Sist oppdatert: 7. juni 2026
Denne personvernerklæringen beskriver hvordan Synera Flow AS (heretter «Synera», «vi», «oss» eller «vår») samler inn, behandler, lagrer og beskytter personopplysninger i forbindelse med bruk av Synera Flow-plattformen og tilknyttede tjenester. Erklæringen gjelder for alle brukere av våre tjenester, inkludert besøkende på nettsiden, registrerte kunder og kontaktpersoner hos våre bedriftskunder.
Personvernerklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR) som gjennomført i norsk lov ved personopplysningsloven, samt den norske ekomloven.
1. Behandlingsansvarlig
Behandlingsansvarlig for personopplysningene som beskrives i denne erklæringen er:
Synera Flow AS
Organisasjonsnummer: Under registrering
E-post: [email protected]
Nettside: www.syneraflow.no
Synera Flow AS er ansvarlig for å fastsette formål og midler for behandlingen av personopplysninger, og er forpliktet til å sikre at behandlingen skjer i samsvar med gjeldende personvernlovgivning.
2. Definisjoner
- •Den registrerte: Den fysiske personen som personopplysningene knytter seg til.
- •Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. GDPR art. 4(1).
- •Behandling: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, jf. GDPR art. 4(2).
- •Behandlingsansvarlig: Den fysiske eller juridiske personen som bestemmer formålet og midlene for behandlingen, jf. GDPR art. 4(7).
- •Databehandler: Den fysiske eller juridiske personen som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. GDPR art. 4(8).
- •Tjenesten: Synera Flow-plattformen, inkludert alle funksjoner, API-er, nettsider og tilknyttede tjenester levert av Synera Flow AS.
3. Hvilke personopplysninger vi samler inn
Vi samler inn og behandler følgende kategorier av personopplysninger:
3.1 Opplysninger du gir oss direkte
- •Kontoinformasjon: E-postadresse, passord (lagret i kryptert form med bcrypt-hashing), virksomhetsnavn, bransje/virksomhetstype og eventuelt kontaktperson.
- •Kontaktinformasjon: Telefonnummer (dersom du aktiverer SMS-basert totrinns-verifisering).
- •Betalingsinformasjon: Betalingsopplysninger håndteres utelukkende av vår betalingspartner Stripe, Inc. Vi lagrer aldri kortnumre, utløpsdato eller CVC-koder direkte.
- •Kundeinnhold og kampanjedata: Tekstinnhold, kampanjeoppsett, målgruppedefinisjoner, nøkkelord, bilder du laster opp, merkevare-profil og annet innhold du oppretter i tjenesten.
- •Korrespondanse: Kommunikasjon du sender til oss via e-post eller gjennom tjenesten.
3.2 Opplysninger vi samler automatisk
- •Teknisk informasjon: IP-adresse, nettlesertype og -versjon, operativsystem, skjermoppløsning, enhetsinformasjon og tidssone.
- •Bruksdata: Sidevisninger, klikk, funksjonsbruk, tidsbruk, navigasjonsmønstre og feillogger.
- •Informasjonskapsler (cookies): Vi benytter nødvendige informasjonskapsler for autentisering og sesjonsbehandling, samt analyse-informasjonskapsler (se punkt 11).
- •AI-generert innhold: Tjenesten genererer markedsføringsinnhold ved hjelp av kunstig intelligens. Innholdet som genereres lagres i tilknytning til din konto.
3.3 Opplysninger fra tredjeparter
- •Google-innlogging: Dersom du logger inn via Google SSO, mottar vi ditt navn og e-postadresse fra Google.
- •Betalingsbekreftelser fra Stripe: Ved betalingstransaksjoner mottar vi bekreftelse på betaling, abonnementsstatus og fakturadetaljer fra Stripe.
