Applikasjonspersonvernpolicy
Status: Mars 2026
Viktig Melding – Oversettelse
Denne teksten er en maskinoversettelse gitt for din bekvemmelighet. Det er ikke juridisk bindende.
De juridisk bindende versjonene av denne personvernpolicyen er tilgjengelige på:
Tysk – for brukere hvis appspråk er satt til tysk: alma-app.eu/datenschutz
Engelsk – for alle andre brukere: alma-app.eu/privacy
Hvis noe i denne oversettelsen avviker fra den tyske eller engelske versjonen, gjelder den gjeldende bindende versjonen. Hvis du er usikker på hvilken versjon som gjelder deg, gjelder den engelske versjonen.
Nøkkelfakta på et Blikk
Hvem jeg er: Bastian Matzen / Alma Softwareentwicklung (Enkeltmannsforetak), Kienitzer Str. 113, 12049 Berlin, Tyskland. Kontakt: privacy@alma-app.eu | www.alma-app.eu
Dine data hos meg:
✅ Sikker: Kryptert lagring utelukkende i EU (Frankfurt am Main).
✅ Privat: Ingen dataoverføring til tredjeparter (bortsett fra dine nødkontakter i tilfelle av nødsituasjon).
✅ Frivillig: Helsedata og mange andre detaljer er helt valgfritt.
✅ Kontrollert: Du kan vise, endre eller slette alt når som helst.
✅ Transparent: Ingen skjult datautilisering, ingen salg av dine data.
Dine rettigheter: Tilgang, rettelse, sletting, databarhethet, innvending, tilbaketrekking av samtykke – alt mulig når som helst.
Klager kan rettes til: Berlins datavernbehandler og frihetsinformasjonskontor (datenschutz-berlin.de). Brukere i EØS kan også kontakte tilsynsmyndigheten i sitt hjemland. Brukere i Storbritannia kan kontakte Information Commissioner’s Office (ico.org.uk). Brukere i Sveits kan kontakte Federal Data Protection and Information Commissioner (FDPIC).
1. Datakontroller og Kontakt
Jeg er datakontrolleren ansvarlig for databehandling i forbindelse med Alma-appen, i henhold til General Data Protection Regulation (GDPR), UK General Data Protection Regulation (UK GDPR), Sveits Federal Data Protection Act (FADP/DSG) og annen gjeldende datavern lovgivning:
Bastian Matzen Alma Softwareentwicklung (Enkeltmannsforetak) Kienitzer Str. 113 12049 Berlin Tyskland
Kontaktmuligheter For personvernspørsmål (foretrukket): privacy@alma-app.eu
For teknisk support: support@alma-app.eu
Nettsted: www.alma-app.eu
1a. Representant i Storbritannia
I samsvar med artikkel 27 i UK GDPR har vi utnevnt følgende representant i Storbritannia for datavernspørsmål:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Oversikt Over Appen og Dens Funksjoner
Alma er en app for personlig sikkerhet og kommunikasjon med to hovedfunksjoner:
2.1 Alma Safety Net (Kun med Connect+ Abonnement)
Automatiske sikkerhetskontroller i definerte tidsvindu.
Automatisk varsling av dine nødkontakter hvis en kontroll blir utsatt.
Valgfri overføring av lokaliserings- og helseinformasjon i nødsituasjoner.
2.2 Alma Moments (Gratis)
Sosialt nettverk for å dele øyeblikk med opptil 30 kontakter.
Automatisk innlegg i det sosiale strømmen hvis en kontroll blir utsatt (hvis aktivert).
Gjensidig bekreftet av vennskap er påkrevd.
2.3 Minimumalder
Bruk av Alma-appen er tillatt for personer 16 år og eldre. Personer under 16 år kan ikke bruke appen. Ved registrering bekrefter du at du er minst 16 år.
3. Hvilke Data Behandles?
3.1 Obligatorisk Data Ved Registrering
For å bruke appen trenger jeg følgende data (Juridisk grunnlag: Art. 6(1)(b) GDPR – Kontraktoppfyllelse):
E-postadresse – for kontoopprettelse, kommunikasjon og passordtilbakestilling.
Passord – lagret i kryptert form og brukt til kontosikkerhet.
