Privatlivspolitik

§ 1. Hvem er den dataansvarlige?

Den dataansvarlige for behandling af dine personoplysninger er:

Xoens ApS har ikke udpeget en databeskyttelsesrådgiver (DPO), da dette ikke er lovpligtigt for vores behandlingsaktiviteter på nuværende tidspunkt. Henvendelser om databeskyttelse besvares af vores interne kontaktpunkt på legal@bytogflyt.dk inden for 30 dage.

§ 2. Hvilke personoplysninger behandler vi?

2.1 Oplysninger du giver os direkte

• Konto: Navn, e-mailadresse og krypteret adgangskode.
• Profil: Telefonnummer (valgfrit) og profilbillede (valgfrit).
• Annonce: Boligadresse, type, størrelse, beskrivelse, faciliteter, ønskede byttedestinationer og -perioder.
• Billeder: Fotos af din bolig, som du selv uploader.
• Beskeder: Indholdet af beskeder du sender til andre brugere via platformens interne beskedfunktion.
• Betaling: Betalingskortoplysninger behandles direkte af vores betalingspartner Stripe — vi gemmer ingen kortdata selv. Vi modtager kun bekræftelse af betaling samt et anonymiseret betalings-ID.
• MitID-verifikation (valgfrit): Hvis du vælger at verificere din identitet, bekræfter MitID-tjenesten (drevet af Nets A/S) din identitet og alder over for os. Vi modtager og gemmer kun verifikationsstatus (verificeret / ikke verificeret) — aldrig dit CPR-nummer eller biometriske data.

2.2 Oplysninger vi indsamler automatisk

• Tekniske data: IP-adresse, browsertype, operativsystem og enhedstype ved besøg på platformen.
• Adfærdsdata: Sider du besøger, søgninger du foretager og annoncer du ser (kun ved samtykke til analytics-cookies).
• Session: Autentificerings-token fra Supabase, der holder dig logget ind. Dette er en nødvendig cookie, der ikke kræver samtykke.
• Præferencer: Cookie til at huske dit cookie-samtykkevalg.

2.3 Adresseopslag

Når du søger eller indtaster en adresse, sendes din søgetekst til GSearch / Dataforsyningen — en offentlig dansk adresse-API drevet af Klimadatastyrelsen. Vi anvender API'et udelukkende til at validere og standardisere adresser. Vi gemmer ikke dine adresseforespørgsler, og der overføres ingen personoplysninger til denne tjeneste ud over den adressetekst du selv har skrevet.

2.4 Oplysningsforpligtelse — hvad sker der, hvis du ikke oplyser?

Felterne e-mailadresse og adgangskode er obligatoriske for at oprette en konto. Oplysninger om din bolig (adresse, type, størrelse) er nødvendige for at publicere en annonce. Telefonnummer, profilbillede og MitID-verifikation er valgfrie — du kan bruge platformen uden dem, men visse funktioner (f.eks. verificeret-mærke på din profil) vil ikke være tilgængelige.

§ 3. Hvorfor og på hvilket grundlag behandler vi dine oplysninger?

Vi behandler dine oplysninger på følgende retsgrundlag i henhold til GDPR artikel 6:

§ 4. Automatiseret matchmaking-algoritme

Platformen anvender automatisk behandling af dine annonce-oplysninger til at generere matchforslag ("anbefalede bytte-muligheder"). Vi oplyser herom i overensstemmelse med GDPR artikel 13, stk. 2, litra f.

4.1 Hvad algoritmen gør

Algoritmen sammenligner din annonces karakteristika — herunder beliggenhed, boligtype, størrelse og ønsket bytte-destination og -periode — med alle aktive annoncer på platformen og beregner en kompatibilitets-score. Annoncer med høj score vises øverst i dine matchforslag.

4.2 Hvilke data indgår

• Din boligs geografiske beliggenhed (postnummer / koordinater)
• Boligtype og størrelse (m², antal værelser)
• Dine ønskede bytteperioder og -destinationer
• Din annonces kvalitetsscore (billedantal, beskrivelseslængde, faciliteter)
• Aktivitetsniveau (om du er aktiv bruger og har svaret på henvendelser)

4.3 Konsekvenser for dig

Matchforslag er udelukkende vejledende og har ingen retsvirkning. De påvirker ikke din retsstilling, og du kan til enhver tid manuelt søge og filtrere alle aktive annoncer uafhængigt af algoritmen. Algoritmen forringer ikke din annonces synlighed over for andre brugere — alle aktive annoncer kan søges frit.

