Vi samler ingen finansielle kontoopplysninger, bankdetaljer eller kredittkortnummer. All finansdata du legger inn, registrerer du selv manuelt.
Fimly er klargjort for App Store-lansering. Vi behandler bare opplysninger som er nødvendige for å levere, sikre og forbedre tjenesten.
1. Behandlingsansvarlig
Fimly er en norsk økonomitjeneste for par og husholdninger. Tjenesten drives av:
Fimly AS
Org.nr 937 578 113
Bergen
Norge
E-post: hei@fimly.no
Fimly AS er behandlingsansvarlig for personopplysningene som behandles gjennom tjenesten. Kontaktperson for personvernspørsmål er Fimly AS.
For spørsmål om personvern, kontakt oss på: hei@fimly.no
1B. Hvilke personopplysninger vi behandler
Fimly behandler bare personopplysninger som er nødvendige for å levere, sikre og forbedre tjenesten. Dette kan omfatte følgende kategorier:
- Kontoopplysninger: e-postadresse, visningsnavn, bruker-ID, innloggingsstatus og autentiseringsinformasjon.
- Husholdningsopplysninger: husholdningsnavn, kobling mellom medlemmer, invitasjonskoder, rolle/tilgang i husholdningen og hvilke opplysninger som er merket som privat eller felles.
- Økonomidata du selv legger inn: transaksjoner, beløp, datoer, kategorier, budsjettgrenser, inntekter, faste kostnader, abonnementer, lån, sparemål, fordelingsvalg og notater du selv registrerer.
- Importerte filer og importdata: CSV- eller Excel-filer du selv laster opp fra nettbanken, samt transaksjonsdata som trekkes ut fra slike filer. Fimly har ikke automatisk banktilkobling og henter ikke data direkte fra banken din.
- Betalings- og abonnementsopplysninger: abonnementsstatus, valgt plan, App Store-kvitteringer og historiske betalings-/regnskapsopplysninger der dette finnes. Betaling for Fimly Plus håndteres via Apple In-App Purchase når Plus lanseres. Fimly lagrer ikke fullstendige kortnumre.
- Kommunikasjonsdata: e-posthenvendelser, supportdialog, invitasjonsmeldinger, systemvarsler og eventuelle samtykker eller avmeldinger fra markedsføring.
- App Store-lanseringslisten: e-postadressen du registrerer i lanseringsskjemaet, samtykketeksten du så ved avkrysning, tidspunkt for samtykke, sidekilde og språk.
- Tekniske data og sikkerhetslogger: IP-adresse, tidspunkt for innlogging, enhets-/nettleserinformasjon, feillogger, audit-logg, rate-limiting-data og hendelser som er nødvendige for sikker drift.
- Produkt- og nettstedsstatistikk: aggregert eller begrenset bruksstatistikk fra Fimly-nettsiden og appen, der dette er konfigurert uten annonseprofilering.
Vi behandler ikke personnummer, biometriske opplysninger eller presis lokasjon. Vi ber deg om ikke å legge inn særlige kategorier av personopplysninger i fritekstfelt eller notater.