4. Formål og rettslig grunnlag for behandlingen
Vi behandler personopplysninger kun for spesifikke, uttrykkelig angitte og legitime formål, i henhold til GDPR art. 5(1)(b):
| Formål | Rettslig grunnlag (GDPR) | Beskrivelse |
|---|
| Kontoopprettelse og -administrasjon | Art. 6(1)(b) – Avtale | Nødvendig for å opprette, vedlikeholde og administrere din brukerkonto. |
| Levering av AI-generert innhold | Art. 6(1)(b) – Avtale | Nødvendig for å generere markedsføringsinnhold, kampanjer og bilder som du ber om. |
| Betalingsbehandling | Art. 6(1)(b) – Avtale | Nødvendig for å behandle abonnementsbetalinger og fakturering gjennom Stripe. |
| Sikkerhet og svindelforebygging | Art. 6(1)(f) – Berettiget interesse | Beskytte plattformen mot uautorisert tilgang, misbruk og svindel. |
| Tjenesteoptimalisering og analyse | Art. 6(1)(f) – Berettiget interesse | Forbedre brukeropplevelsen og tjenestens kvalitet basert på aggregerte bruksmønstre. |
| Kommunikasjon og driftsvarsler | Art. 6(1)(b/f) – Avtale/Berettiget interesse | Sende viktige oppdateringer, fakturaer, driftsmeldinger og sikkerhetsvarsler. |
| Rettslige forpliktelser | Art. 6(1)(c) – Rettslig forpliktelse | Oppfylle krav i regnskapsloven, bokføringsloven og personopplysningsloven. |
| Markedsføring og nyhetsbrev | Art. 6(1)(a) – Samtykke | Kun med ditt uttrykkelige samtykke. Du kan når som helst trekke tilbake samtykket. |
Vår berettigede interesse er vurdert opp mot den registrertes rettigheter og friheter i en interesseavveining (balancing test) for hvert formål der dette grunnlaget benyttes.
5. Bruk av kunstig intelligens og automatisert behandling
Synera Flow benytter kunstig intelligens (AI) for å generere markedsføringsinnhold på vegne av våre kunder. Dette avsnittet gir detaljert informasjon i henhold til GDPR art. 13(2)(f) og art. 22.
5.1 Hvordan AI brukes i tjenesten
- •Innholdsgenerering: Vi benytter tredjeparts AI-modeller (store språkmodeller) for å generere tekstinnhold, kampanjeforslag og markedsføringskopi basert på dine instruksjoner, merkevare-profil og kampanjeoppsett.
- •Anbefalinger: AI kan foreslå optimale tidspunkter, plattformer og formater basert på aggregerte bruksmønstre.
- •Bildegenerering: Genererte bilder produseres via AI-bildegenerering basert på tekstbeskrivelser og eventuell stilreferanse.
5.2 Bruk av personopplysninger i AI
Vi bruker IKKE dine personopplysninger til å trene eller finjustere AI-modeller. Spesifikt:
- •Input/output: Innholdet du genererer sendes til vår AI-leverandør for å produsere resultater, men lagres ikke av AI-leverandøren for modelltrening.
- •Forbedring: Vi bruker kun aggregerte, anonymiserte data for å forbedre tjenestens funksjonalitet.
- •Kontekst: Din merkevare-profil, nøkkelord og kampanjeoppsett brukes som kontekst for AI-generering, men disse deles ikke med AI-leverandøren utover den aktuelle forespørselen.
5.3 Automatiserte beslutninger
Tjenesten foretar ikke automatiserte beslutninger med rettsvirkning eller tilsvarende vesentlig virkning for deg, jf. GDPR art. 22. AI-generert innhold er forslag som krever din aktive gjennomgang og godkjenning før bruk.
6. Deling av personopplysninger med tredjeparter
Vi selger aldri dine personopplysninger. Vi deler kun opplysninger med tredjeparter når det er nødvendig for å levere tjenesten eller der vi er rettslig forpliktet til det.
