Hvem er dataansvarlig.

Contenza K/S (CVR 43349023), Danmark, er dataansvarlig for de personoplysninger, der behandles via denne tjeneste. Kontakt teamet via formularen på /contact for alt, der vedrører privatliv.

Hvad vi indsamler.

  • Kontodata — e-mailadresse, tier, godkendelses-tidsstempler.
  • Passport-indhold — produkt- og producentoplysninger, du indtaster for at publicere et Digitalt Produktpas. Det er primært erhvervsdata, men inkluderer en kontakt-e-mail i henhold til Bilag III.
  • Brugsdata — scan-hændelser på offentlige passport-URL'er (lokationsdata på landeniveau udledt af IP, user-agent-kategori). Vi gemmer ikke rå IP-adresser ud over request-log-vinduet.
  • Faktureringsdata — kunde-ID og abonnementsstatus fra Stripe. Kortdata rører aldrig vores servere.

Lovlige grundlag.

  • Kontrakt (Art. 6, stk. 1, litra b) til oprettelse af konto, godkendelse og levering af tjenesten.
  • Retlig forpligtelse (Art. 6, stk. 1, litra c) til fakturering og skatteoptegnelser.
  • Legitime interesser (Art. 6, stk. 1, litra f) til sikkerhedsovervågning og aggregeret scan-analyse — afvejet mod de minimale personoplysninger, der indgår.

Scan-analyse på offentlige pas.

Når en besøgende scanner QR-koden på et udgivet digitalt produktpas og indlæser /p/{code}, registrerer vi en grov scanbegivenhed. De data, der indsamles pr. begivenhed, er bevidst minimale: en ISO-3166 alpha-2-landekode udledt fra anmodnings-headeren, som vores edge-proxy tilføjer, en enhedsklasse-kategori (mobil, tablet, desktop, bot) parset fra User-Agent-strengen, og respons-Accept-typen (HTML eller JSON-LD). Vi gemmer ikke rå IP-adresser, fulde User-Agent-strenge, browser-fingeraftryk eller cookies knyttet til scanbegivenheder.

Det juridiske grundlag for denne behandling er legitime interesser i henhold til artikel 6, stk. 1, litra f, i GDPR. Vores interesse er at drive og forbedre tjenesten, demonstrere EU-reguleringsmæssig sporbarhed for vores kunder og opdage misbrug. Da de indsamlede data er grove og aldrig knyttet til en identificerbar person, har vi vurderet, at de besøgendes rettigheder og friheder ikke vejer tungere. Vi bruger ikke disse data til reklame, profilering eller salg.

I henhold til artikel 21 i GDPR har du ret til at gøre indsigelse mod behandling af scanbegivenheder til enhver tid. Kontakt os via /contact med angivelse af landet og det omtrentlige tidsrum for de scanninger, du ønsker fjernet; vi sletter de matchende rækker inden for 30 dage. Da der ikke er gemt personoplysninger sammen med landekoden, sker identifikation ved selvattestation snarere end autentificeret opslag.

Marketing sidevisnings-analytics.

Et lille sæt offentlige compliance-sider — pt. /compliance/faq, /compliance/matrix, /continuity og /security — registrerer en tilsvarende grov sidevisning pr. forespørgsel. Det, der opsamles pr. visning, er forespørgselsstien, det opløste sprog (så EN / DE / DA / FR / IT / ES / PL-trafik på samme sti kan skelnes i aggregeret form), den samme ISO-3166 to-bogstavs landekode fra den anmodningsheader, vores edge-proxy vedhæfter, og den samme enhedsklasse (mobile, tablet, desktop, bot). Ingen rå IP, ingen fuld User-Agent-streng, ingen cookies, ingen fingeraftryk.

Det retlige grundlag er det samme som for scan-event-analytics — GDPR artikel 6(1)(f), legitime interesser. Dataene informerer redaktionel vedligehold af compliance-fladen (fx læses matrixen på DE, når indkøbsteams sikkerhedssiden) uden at identificere den besøgende. Den samme indsigelsesret efter artikel 21 gælder; kontakt os via formularen ovenfor, og vi fjerner de matchende rækker inden for 30 dage.

Opbevaring.

Vi opbevarer kun data, så længe det er nødvendigt:

  • Kontodata — så længe din konto er aktiv, plus 30 dage efter sletning for at fange utilsigtede sletteanmodninger.
  • Fakturaer — 5 år efter udstedelse iht. dansk bogføringslov.
  • Scan-hændelser — rullende 24 måneder, hvorefter de aggregeres til månedlige tællinger og de rå rækker kasseres.
  • Magic Link-tokens — slettes ved brug eller 15 minutter efter udstedelse, hvad der end kommer først.
  • Publicerede passports — opbevares i produktets regulatoriske levetid (Artikel 10, stk. 4, i Forordningen om Ecodesign for Bæredygtige Produkter forbyder sletning, mens passport'en er i drift).

Dine rettigheder.

Efter GDPR har du ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse mod behandlingen af dine personoplysninger. Du kan udøve enhver rettighed ved at kontakte os — der kræves hverken konto eller login, hvis du kan identificere de data, du spørger til.

Hvis du mener, at vi har håndteret dine data forkert, har du ret til at klage til Datatilsynet.

Datalagring.

Alle personoplysninger lagres på EU-baseret infrastruktur. Hvor en underdatabehandler opererer uden for EU, baserer overførsler sig på Europa-Kommissionens standardkontraktbestemmelser. Det fulde register findes på /sub-processors.

Børn.

Tjenesten sælges til virksomheder og er ikke målrettet personer under 18. Vi indsamler ikke bevidst data fra børn.

Ændringer.

Væsentlige ændringer varsles pr. e-mail til kontoindehavere mindst 30 dage før ikrafttrædelsen. Mindre præciseringer offentliggøres her med en opdateret dato øverst på siden.

Spørgsmål til denne politik? Brug kontaktformularen — eller skriv til teamet via oplysningerne på kontaktsiden.