Fornavn – for personalisering og visning til dine kontakter.
Etternavn – for full identifikasjon.
3.2 Valgfri Profildata
Du kan frivillig oppgi følgende data (Juridisk grunnlag: Art. 6(1)(a) GDPR – Samtykke):
Profilbilde – for personalisering og sosiale funksjoner.
Fødselsdato – for aldersverifisering.
Telefonnummer – som alternativ kontaktmetode.
Adresse – for informasjon om nødsituasjoner.
Biografi – for sosiale funksjoner.
By – for sosiale funksjoner og søk.
3.3 Helsedata (Kun Connect+, Helt Valgfritt)
Disse spesielle datakategoriene i henhold til art. 9 GDPR behandles kun med ditt eksplisitte samtykke.
Innsamlet data: Blodtype, allergier, medisiner, medisinske tilstander, kjæledyr, husnøkkels informasjon, annen informasjon om nødsituasjoner.
Juridisk grunnlag: Art. 9(2)(a) GDPR (Eksplisitt samtykke).
Sikkerhet: Disse dataene lagres ved hjelp av AES-256-kryptering og overføres bare til dine bekreftet nødkontakter i tilfelle nødsituasjon.
3.4 Lokaleiseringsdata (Valgfritt)
Lokasjonssporing er helt valgfritt og kan fungere i tre moder (Juridisk grunnlag: Art. 6(1)(a) GDPR – Samtykke):
Lagre ved Kontroll – Lokaliseringen registreres manuelt bare ved kontroll.
Send Alltid – Lokaliseringen oppdateres i bakgrunnen. Teknisk lagres bare siste kjente lokalisering; forrige overskrives.
Deaktivert – Ingen lokalisering registreres eller deles.
Merknad: Lokasjondata slettes automatisk etter 30 dagers inaktivitet.
3.5 Kontrolldata
Under kontroller registreres følgende data:
Kontrolltidspunkt – for sikkerheetsovervåking (Oppbevaring: 90 dager for Connect+).
Enhetsinformasjon – for feilanalyse (Oppbevaring: 90 dager).
Sist kjent lokalisering – for nødsituasjonsvarsler (Oppbevaring: maks. 30 dager, overskrives).
3.6 Sosiale Data (Alma Moments)
Når du bruker sosiale funksjoner, behandles følgende data: Innlegg (tekst, bilder, videoer), kommentarer, liker, tilkoblinger og stemningsemojis.
Juridisk grunnlag: Art. 6(1)(b) GDPR (Kontraktoppfyllelse for å tilby sosiale funksjoner) og Art. 6(1)(a) GDPR (for frivillig innhold).
3.7 Tekniske Data
Følgende tekniske data behandles for appens drift:
Enhettype og OS – for appoptimalisering og feilanalyse (Juridisk grunnlag: Art. 6(1)(f) GDPR).
Appversjon – for support og oppdateringer (Juridisk grunnlag: Art. 6(1)(f) GDPR).
FCM Token – for push-varsler (Juridisk grunnlag: Art. 6(1)(b) GDPR).
Tidssone – for riktig kontrolltidspunkt (Juridisk grunnlag: Art. 6(1)(b) GDPR).
Serverloggfiler – for infrastruktursikkerhet og forsvar mot angrep (Juridisk grunnlag: Art. 6(1)(f) GDPR).
3.8 Markedsføringskommunikasjon (Valgfritt)
Bare hvis du har gitt samtykke under registrering eller senere i innstillinger ved å merke av boksen, vil jeg behandle e-postadressen og navnet ditt for å sende tips, app-nyheter og oppdateringer (Nyhetsbrev).
Juridisk grunnlag: Art. 6(1)(a) GDPR (Samtykke).
Avmeld: Du kan melde deg av når som helst via avmeldingslinkelen i hver e-post eller i appens varselinnstillinger. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandling basert på samtykke før tilbaketrekkingen.
4. Formål med Databehandling
Jeg behandler dine data for følgende formål:
Kontraktoppfyllelse (Art. 6(1)(b) GDPR): Levering av appen, kontroller, varsler, abonnementsstyring.
Samtykke (Art. 6(1)(a) GDPR): Helsedata, lokasjonsdeling, valgfri profilinformasjon, markedsføring.
