Privatlivspolitik

Sidst opdateret: 23. april 2026 · Version 2.0

1. Dataansvarlig

Dating365.dk er dataansvarlig for behandlingen af dine personoplysninger.

Virksomhed: Farres Apps, CVR: 46133250
Adresse: Hovedgaden, 6621 Gesten, Danmark
Kontaktperson: Thomas Farre
E-mail: support@dating365.dk

1a. Databeskyttelsesansvarlig (DPO)

Vi har ikke udpeget en formel databeskyttelsesrådgiver (DPO), da vores behandling ikke når tærsklen i Art 37 (kernaktivitet = systematisk overvågning i stor skala). Ansvaret for databeskyttelse varetages af virksomhedens ejer:

Navn: Thomas Farre
Kontakt: support@dating365.dk (angiv "DPO" i emnet)
Svartid: Senest 30 dage (typisk 48 timer)

Hvis brugermængden eller behandlingen af særlige kategorier (Art 9) vokser væsentligt, udpeger vi en formel DPO.

2. Hvilke data indsamler vi? (Art 13)

Kontooplysninger: Navn, e-mail, fødselsdato, køn, adgangskode (bcrypt-hashet)
Profiloplysninger: Bio, interesser, uddannelse, job, højde, billeder, prompts, stemme-intro
Lokationsdata: By eller GPS-koordinater (200m fuzzing før andre brugere ser det)
Kommunikation: Chatbeskeder, live chat-beskeder, gaver, support-beskeder
Brugsdata: Swipes, likes, matches, profilbesøg, login-historik
Betalingsdata: Håndteres af Stripe — vi gemmer IKKE kortnumre, kun transaktions-ID og købstype
Tekniske data: IP-adresse, enhedstype, browser, enheds-fingerprint (til svindelforebyggelse)
Verifikation: Selfie til profilverifikation (frivilligt)
AI-genereret data: Crystal Ball-læsninger, samtalestartere, Lightning-forslag (cachet, ikke delt med tredjepart)

3. Retsgrundlag for behandling (Art 6)

Samtykke (art. 6.1.a): Ved kontooprettelse og for særlige kategorier (Art 9) samt marketing
Kontrakt (art. 6.1.b): Levering af dating-tjenesten og håndtering af betalinger
Legitim interesse (art. 6.1.f): Svindelforebyggelse, sikkerhed, anti-bot, fraud-signals, produktforbedring
Retlig forpligtelse (art. 6.1.c): Bogføring (5 år), skattemæssige krav, lovkrav fra myndigheder

4. Opbevaringsperiode — detaljeret retention-tabel (Art 5.1.e)

Datatype	Opbevaring	Hjemmel
Aktiv konto (bruger logger ind)	Så længe kontoen er aktiv	Art 6.1.b
Inaktiv konto (intet login)	Slettes automatisk efter 24 måneder (advarsel ved 22 mdr + 14 dage før)	Art 5.1.e
Slettet konto (on request)	Alle data slettes inden for 7 dage (fotos + DB), backups overskrives inden 30 dage	Art 17
Chatbeskeder	Så længe samtalen eksisterer, slettes ved kontosletning	Art 6.1.b
Blindspot-samtaler	10 min efter session (Redis TTL), kun metadata-score gemmes i DB	Art 5.1.c
Login-historik	12 måneder (IP, browser, metode)	Art 6.1.f sikkerhed
Fraud-signals	24 måneder (til mønster-analyse)	Art 6.1.f
Audit-log (admin-handlinger)	36 måneder	Art 5.2 ansvarlighed
Consent-log	5 år efter samtykke trækkes tilbage (beviskrav)	Art 7.1
Betalingshistorik	5 år (bogføringsloven § 10)	Art 6.1.c
Stripe webhook-events	30 dage (cleanup-cron)	Art 5.1.c
Photo-access-log (privat-foto-visninger)	6 måneder (transparency + audit)	Art 5.1.e
Bruger-audit-log (login, profil-edit, samtykke, sletning)	36 måneder	Art 5.2 ansvarlighed
Notifikationer (læste)	3 måneder	Art 5.1.e
Backup (krypteret)	7 dage (28 roterende dumps, GPG-krypteret)	Art 32 sikkerhed

5. Deling med tredjeparter + Schrems II

Vi sælger ALDRIG dine data. Nedenstående tredjeparter er vores databehandlere, og der er indgået databehandleraftaler (DPA):

Stripe (Irland/USA): Betalingsbehandling, PCI DSS-certificeret. Overførsel til USA sker under EU-US Data Privacy Framework (adækvansbeslutning 2023). Kun e-mail + transaktion overføres.
One.com (Danmark): Email-hosting (SMTP + IMAP). Data forbliver i EU. One.com er underlagt dansk databeskyttelseslov.
Let's Encrypt (USA, non-profit): TLS-certifikater. Modtager kun domænenavn — ingen persondata.
GIPHY (USA, når aktiveret): GIF-søgning i chat. Søgetekst sendes anonymt, ingen brugerdata tilknyttet.
Google OAuth (EU/USA): Kun ved Google-login. Google modtager din anmodning om login, men IKKE dine profil-data. DPA via Google Cloud.
Hosting & AI: Egne servere i Danmark. AI-modeller (gemma2:27b) kører lokalt. Data forlader IKKE vores servere.
Myndigheder: Kun ved retskendelse eller konkret lovkrav.

