Personvernerklæring
[Dette dokumentet er oversatt for din bekvemmelighet. Den juridisk bindende versjonen er den engelske (Canada) versjonen.]
Sist oppdatert: 21. mars 2026
Denne personvernerklæringen beskriver hvordan RAPID DEV GROUP INC., et Ontario (Canada)-selskap som opererer som Sitetra ("vi", "oss" eller "vår"), samler inn, bruker, deler og beskytter dine personopplysninger når du bruker plattformen vår på sitetra.com og tilknyttede tjenester (samlet "Tjenesten").
Sitetra er en multi-tenant plattform for bygging og administrasjon av nettsteder. Vi opererer i en dobbel kapasitet:
- Behandlingsansvarlig: For brukere som oppretter kontoer direkte hos Sitetra (nettstedsoperatører, utviklere og administratorer).
- Databehandler: For sluttbrukere av nettsteder bygget og drevet av våre kunder (nettstedsoperatører). I denne kapasiteten er nettstedsoperatøren behandlingsansvarlig.
Den engelskspråklige versjonen av denne personvernerklæringen (en-CA) er den gjeldende og juridisk bindende versjonen. Oversettelser tilbys kun som en tjeneste.
Ved å bruke Tjenesten samtykker du til innsamling og bruk av informasjon i samsvar med denne personvernerklæringen. Hvis du ikke samtykker, vennligst ikke bruk Tjenesten.
1. Informasjon vi samler inn
1.1 Kontoinformasjon
Når du oppretter en konto, samler vi inn: fullt navn, e-postadresse, passord (lagret kun i hashet form, aldri i klartekst), telefonnummer (valgfritt), foretrukket språk/lokalitet og brukernavn.
1.2 Autentiserings- og sikkerhetsdata
Vi samler inn data knyttet til din autentiseringsaktivitet: innloggingstidsstempler, IP-adresser, brukeragent-strenger (analysert for å identifisere nettleser, operativsystem og enhet), omtrentlig geolokalisering utledet fra IP-adresser, OAuth-tokens og profilidentifikatorer (ved innlogging via Google, Microsoft, Facebook eller GitHub), MFA-konfigurasjonsdata og registreringer av nye enheter.
1.3 Fakturerings- og betalingsinformasjon
Betalingsbehandling håndteres av tredjepartsleverandører, inkludert Stripe, Square, PayPal og Wise. Vi lagrer ikke fullstendige kreditkortnumre på våre servere. Vi kan lagre delvis kortinformasjon (som de fire siste sifrene og korttype), faktureringsadresser og transaksjonsregistre levert av disse leverandørene. Vi vedlikeholder også kredittkontosaldoer og fullstendige kreditttransaksjonshistorikker.
1.4 Innholdsdata
Vi lagrer innhold du oppretter og laster opp gjennom Tjenesten, inkludert: nettsider, blogginnlegg, artikler og FAQ-er; produktoppføringer, SKU-konfigurasjoner og lagerdata; bilder, dokumenter og andre filopplastinger (lagret på Cloudflare R2, med redundant backup på Vultr Object Storage); nettstedskonfigurasjoner, stiler, maler og designinnstillinger.
1.5 E-handels- og transaksjonsdata
Når nettstedsoperatører bruker e-handelsfunksjoner, behandler vi: handlekurvinnhold (varer, mengder, priser), betalingsinformasjon (kundenavn, e-post, leverings- og faktureringsadresser), ordreregistre (billettnumre, status, betalingsstatus, varer, totaler, skatt, rabatter), kupongbruk og innløsningsregistre, betalingsmetodedetaljer (tokenisert, kun de fire siste sifrene) og refusjonshistorikk.
1.6 CRM- og relasjonsdata
Nettstedsoperatører kan lagre kunderelasjonsdata, inkludert: kontaktinformasjon (navn, e-poster, telefonnumre, adresser), forretningskontoregistre og underkontoer, kommunikasjonshistorikk (e-poster, notater, tagger), salgsagenttildelinger samt relasjonstyper og kategorier.
1.7 Reservasjons- og bookingdata
Når reservasjonsfunksjoner brukes, behandler vi: avtale-datoer, tidspunkter og varigheter, selskapsstørrelser og sittepreferanser, spesielle ønsker og notater, forhåndsautoriserte betalingssperrer, reservasjonsstatus og bekreftelsesdetaljer samt restaurantens bord- og skiftkonfigurasjoner.
1.8 Anmeldelsesdata
Når anmeldelsesfunksjoner er aktivert, samler vi inn: stjernevurderinger og kategorivurderinger (kvalitet, verdi, service osv.), skrevet anmeldelsestekst, anmeldelsesbilder (lastet opp gjennom filsystemet), anmelderens identitet (autentisert eller anonym, avhengig av operatørens konfigurasjon) og verifisering av kjøpsstatus.
1.9 Nyhetsbrev- og kommunikasjonsdata
For nyhetsbrev- og e-postmarkedsføringsfunksjoner behandler vi: abonnenters e-postadresser og preferanser, segmenttildelinger og abonnementsemner, e-postleveringssporingsdata (levert, returnert, åpnet, klikket) mottatt via webhooks fra e-postleverandører, avmeldingsregistre og samtykkehistorikk samt SMS-leveringsstatusregistre.