Legitime Interesser (Art. 6(1)(f) GDPR): Svindelforebygging, teknisk sikkerhet, feilsøking.
Juridiske Forpliktelser (Art. 6(1)(c) GDPR): Oppbevaringskrav, forespørsler fra myndigheter.
Merknad om Automatisert Beslutningstaking: Ingen automatisert beslutningstaking eller profilering i henhold til art. 22 GDPR som gir juridiske virkninger for deg. Alarmutløsing baseres utelukkende på tidsvindu og regler (If-Then-logikk) definert personlig av deg.
5. Datadestinatarer og Prosessorer
5.1 Tjenesteleverandører
Jeg arbeider med følgende tjenesteleverandører for å drive appen:
Google Firebase (Google Ireland Ltd.) – for hosting, database og godkjenning. Lokalisering: Frankfurt am Main (europe-west3). Dataverngaranti: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – for abonnementsstyring (behandlet data: abonnementsstatus, kjøpstidspunkt, pseudonym App User ID, transaksjonsmetadata). Lokalisering: USA (AWS). Dataverngaranti: EU Standard Contractual Clauses (SCCs), DPA. For overføringer fra Storbritannia: UK International Data Transfer Agreement (IDTA) eller UK Addendum til EU SCCs. For overføringer fra Sveits: samsvar med FADP/DSG-krav.
Mailgun (Sinch) – for e-postlevering. Lokalisering: EU. Dataverngaranti: DPA, GDPR-kompatibel.
Algolia – for brukersøk. Lokalisering: EU. Dataverngaranti: DPA, GDPR-kompatibel.
5.2 Betingelse Dataoverføring (Varselkanaler)
Overføring til disse tjenestene skjer bare hvis din nødkontakt eksplisitt velger disse kanalene:
Meta (WhatsApp Cloud API) – bare hvis WhatsApp velges av kontakten. Meta er sertifisert under EU-US Data Privacy Framework. For overføringer fra Storbritannia gjelder UK Extension til EU-US DPF i tillegg.
Telegram – Bruk av Telegram skjer bare hvis din nødkontakt aktivt velger denne kanalen. I dette tilfellet samtykker kontakten din direkte til databehandling av Telegram (potensielt på servere utenfor EU).
5.3 Ingen Dataoverføring til Tredjeparter
Dine data selges ikke.
Ingen overføring for tredjepartsannonseringformål.
Ingen overføring til datameglere.
Unntak: Dine nødkontakter mottar informasjonen du har avslørtet i tilfelle nødsituasjon.
6. Datalagring og Sletting
6.1 Lagringssted
Alle data lagres primært i EU (Frankfurt am Main, Google Cloud-region europe-west3).
6.2 Lagringsvarighet og Automatisk Sletting
Kontrollhistorikk: Slettes automatisk etter 90 dager.
Lokaseperingsdata: Slettes automatisk etter 30 dagers inaktivitet (eller kontinuerlig overskrives).
Serverloggfiler: Slettes automatisk etter 90 dager (for feilanalyse/forsvar mot angrep).
Invitasjonslenker: Slettes automatisk etter 7 dager.
Helsedata: Sletting etter 12 måneders inaktivitet.
Kontodata: Sletting etter 24 måneders inaktivitet.
Påminnelser Før Sletting av Inaktivitet:
Etter 12 måneder uten innlogging: Automatisk sletting av helsedata; påminnelsese-post sendt.
Etter 13 måneder uten svar: Ytterligere påminnelse.
Etter 23 måneders inaktivitet: Sluttlig advarselse-post.
Etter 24 måneder uten svar: Fullstendig sletting av konto.
Unntak for Aktive Abonnement: Så lenge et betalt Connect+-abonnement er aktivt, skjer ingen automatisk sletting av inaktivitet.
Faktureringsdata: Faktureringsdata (navn, adresse, transaksjonsinformasjon) lagres i 10 år i samsvar med skatteoppbevaringskrav (§ 147 AO). Disse dataene oppbevares separat fra bruksdata.
Slettede kontoer fjernes permanent og ugjenkallelig etter en henstandsperiode på 30 dager.
