← Tilbake til forsiden

Personvernerklæring

Sist oppdatert: 5. desember 2025

1. Innledning

Denne personvernerklæringen beskriver hvordan RF-1140.no (heretter "tjenesten" eller "vi") samler inn, bruker, lagrer og beskytter personopplysninger i forbindelse med bruk av vår tjeneste for administrasjon av boligsameier og innsending av tredjepartsopplysninger til Skatteetaten.

Vi behandler personopplysninger i samsvar med personvernforordningen (GDPR) og personopplysningsloven. Ved å bruke tjenesten, godtar du behandlingen av personopplysninger som beskrevet i denne erklæringen.

2. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene er organisasjonen som tilbyr RF-1140.no tjenesten. Kontaktinformasjon finnes i bunnteksten på forsiden.

For spørsmål om personvern kan du kontakte oss på e-postadressen som er oppgitt i kontaktinformasjonen.

3. Hvilke personopplysninger samler vi inn?

3.1 Opplysninger om brukere av tjenesten

Når du registrerer deg som bruker, samler vi inn følgende opplysninger:

  • Navn
  • E-postadresse
  • Organisasjonsnummer (for organisasjonen du representerer)
  • Informasjon fra Brønnøysundregistrene om organisasjonen (navn, organisasjonsform, adresse, kommunenummer)
  • Brukernivå og tilgangsrettigheter
  • Tidspunkt for siste innlogging

3.2 Opplysninger om boligsameier

For hvert boligsameie som registreres, samler vi inn:

  • Navn på sameiet
  • Organisasjonsnummer for sameiet
  • Adresse (gateadresse, postnummer, poststed)
  • Matrikkelnummer (kommunenummer, bruksnummer, gårdsnummer)
  • Kontaktinformasjon (navn, telefonnummer, e-postadresse, SMS-nummer)
  • Økonomiske opplysninger (skattepliktige inntekter, fradragsberettigede kostnader, formue, gjeld)
  • Inntektsår

3.3 Opplysninger om eiere (seksjonseiere)

For hver eier i boligsameiet samler vi inn:

  • Fornavn og etternavn
  • Fødselsnummer (for fysiske personer) eller organisasjonsnummer (for juridiske personer)
  • E-postadresse
  • Adresse (gateadresse, postnummer, poststed)
  • Eierandel (prosent eller andel)
  • Eiertid (start- og sluttdato)
  • Økonomiske opplysninger (andel av skattepliktige inntekter, fradragsberettigede kostnader, formue, gjeld)

3.4 Teknisk informasjon

Vi samler også inn teknisk informasjon automatisk når du bruker tjenesten:

  • IP-adresse
  • Nettlesertype og versjon
  • Operativsystem
  • Tidspunkt for besøk og handlinger
  • Session cookies for autentisering

4. Formål med behandlingen

Vi behandler personopplysninger for følgende formål:

  • Levere tjenesten: Administrasjon av boligsameier og innsending av tredjepartsopplysninger til Skatteetaten via RF-1140 skjema
  • Autentisering og tilgangskontroll: Sikre at kun autoriserte brukere får tilgang til tjenesten og dataene sine
  • Validering: Verifisere organisasjonsnummer mot Brønnøysundregistrene for å sikre korrekt informasjon
  • Kommunikasjon: Sende innloggingslenker og bekreftelser på innsending til Skatteetaten
  • Fakturering: Beregne og administrere fakturering basert på antall boligsameier og seksjoner
  • Teknisk drift: Sikre at tjenesten fungerer teknisk og forbedre brukeropplevelsen
  • Juridisk forpliktelse: Overholde skattemyndighetenes krav om innsending av tredjepartsopplysninger

5. Rettlig grunnlag for behandlingen

Vi behandler personopplysninger basert på følgende rettslige grunnlag:

  • Samtykke (artikkel 6(1)(a) GDPR): Du har gitt samtykke til behandlingen ved å registrere deg og bruke tjenesten
  • Kontraktsoppfyllelse (artikkel 6(1)(b) GDPR):Behandlingen er nødvendig for å levere tjenesten du har inngått avtale om
  • Juridisk forpliktelse (artikkel 6(1)(c) GDPR):Vi er juridisk forpliktet til å sende tredjepartsopplysninger til Skatteetaten i henhold til skattelovgivningen
  • Berettiget interesse (artikkel 6(1)(f) GDPR):For teknisk drift, sikkerhet og forbedring av tjenesten

6. Hvem deler vi opplysningene med?

6.1 Skatteetaten

Vi sender tredjepartsopplysninger om eiere i boligsameier til Skatteetaten via deres API. Dette inkluderer:

  • Navn på eiere
  • Fødselsnummer eller organisasjonsnummer
  • Eierandel og eiertid
  • Matrikkelnummer
  • Økonomiske opplysninger (andel av inntekter, kostnader, formue, gjeld)

Dette skjer i henhold til skattelovgivningen og er en juridisk forpliktelse.

6.2 Brønnøysundregistrene

Vi henter offentlig tilgjengelig informasjon fra Brønnøysundregistrene for å validere organisasjonsnummer. Dette er kun lesetilgang og vi lagrer kun informasjon som allerede er offentlig tilgjengelig.