1.10 AI-interaksjonsdata
Når du bruker våre AI-drevne funksjoner, samler vi inn: instruksjoner og instruksjoner du gir til AI-tjenester, AI-genererte svar og innhold, tokenbruk og estimerte kostnader, AI-modell og leverandør som brukes, sesjonsidentifikatorer og samtalehistorikk samt forretningskontekstdata (stemme/tone-retningslinjer, forretningsbeskrivelser) levert av operatører.
1.11 Lyddata
Hvis du bruker tale-til-tekst-funksjoner, behandles lydopptak via OpenAI Whisper API (ekstern behandling) eller Speaches (selvhostet, lokal behandling). Lyddata brukes utelukkende til transkripsjon og lagres ikke etter at behandlingen er fullført.
1.12 Identitetsverifiseringsdata
Når identitetsverifisering anmodes av en nettstedsoperatør, kan IDenfy behandle: ansiktsgjenkjenningsskanninger, bilder av offentlig utstedte dokumenter og uttrukne data (navn, fødselsdato, kjønn, dokumenttype, dokumentnummer), verifiseringsstatus (ventende, sendt via e-post, godkjent, mistenkt), AML-screeningsresultater og adresseverifiseringsdokumenter. Biometriske data (ansiktsgjenkjenning) behandles av IDenfy. Sitetra lagrer verifiseringsresultater og uttrukne personopplysninger, men lagrer ikke rå biometriske data.
1.13 Analyse- og sporingsdata
Vi samler inn nettstedsbruksdata, inkludert: sidevisninger og navigasjonsveier, sesjonsidentifikatorer og varighet, nettleserfingeravtrykk (via FingerprintJS, brukt for sikkerhet og anonym handlekurvidentifikasjon, ikke reklame), enhetstype og skjerminformasjon, henvisningsURL-er samt lokale/språkpreferanser.
1.14 Filopplastingsdata
For opplastede filer lagrer vi: filnavn, størrelser og MIME-typer, offentlig/privat tilgangsbetegnelse, tilknyttet metadata og tagger, spesielle filtyper (ikoner, logoer, forsidebilder) og virusskanningsresultater.
1.15 Domeneregistreringsdata
Hvis du registrerer et domene gjennom Tjenesten, behandles WHOIS-registreringsdata gjennom EasyDNS eller Cloudflare Registrar. Dette kan inkludere ditt navn, organisasjon, adresse, e-post og telefonnummer som krevet av domeneregistreringsforskrifter og ICANN-retningslinjer.
1.16 Push-varslingsdata
Hvis du aktiverer push-varsler, lagrer vi enhetstoken (endepunkter og krypteringsnøkler) som er nødvendige for å levere varsler til enheten din.
1.17 Markeds- og finansiell data
For nettsteder som bruker edelmetallfunksjoner, behandler vi: sanntidsprisfeeder (gull, sølv, platina, palladium kjøps/salgspriser), London Fix daglige oppgjørspriser, historiske prisdiagramdata og nyheter fra råvaremarkedet.
2. Hvordan vi bruker informasjonen din
Vi bruker informasjonen vi samler inn til følgende formål:
- Drift av tjenesten: For å tilby, vedlikeholde og forbedre Sitetra-plattformen, inkludert nettstedsbygging, innholdsadministrasjon, hosting og multi-tenant-infrastruktur.
- AI-innholdsgenerering: For å drive AI-assisterte funksjoner som innholdsproduksjon, oversettelse, SEO-optimalisering, nettstedsbygging, tale-til-tekst-transkripsjon og bildeanalyse ved hjelp av tredjeparts AI-leverandører.
- E-handelsbehandling: For å lette produktadministrasjon, handlekurvfunksjonalitet, ordrebehandling, betalingskoordinering, kupongadministrasjon og lagerstyring på vegne av nettstedsoperatører.
- Reservasjonsstyring: For å behandle reservasjoner, avtaler og kalendersynkronisering på vegne av nettstedsoperatører.
- Identitetsverifisering: For å lette KYC/AML-verifisering når det kreves av nettstedsoperatører, ved bruk av IDenfy.
- Lisensiering av arkivbilder: For å søke, forhåndsvise, lisensiere og levere arkivbilder fra Shutterstock.
- Domeneadministrasjon: For å registrere, fornye, overvåke og administrere domenenavn gjennom EasyDNS eller Cloudflare Registrar.
- Sikkerhet: For å beskytte kontoer og plattformen gjennom ClamAV skanning av skadelig programvare, flerfaktorautentisering (MFA), nettleserfingeravtrykk, hastighetsbegrensning, autentiseringslogging og IP-basert geolokalisering.
- Fakturering og betalinger: For å behandle betalinger, administrere kredittkontoer, håndtere automatisk påfylling, behandle månedlig nettstedsfakturering og vedlikeholde økonomiske poster.
- Transaksjonskommunikasjon: For å sende tjenesterelaterte e-poster og SMS-meldinger, inkludert kontoverifisering, tilbakestilling av passord, faktureringsvarsler, sikkerhetsvarsler, ordrebekreftelser, reservasjonsbekreftelser og e-poster for gjenoppretting av forlatte handlekurver.
- Nyhetsbrevlevering: For å sende markedsføringsnyhetsbrev og e-postkampanjer på vegne av nettstedsoperatører til deres abonnenter.