1C. Formål og rettslig grunnlag
Vi behandler personopplysninger for konkrete formål. Tabellen under viser hvilket rettslig grunnlag vi bruker for hvert formål:
| Formål | Personopplysninger | Rettslig grunnlag |
|---|---|---|
| Opprette og administrere brukerkonto | Kontoopplysninger, autentiseringsdata og innloggingsstatus | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Levere Fimly-tjenesten | Husholdningsopplysninger, økonomidata, budsjett, transaksjoner, sparemål, lån, faste kostnader og innstillinger | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Importere transaksjoner fra CSV/Excel | Filer og transaksjonsdata du selv laster opp | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Dele felles økonomidata med husholdningsmedlemmer | Opplysninger du eller andre medlemmer markerer som felles | Avtale, GDPR art. 6 nr. 1 bokstav b. For frivillige delingsvalg kan samtykke eller aktiv brukerhandling også inngå som del av funksjonen. |
| Behandle betaling og abonnement | Abonnementsstatus, valgt plan, historiske betalings-/kvitteringsopplysninger og eventuelle App Store-kvitteringer når Plus lanseres | Avtale, GDPR art. 6 nr. 1 bokstav b, og rettslig forpliktelse for bokføring, GDPR art. 6 nr. 1 bokstav c |
| Kundesupport og henvendelser | Kontaktopplysninger, supportdialog og teknisk informasjon du sender oss | Avtale, GDPR art. 6 nr. 1 bokstav b, eller berettiget interesse, GDPR art. 6 nr. 1 bokstav f |
| Sikkerhet, feilsøking, misbruksforebygging og audit-logg | Tekniske logger, IP-adresse, innloggingshendelser, feilmeldinger og sikkerhetshendelser | Berettiget interesse i å sikre tjenesten, GDPR art. 6 nr. 1 bokstav f, og rettslig forpliktelse til egnet sikkerhet, GDPR art. 6 nr. 1 bokstav c jf. art. 32 |
| Nettstedsstatistikk | Aggregert, cookiefri statistikk fra offentlige nettsider | Berettiget interesse, GDPR art. 6 nr. 1 bokstav f |
| Produktforbedring | Begrenset produktanalytikk, hendelser og teknisk bruksinformasjon | Berettiget interesse, GDPR art. 6 nr. 1 bokstav f, så lenge behandlingen ikke innebærer unødvendig profilering eller annonseformål |
| Markedsføring på e-post | E-postadresse, samtykkestatus og avmeldingsstatus | Samtykke, GDPR art. 6 nr. 1 bokstav a, eller eksisterende kundeforhold der ekomloven tillater markedsføring av lignende tjenester. Du kan alltid melde deg av. |
| Varsling om App Store-lansering | E-postadresse, samtykketekst, samtykketidspunkt, sidekilde og språk for App Store-lanseringslisten | samtykke, GDPR art. 6 nr. 1 bokstav a. Formålet er kun å varsle deg når Fimly er klar i App Store. |
| Bokføring, regnskap og myndighetskrav | Faktura-, betalings- og regnskapsopplysninger | Rettslig forpliktelse, GDPR art. 6 nr. 1 bokstav c |
Du kan når som helst trekke tilbake samtykke som er gitt. Datatilsynet legger til grunn at virksomheter må ha ett behandlingsgrunnlag per formål og informere brukeren om hvilke opplysninger som brukes til hvilke formål.
Vi bruker ikke personopplysningene dine til annonseprofilering eller målrettet reklame, og vi selger dem ikke til tredjeparter.
4. Hvem som har tilgang til dataen din
Data du merker som "privat" i appen er kun synlig for deg. Data merket som "felles" er synlig for andre du har invitert inn i husholdningen. Du kontrollerer dette via personverninnstillingene i appen.
Vi har implementert tekniske og organisatoriske tiltak, inkludert row-level security (RLS) i databasen, streng tilgangskontroll internt, og klientside-kryptering for utvalgte sensitive økonomifelter (se seksjon 4B). Andre opplysninger som e-postadresse, abonnementsstatus og sikkerhetslogger behandles av Fimly for å levere og sikre tjenesten. Se seksjonen om sikkerhet nedenfor for detaljer.
4B. Sikkerhet
Vi jobber kontinuerlig med å beskytte dine data. Per i dag har vi implementert:
- Klientside-kryptering for utvalgte sensitive økonomifelter: Utvalgte sensitive felt, blant annet beløp på transaksjoner, sparemål og lån, krypteres på enheten din før lagring. Krypteringen gjelder ikke metadata om transaksjoner (som datoer og kategorier), e-postadresse, abonnementsstatus, tekniske logger eller audit-logg. Disse feltene behandles av Fimly for innlogging, abonnement, support og sikker drift.
- Kjernedata lagres i Supabase i EU-region
- Tilgangskontroll per husholdning, blant annet gjennom row-level security
- HTTPS-kryptering mellom enhet og servere
- Audit-logging av sikkerhetshendelser
- Rate limiting og beskyttelse mot vanlige angrep
Recovery-koder består av 24 ord som vises til deg i appen. Fimly lagrer ikke ordene eller den deriverte recovery-nøkkelen; vi lagrer kun en kryptert nøkkelkopi og teknisk metadata som tidspunkt for generering. Hvis recovery-koden brukes, audit-logges hendelsen for sikkerhetsformål.
