Privatlivspolitik

Den dataansvarlige for behandlingen er:

Henvendelser om vores behandling af dine personoplysninger sendes til privacy@mitkrav.dk. MitKrav er ikke forpligtet til at udpege en databeskyttelsesrådgiver (DPO) efter GDPR art. 37, da kerneaktiviteten ikke omfatter regelmæssig og systematisk overvågning af registrerede i stor skala eller behandling af særlige kategorier af personoplysninger i stor skala.

Vi behandler kun de oplysninger, der er nødvendige for at hjælpe dig med din klage. Konkret behandler vi:

Kontooplysninger

• Navn og e-mailadresse
• Adgangskode (gemmes hashet og kan ikke læses af os)
• Tidsstempler for oprettelse og log-in

Klagens indhold

• Den virksomhed du klager over (navn, CVR-nummer, kontaktoplysninger fra CVR-registret)
• Klagetype (defekt produkt, manglende levering, abonnement m.fl.)
• Din beskrivelse af hændelsen, beløb, datoer og ønsket løsning
• Vedhæftede filer (kvittering, ordrebekræftelse, billeder, korrespondance)
• AI-genereret og brugerredigeret udkast til klagen
• Korrespondance i sagen (afsendte mails, indgående svar)

Tekniske oplysninger

• IP-adresse og browsertype (alene til drift, sikkerhedslogning og misbrugsforebyggelse)
• Driftslogs over fejl og hændelser
• Strengt nødvendige cookies, se afsnit 11

Betalingsoplysninger

• Beløb, valuta, produkt (Send 19 kr. eller Case 49 kr.) og status
• Stripe-betalings-ID (ikke selve kortdata — disse går direkte til Stripe)

Behandlingen sker på følgende grundlag i GDPR art. 6, stk. 1:

Vores legitime interesser (litra f) er at sikre stabil drift, beskytte mod misbrug og dokumentere afsendelse og modtagelse af klager. Vi har vurderet, at disse interesser ikke tilsidesættes af dine interesser eller grundlæggende rettigheder, fordi behandlingen er begrænset, sker bag adgangskontrol og kun bruges til de nævnte formål.

De fleste oplysninger får vi direkte fra dig. Derudover henter vi:

• Virksomhedsdata fra det offentlige CVR-register via Erhvervsstyrelsen (Virk.dk). Det er offentligt tilgængelige oplysninger om virksomheden, ikke personoplysninger om dig.
• Tekniske oplysninger (IP-adresse, browsertype) fra din enhed, når du besøger tjenesten.
• Indgående mails fra virksomheden, hvis du har valgt at sende klagen via MitKrav. Vi modtager kun de svar, som virksomheden vælger at sende til sagens unikke svaradresse.

Vi sælger ikke dine oplysninger. Vi videregiver kun oplysninger til følgende databehandlere, der hjælper os med at drive tjenesten på vores vegne og er bundet af databehandleraftaler efter GDPR art. 28:

Når du sender klagen, videregiver vi den til den virksomhed, du klager over. Virksomheden bliver derved selvstændig dataansvarlig for sin egen efterfølgende behandling.

Vi kan også videregive oplysninger, hvis vi er forpligtet hertil ved lov, fx på baggrund af en kendelse fra en myndighed.

Nogle af vores databehandlere er hjemmehørende uden for EU/EØS, navnlig i USA. Overførsler til USA sker i overensstemmelse med GDPR art. 45 (Europa-Kommissionens tilstrækkelighedsafgørelse om EU/US Data Privacy Framework af 10. juli 2023) eller på grundlag af standardkontraktbestemmelser efter art. 46 kombineret med supplerende sikkerhedsforanstaltninger, hvor det er relevant.

Du kan få en kopi af det relevante overførselsgrundlag ved at skrive til privacy@mitkrav.dk.

Vi opbevarer dine personoplysninger, så længe det er nødvendigt for at opfylde formålet med behandlingen. Konkret:

• Konto og profil: så længe du har en aktiv konto. Sletter du din konto, slettes profiloplysninger inden for 30 dage.
• Aktive klagesager: så længe sagen er åben — og i 12 måneder efter, så du har adgang til historikken.
• Afsluttede klagesager: automatisk anonymisering eller sletning efter 24 måneder, medmindre lovgivning kræver længere opbevaring.
• Bogføringsmateriale (kvitteringer, fakturaer): 5 år fra udgangen af regnskabsåret jf. bogføringslovens § 12.
• Driftslogs og sikkerhedslogs: op til 12 måneder af hensyn til misbrugsforebyggelse og fejlsøgning.

