Behandlingsoversikt (RoPA)
Sist oppdatert: 9. juni 2026 · Versjon 1.0 · GDPR art. 30
Dette er et offentlig sammendrag av vår fortegnelse over behandlingsaktiviteter etter GDPR art. 30. Fullstendig RoPA gjøres tilgjengelig for tilsynsmyndigheter og kunder med signert databehandleravtale på forespørsel: dpo@utfordre.no.
Som behandlingsansvarlig
Behandlinger Utfordre gjør for egne formål (drift av tjenesten, kunder, ansatte).
Kontoadministrasjon for kunder
- Kategorier:
- Navn, e-post, telefon (valgfritt), siste innlogging, fakturadetaljer
- Registrerte:
- Kundebrukere (org-admin, medlemmer)
- Rettsgrunnlag:
- Avtale (art. 6.1.b) og berettiget interesse (art. 6.1.f)
- Lagringstid:
- Slettes 180 dager etter inaktivitet (varsel på dag 150)
- Mottakere:
- Supabase (EU), Resend (US — SCC+DPF)
Misbruks- og sikkerhetslogg
- Kategorier:
- Trunkert IP, hendelsestype, brukerid, tidsstempel
- Registrerte:
- Innloggede brukere og besøkende
- Rettsgrunnlag:
- Berettiget interesse (art. 6.1.f) — IT-sikkerhet
- Lagringstid:
- Sikkerhetslogg 365 d, IP trunkeres etter 30 d, slettes etter 90 d
- Mottakere:
- Supabase (EU), Cloudflare (US — SCC+DPF, kun edge-metadata)
Transaksjonell e-post (verifisering, magic link, varsler)
- Kategorier:
- E-postadresse, brukerid, malnavn, leveringsstatus
- Registrerte:
- Innloggede brukere
- Rettsgrunnlag:
- Avtale (art. 6.1.b)
- Lagringstid:
- Sendelogg 90 dager
- Mottakere:
- Resend (US — SCC+DPF)
Fakturering og regnskap
- Kategorier:
- Organisasjon, kontaktperson, fakturadata
- Registrerte:
- Kontaktpersoner i kundeorganisasjoner
- Rettsgrunnlag:
- Rettslig forpliktelse (art. 6.1.c) — bokføringsloven
- Lagringstid:
- 5 år etter regnskapsår (bokføringsloven § 13)
- Mottakere:
- Regnskapsfører (DPA inngått)
Som databehandler (på vegne av kunder)
Behandlinger der kunden er behandlingsansvarlig. Detaljer reguleres i databehandleravtalen.
Gjennomføring av spørreundersøkelser og live-økter
- Kategorier:
- Svar (fritekst, valg, score), respondent-id, ev. navn/e-post hvis arrangør krever det, trunkert IP
- Registrerte:
- Respondenter (innbyggere, elever, ansatte, kunder)
- Rettsgrunnlag:
- Fastsatt av arrangør — typisk samtykke (6.1.a), allmenn interesse (6.1.e) eller berettiget interesse (6.1.f)
- Lagringstid:
- Standard 90 d til anonymisering, 365 d til full sletting. Maks 2 år. Konfigurerbart per undersøkelse.
- Mottakere:
- Supabase (EU), Mistral (EU — KI-moderering), arrangøren
KI-utkast og oppsummeringer (Mistral La Plateforme)
- Kategorier:
- Aggregerte svar / spørsmålstekster sendt til modell
- Registrerte:
- Indirekte: respondenter (svar inngår i aggregat)
- Rettsgrunnlag:
- Som over (arrangørens grunnlag)
- Lagringstid:
- Mistral API: 0–30 d, ingen modelltrening. Hash-cache i Utfordre: 90 d.
- Mottakere:
- Mistral AI (EU, Paris)
Invitasjons- og påminnelses-e-post
- Kategorier:
- E-post, navn, lenke-token, leveringsstatus
- Registrerte:
- Inviterte respondenter
- Rettsgrunnlag:
- Fastsatt av arrangør
- Lagringstid:
- Slettes ved undersøkelsens slutt eller etter 12 mnd
- Mottakere:
- Resend (US — SCC+DPF)
Overføringer ut av EØS
Primær lagring og prosessering er i EU. Begrensede metadata kan overføres til USA via Cloudflare og Resend. Begge er sertifisert under EU–US Data Privacy Framework og vi har Standard Contractual Clauses (SCC, 2021/914) + TIA på plass. Se full underdatabehandlerliste.
Rettigheter
Innsyn, retting, sletting, begrensning, dataportabilitet og protest etter GDPR art. 15–22. Respondenter henvender seg til arrangøren. Egne kontoer: personvern@utfordre.no.
Se også personvernerklæringen, DPA, DPIA-mal, underdatabehandlere og trust center.