- Push-varsler: For å levere faktureringsvarsler, ordrevarsler, reservasjonsbekreftelser, anmeldelsesvarsler og andre sanntidsvarsler.
- Analyser: For å samle sidevisninger og hendelser i daglige og månedlige oppsummeringer, som gir nettstedsoperatører innsikt i trafikk og bruk.
- Kalendersynkronisering: For å synkronisere reservasjons- og hendelsesdata med eksterne kalendertjenester via CalDAV-protokollen.
- Tjenesteforbedring: For å analysere aggregerte, anonymiserte bruksdata for å forbedre funksjoner, ytelse og brukeropplevelse.
- Juridisk overholdelse: For å overholde gjeldende lover, forskrifter og juridiske prosesser.
3. Hvordan vi deler informasjonen din
Vi selger ikke dine personopplysninger.
Vi deler informasjon med følgende kategorier av tredjeparter kun i den grad det er nødvendig for å tilby og sikre Tjenesten:
3.1 AI-tjenesteleverandører
- Anthropic (Claude): Innholdsprompter og kontekstdata for AI-generering.
- OpenAI: Innholdsprompter, kontekstdata og lyddata for AI-generering og tale-til-tekst.
- Google (Gemini): Innholdsprompter og kontekstdata for AI-generering.
- Ollama (selvhostet): Data forblir på vår infrastruktur og overføres ikke eksternt.
3.2 Betalingsbehandlere
Stripe, Square, PayPal og Wise for betalingsbehandling, abonnementer og pengeoverføringer.
3.3 Kommunikasjonsleverandører
Postmark og Mailgun for e-postlevering. VoIP.ms for SMS-levering.
3.4 Domeneregistrarer
EasyDNS og Cloudflare Registrar for domeneregistrering, fornyelse og DNS-administrasjon.
3.5 Arkivbildeleverandør
Shutterstock for søk og lisensiering av arkivbilder.
3.6 Identitetsverifisering
IDenfy for KYC/KYB/AML identitetsverifisering, ansiktsgjenkjenning og dokumentverifisering.
3.7 Infrastrukturleverandører
Cloudflare for CDN, DNS, brannmur for nettapplikasjoner, DDoS-beskyttelse og fillagring (R2). Vultr for redundant filsikkerhetskopiering (New York, USA).
3.8 Analyser
Google Analytics (kun når aktivert av nettstedsoperatøren).
3.9 OAuth/Autentiseringsleverandører
Google, Microsoft, Facebook og GitHub for sosial innlogging (kun når du velger å autentisere via disse).
3.10 Nettstedsoperatører
Nettstedsoperatører mottar sine egne kundedata gjennom Plattformens admin-grensesnitt og API. Byggere med tilgang på tvers av nettsteder kan se data for sine tildelte nettsteder.
3.11 Juridiske krav
Vi kan utlevere informasjonen din hvis det kreves ved lov, rettskjennelse eller gyldig juridisk prosess, eller hvis vi i god tro mener at slik handling er nødvendig for å: oppfylle en juridisk forpliktelse, beskytte rettighetene eller eiendommen til RAPID DEV GROUP INC., forebygge eller etterforske mulig lovbrudd eller beskytte den personlige sikkerheten til brukere eller offentligheten.
3.12 Virksomhetsoverdragelser
Ved fusjon, oppkjøp, omorganisering eller salg av eiendeler kan dine personopplysninger overføres som en del av transaksjonen. Vi vil varsle deg via e-post eller synlig varsel i Tjenesten før informasjonen din underlegges en annen personvernerklæring.
4. Datalagring og sikkerhet
Vi implementerer passende tekniske og organisatoriske tiltak for å beskytte dine personopplysninger:
- Plassering: Vår primære infrastruktur befinner seg i Canada (Ontario). Fillagring på Cloudflare R2 kan være globalt distribuert. Redundante filsikkerhetskopier lagres på Vultr Object Storage i USA (New York).
- Database: Data lagres i PostgreSQL med UUID-primærnøkler og datatype-validering.
- Multi-tenant-isolasjon: Data er logisk isolert mellom nettsteder ved hjelp av en websiteId-basert arkitektur. Hvert nettsteds data er adskilt og kan ikke nås av andre leietakere.
- Kryptering under overføring: Alle data som overføres mellom enheten din og våre servere, er kryptert med TLS/HTTPS.
- Passordsikkerhet: Passord lagres med industristandard bcrypt-hashing. Vi lagrer aldri passord i klartekst.
- API-legitimasjonssikkerhet: Tredjeparts API-nøkler og webhook-hemmeligheter lagret i innstillinger per nettsted er kryptert i hvile.
- Flerfaktorautentisering: MFA er tilgjengelig for alle kontoer og påkrevd for utviklertilgang på tvers av nettsteder.
- Skanning av skadelig programvare: Alle opplastede filer skannes med ClamAV.
- Autentisering: API-tilgang er sikret med JWT-autentisering med konfigurerbar utløpstid.
- Hastighetsbegrensning: Hastighetsbegrensninger gjelder for autentiseringsendepunkter, AI-behandling og generell API-tilgang for å forhindre misbruk.
- CORS: CORS-begrensninger håndheves basert på nettstedsdomener.