Premium-brugere kan opleve øget synlighed i matchlister. Dette er en kommercielt betalt funktion og er klart mærket som sådan.

4.4 Din ret til indsigelse

Du har ret til at gøre indsigelse mod den automatiserede behandling af dine oplysninger til matchmaking-formål ved at kontakte os på legal@bytogflyt.dk. Du kan fortsat bruge platformen via manuel søgning.

§ 5. Hvem deler vi dine oplysninger med?

Vi anvender følgende databehandlere. Med alle har vi indgået en databehandleraftale (DPA), der sikrer behandling i overensstemmelse med GDPR.

5.1 Supabase, Inc. — database, autentificering og fillagring

Supabase håndterer vores database (PostgreSQL), brugerautentificering, billedlagring og realtidskommunikation. Projektet er placeret i EU-region (eu-west-1, Irland). Supabase er SOC 2 Type II certificeret og krypterer data i hvile og under transport (TLS 1.2+). DPA foreligger.

5.2 Vercel, Inc. — hosting af webapplikation

Vercel hoster vores frontend og API-routes. Primær behandling sker i USA, men Vercel er certificeret under EU-US Data Privacy Framework (DPF) og SOC 2 Type II. Overførsler til USA sker på grundlag af EU's standardkontraktbestemmelser (SCCs). DPA foreligger.

5.3 Stripe Technology Company, Limited — betalingsbehandling

Stripe behandler betalingskorttransaktioner. Stripe Technology Company, Limited er et irsk selskab (Grand Canal Street Upper, Dublin 4, Irland) og fungerer som Stripes dataansvarlige enhed i EU. Stripe er PCI DSS Level 1 certificeret. Vi modtager aldrig komplette kortoplysninger. DPA foreligger.

5.4 Brevo SAS — e-mail notifikationer

Brevo (tidl. Sendinblue) afsender transaktionelle e-mails på vores vegne. Brevo er et fransk selskab med e-mailservere placeret i Tyskland. GDPR-compliant med DPA.

5.5 PostHog, Inc. — brugsanalyse

PostHog anvendes til at analysere, hvordan platformen bruges — kun hvis du har givet samtykkevia vores cookie-banner. Vi anvender PostHog Cloud EU, der er placeret på AWS eu-central-1 (Frankfurt, Germany), hvilket indebærer, at dine data behandles inden for EU. DPA foreligger.

5.6 Nets A/S / MitID — identitetsverifikation (valgfrit)

Nets A/S er operatør af MitID-tjenesten og er en selvstændig dataansvarlig for den behandling, der sker i forbindelse med verifikationsprocessen. Byt og Flyt modtager udelukkende en anonymiseret bekræftelse af verifikationsstatus. Se MitIDs privatlivspolitik for oplysninger om Nets A/S' egen databehandling.

5.7 Klimadatastyrelsen / Dataforsyningen — adresseopslag

Offentlig dansk API til adressevalidering. Ingen personoplysninger overføres ud over den adressetekst brugeren selv har skrevet.

Vi sælger, lejer eller videregiver aldrig dine personoplysninger til tredjeparter med henblik på markedsføring.

§ 6. Overførsler til lande uden for EU/EØS

Visse databehandlere (primært Vercel) behandler data i USA. Sådanne overførsler er lovlige på grundlag af et eller begge af følgende:

• EU-US Data Privacy Framework (DPF) — Vercel og Supabase er certificeret under denne EU-Kommissionens adequacy-afgørelse.
• EU's standardkontraktbestemmelser (SCCs) — indgået med alle relevante databehandlere.

Du kan til enhver tid anmode om kopi af de relevante SCCs ved at kontakte os på legal@bytogflyt.dk.

§ 7. Hvor længe gemmer vi dine oplysninger?

Når du sletter din konto, slettes dine personoplysninger straks med undtagelse af betalingsdata, som vi er retligt forpligtet til at opbevare i 5 år i henhold til bogføringsloven § 10. Sletning kan ikke fortryde denne forpligtelse.

§ 8. Cookies og sporingsteknologier

Vi anvender cookies til at drive platformen og — med dit samtykke — til at analysere brugen heraf. Se vores cookiepolitik for en fuldstændig liste over alle cookies, deres navn, formål, varighed og type.

Du kan til enhver tid ændre dit cookie-samtykke via cookie-banneret i bunden af siden. "Acceptér"-knappen og "Afvis"-knappen er sidestillet — ingen forhåndsmarkering foretages.

