Vi samler ingen finansielle kontoopplysninger, bankdetaljer eller kredittkortnummer. All finansdata du legger inn, registrerer du selv manuelt.
Under aktiv utvikling: Fimly er en nyoppstartet tjeneste under aktiv utvikling. Dette betyr at funksjonalitet, sikkerhetsmekanismer og prosesser kontinuerlig forbedres. Vi kan ikke garantere at tjenesten er fullstendig feilfri, og brukere oppfordres til å være oppmerksomme på dette.
Fimly er en norsk økonomitjeneste for par og husholdninger. Tjenesten drives av:
Fimly AS
Org.nr 937 578 113
Dolvikhaugene 68
Norge
E-post: hei@fimly.no
Fimly AS er behandlingsansvarlig for personopplysningene som behandles gjennom tjenesten. Daglig leder og kontaktperson for personvernspørsmål er Joakim Kristoffersen.
Vi er tilgjengelig på fimly.no som webapp (PWA). For spørsmål om personvern, kontakt oss på: hei@fimly.no
Fimly behandler bare personopplysninger som er nødvendige for å levere, sikre og forbedre tjenesten. Dette kan omfatte følgende kategorier:
Vi behandler ikke personnummer, biometriske opplysninger eller presis lokasjon. Vi ber deg om ikke å legge inn særlige kategorier av personopplysninger i fritekstfelt eller notater.
Vi behandler personopplysninger for konkrete formål. Tabellen under viser hvilket rettslig grunnlag vi bruker for hvert formål:
| Formål | Personopplysninger | Rettslig grunnlag |
|---|---|---|
| Opprette og administrere brukerkonto | Kontoopplysninger, autentiseringsdata og innloggingsstatus | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Levere Fimly-tjenesten | Husholdningsopplysninger, økonomidata, budsjett, transaksjoner, sparemål, lån, faste kostnader og innstillinger | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Importere transaksjoner fra CSV/Excel | Filer og transaksjonsdata du selv laster opp | Avtale, GDPR art. 6 nr. 1 bokstav b |
| Dele felles økonomidata med husholdningsmedlemmer | Opplysninger du eller andre medlemmer markerer som felles | Avtale, GDPR art. 6 nr. 1 bokstav b. For frivillige delingsvalg kan samtykke eller aktiv brukerhandling også inngå som del av funksjonen. |
| Behandle betaling og abonnement | Abonnementsstatus, Stripe-kunde-ID, betalingshendelser og fakturainformasjon | Avtale, GDPR art. 6 nr. 1 bokstav b, og rettslig forpliktelse for bokføring, GDPR art. 6 nr. 1 bokstav c |
| Kundesupport og henvendelser | Kontaktopplysninger, supportdialog og teknisk informasjon du sender oss | Avtale, GDPR art. 6 nr. 1 bokstav b, eller berettiget interesse, GDPR art. 6 nr. 1 bokstav f |
| Sikkerhet, feilsøking, misbruksforebygging og audit-logg | Tekniske logger, IP-adresse, innloggingshendelser, feilmeldinger og sikkerhetshendelser | Berettiget interesse i å sikre tjenesten, GDPR art. 6 nr. 1 bokstav f, og rettslig forpliktelse til egnet sikkerhet, GDPR art. 6 nr. 1 bokstav c jf. art. 32 |
| Nettstedsstatistikk | Aggregert, cookiefri statistikk fra offentlige nettsider | Berettiget interesse, GDPR art. 6 nr. 1 bokstav f |
| Produktforbedring | Begrenset produktanalytikk, hendelser og teknisk bruksinformasjon | Berettiget interesse, GDPR art. 6 nr. 1 bokstav f, så lenge behandlingen ikke innebærer unødvendig profilering eller annonseformål |
| Markedsføring på e-post | E-postadresse, samtykkestatus og avmeldingsstatus | Samtykke, GDPR art. 6 nr. 1 bokstav a, eller eksisterende kundeforhold der ekomloven tillater markedsføring av lignende tjenester. Du kan alltid melde deg av. |
| Verveprogram | Vervekode, kobling mellom kontoer og belønningsstatus | Avtale, GDPR art. 6 nr. 1 bokstav b, og berettiget interesse i å forhindre misbruk, GDPR art. 6 nr. 1 bokstav f |
| Bokføring, regnskap og myndighetskrav | Faktura-, betalings- og regnskapsopplysninger | Rettslig forpliktelse, GDPR art. 6 nr. 1 bokstav c |
Du kan når som helst trekke tilbake samtykke som er gitt. Datatilsynet legger til grunn at virksomheter må ha ett behandlingsgrunnlag per formål og informere brukeren om hvilke opplysninger som brukes til hvilke formål.
