Personvern

Sist oppdatert: [settes ved publisering]

GRANTPILOT AS ("Grantpilot", "vi") er behandlingsansvarlig for personopplysninger som behandles i forbindelse med tjenesten på grantpilot.no. Denne erklæringen forklarer hvilke opplysninger vi samler inn, hvorfor, hvor lenge vi lagrer dem, og hvilke rettigheter dere har.

1. Behandlingsansvarlig

2. Hvilke opplysninger vi behandler

Kontoopplysninger: navn, e-post, bedriftsnavn, organisasjonsnummer, rolle.

Bedriftsopplysninger: informasjon dere selv legger inn om bedriften, prosjektet, økonomi, FoU-aktivitet, og annet materiale som kreves for å generere søknaden.

Bruksdata: tekniske logger om hvordan tjenesten brukes (IP-adresse, nettleser, sidevisninger). Brukes for drift, sikkerhet og feilsøking.

E-postkommunikasjon: har dere meldt dere på nyhetsbrevet vårt eller mottar driftsmeldinger, behandler vi e-postadressen for å levere e-posten.

3. Behandlingsgrunnlag

• Avtale (GDPR art. 6(1)(b)): kontoopplysninger og bedriftsopplysninger er nødvendige for å levere tjenesten dere har bestilt.
• Berettiget interesse (art. 6(1)(f)): logging for sikkerhet, feilsøking og produktforbedring. Vi har vurdert at deres interesser ikke veier tyngre.
• Samtykke (art. 6(1)(a)): nyhetsbrev og markedsføring sendes kun etter aktivt samtykke (double opt-in), og kan trekkes tilbake når som helst med ett klikk.

4. Hvor lenge vi lagrer

• Kontoopplysninger: så lenge kontoen er aktiv, og inntil 12 måneder etter at den er slettet.
• Søknadsmateriale dere har generert: 36 måneder etter sist aktivitet, med mindre dere ber om tidligere sletting. Bakgrunnen er at flere norske ordninger krever oppbevaring av dokumentasjon i denne perioden.
• Bokførings- og fakturadata: 5 år, jf. bokføringsloven.
• E-postsamtykke: til samtykket trekkes tilbake.

5. Databehandlere

Vi bruker følgende underleverandører:

• Vercel Inc.: hosting, CDN og serverless runtime for grantpilot.no og applikasjonen. Runtime låst til EU (Frankfurt). Vercel Inc. er US-basert; databehandleravtale er inngått, og EU-kommisjonens standardkontrakter (SCC) brukes som overføringsgrunnlag.
• Supabase Inc.: database (Postgres), autentisering og lagring av kundedata. Prosjektregion EU (Frankfurt). Supabase Inc. er US-basert; databehandleravtale er inngått, og SCC brukes som overføringsgrunnlag.
• Anthropic PBC: leverer AI-modellen (Claude) som genererer og kvalitetssikrer søknadstekst. Behandling skjer i USA; databehandleravtale er inngått med SCC som overføringsgrunnlag. Anthropic bruker ikke API-inndata eller API-utdata til modelltrening uten vår uttrykkelige tillatelse. Slike data slettes normalt fra Anthropics backend innen 30 dager, med unntak for lovpålagte krav og misbruksforebygging.
• Brevo (Sendinblue SAS): utsendelse av e-post og nyhetsbrev. Data lagres innenfor EU/EØS (Frankrike).

Alle databehandlere er bundet av databehandleravtaler som oppfyller GDPR. Lagring skjer innenfor EU/EØS der det er praktisk mulig. Hvis det skjer overføring utenfor EU/EØS, baseres det på EU-kommisjonens standardkontrakter (SCC).

6. Deres rettigheter

Dere har rett til:

• Innsyn i opplysninger vi har om dere
• Retting av feilaktige opplysninger
• Sletting (med unntak for opplysninger vi er pålagt å oppbevare)
• Begrensning av behandlingen
• Dataportabilitet
• Å trekke tilbake samtykke når som helst
• Å klage til Datatilsynet (datatilsynet.no)

Skriv til hei@grantpilot.no for å utøve rettighetene. Vi svarer innen 30 dager.

7. Informasjonskapsler

Vi bruker kun nødvendige informasjonskapsler for innlogging og tjenestens drift. Vi bruker ikke tredjeparts sporing for markedsføring uten samtykke.

8. Endringer

Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles på e-post til registrerte brukere før de trer i kraft.