Spekto er en plattform for bildedeling i sanntid ved arrangementer. Vi samler bare inn det som trengs for at tjenesten skal fungere — ikke noe mer. Ingen sporing, ingen annonser, ingen tredjepartscookies.
Behandlingsansvarlig
Behandlingsansvarlig for Spekto er Brattheng AS (org.nr. 933 662 463). Spørsmål om personvern kan sendes til [email protected].
Hva vi lagrer
Arrangører (innlogget)
| Data | Hvorfor | Hvor lenge |
|---|---|---|
| E-postadresse | Innlogging og event-kommunikasjon | Så lenge kontoen finnes |
| Navn | Visning i admin-panel | Så lenge kontoen finnes |
| Betalingsinformasjon | Kjøp av arrangement (håndtert av Stripe) | 5 år (regnskapsplikt) |
| IP-adresse | Sikkerhet og feilsøking | 90 dager |
Gjester (uten innlogging)
| Data | Hvorfor | Hvor lenge |
|---|---|---|
| Bilder og video | Vises i arrangementets live-feed | Slettes med eventet |
| EXIF-metadata (GPS, dato) | Kronologisk sortering av bilder | Slettes med eventet |
| Navn (frivillig) | Vises som bildetaker i feeden | Slettes med eventet |
| Gjestebok (tekst, lyd og video) | Meldinger, lydopptak og video-hilsener i gjesteboken | Slettes med eventet |
| Session-ID (cookie) | Gjenkjenne dine bilder og likes | Slettes med eventet |
| IP-adresse | Sikkerhet og feilsøking | 90 dager |
EXIF-metadata (som GPS-posisjon) brukes kun internt for sortering og vises aldri til andre gjester.
Rettslig grunnlag
- Innlogging og event-administrasjon — nødvendig for å levere tjenesten (GDPR art. 6(1)(b))
- Bildeopplasting og gjestebok — samtykke fra gjesten (GDPR art. 6(1)(a))
- AI-moderering — berettiget interesse for å beskytte mot uønsket innhold (GDPR art. 6(1)(f)). Valgfri per arrangement.
- MagicFind (ansiktsgjenkjenning) — uttrykkelig samtykke for behandling av biometriske data (GDPR art. 9(2)(a)). Opt-in per gjest.
- Betaling — avtale og rettslig forpliktelse for regnskapsføring (GDPR art. 6(1)(b) og (c))
- Sikkerhet og feilsøking — berettiget interesse (GDPR art. 6(1)(f))
AI-moderering
Arrangører kan aktivere automatisk innholdsmoderering. Når dette er på, sendes bilder til OpenAI og tekst til Google Gemini for å vurdere om innholdet er upassende. Innhold som flagges kan bli automatisk holdt tilbake for manuell gjennomgang av arrangøren.
OpenAI Moderation API lagrer ikke innholdet. Lydopptak og video-gjestebok-opptak som transkriberes via Whisper behandles under OpenAIs API-vilkår uten bruk til trening. Video-gjestebok-opptak modereres på samme måte som lydopptak.
MagicFind (ansiktsgjenkjenning)
For Spekto Pro-arrangementer kan arrangører aktivere MagicFind — en funksjon som lar gjester finne bilder av seg selv via selfie. Funksjonen bruker ansiktsgjenkjenning basert på biometriske data (GDPR art. 9).
Slik fungerer det
- Indeksering: Når bilder lastes opp til et MagicFind-aktivert arrangement, beregnes en matematisk representasjon (embedding) av hvert ansikt. Denne representasjonen kan ikke brukes til å gjenskape ansiktet.
- Selfie-søk: Gjesten tar en selfie som analyseres for å finne matchende bilder i feeden. Selfien lagres ikke.
- Prosessering: All ansiktsanalyse skjer på Spektos egne servere. Ingen bilder eller biometriske data sendes til tredjeparter.
Samtykke og sletting
- Uttrykkelig samtykke: Du blir bedt om å godkjenne bruken av ansiktsgjenkjenning før MagicFind aktiveres (GDPR art. 9(2)(a)).
- Sletting: Ansiktsembeddings slettes automatisk når arrangementet slettes. Arrangøren kan også slette alle ansiktsdata manuelt.
- Ingen sub-prosessor: MagicFind bruker ingen eksterne tjenester — all prosessering skjer på egen server.
Hvem har tilgang
Dataene dine deles ikke med andre. Følgende underleverandører behandler data på våre vegne:
- Cloudflare — nettverkssikkerhet og HTTPS-proxy (IP-adresser passerer Cloudflare). EU-US Data Privacy Framework.
- Stripe — betaling. Håndterer all kortinformasjon direkte — vi ser aldri kortnummer. EU-basert behandling.
- AWS SES — e-postutsendelse fra Stockholm (eu-north-1). Kun e-postadresser.
- OpenAI — valgfri AI-moderering av bilder og lytranskribering. USA, standardklausuler + EU-US Data Privacy Framework.
- Google Gemini — valgfri AI-moderering av tekst. EU-US Data Privacy Framework.
- Backblaze B2 — off-site sikkerhetskopi av database og bildemateriale. Lagring i EU (Amsterdam), kryptert at-rest.
All primærdata (database, bilder, video) lagres på en dedikert server i Norge.
Cookies
Vi bruker kun teknisk nødvendige cookies for innlogging og gjeste-session. Ingen analyse-, sporings- eller annonsecookies. Derfor trenger du ikke samtykke til cookies her.
Sletting av data
- Gjester kan slette egne bilder og gjestebok-innlegg direkte i appen.
- Arrangører kan slette hele arrangementet med alle tilhørende data (bilder, kommentarer, gjestebok).
- Automatisk sletting — arrangementer og tilhørende data slettes automatisk etter utløpsdato.
Sikkerhetskopi
Vi tar daglig sikkerhetskopi av databasen og bildemateriale for å beskytte mot tap ved teknisk svikt. Backup-strategien er som følger:
- Daglige databasekopier beholdes i 30 dager lokalt og 90 dager off-site (Backblaze B2).
- Månedlige snapshots (første dag i hver måned) beholdes permanent off-site for katastrofegjenoppretting og audit. Volumet er svært lite (cirka 1 MB per måned).
- Bildemateriale sikkerhetskopieres som speil — slettes et bilde eller arrangement, fjernes også backup-kopien vanligvis innen 24 timer (ingen versjonering).
- Sletteforespørsler — hvis vi noen gang må gjenopprette fra et månedlig snapshot, fører vi logg over hvilke data som var slettet etter snapshot-tidspunktet, og ekskluderer dem fra restore. Slettede personopplysninger gjenopprettes ikke.
Lokale backups lagres på dedikert server i Norge. Off-site kopier ligger i Backblaze B2 (EU, Amsterdam) og er kryptert at-rest.
Dine rettigheter
Du har rett til å:
- Få innsyn i hva vi har lagret om deg
- Få rettet eller slettet opplysninger
- Be om begrensning av behandlingen
- Få dataene dine utlevert (dataportabilitet)
- Klage til Datatilsynet dersom du mener vi ikke følger reglene
Send en e-post til [email protected] så ordner vi det.