Opdateret: 3. juni 2025
1. Dataansvarlig
Rytmeloftet – CVR 17999001
Nørremarksvej 6, 8721 Daugaard
Tlf.: +45 40 32 53 87 • E-mail: rytmeloftet@gmail.com
Kontaktperson/DPO: Ingen officiel DPO – alle henvendelser vedr. databeskyttelse sendes til ovenstående e-mail.
2. Kategorier af personoplysninger
| Situation | Oplysninger | Kilde/teknologi |
|---|---|---|
| Billetkøb | Navn, e-mail, telefon, ordre-ID, delvis kort-token | WooCommerce + Stripe |
| Nyhedsbrev | Navn, e-mail, samtykkelogs | MailPoet |
| Statistik & marketing | IP (anonymiseret), cookie-ID, browserdata | Google Analytics 4, Matomo, Meta- & TikTok-pixels |
| AI-chatbot | Chatindhold, tekniske metadata (IP, timestamp) | OpenAI API + lokal logfil |
| Supporthenvendelser | Navn, kontaktdata, tekst | Kontaktformular / e-mail |
| Sikkerhedslog | IP, login-tidspunkt | WordPress-log |
3. Formål og retsgrundlag
| Formål | Retsgrundlag (GDPR art. 6) |
|---|---|
| Gennemføre billetkøb | Kontrakt art. 6(1)(b) |
| Regnskab & bogføring | Retlig forpligtelse art. 6(1)(c) |
| Nyhedsbrev | Samtykke art. 6(1)(a) |
| Statistik/marketingcookies | Samtykke art. 6(1)(a) & ePrivacy |
| AI-chatbot (kundesupport & forbedring af tjenesten) | Legitim interesse art. 6(1)(f) |
| IT-sikkerhed og backup | Legitim interesse art. 6(1)(f) |
4. Cookies & tracking
Vi anvender Cookiebot CMP til gyldigt forudgående samtykke (EDPB Guidelines 05/2020) edpb.europa.eu. Google Analytics 4, Meta- og TikTok-tags aktiveres først, når brugeren har accepteret de relevante kategorier, og CMP’en sender Google Consent Mode v2-signaler til GA4/Ads developers.google.comdevelopers.google.com. YouTube-videoer indlejres i privacy-enhanced mode og blokeres indtil “Marketing”-samtykke er givet cookiebot.com.
5. Databehandlere
| Databehandler | Lokation | Overførselsgrundlag |
|---|---|---|
| One.com (hosting) | Danmark | EU-hosting help.one.com |
| Stripe (WooCommerce Payments) | USA | EU-US DPF certificering stripe.comdocs.stripe.com |
| Automattic (WooCommerce & MailPoet) | USA | SCC’er + DPF commerce.gov |
| Google Ireland / Google LLC | IE / USA | DPF + SCC (GA4, YouTube) developers.google.com |
| Meta Platforms | IE / USA | DPF certificering |
| TikTok Technology Ltd. | IE / USA/CN | SCC’er – høj risikovurdering |
| OpenAI, L.P. | USA / EU datacenter-valgmulighed | SCC’er; frivillig EU-data-residency for API openai.comopenai.comhelp.openai.com |
6. Overførsel til tredjelande
Når personoplysninger overføres til USA, sker det enten til DPF-certificerede modtagere (Stripe, Google, Meta) eller under SCC’er med supplerende foranstaltninger (OpenAI, TikTok) i overensstemmelse med Schrems II-praksis cambridge.orgeuropeanlawblog.eu.
OpenAI opbevarer API-data højst 30 dage til misbrugsovervågning, med mulighed for EU-dataplacement openai.comhelp.openai.com.
7. Opbevaringsperioder
- Billet- og transaktionsdata: 5 år efter regnskabsårets udløb (bogføringsloven).
- Nyhedsbrev-samtykke: indtil tilbagetrækning + 2 år til dokumentation.
- AI-chatlogs: Gemmes lokalt på Rytmeloftets sikre PC i maks. 2 år og slettes herefter automatisk.
- Supporthenvendelser: 12 måneder efter afslutning.
- Sikkerhedslog: 90 dage.
- Cookies: se detaljeret levetid i Cookiebot-rapporten.
8. Dine rettigheder
Adgang, rettelse, sletning, begrænsning, dataportabilitet, indsigelse og tilbagetrækning af samtykke. Klager kan indgives til Datatilsynet (dt@datatilsynet.dk).
9. Sikkerhed
TLS-krypterede forbindelser, rollebaseret adgang, 2-faktor-login, daglige back-ups og lokal krypteret lagring af chatbot-logs efter privacy-by-design-principper gdpr-advisor.comgerrishlegal.com.
10. Automatiseret beslutningstagning
Rytmeloftet foretager ingen automatiserede afgørelser med retsvirkning eller betydelig påvirkning af brugere.
11. Ændringer
Denne politik revideres årligt eller ved væsentlige ændringer. Seneste opdatering: 3. juni 2025.
Hurtigt overblik over AI-chatbotten
- Formål: Kundesupport og forbedring af brugeroplevelsen.
- Dataflow: Brugerspørgsmål ➜ sendes krypteret til OpenAI-API (USA/EU) ➜ svar returneres ➜ samtalen logges lokalt (DK).
- Retention: Maks. 2 år (lokalt). OpenAI beholder kun data op til 30 dage openai.com.
- Videregivelse: Ingen tredjepart får adgang til logfilerne; de bruges kun internt.
- Overførselsgrundlag: SCC’er + tekniske foranstaltninger (kryptering in-transit/at-rest).