Personvernerklæring

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene dine er:

• Sindre Øverås, som driver Mycelet som privatperson.
• Kontakt for personvern: privacy@mycelet.com

2. Hvilke opplysninger vi samler inn

Når du bruker Mycelet behandler vi:

Konto-opplysninger

E-post, brukernavn, valgfritt visningsnavn, profilbilde, biografi, hjemstedsregion.

Bruksdata

Soppfunn du registrerer (koordinater, art, dato, bilder, notater), forum-innlegg, kommentarer, likes, lagrede innlegg.

Posisjonsdata

GPS-koordinater fra mobilen din når du registrerer funn, og valgfri hjemstedsregion. Vi viser kun grov-randomiserte eller gridd-snappede koordinater til andre brukere — aldri eksakt funn-sted.

Teknisk data

IP-adresse, nettleser, innloggings-tidspunkt (samlet av Supabase Auth for sikkerhet og misbruks-deteksjon).

Betalingsdata

Hvis du kjøper et abonnement: Stripe håndterer kort-data direkte. Vi mottar kun abonnements-status, prisplan og periodes-datoer — aldri kortnummer.

Bilder du laster opp

Når du bruker AI-identifikasjon, sendes bildet til vår tredjepartsleverandør for soppgjenkjenning. Bilder lagres også på din profil for funn-historikken din.

3. Lovlig grunnlag for behandling (GDPR Art. 6)

• Avtale (Art. 6(1)(b)) — for å gi deg tjenesten du har registrert deg for: konto, funn-oppbevaring, prediksjon, forum.
• Berettiget interesse (Art. 6(1)(f)) — for sikkerhet, misbruks-deteksjon, og forbedring av prediksjons-modellen.
• Juridisk forpliktelse (Art. 6(1)(c)) — for regnskapsplikt på betalingsdata i 5 år, jf. bokføringsloven § 13.
• Samtykke (Art. 6(1)(a)) — kun for valgfri kommunikasjon (f.eks. nyhetsbrev hvis du takker ja). Du kan trekke tilbake samtykke når som helst.

4. Hvem vi deler data med (databehandlere)

Vi bruker følgende leverandører (databehandlere) for å drive tjenesten. De behandler kun dataene som er nødvendige for sin funksjon, på våre vegne:

• Supabase (database, innlogging, fillagring) — dataene lagres i EU. Databehandleravtale: supabase.com/legal/dpa.
• Vercel (hosting/drift) — Databehandleravtale: vercel.com/legal/dpa. Trafikk kan rutes via servere utenfor EØS under EUs standardavtaler (SCC).
• Stripe (betaling på web) — Databehandleravtale: stripe.com/legal/dpa. Stripe kan overføre data til USA under SCC.
• Kindwise (AI-soppidentifikasjon) — når du bruker foto-ID, sendes bildet og koordinatene til Kindwise for analyse. Personvern: kindwise.com/privacy-policy.
• MET Norge (Frost) og SMHI (Sverige) (værdata) — kun koordinater sendes, ingen brukerinformasjon.
• NIBIO (Norge) og CORINE / EEA (Europa) (skog- og arealdata for prediksjon) — kun koordinater sendes, ingen brukerinformasjon.
• Wikimedia Commons — vi bruker bare offentlige bilde-URL-er; ingen brukerdata sendes.

5. Hvor lenge vi lagrer data

• Aktiv konto: så lenge du har konto, kan du selv slette enkeltfunn, forum-innlegg og kommentarer.
• Inaktive kontoer: hvis du ikke logger inn på 3 år, sender vi en e-post-advarsel og sletter kontoen automatisk 90 dager senere hvis du ikke svarer.
• Etter sletting av konto: dine personlige funn og private data fjernes umiddelbart fra primær-database. Backup-rotasjon kan beholde data i opptil 30 dager før permanent fjerning.
• Forum-innlegg ved konto-sletting:innholdet beholdes så tråder forblir lesbare, men forfatter erstattes med "[slettet bruker]". Begrunnelse: GDPR Art. 17(3)(a) tillater avveining mot informasjons-/ytringsfrihet.
• Negative observasjoner ved konto-sletting: beholdes i anonymisert form (uten kobling til deg) som treningsdata for prediksjons-modellen — kun observasjoner med omtrentlig delingsnivå (±500 m); private observasjoner slettes alltid.
• Betalingsdata (faktura, abonnement): beholdes i 5 år, jf. bokføringsloven § 13.
• Revisjonslogg (admin_audit_log): beholdes i 7 år for å oppfylle krav om revisjons-spor.
• Server-logger: 30 dager hos Vercel.

6. Overføring utenfor EØS

Noen av leverandørene våre er basert utenfor EØS (særlig USA). Disse overføringene skjer under EUs Standard Contractual Clauses (SCC) eller annet gyldig overførings-grunnlag. Vi vurderer leverandørene før vi tar dem i bruk og sikrer at de gir tilstrekkelig beskyttelse av personopplysninger.

8. Informasjonskapsler (cookies)

Mycelet bruker kun strengt nødvendige cookies:

• Innloggings-sesjon (Supabase): husker at du er logget inn slik at du ikke trenger å logge inn på hver side.
• Stripe (kun ved betaling): sikrer betalings-flyten og forhindrer svindel.

Vi bruker ingen analyse-cookies, sporings-cookies eller markedsførings-cookies. Ingen tredjeparts-annonsering.

9. Sikkerhet

• All trafikk er kryptert med HTTPS.
• Passord lagres aldri i klartekst — Supabase Auth bruker industri-standard hashing.
• Database har Row-Level Security som sikrer at du bare ser dine egne data.
• Sikkerhets-headers (HSTS, X-Frame-Options, Referrer-Policy m.fl.) beskytter mot vanlige angrep.
• Admin-tilgang er begrenset og kreves moderator-rolle for sensitive operasjoner.

10. Brudd på personopplysnings-sikkerhet

Hvis vi oppdager et alvorlig brudd som kan true rettighetene dine, varsler vi Datatilsynet innen 72 timer (GDPR Art. 33) og varsler deg direkte hvis bruddet har høy risiko for deg (Art. 34).

11. Endringer i personvernerklæringen

Vi oppdaterer denne erklæringen når praksisen vår endres. Vesentlige endringer varsles på e-post eller via en tydelig melding i appen før de trer i kraft.