Vi bruker ikke personopplysningene dine til annonseprofilering eller målrettet reklame, og vi selger dem ikke til tredjeparter.
Data du merker som "privat" i appen er kun synlig for deg. Data merket som "felles" er synlig for andre du har invitert inn i husholdningen. Du kontrollerer dette via personverninnstillingene i appen.
Vi har implementert tekniske og organisatoriske tiltak, inkludert row-level security (RLS) i databasen, streng tilgangskontroll internt, og klientside-kryptering for utvalgte sensitive økonomifelter (se seksjon 4B). Andre opplysninger som e-postadresse, fakturadata og sikkerhetslogger behandles av Fimly for å levere og sikre tjenesten. Fordi Fimly er under aktiv utvikling, kan vi ikke garantere 100 % sikkerhet. Se seksjonen om sikkerhet nedenfor for detaljer.
Vi jobber kontinuerlig med å beskytte dine data. Per i dag har vi implementert:
Recovery-koder består av 24 ord som vises til deg i appen. Fimly lagrer ikke ordene eller den deriverte recovery-nøkkelen; vi lagrer kun en kryptert nøkkelkopi og teknisk metadata som tidspunkt for generering. Hvis recovery-koden brukes, audit-logges hendelsen for sikkerhetsformål.
Viktig: Fimly er under aktiv utvikling. Selv om vi gjør alt vi kan for å sikre tjenesten, kan vi ikke garantere 100 % sikkerhet. Tekniske feil, sårbarheter og andre forhold kan forekomme. Dersom du oppdager noe, kontakt oss umiddelbart på hei@fimly.no. Ved avdekkede brudd på personvernet vil vi varsle Datatilsynet innen 72 timer og berørte brukere uten ugrunnet opphold, i tråd med GDPR art. 33–34.
Du er selv ansvarlig for å holde passordet ditt trygt og ikke dele det med andre. Vi anbefaler sterkt at du bruker et unikt passord for Fimly.
Fimly bruker leverandører for drift, betaling, feilretting, statistikk og kommunikasjon. Der en leverandør behandler personopplysninger på våre vegne, skal det foreligge databehandleravtale. Enkelte leverandører kan også være selvstendig behandlingsansvarlige for deler av behandlingen, for eksempel betalings- og domene-/registrartjenester.