§ 9. Dine rettigheder

Du har følgende rettigheder i henhold til GDPR (databeskyttelsesforordningen) og databeskyttelsesloven (lov nr. 502 af 23. maj 2018):

• Indsigt (art. 15): Du har ret til at få bekræftet, om vi behandler oplysninger om dig, og til at modtage en kopi. Anmod ved at skrive til legal@bytogflyt.dk.
• Berigtigelse (art. 16): Du kan rette forkerte oplysninger direkte i dine kontoindstillinger eller ved at kontakte os.
• Sletning — "retten til at blive glemt" (art. 17): Du kan slette din konto i indstillingerne. Bemærk at bogføringsdata ikke kan slettes inden for 5 år (se § 7).
• Begrænsning (art. 18): Under visse betingelser kan du anmode om, at vi begrænser behandlingen af dine oplysninger.
• Dataportabilitet (art. 20): Du har ret til at modtage de oplysninger, du har afgivet til os, i et struktureret, maskinlæsbart format (JSON/CSV). Anmod via legal@bytogflyt.dk.
• Indsigelse (art. 21): Du kan gøre indsigelse mod behandling baseret på legitim interesse (§ 3 litra f). Vi ophører med behandlingen, medmindre vi kan påvise vægtige legitime grunde.
• Tilbagetrækning af samtykke: Samtykke til analytics-cookies kan trækkes tilbage via cookie-banneret. Samtykke til MitID-verifikation trækkes tilbage ved at kontakte os.

Vi besvarer alle anmodninger inden for 30 dage. I komplekse sager kan fristen forlænges med yderligere to måneder — du vil i så fald blive underrettet herom.

Har du en klage over vores behandling af dine personoplysninger, kan du indgive klage til:

§ 10. Sikkerhed og databrud

Vi har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:

• Krypteret kommunikation via HTTPS/TLS 1.2+
• Kryptering af data i hvile (AES-256)
• Rollebaseret adgangskontrol (Row Level Security i Supabase)
• SOC 2 Type II certificerede infrastrukturudbydere
• Intern procedure for håndtering af sikkerhedshændelser

10.1 Anmeldelse til Datatilsynet (art. 33)

Opstår der et brud på persondatasikkerheden, anmelder vi det til Datatilsynet senest 72 timer efter, at vi er blevet bekendt med det, medmindre bruddet ikke udgør en risiko for de registreredes rettigheder og frihedsrettigheder. Er det ikke muligt at anmelde inden for 72 timer, ledsages anmeldelsen af en begrundelse for forsinkelsen.

10.2 Underretning af dig (art. 34)

Vurderer vi, at et brud medfører høj risiko for dine rettigheder og frihedsrettigheder, underretter vi dig direkte uden unødig forsinkelse via e-mail til din registrerede adresse. Underretningen indeholder: bruddets art, sandsynlige konsekvenser og de foranstaltninger vi har truffet.

§ 11. Børn under 18 år

Byt og Flyt er ikke beregnet til personer under 18 år, da indgåelse af aftaler om boligbytte kræver fuld retslig handleevne i henhold til aftaleloven. Aftaler indgået af mindreårige er voidable i henhold til aftaleloven §§ 1–2.

Vi indsamler ikke bevidst personoplysninger om mindreårige. Opdager vi, at en bruger er under 18 år, sletter vi kontoen og tilknyttede oplysninger straks. Er du forælder og mener, at dit barn har oprettet en konto, bedes du kontakte os på legal@bytogflyt.dk.

§ 12. Ændringer til denne politik

Vi kan opdatere denne privatlivspolitik, når det er nødvendigt som følge af ændringer i vores behandlingsaktiviteter, ny lovgivning eller vejledning fra Datatilsynet.

Væsentlige ændringer varsles via e-mail til registrerede brugere med mindst 30 dages varsel inden ikrafttrædelse samt ved en fremtrædende besked på platformen. Fortsætter du med at bruge tjenesten efter ikrafttrædelsesdatoen, anses du for at have taget den opdaterede politik til efterretning.

Versionsnummer og ikrafttrædelsesdato fremgår øverst på denne side. Vi opretholder et arkiv over tidligere versioner — kontakt os, hvis du ønsker adgang hertil.

§ 13. Kontakt og klager

Har du spørgsmål til denne politik eller til behandlingen af dine personoplysninger:

Vi besvarer henvendelser inden for 30 dage. Du kan altid klage til Datatilsynet — se § 9 for kontaktoplysninger.