Personvernerklæring

Otal AS, organisasjonsnummer under registrering, er behandlingsansvarlig for personopplysningene som behandles i forbindelse med vår nettside og vår kundeserviceplattform. Postadresse: Oslo, Norge. Henvendelser om personvern sendes til personvern@otal.no.

Når en virksomhet bruker Otal til å håndtere sine egne kundehenvendelser, opptrer Otal som databehandler på vegne av kunden (behandlingsansvarlig). Behandlingen er regulert av en egen databehandleravtale (DPA) som inngås ved oppstart. Sluttbrukere som er i kontakt med en Otal-kunde må forholde seg til den aktuelle virksomhetens egen personvernerklæring for spørsmål om innsyn, retting og sletting.

Avhengig av hvordan du er i kontakt med oss, kan vi behandle:

• Kontoinformasjon: navn, e-postadresse, telefonnummer, arbeidsgiver, rolle.
• Innloggingsdata: hash-kodede passord, OAuth-identifikatorer (Google), sesjonstokens.
• Kundedialog: meldinger, vedlegg, saksnotater, kategorier og statuser fra integrerte kanaler (chat, e-post, Messenger, Instagram).
• Kunnskapsbase og intranett: dokumenter og notater som du selv laster opp.
• Bruksdata: hvilke sider og funksjoner du bruker, samt tekniske logger (IP-adresse, nettleser, tidspunkt) for sikkerhet og feilsøking.
• Faktureringsdata: organisasjonsnummer, fakturaadresse og betalingshistorikk.

• Levere tjenesten — avtale (GDPR art. 6 nr. 1 b).
• Sikkerhet, misbruksforebygging og feilsøking — berettiget interesse (art. 6 nr. 1 f).
• Lovpålagt regnskapsføring — rettslig forpliktelse (art. 6 nr. 1 c).
• Markedsføring og nyhetsbrev — ditt samtykke, som du når som helst kan trekke tilbake (art. 6 nr. 1 a).

Otal bruker AI-modeller fra Google (Gemini) og OpenAI (GPT) gjennom Lovable AI Gateway for å foreslå svar, kategorisere saker og drive chatbot-en. Innholdet sendes kryptert til modellleverandøren og brukes ikke til å trene grunnmodellene. Vi anonymiserer ikke automatisk innholdet — du bør derfor unngå å skrive inn unødvendige personopplysninger eller sensitive opplysninger i meldinger og prompter.

Vi deler kun opplysninger med leverandører som er nødvendige for å drifte tjenesten. Sentrale databehandlere er:

• Supabase (database, autentisering, fillagring) — EU-region.
• Cloudflare (drift, CDN, edge-funksjoner).
• Lovable (utviklings- og driftsplattform).
• Google Cloud / OpenAI (AI-modeller via Lovable AI Gateway).
• Resend (transaksjons-e-post).
• Meta (Messenger- og Instagram-integrasjon, kun ved aktiv kobling).

Oppdatert liste over underleverandører kan fås ved å kontakte personvern@otal.no.

Kjerne­tjenestene driftes innenfor EU/EØS. Enkelte underleverandører (særlig AI- og e-postleverandører) kan behandle opplysninger i USA. Slik overføring skjer på grunnlag av EUs standard kontraktsklausuler (SCC) og — der det er aktuelt — EU–US Data Privacy Framework.

• Aktiv kontodata lagres så lenge avtalen løper.
• Sikkerhetslogger lagres normalt i 90 dager.
• Saker og samtaler slettes 30 dager etter at avtalen avsluttes, dersom ikke annet er avtalt.
• Faktura- og regnskapsdata oppbevares i fem år i tråd med bokføringsloven.

Du har rett til innsyn, retting, sletting, begrensning og dataportabilitet, samt rett til å motsette deg behandling basert på berettiget interesse. Du kan også klage til Datatilsynet (datatilsynet.no). Henvendelser om dine rettigheter sendes til personvern@otal.no.

Otal bruker kun strengt nødvendige informasjonskapsler for innlogging og sikkerhet, samt valgfri lagring av språk- og tema-innstillinger lokalt i nettleseren. Vi bruker ikke tredjeparts sporingsverktøy eller annonseringscookies.

Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller regelverket. Vesentlige endringer varsles på e-post eller i applikasjonen.