6.1 Underleverandører og databehandlere
| Leverandør | Formål | Data som behandles | Lokasjon |
|---|
| Stripe, Inc. | Betalingsbehandling | Betalingsinformasjon, e-post | USA (DPF-sertifisert) |
| Abacus.AI | Plattform/hosting | Alle tjenesterelaterte data | USA/EU (SCC) |
| AI-leverandør (LLM) | Innholdsgenerering | Prompts/input, generert innhold | USA (DPF/SCC) |
| AWS S3 | Fillagring | Opplastede bilder og filer | AWS-infrastruktur |
| Google Analytics (GA4) | Bruksanalyse | Anonymisert bruksdata, IP | USA (DPF-sertifisert) |
| Twilio Inc. | SMS-verifisering (2FA) | Telefonnummer, SMS-koder | USA (DPF/SCC) |
| Meta Platforms (Facebook/Instagram) | Publisering av kampanjeinnhold (planlagt) | Kampanjeinnhold, sideadministrasjon | USA (DPF-sertifisert) |
| LinkedIn Corporation | Publisering av kampanjeinnhold (planlagt) | Kampanjeinnhold, bedriftssidepublisering | USA (DPF-sertifisert) |
| Google Ads | Annonsekampanjer (planlagt) | Annonseinnhold, målgruppekonfigurasjon | USA (DPF-sertifisert) |
6.2 Andre mottakere
- •Myndigheter: Opplysninger kan utleveres til offentlige myndigheter der vi er rettslig forpliktet til det, eksempelvis ved pålegg fra domstol, politi eller skattemyndigheter.
- •Virksomhetsoverdragelse: Dersom Synera Flow AS er gjenstand for fusjon, oppkjøp, omorganisering eller konkurs, kan personopplysninger overføres til overtakende part. Du vil bli varslet i rimelig tid.
- •Tilknyttede Synera-tjenester: Synera Flow AS kan over tid utvide sitt tjenestetilbud. Opplysninger kan deles med tilknyttede tjenester i Synera-plattformen for å gi deg en sammenhengende opplevelse, forutsatt at du informeres og gir samtykke ved behov.
7. Overføring av personopplysninger utenfor EØS
Enkelte av våre underleverandører behandler personopplysninger i land utenfor Det europeiske økonomiske samarbeidsområdet (EØS). Vi sikrer at alle slike overføringer skjer i samsvar med GDPR kapittel V, ved bruk av følgende mekanismer:
- •Adekvatbeslutning (DPF): For leverandører sertifisert under EU-U.S. Data Privacy Framework (DPF), anerkjent som adekvat av EU-kommisjonen.
- •Standard personvernbestemmelser (SCC): For leverandører som ikke er DPF-sertifisert, benyttes EUs standard personvernbestemmelser (SCC) vedtatt av EU-kommisjonen.
- •Supplerende tiltak: I tillegg til SCC/DPF gjennomfører vi regelmessige risikovurderinger (Transfer Impact Assessments) for å sikre at beskyttelsesnivået er tilstrekkelig.
Du kan be om kopi av de relevante overføringsmekanismene ved å kontakte oss på [email protected].
8. Lagring, sletting og oppbevaring
Vi lagrer personopplysninger kun så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er rettslig forpliktet til det:
- •Kontodata: Lagres så lenge du har en aktiv konto, pluss 12 måneder etter kontoavslutning for å ivareta eventuelle krav eller tvister.
- •Generert innhold og kampanjedata: Lagres så lenge kontoen er aktiv. Ved sletting av konto fjernes data innen 90 dager, med unntak av anonymiserte aggregerte data.
- •Betalingsinformasjon: Transaksjonsdata oppbevares i 5 år etter transaksjonstidspunktet i henhold til bokføringsloven § 13.
- •Sikkerhetslogger: Oppbevares i 12 måneder for å oppdage og undersøke sikkerhetshendelser.
- •Samtykkehistorikk: Oppbevares i minimum 5 år i henhold til GDPRs ansvarlighetsprinsipp (art. 5(2)).
Du kan når som helst be om sletting av din konto og tilhørende data ved å kontakte oss på [email protected]. Vi vil bekrefte slettingen innen 30 dager.