| Leverandør | Formål | Typiske opplysninger | Lokasjon/overføring |
|---|---|---|---|
| Supabase | Database, autentisering og lagring | Kontoopplysninger, husholdningsdata, økonomidata og tekniske logger | Fimly bruker EU-region der dette er konfigurert, typisk Central EU/Frankfurt. Supabase opplyser at hvert prosjekt deployes til én valgt primærregion (Supabase regioner). Databehandleravtale er inngått. |
| Vercel | Hosting, frontend og CDN | Tekniske forespørsler, IP-adresse, logger og driftsdata | Global infrastruktur. Vercel har databehandleravtale og bruker blant annet EU-kommisjonens standardkontraktbestemmelser (SCC) for relevante overføringer (Vercel DPA). |
| Stripe | Betaling og abonnement | Betalingshendelser, abonnementsstatus, Stripe-kunde-ID og fakturainformasjon | Stripe kan behandle data i USA og globalt for å levere betalingstjenester. Stripe opplyser at overføringer kan skje til Stripe, LLC i USA, og at databehandleravtalen omfatter EU–US Data Privacy Framework og SCC der relevant (Stripe DPA). |
| Sentry | Feilrapportering, stabilitet og sikkerhetsrelatert feilsøking | Feilmeldinger, tekniske logger, enhets-/nettleserinformasjon og eventuell bruker-ID hvis inkludert i feillogg | Sentry tilbyr datalagring i EU/Frankfurt eller USA. Enkelte konto-, organisasjons- og metadata kan likevel behandles utenfor valgt region. Sentry omtaler både Data Privacy Framework og SCC for overføringer til USA (Sentry datalokasjon). |
| PostHog | Produktanalytikk og forbedring av brukeropplevelse | Produktbruk, hendelser, tekniske data og eventuelle bruker-/husholdnings-ID-er dersom dette er konfigurert | PostHog Cloud EU er hostet i Frankfurt. Event- og brukerdata i Cloud EU sendes ikke til USA, men PostHogs DPA åpner for behandling utenfor EØS i enkelte tilfeller (PostHog Cloud EU). |
| Plausible | Cookiefri nettstedsstatistikk | Aggregert statistikk om besøk og sidevisninger | Plausible opplyser at visitor-data behandles og lagres i EU og ikke overføres til USA (Plausible EU-hosting). |
| Domeneshop | Domene, DNS og eventuell e-post | Kontaktopplysninger, domeneadministrasjon og e-postrelaterte opplysninger hvis e-posttjenesten brukes | Norsk leverandør. Domeneshop AS er et norsk selskap (Domeneshop personvern). |
| ImprovMX | E-postvideresending for hei@fimly.no | Avsenderadresse, mottakeradresse, e-postemne og innhold i henvendelser sendt til Fimly | ImprovMX kan behandle e-postdata i USA og Europa (ImprovMX personvern). Overføring til USA skjer på grunnlag av EU-kommisjonens standardkontraktbestemmelser (SCC) og/eller Data Privacy Framework der relevant. |
Noen leverandører er etablert i USA eller bruker global infrastruktur. Dette kan innebære at personopplysninger overføres til eller gjøres tilgjengelige fra land utenfor EU/EØS. Dette gjelder særlig Stripe, Vercel, Sentry og ImprovMX, og kan også gjelde PostHog dersom Fimly bruker PostHog Cloud US, supportfunksjoner eller annen behandling utenfor EU/EØS.
Der personopplysninger overføres ut av EU/EØS, bruker vi gyldig overføringsgrunnlag etter GDPR kapittel V, typisk EU-kommisjonens standardkontraktbestemmelser (SCC) og/eller EU–US Data Privacy Framework der leverandøren er sertifisert og dette er relevant. Vi vurderer også hvilke personopplysninger som overføres, formålet med overføringen, leverandørens tekniske og organisatoriske tiltak, og om supplerende tiltak er nødvendig.
Datatilsynet presiserer at virksomheter må identifisere et gyldig overføringsgrunnlag før personopplysninger overføres ut av EØS, og at overføringsgrunnlaget også må fungere i praksis (Datatilsynet om overføring ut av EØS).
Fimly forsøker å begrense hvilke data som sendes til leverandører utenfor EU/EØS. Som hovedregel sender vi ikke transaksjonsbeløp, transaksjonsnotater, lånedetaljer, sparemål-beløp eller kategoriserte økonomihendelser til PostHog eller Sentry. Dersom en konkret feilsak krever midlertidig innsyn for å gjenskape og rette en feil, skjer dette etter prinsippet om dataminimering, med tilgangsstyring og intern logging av hvilke data som ble eksponert.
Personopplysninger lagres så lenge du har en aktiv konto, eller så lenge det er nødvendig for formålene beskrevet i denne erklæringen. Du kan eksportere data via "Innstillinger" i appen.
Du kan slette kontoen via "Innstillinger" → "Slett konto" i appen, eller kontakte oss på hei@fimly.no. Når kontoen slettes, sletter eller anonymiserer vi personopplysninger som ikke må beholdes av lovpålagte grunner, sikkerhetshensyn eller for å håndtere rettskrav.
Vi bruker ikke reklamecookies eller sporingscookies. Vi bruker kun teknisk nødvendige cookies for å holde deg innlogget.
