Skrytr

Juridisk

Personvernerklæring

Sist oppdatert: 30. mai 2026

1. Kort om denne erklæringen

Denne erklæringen forklarer hvordan Skrytr behandler personopplysninger når du bruker tjenesten vår, og hvilke rettigheter du har etter personvernforordningen (GDPR) og personopplysningsloven.

2. Behandlingsansvarlig

Skrytr er behandlingsansvarlig for personopplysninger om våre bedriftskunder (brukerne av tjenesten).

For personopplysninger om sluttkunder (forbrukerne som mottar SMS-forespørsel og skriver Google-anmeldelser), opptrer Skrytr som databehandler på vegne av bedriftskunden. Det er bedriften som har kunderelasjonen som er behandlingsansvarlig for disse opplysningene.

Kontakt: post@skrytr.no

3. Hvilke opplysninger vi behandler

Om bedriftskunder

  • Navn, e-postadresse og telefonnummer til kontaktperson
  • Bedriftsnavn, organisasjonsnummer og fakturaadresse
  • Innloggingsinformasjon og kontoinnstillinger
  • Koblinger til tredjepartstjenester (Google Business Profile, Fiken)

Om sluttkunder

  • Navn og telefonnummer (for å sende SMS-forespørsel)
  • Referanse til faktura mottatt fra Fiken
  • Status for SMS-utsendelse (planlagt, sendt)
  • Offentlige anmeldelser publisert på Google (navn, rating, tekst, tidspunkt)

4. Formål og rettslig grunnlag

  • Levere tjenesten til bedriftskunden - rettslig grunnlag: avtale (GDPR art. 6 nr. 1 bokstav b).
  • Sende SMS til sluttkunder på vegne av bedriften - rettslig grunnlag: bedriftens berettigede interesse i å be om en anmeldelse etter fullført kundeforhold (GDPR art. 6 nr. 1 bokstav f).
  • Hente inn og besvare anmeldelser via Google Business Profile API - utføres med eksplisitt OAuth-samtykke fra bedriften.
  • Generere AI-svarforslag ved hjelp av Anthropic Claude - kun anmeldelsestekst sendes, ingen kontaktopplysninger om sluttkunde.
  • Fakturering og regnskap - rettslig grunnlag: rettslig forpliktelse (bokføringsloven).

5. Databehandlere og overføring til tredjeland

Vi bruker følgende underdatabehandlere for å levere tjenesten:

  • Supabase - database og autentisering. Data lagres i EU-region.
  • Vercel - hosting av applikasjonen.
  • Anthropic (Claude) - AI-modell for svarforslag. Anmeldelsestekst sendes for prosessering; ikke kontaktopplysninger.
  • Google (Business Profile API) - for henting av anmeldelser og publisering av svar etter OAuth-samtykke.
  • Sveve - norsk SMS-leverandør for utsending av forespørsler.
  • Fiken - webhook-trigger ved betalt faktura (bedriften bestemmer selv om denne koblingen er aktiv).

Når personopplysninger overføres til tredjeland (for eksempel USA), er det basert på EU-kommisjonens standard kontraktsbestemmelser (SCC) eller andre godkjente overføringsmekanismer.

6. Lagringstid

  • Kontoopplysninger og koblinger lagres så lenge bedriften er aktiv kunde, og slettes innen 90 dager etter avsluttet kundeforhold.
  • Anmeldelser hentet fra Google lagres så lenge bedriften er aktiv kunde.
  • Telefonnummer til sluttkunder slettes automatisk innen 30 dager etter at SMS-en er sendt eller forespørselen er kansellert.
  • Regnskapsdokumentasjon lagres i 5 år i henhold til bokføringsloven.

7. Dine rettigheter

Du har rett til innsyn, retting, sletting, dataportabilitet og å protestere mot behandlingen, jf. GDPR art. 15–21. For sluttkunder rettes henvendelser i utgangspunktet til bedriften som har sendt SMS-forespørselen, men du kan også kontakte Skrytr direkte.

Du har rett til å klage til Datatilsynet hvis du mener vi behandler opplysninger i strid med personvernregelverket. Datatilsynet kan kontaktes på datatilsynet.no.

8. Sikkerhet

All trafikk er kryptert i transitt (TLS). Tilgang til produksjonsdatabasen er begrenset til autorisert personell. Vi bruker Supabase Row-Level Security for å sikre at hver bedrift kun ser sine egne data.

9. Endringer

Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller regelverket. Vesentlige endringer varsles på e-post til bedriftskunder.