Personvernerklæring

Signoo er behandlingsansvarlig for denne tjenesten. Personvernhenvendelser kan sendes til support@signoo.no. Vi har ikke utpekt personvernombud.

For konto behandler vi e-postadresse, eventuelt navn, hendelser for kontoopprettelse og innlogging, og leverandørdata som trengs for e-postinnlogging eller Google OAuth. Google-innlogging er kontoautentisering og verifiserer ikke identitet for signering.

Ved lokal egensignering blir dokumentet og signaturbildet i nettleseren din. Hvis du lagrer en signaturtegning på kontoen din, lagrer vi PNG-tegningen, lerretsdimensjoner, tidsstempler og en minimal audit-hash for opprettelse, oppdatering, gjenbruk og sletting. Hvis du senere velger å gjenbruke den lagrede tegningen i en signeringslenke, blir bildet bygget inn i den resulterende PDF-en og en audit-hendelse registrerer gjenbruken, signaturtegningens id, hash av PNG-bytene og hvor mange dager tegningen var gammel ved signeringstidspunktet. Signoo bekrefter ikke identiteten din gjennom tegningen. Avsenderen styrer ikke gjenbruken. Det er ditt eget valg som invitert signerer.

Ved signeringslenker behandler vi navn og e-post oppgitt av avsender, dokumenttittel, opplastet PDF, resulterende PDF, signaturbilde, audit-hendelser, tidsstempler, tekniske forespørselsdata og leverings-/statushendelser.

Vi behandler konto- og signeringslenkedata for å levere tjenesten og oppfylle avtalen. Tekniske misbruksdata og feiltelemetri behandles på grunnlag av berettiget interesse. Tegnede signaturbilder behandles bare for å fullføre signeringsflyten du velger, for å lagre en signaturtegning til gjenbruk hvis valget er aktivert og du velger det, og, for signeringslenker, dokumentere signeringen. Rettslig grunnlag er oppfyllelse av tjenesteavtalen når du bruker Signoo selv, og berettiget interesse i å fullføre og dokumentere en forespurt signeringslenkeflyt når du signerer et dokument sendt av noen andre. Vi bruker ikke signaturbilder til å identifisere deg unikt eller til å trene maskinlæringsmodeller.

Aggregert bruksstatistikk uten informasjonskapsler behandles også på grunnlag av berettiget interesse for å forstå bruk og forbedre tjenesten. Vercel setter ingen informasjonskapsler eller klientside-identifikator; besøksdeduplisering skjer via en daglig rotert serverside-hash som ikke kobles til kontoen din.

Hosting og aggregert bruksstatistikk leveres av Vercel Inc. (USA). Signeringslenkenes nøkler, dokument-ID-er og spørrestrengparametre fjernes fra URL-er før de sendes til Vercel Analytics; aggregert statistikk beholdes i tråd med Vercels dokumenterte lagringstid, og vi har ingen separat analysearkiv. Database, autentisering og dokumentlagring leveres av Supabase i Frankfurt. Google leverer OAuth-innlogging når du velger Google-innlogging. Misbruksbegrensning leveres av Upstash. DNS leveres av Cloudflare. Feilovervåking leveres av Sentry. Driftsvarsler leveres av Discord når dette er aktivert. Varslene inneholder bare diagnostiske hendelses-ID-er, alvorlighetsgrad, miljø, release, rute-/statusmetadata og aggregerte tellinger. E-post leveres av Resend når e-postfunksjoner er aktivert. Databehandlere kan motta tekniske metadata som trengs for å levere tjenestene sine. Vi sender ikke PDF-innhold eller signaturbilder til Sentry eller Discord.

Vi bruker EU-region der det er tilgjengelig. Noen databehandlere har eiere utenfor EU, så EU-region fjerner ikke all risiko for tredjelandsoverføring. Vi bruker kontraktsmessige og tekniske tiltak tilpasset hver databehandler.

For databehandlere etablert utenfor EU/EØS, inkludert Vercel Inc. (USA) for hosting og aggregert bruksstatistikk og Discord Inc. (USA) for operasjonelle varslinger til Signoos drift, baseres overføringen på EU-Kommisjonens standard kontraktsklausuler (SCC) i tillegg til relevante tekniske og organisatoriske tiltak.

Data fra lokal egensignering blir i nettleseren din mens du arbeider og lagres ikke av Signoo. Selve dokumentet blir fortsatt i nettleseren din. Handoff-data fra forsiden slettes når de brukes og ryddes hvis de blir liggende igjen.

Hvis lagrede signaturtegninger på konto åpnes senere og du velger å lagre en, beholdes tegningen så lenge kontoen er aktiv, eller til du sletter den. Når du sletter den lagrede tegningen, slettes PNG-bildet og metadataene; det uforanderlige audit-sporet kan beholde en minimal hash av PNG-bytene og hendelsesmetadata som trengs for å dokumentere slettingen.

Kontodata beholdes så lenge kontoen er aktiv og slettes innen 30 dager etter avslutning med mindre lovpålagt oppbevaring gjelder eller opplysningene trengs for å fastsette, gjøre gjeldende eller forsvare rettskrav. Kontoavslutningsposter kan inneholde pseudonyme kontoidentifikatorer, status, hashet e-post, tidsstempler, sperreposter, lagringsnøkler for opprydding, varselposter for kansellerte lenker, tellinger og slette- eller oppbevaringskategorier, ikke rå e-postadresse eller dokumentinnhold. Standardmål før lansering er opptil 24 måneder for kontoavslutningsposter med mindre lovpålagte plikter krever lengre lagring eller opplysningene trengs for å fastsette, gjøre gjeldende eller forsvare rettskrav. Feilrapporter beholdes i opptil 30 dager. Dokumenter, resulterende PDF-er og audit-spor fra signeringslenker beholdes så lenge det trengs for å fullføre og dokumentere signeringen; standardmål før lansering er 30 dager for usignerte kildedokumenter og opptil 12 måneder for fullført signeringsbevis, med mindre avsender sletter tidligere, lovpålagte plikter gjelder eller opplysningene trengs for å fastsette, gjøre gjeldende eller forsvare rettskrav. Periodene må bekreftes før produksjonslansering.

Du kan be om innsyn, retting, sletting, begrensning, dataportabilitet og protest der GDPR gir slike rettigheter. Vi tar ikke automatiserte avgjørelser med rettslig virkning om deg. Forespørsler kan sendes til support@signoo.no. Vi svarer normalt innen én måned og sier fra dersom GDPR åpner for forlengelse ved komplekse forespørsler.

Du kan klage til din lokale personvernmyndighet hvis du mener behandlingen vår bryter personvernreglene. For den norske behandlingsansvarlige er tilsynsmyndigheten Datatilsynet.