Viktig: Etter anmodning om kontosletting avsluttes bruken umiddelbart. Fra dette tidspunktet vil ingen kontrollerinnnleggringer, alarmer eller andre varsler bli utløst – verken til deg eller til dine nødkontakter. I tillegg vil profilen din i Alma Moments ikke lenger være synlig. Endelig fysisk sletting av alle data skjer etter henstandsperioden på 30 dager.
7. Datasikkerhet
Jeg bruker moderne sikkerhetsstandarder:
Kryptering: TLS 1.2+ for dataoverføring (Transit) og lagring på AES-256-krypterte servere (At Rest) for sensitive data.
Tilgangskontroll: Firebase Security Rules, streng autentisering.
Appsikkerhet: Firebase App Check, valgfri biometrisk beskyttelse (Connect+), separat innstillingslås.
8. Dine Rettigheter
Du har følgende rettigheter når som helst (i henhold til Art. 15-21 GDPR):
Tilgang og Dataeksport: I appen under Innstillinger → Personvern.
Rettelse: Du kan redigere all profil- og helsedata selv i appen.
Sletting: Du kan slette enkeltdata eller hele kontoen direkte i appen.
Begrensning av Behandling (Art. 18 GDPR): Du kan anmode om begrensning av behandling, for eksempel hvis du bestrider nøyaktigheten av dataene dine eller behandlingen er ulovlig.
Tilbaketrekking av Samtykke: Du kan trekke tilbake samtykket (for eksempel lokalisering, helsedata, markedsføring) når som helst i innstillingene. Tilbaketrekkingen påvirker ikke lovligheten av behandling utført før tilbaketrekkingen.
Rett til Innvending (Art. 21 GDPR): Hvis databehandling baseres på legitime interesser (Art. 6(1)(f) GDPR), har du rett til å innvende når som helst av grunner som oppstår fra din spesielle situasjon.
Rett til Klage: Du kan kontakte den aktuelle datavermyndigheten. For brukere i Tyskland er dette Berlins datavernbehandler og frihetsinformasjonskontor (datenschutz-berlin.de). Brukere i Europeisk Økonomisk Område (EØS) kan kontakte tilsynsmyndigheten i sitt hjemland, arbeidsland eller stedet for det påstått brudd. En liste over tilsynsmyndigheter er tilgjengelig på edpb.europa.eu. Brukere i Storbritannia kan kontakte Information Commissioner’s Office (ICO): ico.org.uk. Brukere i Sveits kan kontakte Federal Data Protection and Information Commissioner (FDPIC): edoeb.admin.ch.
9. Spesielle Behandlingssituasjoner
9.1 Nødsituasjonsvarsling (Kun Connect+)
Ved utsatt kontroll vil dine nødkontakter bli varslet. Bare data som du har lagret i profilen din og autorisert for offentliggjøring (for eksempel lokalisering, helseinformasjon) vil overføres. Juridisk grunnlag:
Art. 6(1)(b) GDPR (Kontraktoppfyllelse)
Art. 9(2)(a) GDPR (Eksplisitt samtykke for helsedata)
Tilleggsmessig Art. 9(2)(c) GDPR (Beskyttelse av vitale interesser), for å sikre fysisk integritet i nødsituasjoner.
9.2 Invitasjon av Nødkontakter
For å beskytte tredjepartsers personvern, legger du ikke inn kontaktinformasjon for andre personer direkte i appen.
Linklaging: Du genererer en personlig invitasjonslenke i appen.
Sending: Du sender denne lenken til din betrodde person via en kanal du velger (for eksempel WhatsApp, E-post).
Registrering: Din betrodde person åpner lenken og legger inn sin egen kontaktinformasjon og ønsket varselkanal. Så lenge lenken ikke brukes, lagres ingen data om dine kontakter. Ubrukte lenker utløper etter 7 dager.
9.3 Du som Nødkontakt
Hvis du aksepterer en invitasjon, samtykker du i at din oppgitt kontaktinformasjon (Navn, E-post/Telefon/Handle) lagres for formål om nødsituasjonsvarsling. Du kan melde deg av når som helst via en opt-out-lenke i meldingene.
