Constratto
Sign inGet started

Personvernerklæring

Sist oppdatert: 24. april 2026

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene som samles inn gjennom Constratto er:

Constratto AS
Org.nr.: PLACEHOLDER_ORG_NR
[ADRESSE]
E-post: privacy@constratto.no

Er du usikker på noe om vår behandling av personopplysninger, ta gjerne kontakt med oss på e-postadressen over.

2. Hvilke opplysninger samler vi inn?

Vi behandler følgende kategorier av personopplysninger:

  • Kontoinformasjon: navn, e-postadresse, telefonnummer og passord (lagret som enveis-hash).
  • Bedriftsprofil: bedriftsnavn, organisasjonsnummer, adresse, bransje, kompetanser, sertifiseringer og forsikringsinformasjon.
  • Oppdrag og anbud: oppdragsbeskrivelser, budsjetter, frister, tilbudsbeløp og tilbudsbrev du publiserer eller sender.
  • Kontrakter og milepæler: kontraktsdokumenter, signaturer, milepælsstatus og betalingsinformasjon knyttet til kontrakter.
  • Meldinger: innhold i meldingstråder mellom bedrifter på plattformen.
  • Dokumenter: filer du laster opp (tegninger, sertifikater, fakturaer o.l.).
  • Vurderinger: tekst og karakterer du gir eller mottar etter fullførte oppdrag.
  • Tekniske opplysninger: IP-adresse, nettlesertype, tidsstempler for innlogging og handlinger i systemet (revisjonslogg).
  • Samtykkehistorikk: tidspunkt, versjon og type for samtykker du har gitt.

Vi samler ikke inn sensitive personopplysninger (særlige kategorier etter GDPR art. 9).

3. Hvorfor behandler vi opplysningene og hvilket rettslig grunnlag har vi?

FormålRettslig grunnlag (GDPR)
Opprette og administrere brukerkontoArt. 6(1)(b) – avtaleoppfyllelse
Levere plattformens kjernefunksjoner (oppdrag, anbud, kontrakter, meldinger)Art. 6(1)(b) – avtaleoppfyllelse
Fakturering og abonnementsadministrasjonArt. 6(1)(b) – avtaleoppfyllelse
Varsler om aktivitet på kontoenArt. 6(1)(f) – berettiget interesse
Revisjonslogg og sikkerhetArt. 6(1)(f) – berettiget interesse (IT-sikkerhet)
Overholdelse av regnskapslovgivning (bokføringsloven)Art. 6(1)(c) – rettslig forpliktelse
Markedsføring og nyhetsbrevArt. 6(1)(a) – samtykke
Analyse av plattformbruk (fremtidig)Art. 6(1)(a) – samtykke

4. Hvem deler vi opplysninger med?

Vi deler personopplysninger med følgende databehandlere:

  • Supabase Inc. (USA) – databaseverts- og autentiseringstjeneste. Data lagres i EU (Frankfurt, Tyskland). Databehandleravtale er inngått. Overføring til USA skjer på grunnlag av standardkontraktklausuler (SCC).
  • Betalingstjenesteleverandør – for behandling av kortbetalinger og abonnementer. Kun nødvendige transaksjonsopplysninger deles.
  • E-postleverandør – for utsending av transaksjons-e-post (bekreftelser, varsler). Kun mottakeradresse og relevant innhold overføres.

Vi selger ikke personopplysninger til tredjeparter. Opplysninger kan utleveres til offentlige myndigheter dersom vi er rettslig forpliktet til det.

5. Hvor lenge lagrer vi opplysningene?

  • Kontoinformasjon: så lenge kontoen er aktiv, pluss 30 dager etter sletting.
  • Kontrakter og fakturagrunnlag: 5 år etter regnskapsårets slutt (bokføringsloven § 13).
  • Revisjonslogg: 5 år.
  • Samtykkehistorikk: 5 år etter at samtykke ble trukket tilbake eller kontoen ble slettet.
  • Meldinger og dokumenter: slettes 30 dager etter kontosletting, med mindre de er knyttet til en aktiv kontrakt med lagringsplikt.

6. Dine rettigheter

Etter GDPR kapittel III har du følgende rettigheter:

  • Innsyn (art. 15): få bekreftet om vi behandler opplysninger om deg, og få en kopi.
  • Retting (art. 16): be om at uriktige opplysninger korrigeres.
  • Sletting (art. 17): be om at opplysninger slettes («rett til å bli glemt»), med forbehold om lovpålagte lagringsplikt.
  • Begrensning (art. 18): be om at behandlingen begrenses mens en klage behandles.
  • Dataportabilitet (art. 20): motta opplysningene dine i maskinlesbart format.
  • Innsigelse (art. 21): protestere mot behandling basert på berettiget interesse.
  • Trekke samtykke: du kan når som helst trekke tilbake samtykker uten at det påvirker lovligheten av behandling gjort før tilbaketrekkingen.