- Myk sletting-arkitektur: Slettede poster merkes først med et slettetidsstempel før permanent fjerning, noe som gir et gjenopprettingsvindu.
Selv om vi streber etter å bruke kommersielt akseptable midler for å beskytte dine personopplysninger, er ingen overføringsmetode over internett eller elektronisk lagringsmetode 100 % sikker. Vi kan ikke garantere absolutt sikkerhet.
5. Oppbevaring av data
| Datakategori | Oppbevaringsperiode |
|---|---|
| Aktive kontodata | I den perioden kontoen din er aktiv |
| Slettede konto-/nettstedsdata | 90 dager etter sletting, deretter permanent fjernet |
| Fakturerings- og kredittransaksjonsregistre | Oppbevares på ubestemt tid (uforanderlige finansielle registre); minimum 7 år som påkrevd av kanadisk skattelov |
| Autentiseringslogger | Konfigurerbart per nettsted; standard øktlevetid gjelder |
| E-postleveringshistorikk | Oppbevares i nettstedets levetid |
| SMS-leveringshistorikk | Oppbevares i nettstedets levetid |
| Feillogger | Oppbevares i nettstedets levetid |
| Rå analysedata (sidevisninger) | Aggregert til daglige sammendrag, rådata ryddes nattlig |
| Daglige analysesammendrag | 13 måneder, deretter aggregert til månedlige sammendrag |
| Månedlige analysesammendrag | Oppbevares på ubestemt tid |
| IP-geolokaliserings-cache | Oppbevares så lenge tilknyttede registre eksisterer |
| AI-økts- og bruksdata | Oppbevares i nettstedets levetid |
| Data for identitetsverifisering | Oppbevares etter operatørkrav og gjeldende KYC/AML-regler |
| Reservasjons-/bookingregistre | Oppbevares i nettstedets levetid |
| Forlatte handlekurver | Ryddes nattlig etter operatørkonfigurert inaktivitetsperiode |
| Kansellerte abonnementsregistre | Myk sletting etter 90 dager |
| Uverifiserte brukerkontoer | Ryddes nattlig etter utløpsperioden |
| Suspenderte nettstedsdata (med foreldreløst domene) | 90 dager etter at domenet blir foreldreløst |
| Anonymiserte og aggregerte data | Oppbevares på ubestemt tid for analyse og tjenesteforbedring |
Operatører kan be om tidligere sletting av sine nettstedsdata, med forbehold for juridiske sperrer og regulatoriske krav.
6. Dine rettigheter og valg
6.1 Alle brukere
Uavhengig av din plassering har du rett til å:
- Tilgang: Be om en kopi av personopplysningene vi har om deg.
- Retting: Be om retting av unøyaktige eller ufullstendige opplysninger.
- Sletting: Be om sletting av dine personopplysninger.
- Portabilitet: Be om dine data i et strukturert, allment brukt, maskinlesbart format (JSON).
- Avmelding: Melde deg av ikke-essensielle markedsføringskommunikasjoner når som helst.
- Avmelding fra nyhetsbrev: Hver markedsførings-e-post inneholder en fungerende avmeldingslenke.
- Kontroll over push-varsler: Trekke tilbake tillatelse for push-varsler når som helst via nettleser- eller enhetsinnstillingene dine.
- Kontosletting: Be om fullstendig sletting av kontoen din og tilknyttede data.
6.2 Kanadiske innbyggere (PIPEDA)
I henhold til Personal Information Protection and Electronic Documents Act (PIPEDA) har du rett til: å få tilgang til personopplysningene dine som vi har, utfordre nøyaktigheten og fullstendigheten av informasjonen din og få den rettet, samt trekke tilbake samtykke til innsamling, bruk eller utlevering av informasjonen din, med forbehold for juridiske eller kontraktsmessige begrensninger.
Vi vil svare på tilgangsforespørsler innen 30 dager. Hvis du ikke er fornøyd med svaret vårt, kan du klage til Office of the Privacy Commissioner of Canada.
6.3 Europeiske innbyggere (GDPR)
Hvis du befinner deg i Den europeiske union eller Det europeiske økonomiske samarbeidsområdet, har du ytterligere rettigheter i henhold til den generelle personvernforordningen (GDPR):
- Rett til innsyn (art. 15): Få bekreftet om vi behandler dataene dine og be om en kopi.
- Rett til retting (art. 16): Få unøyaktige personopplysninger rettet.
- Rett til sletting (art. 17): Be om sletting av dine personopplysninger ("retten til å bli glemt").
- Rett til begrensning (art. 18): Be om begrensning av behandling under visse omstendigheter.
- Rett til dataportabilitet (art. 20): Motta dataene dine i et strukturert, maskinlesbart format.
- Rett til å protestere (art. 21): Protestere mot behandling basert på berettigede interesser eller for direkte markedsføring.
- Rett til å trekke tilbake samtykke: Trekke tilbake samtykke når som helst der behandling er basert på samtykke.
Vi vil svare på GDPR-forespørsler innen 30 dager. Du har også rett til å klage til din lokale datatilsynsmyndighet.
6.4 Innbyggere i California (CCPA)
Hvis du er bosatt i California, har du følgende rettigheter i henhold til California Consumer Privacy Act (CCPA):
- Rett til å vite: Be om informasjon om kategoriene og spesifikke deler av personopplysninger vi har samlet inn.