Du kan til enhver tid anmode om at få din konto og dine data slettet — se afsnit 8.

Efter GDPR art. 15-22 har du følgende rettigheder, når vi behandler dine personoplysninger:

• Ret til indsigt. Du kan få at vide, om vi behandler oplysninger om dig, og i givet fald få en kopi.
• Ret til berigtigelse. Forkerte eller ufuldstændige oplysninger skal rettes uden unødig forsinkelse.
• Ret til sletning ("retten til at blive glemt"). Du kan i visse tilfælde få slettet oplysninger om dig — fx hvis oplysningerne ikke længere er nødvendige til formålet.
• Ret til begrænsning af behandling. Du kan kræve, at vi begrænser behandlingen, mens en indsigelse eller berigtigelse undersøges.
• Ret til dataportabilitet. Du kan få udleveret de oplysninger, du selv har givet os, i et struktureret, almindeligt anvendt og maskinlæsbart format.
• Ret til indsigelse. Du kan til enhver tid gøre indsigelse mod behandling baseret på legitim interesse (litra f).
• Ret til at tilbagekalde samtykke. Hvis behandlingen sker på baggrund af samtykke, kan du tilbagekalde det når som helst. Tilbagekaldelsen påvirker ikke lovligheden af behandling før tilbagekaldelsen.

Skriv til privacy@mitkrav.dk, hvis du vil gøre brug af en eller flere af rettighederne. Vi besvarer henvendelsen uden unødig forsinkelse og senest inden for en måned.

Du har ret til at klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Vi opfordrer dig til først at kontakte os, så vi har mulighed for at rette op på forholdet, men det er ikke en betingelse.

Vi træffer ingen afgørelser baseret udelukkende på automatisk behandling eller profilering, der har retsvirkning for dig eller på tilsvarende måde betydeligt påvirker dig (jf. GDPR art. 22).

Vi bruger en AI-sprogmodel (OpenAI) til at foreslå et klageudkast på baggrund af dine svar. Du læser altid udkastet igennem, kan redigere det frit, og intet sendes uden, at du aktivt godkender teksten. Den endelige beslutning om indhold og afsendelse er din.

Vi bruger kun cookies og lignende teknologier, der er strengt nødvendige for, at tjenesten virker. Det er primært:

• Sessionscookies til at holde dig logget ind
• En cookie til at gemme din igangværende kladde, hvis du opretter en klage uden at være logget ind
• Sikkerhedscookies, der forhindrer cross-site request forgery (CSRF)

Disse cookies er undtaget fra samtykkekravet i cookiebekendtgørelsen (BEK nr 1148 af 09/12/2011) § 3, stk. 2, fordi de er nødvendige for, at den tjeneste, du udtrykkeligt har anmodet om, kan leveres.

Vi bruger på nuværende tidspunkt ikke tredjeparts-trackingcookies, analytics-cookies eller markedsføringscookies. Hvis det ændrer sig, indhenter vi dit aktive samtykke først.

Vi har gennemført passende tekniske og organisatoriske sikkerhedsforanstaltninger efter GDPR art. 32, herunder kryptering af data under transport (TLS), kryptering af følsomt indhold i hvile, adgangs- og rolle­baserede begrænsninger, logning af administrative handlinger og periodiske sikkerhedsreviews.

Hvis der opstår et brud på persondatasikkerheden, som indebærer en risiko for dine rettigheder, underretter vi Datatilsynet senest 72 timer efter, vi er blevet bekendt med bruddet (GDPR art. 33), og dig uden unødig forsinkelse (art. 34), hvis bruddet indebærer en høj risiko.

Tjenesten er rettet mod voksne forbrugere. Hvis du er under 18 år, kan du kun bruge MitKrav med din værges accept. Personer under 15 år (jf. databeskyttelseslovens § 6, stk. 3) kan ikke selvstændigt give samtykke til behandling af personoplysninger.

Vi opdaterer denne politik, hvis lovgivningen, vores tjeneste eller vores behandlinger ændrer sig. Ved væsentlige ændringer giver vi dig besked på e-mail eller i tjenesten, inden ændringerne træder i kraft. Den til enhver tid gældende politik findes på mitkrav.dk/privacy.