Send forespørsler til privacy@constratto.no. Vi svarer innen 30 dager.

7. Klage til Datatilsynet

Dersom du mener vi behandler personopplysningene dine i strid med GDPR, har du rett til å klage til Datatilsynet (datatilsynet.no). Vi setter pris på om du kontakter oss først slik at vi kan rette opp eventuelle feil.

8. Informasjonskapsler (cookies)

Constratto bruker én nødvendig informasjonskapsel for å holde deg innlogget (sb-session). Denne er strengt nødvendig og krever ikke samtykke. Vi bruker for øvrig ikke sporings- eller markedsføringscookies, men vi vil varsle deg og innhente samtykke dersom dette endres.

9. Endringer i personvernerklæringen

Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles via e-post eller tydelig melding i plattformen minst 14 dager før de trer i kraft. Datoen øverst på siden viser når erklæringen sist ble oppdatert.

Privacy Policy

Last updated: 24. april 2026

The Norwegian version above is the legally binding version. This English translation is provided for convenience.

1. Data Controller

The data controller for personal data collected through Constratto is:

Constratto AS
Org. no.: PLACEHOLDER_ORG_NR
[ADDRESS]
Email: privacy@constratto.no

2. What data we collect

  • Account information: name, email address, phone number, and password (stored as a one-way hash).
  • Company profile: company name, organisation number, address, industry, skills, certifications, and insurance information.
  • Assignments and bids: job descriptions, budgets, deadlines, bid amounts, and cover letters you publish or submit.
  • Contracts and milestones: contract documents, signatures, milestone status, and payment information tied to contracts.
  • Messages: content of message threads between companies on the platform.
  • Documents: files you upload (drawings, certificates, invoices, etc.).
  • Reviews: text and ratings you give or receive after completed assignments.
  • Technical data: IP address, browser type, login timestamps, and an audit log of actions taken in the system.
  • Consent history: timestamp, version, and type of consents you have given.

We do not collect sensitive personal data (special categories under GDPR Art. 9).

3. Why we process data and our legal basis

PurposeLegal basis (GDPR)
Creating and managing your accountArt. 6(1)(b) – contract performance
Delivering core platform features (assignments, bids, contracts, messages)Art. 6(1)(b) – contract performance
Billing and subscription managementArt. 6(1)(b) – contract performance
Account activity notificationsArt. 6(1)(f) – legitimate interests
Audit log and securityArt. 6(1)(f) – legitimate interests (IT security)
Compliance with accounting lawArt. 6(1)(c) – legal obligation
Marketing and newslettersArt. 6(1)(a) – consent
Platform usage analytics (future)Art. 6(1)(a) – consent

4. Who we share data with

  • Supabase Inc. (USA) — database hosting and authentication. Data stored in the EU (Frankfurt, Germany). A Data Processing Agreement is in place. Transfers to the US are covered by Standard Contractual Clauses (SCCs).
  • Payment processor — for processing card payments and subscriptions. Only necessary transaction data is shared.
  • Email delivery provider — for sending transactional emails (confirmations, notifications). Only the recipient address and relevant content are transferred.

We do not sell personal data to third parties.

5. How long we retain data

  • Account information: for the duration of the account, plus 30 days after deletion.
  • Contracts and invoicing records: 5 years after the end of the financial year (Norwegian Bookkeeping Act).
  • Audit log: 5 years.
  • Consent history: 5 years after consent was withdrawn or account deleted.
  • Messages and documents: deleted 30 days after account deletion, unless tied to a contract subject to a retention obligation.

6. Your rights

Under GDPR Chapter III you have the right to:

  • Access (Art. 15): request confirmation of whether we process data about you, and receive a copy.
  • Rectification (Art. 16): have inaccurate data corrected.
  • Erasure (Art. 17): request deletion ("right to be forgotten"), subject to mandatory retention obligations.
  • Restriction (Art. 18): request that processing be restricted while a complaint is handled.
  • Data portability (Art. 20): receive your data in a machine-readable format.
  • Objection (Art. 21): object to processing based on legitimate interests.
  • Withdraw consent: you may withdraw any consent at any time without affecting the lawfulness of processing before withdrawal.

Send requests to privacy@constratto.no. We respond within 30 days.

7. Supervisory authority

If you believe we are processing your personal data in violation of GDPR, you have the right to lodge a complaint with the Norwegian Data Protection Authority (Datatilsynet, datatilsynet.no). We would appreciate the opportunity to address any concerns before you do so.

8. Cookies

Constratto uses one strictly necessary cookie to keep you signed in (sb-session). This cookie does not require consent. We do not use tracking or advertising cookies, but will notify you and obtain consent if this changes.

9. Changes to this policy

We may update this policy. Material changes will be communicated by email or prominent notice in the platform at least 14 days before they take effect.