Avhengig av hvordan du bruker tjenesten kan vi behandle:

• Kontoinformasjon: navn, e-postadresse, telefonnummer og passord (lagret som sikker hash, ikke i klartekst); evt. ønsket varslingsmåte når timer blir bekreftet for deg (e-post eller SMS, eller begge) slik du angir på Min side der funksjonen er tilgjengelig.
• Innhold du oppgir: ønsker og notater ved registrering; notater og annen oppfølgingsinformasjon som coaches eller admin registrerer om det brukes aktivt i løsningen; generell kundekontakt kan i tillegg skje via eksterne verktøy som Zenfit når dette er aktivert på nettsiden.
• Produkt, avtale og bookingregler: opplysninger om hvilket produkt eller medlemskap du er knyttet til, bookingvinduer og begrensninger som er satt for kontoen din, pluss beregnings- og kontoopplysninger som klipp/avtale for aktive kunder der dette brukes; om abonnement eller avtale er satt på pause; om eventuelle ekstra kalenderdager er lagt til sluttdato for å ta hensyn til hvile eller annet avtalt; samt om konto er midlertidig sperret og kort begrunnelse registrert ved sperring, pause eller lignende når det er nødvendig for å gjennomføre oppdraget eller avtalen mellom oss.
• Bookinger: tidspunkt og lokasjon (der dette er registrert i systemet), tilknyttet coach, status (for eksempel forespørsel, bekreftet eller avlyst) og eventuelle merknader knyttet til timen.
• Arrangementer: for innloggede brukere som melder seg på: kobling mellom deg og det aktuelle arrangementet (og nødvendig kontekst som organisasjon når arrangementet er for en bedriftsavtale).
• Bedrift og organisasjon: når du er knyttet til en bedriftsavtale i systemet, kan vi behandle bedriftsnavn, rolle i avtalen, kontaktopplysninger brukt i avtalen, samt innhold i meldinger og innlegg som hører til bedriftsportalen der dette er i bruk.
• Coach-relaterte forespørsler: for eksempel forespørsler om å bytte coach når flytting av kunde mellom coach skal godkjennes i systemet.
• Kontaktskjema og henvendelser: e-postadresse og meldingstekst fra kontaktskjema på forsiden eller sammenlignende innsending (herunder merking av privat/bedrift der det er aktuelt). Opplysningene sendes med e-posttjenesten Resend til vår innboks og lagres ikke som egen post i applikasjonens database når utsending er aktivert, med mindre vi manuelt lagrer kopier utenfor systemet.
• Offentlig profil- og arrangementsinformasjon: tekst og valgfrie bilder knyttet til coach-profiler og arrangementssider som publiseres på nettsiden (bilder kan ligge som filer i Supabase og vises som URL-er).
• Teknisk informasjon: nødvendige data for å opprettholde innlogging og sikker drift; ved enkelte automatiske begrensninger (rate limiting) kan kortvarig bruk av IP-adresse inngå for å hindre misbruk av skjema og API, jf. berettiget interesse i trygg drift.

Vi behandler opplysningene for å:

• levere og administrere medlemskap, innlogging og konto (avtale med deg, jf. personvernforordningen art. 6 nr. 1 b);
• planlegge og følge opp coaching, kommunikasjon og avtaler, herunder bekrefte bookede timer til deg på e-post og/eller SMS i tråd med valget ditt på Min side når det er satt opp teknisk (avtale med deg);
• administrere påmelding til arrangement, virksomhetsavtaler og tilgang til bedriftstilpasset innhold der du er omfattet (avtale med deg eller forberedelse til avtale med bedrift, jf. art. 6 nr. 1 b og f);
• svare på henvendelser fra kontaktskjema (berettiget interesse og/eller forberedelse til avtale, jf. art. 6 nr. 1 b og f i personvernforordningen);
• ivareta sikkerhet, forebygge misbruk og overholde forpliktelser (berettiget interesse der det er aktuelt, jf. personvernforordningen art. 6 nr. 1 f, og/eller avtale).

Vi selger ikke personopplysningene dine. For å levere tjenesten bruker vi underleverandører som behandler data på våre vegne etter instruks (databehandlere), med avtaler og sikkerhetstiltak i tråd med personvernregelverket:

• Vercel — drift (hosting) av nettapplikasjonen og kjøring av logikk som håndterer forespørsler. Data kan behandles i den regionen prosjektet er satt til i Vercel; se deres dokumentasjon og Vercel personvern.
• Supabase — drift av PostgreSQL-databasen der bruker- og tjenestedata lagres, samt fil-lagring for offentlige medier (for eksempel coach-bilder og arrangementsbilder vist på nettsiden). Supabase fungerer som databehandler; se Supabase personvern og deres dokumentasjon om databehandlerforhold.
• Resend — brukes til utsending av e-post der det er konfigurert: meldinger fra kontaktskjema til vår innboks; varsler til coach ved nye bookinger og avbestillinger; melding fra avtale ansvarlig om avtale (der denne funksjonen er i bruk); invitasjon på e-post til ansatte som bedriften med avtale ønsker å knytte til portalen (også med engangskode for første innlogging); bookingbekreftelse til deg (også når timen er lagt inn for deg av coach eller admin); engangskode til innlogging; lenke til tilbakestilling av passord; og e-post som varsler oss når en kunde har bedt om sletting av brukerkonto fra Min side. Avsender-, mottaker- og meldingsinnhold behandles av Resend under sending. Vi lagrer ikke disse e-posthendelsene som egne poster i databasen, men bookinger og øvrige tjenestedata kan som beskrevet over lagres i databasen. Se Resend personvern.
• Twilio — når SMS-varsling er aktivert for bookinger eller tilsvarende, kan kort meldingstekst og mottakers telefonnummer behandles av Twilio som leverandør av SMS-tjenesten. Se Twilio personvern.
• Zenfit — kan (når vi har slått det på i oppsettet) vise skjema eller annet innhold fra Zenfit på forsiden. Opplysninger du legger inn der, behandles etter Zenfits retningslinjer; se personvern hos Zenfit.

Dersom en underleverandør behandler personopplysninger utenfor EU/EØS, sikrer vi overføringen med passende garantier, for eksempel EU-kommisjonens standardkontraktsklausuler eller andre godkjente mekanismer etter personvernforordningen.

Vi bruker én teknisk nødvendig informasjonskapsel (__Host-vitaria_session) for å holde deg innlogget: den inneholder en sikker, signert økt-token (ikke passordet ditt), er satt med HttpOnly, SameSite=Lax og varer inntil 30 dager. I produksjon kreves HTTPS (Secure). Uten denne informasjonskapselen kan ikke innlogget bruk av tjenesten fungere.

Dersom Zenfit-skjema vises på forsiden, laster vi det først etter aktivt valg fra deg. Les mer på cookiesiden.

Du har rett til innsyn, retting og sletting der betingelsene i personvernregelverket er oppfylt, begrensning av behandling, dataportabilitet der det følger av regelverket, og å protestere mot visse typer behandling. Du kan også trekke tilbake samtykke der behandlingen er basert på samtykke.

Du har rett til å klage til Datatilsynet dersom du mener behandlingen er i strid med personvernregelverket.