9. Dine rettigheter som registrert
I henhold til personopplysningsloven og GDPR kapittel III har du følgende rettigheter:
- •Rett til innsyn: Du har rett til å få bekreftet om vi behandler personopplysninger om deg, og i så fall få innsyn i opplysningene og informasjon om behandlingen (GDPR art. 15).
- •Rett til retting: Du har rett til å få uriktige eller ufullstendige personopplysninger rettet uten ugrunnet opphold (GDPR art. 16).
- •Rett til sletting («retten til å bli glemt»): Du har rett til å kreve at vi sletter personopplysninger om deg under visse forutsetninger, f.eks. når opplysningene ikke lenger er nødvendige for formålet, eller du trekker tilbake samtykke (GDPR art. 17).
- •Rett til begrensning av behandling: Du har rett til å kreve at behandlingen begrenses i visse situasjoner (GDPR art. 18).
- •Rett til dataportabilitet: Du har rett til å motta dine personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre disse til en annen behandlingsansvarlig (GDPR art. 20).
- •Rett til å protestere: Du har rett til å protestere mot behandling basert på berettiget interesse. Vi vil da stanse behandlingen med mindre vi kan påvise tvingende berettigede grunner (GDPR art. 21).
- •Rett til å trekke tilbake samtykke: Dersom behandling er basert på samtykke, kan du trekke tilbake samtykket når som helst. Tilbaketrekkingen påvirker ikke lovligheten av behandling som allerede har funnet sted (GDPR art. 7(3)).
- •Rett vedrørende automatiserte avgjørelser: Du har rett til ikke å bli underlagt automatiserte avgjørelser som har rettsvirkning for deg (GDPR art. 22).
9.1 Utøvelse av rettigheter
For å utøve dine rettigheter, kontakt oss på [email protected]. Vi vil bekrefte din identitet og besvare forespørselen innen 30 dager. I komplekse tilfeller kan fristen forlenges med ytterligere 60 dager.
9.2 Dataportabilitet – eksportformater
Ved forespørsel om dataportabilitet (GDPR art. 20) vil vi tilby eksport av dine data i følgende formater:
- • Kontoinformasjon og profildata i JSON-format.
- • Generert innhold og kampanjedata i JSON eller CSV-format.
- • Opplastede bilder og filer i originalformat.
Eksport vil normalt ferdigstilles innen 10 virkedager etter mottatt forespørsel.
9.3 Klagerett
Du har rett til å klage til den relevante tilsynsmyndigheten i ditt land dersom du mener at vår behandling av personopplysninger bryter med gjeldende personvernlovgivning:
- •Norge: Datatilsynet (datatilsynet.no)
- •Sverige: Integritetsskyddsmyndigheten (IMY) (imy.se)
- •Danmark: Datatilsynet (datatilsynet.dk)
10. Informasjonssikkerhet
Vi tar informasjonssikkerhet svært alvorlig og har implementert omfattende tekniske og organisatoriske tiltak for å beskytte personopplysninger, i samsvar med GDPR art. 32:
10.1 Tekniske tiltak
- •Kryptering: Alle data i transitt beskyttes med TLS 1.2/1.3-kryptering. Data i hvile krypteres med AES-256.
- •Passordbeskyttelse: Passord lagres med enveis kryptografisk hashing (bcrypt med salt), og kan aldri gjenskapes.
- •Totrinns-verifisering (2FA): Støtte for Google Authenticator (TOTP) og SMS-verifisering for ekstra kontosikkerhet.
- •Hastighetsbegrensning: Rate limiting på autentiseringsendepunkter for å beskytte mot brute force-angrep.
- •Sikkerhetsoverskrifter: Strict-Transport-Security (HSTS), X-Content-Type-Options, X-XSS-Protection, Referrer-Policy og Permissions-Policy.
- •Tilgangskontroll: All administratortilgang krever autentisering og er begrenset til spesifikt autoriserte e-postadresser.
