nevne separat:

9.1 iOS

«Logg inn med Apple» bruker Apples egen påloggingstjeneste. Hvis du velger å skjule e-postadressen din, mottar vi bare et anonymisert relé-alias fra Apple.
Sendi gjør ikke sporing på tvers av apper eller nettsteder, og ber derfor ikke om Apples App Tracking Transparency-tillatelse.
Push-varsler leveres via Apples APNs (Firebase Cloud Messaging videreformidler dette).
Posisjonstilgang er «kun mens i bruk» — Sendi ber ikke om bakgrunnsposisjon.

9.2 Android

«Logg inn med Google» bruker Googles påloggingstjeneste; vi mottar navn, e-post og en provider-ID.
Push-varsler leveres direkte via Firebase Cloud Messaging.
Posisjonstilgang er «kun mens i bruk» — Sendi ber ikke om bakgrunnsposisjon.

10. Informasjonskapsler (kun nettsted)

På sendi.no bruker vi bare strengt nødvendige informasjonskapsler:

session_id — holder deg innlogget mellom sidevisninger.
vipps_state — kortvarig (10 minutter) sikkerhetstoken for Vipps-pålogging (CSRF-beskyttelse).

Vi bruker ikke analyse-, sporings- eller markedsføringskapsler. Derfor viser vi heller ingen samtykkebanner — strengt nødvendige informasjonskapsler er unntatt fra samtykkekravet i ekomloven.

11. Barn og mindreårige

Sendi er ikke rettet mot barn under 15 år. Vi ber ikke aktivt om aldersopplysning ved registrering, men du må uansett kunne logge inn med Vipps (som har egne aldersbegrensninger) eller med en Apple-/Google-konto. Dersom vi blir oppmerksomme på at en bruker er under 15, vil vi slette kontoen.

12. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen — for eksempel hvis vi tar i bruk en ny tjeneste eller endrer hvilke opplysninger vi behandler. Datoen øverst på siden viser når erklæringen sist ble endret. Ved vesentlige endringer vil vi varsle deg i appen eller på e-post.

13. Klage til Datatilsynet

Hvis du mener vi behandler personopplysningene dine i strid med personvernreglene, har du rett til å klage til Datatilsynet. Du finner kontaktinformasjon på datatilsynet.no. Vi setter pris på om du tar kontakt med oss først, slik at vi får mulighet til å rette opp eller forklare.