Viktig: Selv om vi gjør alt vi kan for å sikre tjenesten, kan tekniske feil og sårbarheter forekomme i digitale tjenester. Dersom du oppdager noe, kontakt oss umiddelbart på hei@fimly.no. Ved avdekkede brudd på personvernet vil vi varsle Datatilsynet innen 72 timer og berørte brukere uten ugrunnet opphold, i tråd med GDPR art. 33–34.
Du er selv ansvarlig for å holde passordet ditt trygt og ikke dele det med andre. Vi anbefaler sterkt at du bruker et unikt passord for Fimly.
5. Leverandører og databehandlere
Fimly bruker leverandører for drift, betaling, feilretting, statistikk og kommunikasjon. Der en leverandør behandler personopplysninger på våre vegne, skal det foreligge databehandleravtale. Enkelte leverandører kan også være selvstendig behandlingsansvarlige for deler av behandlingen, for eksempel betalings- og domene-/registrartjenester.
| Leverandør | Formål | Typiske opplysninger | Lokasjon/overføring |
|---|---|---|---|
| Supabase | Database, autentisering og lagring | Kontoopplysninger, husholdningsdata, økonomidata og tekniske logger | Fimly bruker EU-region der dette er konfigurert, typisk Central EU/Frankfurt. Supabase opplyser at hvert prosjekt deployes til én valgt primærregion (Supabase regioner). Databehandleravtale er inngått. |
| Vercel | Hosting, frontend og CDN | Tekniske forespørsler, IP-adresse, logger og driftsdata | Global infrastruktur. Vercel har databehandleravtale og bruker blant annet EU-kommisjonens standardkontraktbestemmelser (SCC) for relevante overføringer (Vercel DPA). |
| Apple App Store / In-App Purchase | Distribusjon og betaling for iOS-brukere fra App Store-launch | Kjøpsstatus, kvitteringer, abonnement og Apple-kontoopplysninger som Apple behandler for kjøp | Apple behandler kjøp og abonnement etter Apples egne vilkår og personvernregler. Apple kan bruke global infrastruktur og egne overføringsgrunnlag der relevant. |
| Sentry | Feilrapportering, stabilitet og sikkerhetsrelatert feilsøking | Feilmeldinger, tekniske logger, enhets-/nettleserinformasjon og eventuell bruker-ID hvis inkludert i feillogg | Sentry tilbyr datalagring i EU/Frankfurt eller USA. Enkelte konto-, organisasjons- og metadata kan likevel behandles utenfor valgt region. Sentry omtaler både Data Privacy Framework og SCC for overføringer til USA (Sentry datalokasjon). |
| Plausible | Cookiefri nettstedsstatistikk | Aggregert statistikk om besøk og sidevisninger | Plausible opplyser at visitor-data behandles og lagres i EU og ikke overføres til USA (Plausible EU-hosting). |
| Domeneshop | Domene, DNS og eventuell e-post | Kontaktopplysninger, domeneadministrasjon og e-postrelaterte opplysninger hvis e-posttjenesten brukes | Norsk leverandør. Domeneshop AS er et norsk selskap (Domeneshop personvern). |
| ImprovMX | E-postvideresending for hei@fimly.no | Avsenderadresse, mottakeradresse, e-postemne og innhold i henvendelser sendt til Fimly | ImprovMX kan behandle e-postdata i USA og Europa (ImprovMX personvern). Overføring til USA skjer på grunnlag av EU-kommisjonens standardkontraktbestemmelser (SCC) og/eller Data Privacy Framework der relevant. |
5B. Overføring til land utenfor EU/EØS
Noen leverandører er etablert i USA eller bruker global infrastruktur. Dette kan innebære at personopplysninger overføres til eller gjøres tilgjengelige fra land utenfor EU/EØS. Dette gjelder særlig Apple, Vercel, Sentry og ImprovMX.