9.4 Fjernsetting (Connect+)
Du kan midlertidig gi en betrodd person tilgang (via en generert kode) til å sette opp appen for deg og administrere innstillinger. Etter vellykket tilkobling forblir denne tilgangen til du trekker den tilbake i appen. For din sikkerhet logges alle endringer foretatt av den betrodde personen (Revisjonlogg).
Juridisk grunnlag: Art. 6(1)(b) GDPR (Kontraktoppfyllelse, funksjon initiert av bruker).
10. Tredjepartsautentisering
Google Sign-In: Overførte data inkluderer e-post, navn, profilbilde. (Personvern: policies.google.com/privacy)
Apple Sign-In: Overførte data inkluderer e-post (eller relèadresse) og navn. (Personvern: apple.com/legal/privacy)
11. Push-Varsler
Jeg bruker push-varsler for kontrollerinnnleggringer, alarmer og sosial interaksjon.
Juridisk grunnlag: Art. 6(1)(b) GDPR (for kontraktfunksjoner som alarmer) og Art. 6(1)(f) GDPR (for sosiale varsler).
Kontroll: Du kan administrere de fleste varseltyper i appinnstillingene. Kritiske sikkerhetsvarsler er en del av kjernetjenesten.
12. Analyse og Feilsøking
12.1 Firebase Analytics
Jeg bruker Firebase Analytics i en dataminimert konfiguralisasjon for å sikre appstabilitet og fikse feil.
Personvernstiltak: Annonse-IDer (IDFA/AAID) samles ikke inn. IP-anonimisering er aktivert.
Formål: Anonymisert krasje- og brukerstatistikk for teknisk optimalisering.
Juridisk grunnlag: Art. 6(1)(f) GDPR (Legitim interesse i feilfri drift og sikkerhet av appen).
12.2 Firebase Crashlytics
I tilfelle appkrasj sendes tekniske detaljer (stakktrase, enhetsinformasjon) for å fikse feilen. Ingen direkte identifiserbara data lagres i kraschrapportene.
12.3 ePrivacy og Elektronisk Kommunikasjon
Tilgang til visse enhetsfunksjoner og lagring av teknisk informasjon på enheten (for eksempel FCM-tokener) kan være underlagt nasjonale lover som implementerer ePrivacy-direktivet (2002/58/EC). I Storbritannia gjelder Privacy and Electronic Communications Regulations 2003 (PECR). I Sveits gjelder bestemmelsene i Telekommunikasjonsloven (TCA/FMG). Der samtykke er nødvendig i henhold til gjeldende lov, innhentes det før relevant tilgang.
13. Endringer i Denne Personvernpolicyen
Jeg forbeholder meg retten til å endre denne personvernpolicyen. I tilfelle vesentlige endringer vil du bli informert via appen eller e-post. Gjeldende versjon er alltid tilgjengelig i appen og på nettstedet.
14. Internasjonale Dataoverføringer
Primær datalagring skjer i EU (Frankfurt am Main). Der data overføres til tjenesteleverandører utenfor EØS (se seksjon 5), baserer jeg meg på følgende garantier:
EU-US Data Privacy Framework (DPF): For overføringer til USA-baserte selskaper sertifisert under DPF (for eksempel Google, Meta).
EU Standard Contractual Clauses (SCCs): For overføringer til selskaper som ikke er sertifisert under DPF (for eksempel RevenueCat).
For overføringer fra Storbritannia: Jeg bruker UK International Data Transfer Agreement (IDTA) eller UK Addendum til EU SCCs, samt UK Extension til EU-US DPF, hvor aktuelt.
For overføringer som involverer Sveits: Jeg overholder kravene i Sveits Federal Data Protection Act (FADP/DSG), inkludert anerkjennelse av adekvatetsbeslutninger fra Forbundsmyndighetene og bruk av standardkontraktklausuler hvor nødvendig.
For mer informasjon om enkeltleverandørene, se seksjon 5.
15. Brukere Utenfor EU/EØS, Storbritannia og Sveits
For brukere i land som ikke dekkes av GDPR, UK GDPR eller Sveits FADP, bruker leverandøren samme tekniske og organisatoriske tiltak som for brukere innenfor GDPRs omfang. Obligatoriske dataverner i brukerens hjemland forblir uendret.
16. Kontakt
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
Email: privacy@alma-app.eu
Nettsted: www.alma-app.eu