- Rett til sletting: Be om sletting av dine personopplysninger.
- Rett til å melde seg av salg: Vi selger ikke personopplysninger, så denne rettigheten er ikke aktuell.
- Rett til ikke-diskriminering: Du vil ikke bli utsatt for diskriminerende behandling for å utøve dine personvernrettigheter.
Vi vil svare på CCPA-forespørsler innen 45 dager.
6.5 Sluttbrukere av operatørnettsteder
Hvis du er sluttbruker av et nettsted som drives på Sitetra-plattformen, vennligst rett personvernforespørsler til nettstedsoperatøren først, da de er behandlingsansvarlige for informasjonen din. Hvis du ikke kan nå operatøren eller løse forespørselen din, kan du kontakte Sitetra, og vi vil hjelpe i den grad det er mulig.
7. Internasjonale dataoverføringer
RAPID DEV GROUP INC. er basert i Ontario, Canada. Din informasjon kan overføres til og behandles i andre land enn ditt eget gjennom våre tredjeparts tjenesteleverandører.
Viktige dataoverføringsdestinasoner inkluderer:
- USA: AI-leverandører (Anthropic, OpenAI, Google), betalingsbehandlere (Stripe, Square, PayPal), e-postleverandører (Postmark, Mailgun), arkivbilder (Shutterstock) og identitetsverifisering (IDenfy).
- Canada: Primær infrastruktur og database.
- Globalt distribuert: Cloudflare CDN og fillagring (R2). Vultr Object Storage for filsikkerhetskopiering (New York).
Canada har mottatt en tilstrekkelighetsbeslutning fra Europakommisjonen, noe som betyr at kanadiske personvernlover er anerkjent som å gi et tilstrekkelig beskyttelsesnivå for personopplysninger overført fra EU/EØS.
For overføringer til USA og andre jurisdiksjoner uten en tilstrekkelighetsbeslutning, er vi avhengige av standardkontraktsklausuler (SCC) eller andre passende sikkerhetstiltak som kreves av gjeldende lov.
For AI-behandling via Ollama og tale-til-tekst via Speaches forblir data på vår egen infrastruktur i Canada og forlater ikke våre servere.
Ved å bruke Tjenesten samtykker du til overføring av informasjonen din til Canada og andre land som beskrevet i denne personvernerklæringen.
8. Barns personvern
Tjenesten er ikke ment for bruk av personer under 16 år. Vi samler ikke bevisst inn personopplysninger fra barn under 16 år. Hvis vi blir oppmerksomme på at vi har samlet inn personopplysninger fra et barn under 16 år, vil vi ta skritt for å slette denne informasjonen umiddelbart.
Nettstedsoperatører som oppretter nettsteder som kan nås av barn, er ansvarlige for å sikre samsvar med COPPA og andre gjeldende personvernlover for barn i sin jurisdiksjon.
Hvis du tror vi kan ha samlet inn informasjon fra et barn under 16 år, vennligst kontakt oss umiddelbart.
9. Informasjonskapsler og sporingsteknologier
| Type | Formål | Detaljer |
|---|---|---|
| Nødvendige informasjonskapsler | Autentisering og øktadministrasjon | JWT-økttokens, CSRF-beskyttelse. Påkrevd for at tjenesten skal fungere. |
| Handlekurv-informasjonskapsler | Handlekurvidentifikasjon | Informasjonskapselbasert identifikator for anonym handlekurvsporing, som lar besøkende opprettholde en handlekurv før de oppretter en konto. |
| Samtykke-informasjonskapsler | Lagring av brukerpreferanser | Registrerer valgene dine for informasjonskapsler slik at de huskes mellom besøk. |
| Sikkerhet | Svindelforebygging og kontobeskyttelse | FingerprintJS nettleserfingeravtrykk for sikkerhet og analyse. Ikke brukt til annonsering. |
| Analyse (valgfritt) | Analyse av nettstedstrafikk | Google Analytics, aktiveres kun når nettstedsoperatøren aktiverer det. |
Vi bruker ikke annonseinformasjonskapsler eller informasjonskapsler for sporing på tvers av nettsteder.
Samtykkemoduser
Plattformen støtter tre samtykkemoduser, konfigurerbare per nettsted av operatøren:
- Varsel: Viser et informasjonsbanner om bruk av informasjonskapsler.
- Jurisdiksjon: Bruker jurisdiksjonsbaserte standardsamtykkeinnstillinger.
- Full: Krever uttrykkelig opt-in-samtykke før ikke-essensielle informasjonskapsler settes.
10. Nettstedsoperatører (databehandling)
Sitetra fungerer som en plattform for nettstedsoperatører til å bygge og administrere sine egne nettsteder. I denne sammenhengen:
10.1 Roller og ansvar
- Nettstedsoperatører er behandlingsansvarlige for personopplysningene til sine egne sluttbrukere og kunder.
- Sitetra opptrer som databehandler og behandler data på vegne av og under instruksjonene til nettstedsoperatøren.
10.2 Operatørens forpliktelser
Nettstedsoperatører er ansvarlige for:
- Å opprettholde egne personvernregler som overholder gjeldende lover.