Der personopplysninger overføres ut av EU/EØS, bruker vi gyldig overføringsgrunnlag etter GDPR kapittel V, typisk EU-kommisjonens standardkontraktbestemmelser (SCC) og/eller EU–US Data Privacy Framework der leverandøren er sertifisert og dette er relevant. Vi vurderer også hvilke personopplysninger som overføres, formålet med overføringen, leverandørens tekniske og organisatoriske tiltak, og om supplerende tiltak er nødvendig.
Datatilsynet presiserer at virksomheter må identifisere et gyldig overføringsgrunnlag før personopplysninger overføres ut av EØS, og at overføringsgrunnlaget også må fungere i praksis (Datatilsynet om overføring ut av EØS).
Fimly forsøker å begrense hvilke data som sendes til leverandører utenfor EU/EØS. Som hovedregel sender vi ikke transaksjonsbeløp, transaksjonsnotater, lånedetaljer, sparemål-beløp eller kategoriserte økonomihendelser til Sentry. Dersom en konkret feilsak krever midlertidig innsyn for å gjenskape og rette en feil, skjer dette etter prinsippet om dataminimering, med tilgangsstyring og intern logging av hvilke data som ble eksponert.
6. Lagring og sletting
Personopplysninger lagres så lenge du har en aktiv konto, eller så lenge det er nødvendig for formålene beskrevet i denne erklæringen. Du kan eksportere data via "Innstillinger" i appen.
- Konto- og appdata: lagres så lenge kontoen er aktiv.
- Økonomidata du selv legger inn: lagres til du sletter opplysningene, forlater husholdningen der dette er teknisk mulig, eller sletter kontoen.
- Audit-logg og sikkerhetslogger: lagres normalt i inntil 90 dager, med mindre lengre lagring er nødvendig for å undersøke misbruk, sikkerhetshendelser eller rettskrav.
- Supporthenvendelser: lagres så lenge det er nødvendig for å håndtere saken og dokumentere oppfølging.
- App Store-lanseringslisten: Slettes når lanseringsvarslingen er sendt, når du trekker samtykket tilbake, eller når du vil be oss slette deg fra lanseringslisten.
- Regnskaps- og betalingsdokumentasjon: lagres så lenge bokføringsregelverket krever det.
Du kan slette kontoen via "Innstillinger" → "Slett konto" i appen, eller kontakte oss på hei@fimly.no. Når kontoen slettes, sletter eller anonymiserer vi personopplysninger som ikke må beholdes av lovpålagte grunner, sikkerhetshensyn eller for å håndtere rettskrav.
7. Cookies og sporingsverktøy
Vi bruker ikke reklamecookies eller sporingscookies. Vi bruker kun teknisk nødvendige cookies for å holde deg innlogget.
Plausible Analytics: Vi bruker Plausible for nettstedsstatistikk på de offentlige sidene. Plausible opplyser at tjenesten er cookie-fri, ikke bruker permanente identifikatorer eller sporing på tvers av nettsteder, og at visitor-data behandles og lagres i EU. Behandlingen skjer under berettiget interesse for å optimalisere Fimly-nettsiden. Plausible datapolicy →
7B. E-postkommunikasjon
Vi sender deg to typer e-post:
Transaksjonelle e-poster er nødvendige for å levere tjenesten du har bestilt — for eksempel bekreftelse på opprettet konto, varsler om betaling og faktura, invitasjoner fra partneren din, viktige oppdateringer av vilkår og personvernerklæring, og sikkerhetsvarsler. Rettsgrunnlaget er avtalen du har inngått med oss (GDPR art. 6(1)(b)) eller vår berettigede interesse i å drive tjenesten sikkert (art. 6(1)(f)). Du kan ikke melde deg av disse uten å si opp kontoen, men mengden er begrenset til det som er strengt nødvendig.
Markedsføringse-poster om nye funksjoner, tips og kampanjer er frivillige. Du får slike e-poster kun hvis du har gitt aktivt samtykke — enten ved registrering, i innstillingene, eller som eksisterende betalende Plus-kunde i tråd med ekomloven § 2-15 annet ledd (markedsføring av lignende tjenester). Du kan når som helst melde deg av via lenken nederst i hver markedsføringse-post eller under «Kommunikasjonsinnstillinger» i appen. Avmelding trer i kraft umiddelbart.