- •Kontodeaktivering: Deaktiverte kontoer blokkeres automatisk ved innloggingsforsøk.
10.2 Organisatoriske tiltak
- •Taushetsplikt: Alle ansatte med tilgang til personopplysninger er underlagt taushetsplikt.
- •Sikkerhetsvurderinger: Vi gjennomfører regelmessige sikkerhetsgjennomganger og oppdatering av sikkerhetstiltak.
- •Avvikshåndtering: Vi har etablerte prosedyrer for å oppdage, rapportere og håndtere brudd på personopplysningssikkerheten.
- •Tilgangsstyring: Tilgang til personopplysninger gis kun til personell som har et tjenstlig behov.
11. Informasjonskapsler og sporingsteknologier
Vi benytter informasjonskapsler (cookies) og lignende teknologier på nettsiden vår. I henhold til den norske ekomloven § 3-15 (med virkning fra 1. januar 2025) og GDPR, kreves det gyldig samtykke før bruk av andre informasjonskapsler enn de som er strengt nødvendige for tjenestens funksjon.
11.1 Kategorier av informasjonskapsler
| Navn | Kategori | Formål | Utløper | Leverandør |
|---|
| next-auth.session-token | Nødvendig | Opprettholder innloggingssesjon (JWT) | Sesjon / 30 dager | Synera Flow |
| next-auth.csrf-token | Nødvendig | Beskyttelse mot CSRF-angrep | Sesjon | Synera Flow |
| next-auth.callback-url | Nødvendig | Omdirigering etter innlogging | Sesjon | Synera Flow |
| __stripe_mid / __stripe_sid | Nødvendig | Betalingssikkerhet og svindelforebygging | 1 år / 30 min | Stripe Inc. |
| _ga / _ga_* | Analyse | Skiller brukere for trafikkanalyse (GA4) | 2 år / 24 t | Google LLC |
| _gid | Analyse | Skiller brukere innen 24-timersperiode | 24 timer | Google LLC |
| cookie_consent | Nødvendig | Lagrer ditt samtykkevalg | 1 år | Synera Flow |
11.2 Samtykkeforvaltning
I samsvar med ekomloven § 3-15 og GDPR art. 7 innhenter vi ditt samtykke for ikke-nødvendige informasjonskapsler gjennom et samtykkebanner ved ditt første besøk. Du kan når som helst endre eller trekke tilbake ditt samtykke via innstillinger i bunnteksten på nettsiden.
Vi benytter ikke «cookie walls» som betinger tilgang til tjenesten på aksept av ikke-nødvendige informasjonskapsler. Samtykkehistorikk dokumenteres og oppbevares i minimum 5 år.
11.3 Tredjepartsinformasjonskapsler
Stripe kan sette informasjonskapsler for å behandle betalinger sikkert. Google kan sette informasjonskapsler ved innlogging via Google SSO og for Google Analytics. Vi setter ingen informasjonskapsler for reklameformål. Ved bruk av tredjepartsinformasjonskapsler kan vi ha felles behandlingsansvar med tredjeparten, jf. GDPR art. 26.
11.4 Administrering av informasjonskapsler
Du kan administrere og slette informasjonskapsler gjennom innstillingene i din nettleser. For å fravelge Google Analytics spesifikt, kan du installere Google sin nettlesertillegg: tools.google.com/dlpage/gaoptout.
12. Særskilt om personvern ved bruk av AI-generert innhold
Synera Flow er et AI-verktøy som genererer markedsføringsinnhold. Vi gjør følgende presiseringer:
- •Nøyaktighet: AI-generert innhold kan inneholde unøyaktigheter. Du er selv ansvarlig for å gjennomgå, redigere og godkjenne alt innhold før publisering.
- •Tredjeparters personopplysninger: Vi anbefaler at du ikke legger inn personopplysninger om tredjeparter (f.eks. kunders personopplysninger) som input til AI-verktøyet.
- •Databehandling ved AI-leverandør: AI-leverandøren mottar dine prompts for å generere innhold. Denne behandlingen skjer under databehandleravtale og dataen brukes ikke til modelltrening.