- Å innhente nødvendige samtykker fra sluttbrukerne sine for datainnsamling og -behandling.
- Å svare på forespørsler om registrertes rettigheter fra kundene sine.
- Å bestemme det lovlige grunnlaget for behandling av kundenes data.
- Å sikre at bruken av plattformens funksjoner (e-postmarkedsføring, anmeldelser, analyse) overholder gjeldende personvern- og antispamlovgivning.
10.3 Automatisert behandling
Sitetra utfører følgende automatisert behandling på vegne av operatører: e-poster om gjenoppretting av forlatte handlekurver, e-poster med anmeldelsesforespørsler, abonnementsfakturering, reservasjonsbekreftelser, nyhetsbrevlevering, nettstedsfakturering og planlagt dataopprydding.
10.4 Dataisolering
Alle data er isolert per websiteId. Én nettstedsoperatør kan ikke få tilgang til dataene til en annen operatørs sluttbrukere. Byggere med tilgang på tvers av nettsteder kan bare se data for nettsteder som er spesifikt tildelt dem.
10.5 Underdatabehandlere
Våre underdatabehandlere er oppført i seksjon 18 i denne personvernerklæringen. Nettstedsoperatører bør referere til denne listen i sine egne personvernerklæringer der det er aktuelt.
10.6 Databehandleravtale
En formell databehandleravtale (DPA) er tilgjengelig på forespørsel for operatører som trenger en for GDPR- eller annen regulatorisk overholdelse.
10.7 Datasletting
Når et nettsted slettes, fjernes alle tilknyttede data (inkludert sluttbrukerdata) permanent etter 90-dagers oppbevaringsperioden.
11. AI-spesifikke datapraksis
Vår plattform integrerer med flere AI-leverandører. Slik håndteres data for hver av dem:
- Anthropic (Claude): Tekstprompter, innholdskontekst, forretningsretningslinjer og eksisterende nettstedsinnhold sendes til Anthropics API. Anthropics datahåndtering reguleres av deres personvernerklæring og tjenestevilkår.
- OpenAI: Tekstprompter, innholdskontekst og lyddata (for tale-til-tekst via Whisper) sendes til OpenAIs API. Bildedata kan sendes for visuell analyse (logoanalyse, bildeklassifisering). OpenAIs datahåndtering reguleres av deres personvernerklæring og tjenestevilkår.
- Google (Gemini): Tekstprompter og innholdskontekst sendes til Googles Gemini API. Googles datahåndtering reguleres av deres personvernerklæring og tjenestevilkår.
- Ollama (selvdriftet): Tekstprompter behandles utelukkende på vår egen infrastruktur. Ingen data sendes til eksterne servere.
- Speaches (selvdriftet): Lyddata for tale-til-tekst behandles utelukkende på vår egen infrastruktur. Ingen data sendes til eksterne servere.
AI-brukslogging
For hver AI-interaksjon logger vi: AI-leverandøren og modellen som ble brukt, antall inngangs-/utgangstokens, estimert kredittkostnad, en sesjonsidentifikator og det tilknyttede nettstedet. Disse dataene brukes til fakturering, bruksanalyse og tjenesteforbedring.
AI-kontekstdata
Ved generering av innhold kan AI-en motta: nettstedets navn, beskrivelse og forretningskontekst, stemme/tone-retningslinjer konfigurert av operatøren, eksisterende innhold fra nettstedet ditt (for kontekstbevisst generering), referansenettstedsdata (når en referanse-URL er oppgitt) og søk etter arkivbilder.
Viktig: Unngå å sende inn sensitive personopplysninger (som identifikasjonsnumre, finansielle kontonumre eller helseinformasjon) i AI-prompter. Selv om vi implementerer sikkerhetstiltak, overføres AI-prompter til tredjepartsleverandører som beskrevet ovenfor.
12. Datapraksis for identitetsverifisering
Når en nettstedsoperatør aktiverer identitetsverifisering, gjelder følgende datapraksis:
12.1 Dataflyt
Brukere sender inn identitetsdokumenter gjennom IDenfys verifiseringsgrensesnitt. IDenfy behandler dokumentene og sender verifiseringsresultater til Sitetra via sikker webhook. Sitetra lagrer verifiseringsresultatene og uttrukne personopplysninger.
12.2 Biometriske data
Ansiktsgjenkjenningsbehandling utføres av IDenfy. Sitetra lagrer ikke rå biometriske data (ansiktsgjenkjenningsmaler). Vi lagrer kun verifiseringsresultatet og uttrukne personopplysninger (navn, fødselsdato, dokumentdetaljer).
12.3 Lagrede data
For hver verifisering lagrer vi: verifiseringstype (KYC, KYB, POA, AML), verifiseringsstatus (ventende, e-postet, godkjent, mistenkt), uttrukne personopplysninger (navn, fødselsdato, kjønn, dokumenttype, dokumentnummer), leverandørens svarmetadata og tidsstempel for verifiseringen.
12.4 Lagring
Verifiseringsdata beholdes så lenge den tilknyttede brukerkontoen eksisterer, eller som påkrevd av gjeldende KYC/AML-regler. Operatører og brukere kan be om sletting av verifiseringsdata, med forbehold for regulatoriske krav.