8. Dine rettigheter
Du har rettigheter etter GDPR artikkel 12–22. Du kan utøve rettighetene dine ved å bruke selvbetjeningsfunksjoner i appen der de finnes, eller ved å kontakte oss på hei@fimly.no fra e-postadressen du bruker i Fimly. Vi kan be deg bekrefte identiteten din før vi behandler forespørselen.
- Innsyn: Du kan be om kopi av personopplysningene vi behandler om deg. Bruk "Innstillinger" → "Eksporter data", eller send e-post med emnet "Innsyn".
- Retting: Du kan rette mange opplysninger direkte i appen. Hvis du ikke får rettet en opplysning selv, kan du kontakte oss.
- Sletting: Du kan slette enkeltopplysninger eller hele kontoen i appen. Du kan også be oss slette personopplysninger, med mindre vi må beholde dem på grunn av lovpålagte krav, sikkerhetshensyn eller rettskrav.
- Begrensning: Du kan be oss begrense behandlingen av personopplysninger mens vi undersøker en innsigelse, rettingsforespørsel eller annen uenighet.
- Dataportabilitet: Du kan eksportere data du selv har lagt inn i et strukturert format via "Innstillinger" → "Eksporter data".
- Innsigelse: Du kan protestere mot behandling som bygger på berettiget interesse, for eksempel enkelte former for analyse, sikkerhetslogging eller produktforbedring. Vi vil da vurdere om vi har tungtveiende berettigede grunner til å fortsette behandlingen.
- Tilbaketrekking av samtykke: Hvis behandlingen bygger på samtykke, kan du trekke samtykket tilbake når som helst. Dette påvirker ikke lovligheten av behandling som skjedde før samtykket ble trukket tilbake.
- Automatiserte avgjørelser: Fimly tar ikke beslutninger med rettsvirkning eller tilsvarende vesentlig betydning for deg utelukkende basert på automatisert behandling. Hvis dette endres, vil vi informere deg særskilt.
- Klage: Du kan klage til Datatilsynet (datatilsynet.no) dersom du mener vi behandler personopplysninger i strid med regelverket.
Vi svarer normalt innen 30 dager. Dersom forespørselen er kompleks eller vi mottar mange forespørsler, kan fristen forlenges i tråd med GDPR. I så fall informerer vi deg om forlengelsen og årsaken.
9. Deling i husholdning
Husholdningsdata: Når du inviterer andre til husholdningen din, sender Fimly en invitasjon som den inviterte selv må akseptere før de får tilgang. Den inviterte ser tydelig hvilke fellesdata som blir synlige (budsjetter, felles transaksjoner, sparemål) og hvilke private data som forblir privat før de aksepterer.
Data merket som "privat" forblir synlig kun for deg, selv innenfor en delt husholdning. Du eller den inviterte kan forlate husholdningen når som helst via innstillinger i appen.
Som inviterende bruker bør du kun invitere personer du har grunn til å tro vil ønske å dele økonomidata med deg, for eksempel din partner eller samboer. Fimly er ikke ansvarlig for invitasjoner sendt til personer som ikke har samtykket til kontaktopptak.
10. Hendelse av databrudd
Meldeplikt: Dersom vi oppdager et databrudd som påvirker personopplysninger, vil vi:
- Varsle Datatilsynet (Norges kontrollorgan for personvern) innen 72 timer etter å ha oppdaget bruddet
- Varsle berørte brukere uten unødig forsinkelse dersom risikoen er høy
Du vil motta e-post med detaljer om bruddet og hvilke tiltak du bør ta.
11. Endringer i personvernerklæringen
Dersom vi gjør vesentlige endringer, vil vi varsle deg via e-post eller ved tydelig melding i appen. Dato for siste oppdatering er alltid angitt øverst på denne siden.
12. Kontakt
For spørsmål om personvern eller dine data:
Fimly AS
Org.nr 937 578 113
Dolvikhaugene 68
E-post: hei@fimly.no
Nettside: fimly.no
Jurisdiksjon: Norge