6.3 Tjenesteleverandører (databehandlere)

Vi bruker følgende tjenesteleverandører som behandler personopplysninger på våre vegne:

  • MongoDB: Databaselagring. Data lagres i databaser som er isolert per organisasjon (tenant isolation)
  • Resend: E-posttjeneste for sending av innloggingslenker og bekreftelser. E-postadresser deles med Resend for dette formålet

Alle databehandlere er kontraktsfestet og forpliktet til å følge personvernregelverket. Se også vår databehandleravtale.

6.4 Andre mottakere

Vi deler ikke personopplysninger med andre tredjeparter utover det som er beskrevet ovenfor, med mindre vi er juridisk forpliktet til det (f.eks. ved rettskrav).

7. Lagring av personopplysninger

Vi lagrer personopplysninger så lenge det er nødvendig for å levere tjenesten og oppfylle våre juridiske forpliktelser:

  • Brukerdata: Lagres så lenge brukerkontoen er aktiv. Ved sletting av konto slettes alle tilhørende data, med mindre vi er juridisk forpliktet til å beholde dem
  • Boligsameie og eierdata: Lagres så lenge de er nødvendige for å levere tjenesten og oppfylle skattemyndighetenes krav. Data kan beholdes etter innsending til Skatteetaten for å kunne dokumentere innsendingen
  • Innloggingslenker: Magic link tokens utløper automatisk etter 1 time og slettes da
  • Session cookies: Lagres i 7 dager og slettes automatisk ved utlogging eller utløp

Når personopplysninger ikke lenger er nødvendige, slettes de på en sikker måte.

8. Dine rettigheter

Du har følgende rettigheter når det gjelder dine personopplysninger:

  • Innsyn (artikkel 15 GDPR): Du har rett til å få innsyn i hvilke personopplysninger vi behandler om deg
  • Rettelse (artikkel 16 GDPR): Du har rett til å få rettet feilaktige eller ufullstendige personopplysninger
  • Sletting (artikkel 17 GDPR): Du har rett til å få slettet personopplysninger under visse forhold
  • Begrensning (artikkel 18 GDPR): Du har rett til å kreve begrensning av behandlingen under visse forhold
  • Dataportabilitet (artikkel 20 GDPR): Du har rett til å få utlevert dine personopplysninger i et strukturt format
  • Innsigelse (artikkel 21 GDPR): Du har rett til å gjøre innsigelse mot behandlingen av personopplysninger basert på berettiget interesse
  • Tilbakekalle samtykke: Hvis behandlingen er basert på samtykke, kan du når som helst trekke tilbake samtykket

For å utøve dine rettigheter, kontakt oss på e-postadressen som er oppgitt i kontaktinformasjonen. Vi vil svare innen 30 dager.

Du har også rett til å klage til Datatilsynet hvis du mener vi behandler personopplysninger i strid med personvernregelverket.

9. Sikkerhet

Vi har implementert flere sikkerhetstiltak for å beskytte personopplysningene:

  • Autentisering: Magic link-basert innlogging uten passord. Innloggingslenker utløper etter 1 time
  • Session-håndtering: Sikre HTTP-only cookies med kryptert JWT-token. Cookies er kun tilgjengelige over HTTPS i produksjon
  • Tilgangskontroll: Data er isolert per organisasjon (tenant isolation). Brukere kan kun se og behandle data som tilhører deres organisasjon
  • Kryptering: All kommunikasjon skjer over HTTPS. Data i databasen er beskyttet med tilgangskontroll
  • Regelmessige sikkerhetsoppdateringer: Vi holder systemet oppdatert med siste sikkerhetspatcher
  • Backup: Regelmessige sikkerhetskopier av dataene

10. Overføring til tredjeland

Personopplysninger lagres primært i Norge/EØS. Noen av våre tjenesteleverandører kan ha servere utenfor EØS:

  • MongoDB: Kan være plassert i ulike regioner avhengig av konfigurasjon. Vi sikrer at data behandles i samsvar med GDPR
  • Resend: E-posttjeneste kan behandle data i USA. Resend er sertifisert under EU-US Data Privacy Framework

Ved overføring til tredjeland sikrer vi at det finnes tilstrekkelige garantier, f.eks. gjennom standardkontraktklausuler eller sertifiseringer som EU-US Data Privacy Framework.

11. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vi vil varsle om vesentlige endringer via e-post eller gjennom tjenesten. Den oppdaterte versjonen vil alltid være tilgjengelig på denne siden med oppdatert dato.

12. Kontakt

Hvis du har spørsmål om personvern eller ønsker å utøve dine rettigheter, kan du kontakte oss på e-postadressen som er oppgitt i kontaktinformasjonen på forsiden.

Du kan også klage til Datatilsynet hvis du mener vi behandler personopplysninger i strid med personvernregelverket:

Datatilsynet
Postboks 458 Sentrum
0105 Oslo
Telefon: 22 39 69 00
E-post: postkasse@datatilsynet.no
Web: www.datatilsynet.no