- •Eierskap til generert innhold: Du beholder eiendomsretten til innhold du genererer via tjenesten, med de begrensninger som følger av brukervilkårene.
- •EU AI Act – transparens: I henhold til EUs AI-forordning (Regulation (EU) 2024/1689, art. 50) informerer vi om at innhold generert gjennom Synera Flow er produsert ved bruk av kunstig intelligens. Dersom du publiserer AI-generert innhold, anbefaler vi at du merker det i samsvar med gjeldende krav til transparens.
13. Barns personvern
Synera Flow er en bedriftsrettet tjeneste (B2B) som ikke er rettet mot barn under 18 år. Vi samler ikke bevisst inn personopplysninger fra personer under 18 år. Dersom vi oppdager at vi har mottatt opplysninger fra et barn, vil vi slette disse umiddelbart. Kontakt oss på [email protected] dersom du mener dette har skjedd.
14. Personvernombud
Basert på virksomhetens nåværende omfang og type behandlingsaktiviteter, har vi vurdert at det per i dag ikke er lovpålagt å utpeke et personvernombud (DPO) etter GDPR art. 37. Denne vurderingen revurderes jevnlig.
For alle henvendelser om personvern, kontakt: [email protected]. Denne e-postadressen fungerer som kontaktpunkt for alle personvernrelaterte henvendelser, inkludert forespørsler som normalt ville vært rettet til et personvernombud (DPO).
15. Vurdering av personvernkonsekvenser (DPIA)
Vi gjennomfører vurderinger av personvernkonsekvenser (DPIA) i henhold til GDPR art. 35 ved innføring av nye behandlingsaktiviteter som sannsynligvis medfører høy risiko for de registrertes rettigheter og friheter. Bruk av AI-teknologi i vår tjeneste er en faktor som kan utløse behov for DPIA, og vi har gjennomført slike vurderinger for vår AI-baserte innholdsgenerering.
16. Brudd på personopplysningssikkerheten
I tilfelle brudd på personopplysningssikkerheten (datainnbrudd), vil vi:
- •Melde til tilsynsmyndigheten: Varsle Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter å ha blitt kjent med bruddet, i henhold til GDPR art. 33.
- •Varsle berørte: Dersom bruddet medfører høy risiko for dine rettigheter og friheter, vil vi varsle deg direkte uten ugrunnet opphold, i henhold til GDPR art. 34.
- •Dokumentere og håndtere: Vi har interne prosedyrer for å dokumentere, undersøke og begrense konsekvensene av ethvert brudd.
17. Endringer i personvernerklæringen
Vi kan oppdatere denne personvernerklæringen for å reflektere endringer i vår praksis, tjenester eller gjeldende lovgivning. Ved vesentlige endringer vil du bli varslet via e-post eller gjennom tjenesten minst 30 dager før endringene trer i kraft.
Dato for siste endring vises øverst i dette dokumentet. Vi oppfordrer deg til å gjennomgå erklæringen regelmessig.
18. Synera-plattformen og fremtidige tjenester
Synera Flow AS kan over tid utvide sitt tjenestetilbud med nye produkter og tjenester. Dersom nye tjenester lanseres, kan din konto benyttes på tvers av disse – forutsatt at du gir eksplisitt samtykke. Denne personvernerklæringen vil da utvides eller suppleres med tjenestespesifikke vilkår.
19. Kontaktinformasjon
Dersom du har spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger:
Synera Flow AS
E-post: [email protected]
Nettside: www.syneraflow.no
Datatilsynet (norsk tilsynsmyndighet)
Nettside: datatilsynet.no
Telefon: 22 39 69 00
Postadresse: Postboks 458 Sentrum, 0105 Oslo
Integritetsskyddsmyndigheten (svensk tilsynsmyndighet)
Nettside: imy.se
Datatilsynet (dansk tilsynsmyndighet)
Nettside: datatilsynet.dk