12.5 Tilgang
Brukere kan be om tilgang til sine verifiseringsoppføringer gjennom nettstedsoperatøren eller ved å kontakte Sitetra direkte. Verifiseringsstatuser er synlige for nettstedsoperatøren gjennom administrasjonsgrensesnittet.
13. Automatisert beslutningstaking
I samsvar med GDPR artikkel 22 opplyser vi om følgende automatiserte beslutningsprosesser:
- AI-innholdsgenerering: AI genererer innhold basert på prompter og kontekst. Dette involverer automatisert behandling, men tar ikke beslutninger med juridiske virkninger for enkeltpersoner. Alt AI-generert innhold gjennomgås av mennesker før publisering.
- Identitetsverifisering: Verifiseringsresultater produseres av IDenfys automatiserte systemer. Disse resultatene er kun rådgivende. Endelige beslutninger om kontogodkjenning eller -begrensninger tas av nettstedsoperatøren (menneskelig beslutningstaker).
- Kredittsaldokontroller: Operasjoner blokkeres automatisk når en brukers kredittsaldo når null eller under. Brukere kan løse dette umiddelbart ved å kjøpe flere kreditter.
- Hastighetsbegrensning: API-forespørsler begrenses automatisk når hastighetsgrenser overskrides. Dette løses ved å vente til begrensningsvinduet tilbakestilles.
- Nettstedssuspensjon: Nettsteder suspenderes automatisk etter 30 dager uten betaling. Dette følger en dokumentert tidslinje med advarsler dag 0 og dag 15, og kan reverseres ved å legge til tilstrekkelige kreditter.
- Automatisk godkjenning av anmeldelser: Når det er aktivert av operatøren, kan anmeldelser automatisk publiseres uten manuell moderering. Dette er et konfigurasjonsvalg av operatøren.
Du har rett til å be om menneskelig gjennomgang av enhver automatisert beslutning som påvirker deg vesentlig. Kontakt oss eller nettstedsoperatøren for å be om en gjennomgang.
14. Varsling om databrudd
I tilfelle av et brudd på personopplysninger som sannsynligvis vil resultere i en risiko for enkeltpersoners rettigheter og friheter, vil Sitetra:
- Varsle berørte nettstedsoperatører innen 72 timer etter å ha blitt klar over bruddet (i samsvar med GDPR artikkel 33).
- Bistå operatører med å oppfylle sine varslingsplikter overfor sine sluttbrukere og relevante myndigheter.
- Rapportere til Office of the Privacy Commissioner of Canada der bruddet involverer kanadiske personopplysninger og oppfyller PIPEDAs rapporteringsterskel.
Innhold i brudsvarsling
Brudsvarsler vil inneholde: bruddets art, kategoriene berørte data, omtrentlig antall berørte poster, tiltak som er iverksatt eller foreslått, og kontaktinformasjon for ytterligere henvendelser.
Hendelsesrespons
Sitetra opprettholder hendelsesresponsprosedyrer inkludert omfattende autentiseringslogging, feillogging, IP-geolokalisasjonssporing og webhook-hendelsesregistrering for å bistå i bruddetterforskning og -respons.
15. Rettslig grunnlag for behandling
I henhold til GDPR artikkel 6 behandler vi personopplysninger på følgende rettslige grunnlag:
| Rettslig grunnlag | Behandlingsaktiviteter |
|---|---|
| Oppfyllelse av avtale | Kontoadministrasjon, nettstedshosting, kredittfakturering, betalingsbehandling, domeneregistrering og andre tjenester som er nødvendige for å levere Plattformen i henhold til våre tjenestevilkår. |
| Berettiget interesse | Sikkerhetslogging (autentiseringslogger, feillogger, hastighetsbegrensning), analyseaggregering, svindelforebygging, nettleserfingeravtrykk for sikkerhet og plattformforbedring basert på anonymiserte bruksdata. |
| Samtykke | Nyhetsbrevabonnementer, push-varsler, informasjonskapselsporring (i "full" samtykkemodus), valgfritt Google Analytics og OAuth sosial innlogging. |
| Rettslig forpliktelse | Identitetsverifisering når det kreves av gjeldende KYC/AML-lovgivning, oppbevaring av finansielle poster som krevet av kanadisk skattelov og utlevering av data som svar på gyldig rettslig prosess. |
| Operatørinstruksjoner | Behandling av sluttbrukerdata (CRM, e-handel, reservasjoner, anmeldelser, nyhetsbrev) som databehandler som handler etter nettstedsoperatørens dokumenterte instruksjoner. |
16. Push-varsler
16.1 Krav om samtykke
Push-varsler krever eksplisitt nettleser- eller enhetstillatelse. Du vil bli bedt om å gi tillatelse før push-varsler sendes. Vi vil aldri sende push-varsler uten ditt samtykke.
16.2 Typer varsler
Push-varsler kan inkludere: faktureringsvarsler (lav saldo, utilstrekkelige kreditter, bekreftelser på automatisk påfylling), ordre- og betalingsvarsler, reservasjonsbekreftelser og påminnelser, anmeldelsesvarsler og andre driftsvarsler konfigurert av nettstedsoperatøren.
16.3 Lagrede data
Når du abonnerer på push-varsler, lagrer vi et push-abonnementsendepunkt og tilhørende krypteringsnøkler. Disse dataene lagres per bruker og per enhet.