Schrems II-vurdering: Al primær persondata-behandling sker i EU. Kun Stripe og evt. Google OAuth overfører en delmængde til USA under EU-US DPF. Hvis DPF annulleres, evaluerer vi alternative mekanismer (SCC + TIA) eller erstatter leverandøren.

5b. Særlige kategorier (Artikel 9)

Visse frivillige profiloplysninger som religion, etnicitet, seksuel orientering og politisk overbevisning er særlige kategorier. Disse behandles kun med dit udtrykkelige samtykke (Art 9.2.a), vises kun til brugere du interagerer med, og kan slettes med ét klik i /profile/edit.

6. Dine rettigheder (Art 13-21)

Indsigt (Art 15)

Se alle data vi har om dig. Indstillinger → Download mine data (JSON-eksport).

Berigtigelse (Art 16)

Ret alle profil-felter direkte i /profile/edit. Navn/email/password i /settings.

Sletning (Art 17)

"Slet min konto" nederst i /settings → fuld sletning inden for 7 dage, backup-rotering inden for 30 dage. Visse bogføringsdata beholdes 5 år jf. lov.

Begrænsning af behandling (Art 18)

Hvis du vil stoppe al behandling uden at slette, aktivér "⏸️ Pause profil" i /settings. Pausen standser Discover-visning, matching, notifikationer og AI-analyse. Dine data opbevares, men bruges ikke. Du kan til enhver tid ophæve pausen.

Dataportabilitet (Art 20)

JSON-eksport med alle 19+ datatyper i strukturer, maskinlæsbar format via /api/account/export.

Indsigt i privat-foto-adgang (Art 15 transparency)

Se hvem der har åbnet dine private fotos via /api/account/photo-access. Logges 6 måneder, derefter slettes automatisk af retention-cron.

Indsigelse (Art 21)

Gør indsigelse mod direkte markedsføring ved at slå "📬 Marketing emails" fra i /settings. Alle marketing-emails indeholder også unsubscribe-link. For indsigelse mod anden behandling baseret på legitim interesse: kontakt support@dating365.dk.

Tilbagetrækning af samtykke (Art 7.3)

Samtykker kan trækkes tilbage enkeltvist i /settings. Tilbagetrækning berører ikke lovligheden af tidligere behandling.

Klage til tilsynsmyndighed

Du kan altid klage til Datatilsynet.

7. Cookies

Vi bruger cookies til funktionalitet (session, CSRF), præferencer og ingen tredjeparts-tracking. Se vores cookiepolitik for fuld liste.

8. Automatiseret beslutningstagning (Art 22)

Vi bruger automatiseret behandling i følgende tilfælde:

Matching-algoritme (Discover, Blindspot): Vurderer kompatibilitet baseret på dine præferencer, lokation, aktivitet, Love Map og interesser. Forslag kan altid ignoreres.
Svindel-detektion (fraud-signals): Honeypot, IP-mønster, enheds-fingerprint, fake-profile-patterns. Alvorlige signaler (severity ≥7) kan udløse shadow-ban. Du har ret til manuel gennemgang — kontakt support@dating365.dk.
NSFW-billedfilter: ONNX-model afviser eksplicit indhold ved upload. Kører lokalt, ingen billeder sendes til tredjepart.
Crystal Ball / Lightning / Samtalestartere: Lokal AI (gemma2:27b via Ollama). Output er forslag, ingen juridisk bindende beslutning.

Ingen af disse processer træffer beslutninger med juridisk virkning eller tilsvarende væsentlig indvirkning. Du har ret til manuel revurdering ved shadow-ban.

9. Sikkerhed (Art 32)

HTTPS/TLS-kryptering (Let's Encrypt, auto-renewal)
Adgangskoder bcrypt-hashet, 15 min inaktivitets-timeout
Database backup 4x dagligt, GPG-krypteret (RSA-4096), off-site på separat fysisk disk
Servere i Danmark med firewall + fail2ban
Rate limits på alle API-endpoints (120/min default, 20/min auth)
Billeder: EXIF-stripping, NSFW-filter, watermark på private fotos
Security headers: CSP, HSTS, X-Frame-Options, Permissions-Policy

10. Databrud (Art 33-34)

Ved databrud følger vi vores Breach Procedure: notifikation til Datatilsynet inden for 72 timer, og direkte notifikation til berørte brugere hvis risikoen er høj.

11. Kontakt

E-mail: support@dating365.dk

Post: Farres Apps, Hovedgaden, 6621 Gesten, Danmark

Datatilsynet: datatilsynet.dk

Vilkår Cookiepolitik DPIA Artikel 30 Fortegnelse Breach Procedure