Plausible Analytics: Vi bruker Plausible for nettstedsstatistikk på de offentlige sidene. Plausible opplyser at tjenesten er cookie-fri, ikke bruker permanente identifikatorer eller sporing på tvers av nettsteder, og at visitor-data behandles og lagres i EU. Behandlingen skjer under berettiget interesse for å optimalisere Fimly-nettsiden. Plausible datapolicy →
Vi sender deg to typer e-post:
Transaksjonelle e-poster er nødvendige for å levere tjenesten du har bestilt — for eksempel bekreftelse på opprettet konto, varsler om betaling og faktura, invitasjoner fra partneren din, viktige oppdateringer av vilkår og personvernerklæring, og sikkerhetsvarsler. Rettsgrunnlaget er avtalen du har inngått med oss (GDPR art. 6(1)(b)) eller vår berettigede interesse i å drive tjenesten sikkert (art. 6(1)(f)). Du kan ikke melde deg av disse uten å si opp kontoen, men mengden er begrenset til det som er strengt nødvendig.
Markedsføringse-poster om nye funksjoner, tips og kampanjer er frivillige. Du får slike e-poster kun hvis du har gitt aktivt samtykke — enten ved registrering, i innstillingene, eller som eksisterende betalende Plus-kunde i tråd med ekomloven § 2-15 annet ledd (markedsføring av lignende tjenester). Du kan når som helst melde deg av via lenken nederst i hver markedsføringse-post eller under «Kommunikasjonsinnstillinger» i appen. Avmelding trer i kraft umiddelbart.
Fimly har et verveprogram hvor du kan få belønning for å anbefale oss til andre. Når du blir med i verveprogrammet, behandler vi følgende personopplysninger:
Du ser ikke hvem som har registrert seg med din kode — kun antall vervinger og belønningsstatus. Dette gjør vi av personvernhensyn for den du har vervet.
Lagringstid: Koblingen beholdes så lenge du er aktiv kunde + tre år etter avsluttet kundeforhold, av hensyn til regnskap og eventuelle misbrukssaker. Deretter anonymiseres koblingen.
Fullstendige vervevilkår finner du på fimly.no/vervevilkar.
Du har rettigheter etter GDPR artikkel 12–22. Du kan utøve rettighetene dine ved å bruke selvbetjeningsfunksjoner i appen der de finnes, eller ved å kontakte oss på hei@fimly.no fra e-postadressen du bruker i Fimly. Vi kan be deg bekrefte identiteten din før vi behandler forespørselen.
Vi svarer normalt innen 30 dager. Dersom forespørselen er kompleks eller vi mottar mange forespørsler, kan fristen forlenges i tråd med GDPR. I så fall informerer vi deg om forlengelsen og årsaken.
Husholdningsdata: Når du inviterer andre til husholdningen din, sender Fimly en invitasjon som den inviterte selv må akseptere før de får tilgang. Den inviterte ser tydelig hvilke fellesdata som blir synlige (budsjetter, felles transaksjoner, sparemål) og hvilke private data som forblir privat før de aksepterer.
Data merket som "privat" forblir synlig kun for deg, selv innenfor en delt husholdning. Du eller den inviterte kan forlate husholdningen når som helst via innstillinger i appen.
Som inviterende bruker bør du kun invitere personer du har grunn til å tro vil ønske å dele økonomidata med deg, for eksempel din partner eller samboer. Fimly er ikke ansvarlig for invitasjoner sendt til personer som ikke har samtykket til kontaktopptak.
Meldeplikt: Dersom vi oppdager et databrudd som påvirker personopplysninger, vil vi:
Du vil motta e-post med detaljer om bruddet og hvilke tiltak du bør ta.
Dersom vi gjør vesentlige endringer, vil vi varsle deg via e-post eller ved tydelig melding i appen. Dato for siste oppdatering er alltid angitt øverst på denne siden.
For spørsmål om personvern eller dine data:
Fimly AS
Org.nr 937 578 113
Dolvikhaugene 68
E-post: hei@fimly.no
Nettside: fimly.no
Jurisdiksjon: Norge