16.4 Tilbakekalling
Du kan tilbakekalle push-varslingstillatelsen når som helst gjennom nettleser- eller enhetsinnstillingene dine. Tilbakekalling av tillatelsen stopper alle push-varsler umiddelbart. Du kan også avslutte abonnementet på spesifikke varslingstyper gjennom kontoinnstillingene dine.
17. Aktivitetslogger og revisjonsspor
Plattformen vedlikeholder ulike logger for sikkerhet, feilsøking, overholdelse og tvisteløsning:
- Autentiseringslogger: Alle påloggingsforsøk (vellykkede og mislykkede) registreres med IP-adresse, brukeragent og omtrentlig geolokalisering.
- Feillogger: Applikasjonsfeil registreres med tjenestenavn, metode og relevant datakontekst (med sensitive data fjernet).
- E-postleveringssporing: E-postleveringsstatus (levert, returnert, klaget, åpnet, klikket) spores via webhooks fra e-postleverandører.
- SMS-leveringssporing: SMS-leveringsstatus og svar spores via webhooks fra VoIP.ms.
- Kredittransaksjonshistorikk: Alle kredittransaksjoner er uforanderlige poster inkludert transaksjonstype, beløp, saldo før og etter, samt tilknyttede metadata.
- Lagerlogger: Lagerbevegelser (inn, ut, låst, justering, synk, restordre) registreres med mengder før og etter.
- Aktivitetslogger: Brukerhandlinger innen administrasjonsgrensesnittet kan logges for revisjonsformål.
- Webhook-hendelseslogger: Innkommende webhook-hendelser fra betalingsbehandlere, e-postleverandører og andre tjenester logges for feilsøking og avstemming.
Nettstedsoperatører kan se relevante logger for sitt nettsted via administrasjonsgrensesnittet.
18. Liste over underdatabehandlere
Følgende tabell viser våre nåværende underdatabehandlere. Vi vil varsle nettstedsoperatører om vesentlige endringer i denne listen.
| Underdatabehandler | Formål | Behandlede data | Plassering |
|---|---|---|---|
| Anthropic | AI-tekstgenerering (Claude) | Prompter, innholdskontekst | USA |
| OpenAI | AI-tekstgenerering, tale-til-tekst, visuell analyse | Prompter, lyd, bilder | USA |
| AI-tekstgenerering (Gemini), analyse | Prompter, nettstedsanalyse | USA | |
| Stripe | Betalingsbehandling | Betalingsdetaljer, faktureringsinfo | USA |
| Square | Betalingsbehandling, POS | Betalingsdetaljer, faktureringsinfo | USA |
| PayPal | Betalingsbehandling | Betalingsdetaljer, faktureringsinfo | USA |
| Wise | Pengeoverføringer | Betalingsdetaljer, faktureringsinfo | Storbritannia |
| Postmark | E-postlevering | E-postadresser, e-postinnhold | USA |
| Mailgun | E-postlevering | E-postadresser, e-postinnhold | USA |
| VoIP.ms | SMS-meldinger | Telefonnumre, meldingsinnhold | Canada |
| Shutterstock | Lisensering av arkivbilder | Søk | USA |
| IDenfy | Identitetsverifisering (KYC/AML) | ID-dokumenter, ansiktsbilder, personopplysninger | Litauen / EU |
| EasyDNS | Domeneregistrering | WHOIS-data, domenekonfigurasjon | Canada |
| Cloudflare | CDN, DNS, lagring, domeneregistrering | Nettrafikk, filer, domenekonfigurasjon | Globalt |
| Microsoft | OAuth-autentisering | Autentiseringstokens, profilinfo | USA |
| Facebook (Meta) | OAuth-autentisering | Autentiseringstokens, profilinfo | USA |
| GitHub | OAuth-autentisering | Autentiseringstokens, profilinfo | USA |
Merk: Ollama (AI) og Speaches (tale-til-tekst) kjører på vår egen infrastruktur og er ikke eksterne underdatabehandlere.
19. Endringer i denne personvernerklæringen
Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vi vil varsle deg om vesentlige endringer ved å publisere den oppdaterte erklæringen i Tjenesten og oppdatere datoen «Sist oppdatert». Der det kreves ved lov, vil vi gi minst 30 dagers varsel før endringene trer i kraft.
Din fortsatte bruk av Tjenesten etter at endringene trer i kraft, utgjør din aksept av den reviderte personvernerklæringen.
Din bruk av Sitetra er også underlagt våre tjenestevilkår, som er inkorporert ved referanse i denne personvernerklæringen.
20. Kontakt oss
Hvis du har spørsmål, bekymringer eller forespørsler angående denne personvernerklæringen eller våre datapraksis, vennligst kontakt oss:
RAPID DEV GROUP INC.
Opererer som Sitetra
Ontario, Canada
Personvernhenvendelser: privacy@sitetra.com
Generelle henvendelser: support@sitetra.com
Juridisk og rettshåndhevelse: legal@sitetra.com
For personvernklager eller henvendelser knyttet til bestemte jurisdiksjoner:
- Canada: Office of the Privacy Commissioner of Canada (www.priv.gc.ca)
- EU: Kontakt din lokale datatilsynsmyndighet
- California: California Attorney General's Office