Personvernerklæring

1. Behandlingsansvarlig og databehandler

Skatera leveres av Meray AS (org.nr 936 980 031), Nesbyen, Norge. Kontakt: knut@meray.no.

For opplysninger om din brukerkonto er Meray AS behandlingsansvarlig. For regnskapsdata du legger inn om dine kunder, ansatte og leverandører er din virksomhet behandlingsansvarlig, og Meray AS er databehandler som behandler opplysningene utelukkende etter dine instrukser og denne avtalen.

2. Hvilke opplysninger vi behandler

• Kontoopplysninger: navn, e-postadresse, passord (kun lagret som bcrypt-hash), språkvalg, tidspunkt for vilkårsaksept.
• Virksomhetsdata: organisasjonsnavn, org.nr, adresse, bankkontonummer, MVA-status.
• Regnskapsdata: fakturaer, bilag, transaksjoner, kunder, leverandører — det du selv registrerer.
• Lønnsdata: ansattes lønn, skattetrekk og kontonummer. Disse feltene er kryptert i databasen (AES-256-GCM).
• Tekniske logger: IP-adresse ved innlogging, tidspunkt og handlinger i revisjonsloggen (lovpålagt, jf. bokføringsloven § 13).

3. Formål og rettslig grunnlag

• Levere tjenesten (GDPR art. 6 nr. 1 b — avtale): kontoadministrasjon, regnskapsføring, fakturering, lønn.
• Lovpålagte plikter (art. 6 nr. 1 c): oppbevaring av regnskapsmateriale i 5 år etter bokføringsloven § 13, revisjonslogg.
• Sikkerhet (art. 6 nr. 1 f — berettiget interesse): innloggingslogg, svindel- og misbruksdeteksjon.

Vi bruker ikke opplysningene dine til markedsføring og selger dem aldri videre.

4. Informasjonskapsler (cookies)

Skatera bruker kun strengt nødvendige informasjonskapsler: sesjons-cookies for innlogging (HttpOnly) og en CSRF-beskyttelses-cookie. Vi bruker ingen sporings-, analyse- eller tredjeparts-cookies, og trenger derfor ikke samtykkebanner etter ekomloven § 3-15. Denne informasjonssiden setter ingen cookies i det hele tatt.

5. Underleverandører og lagring

Data lagres i EU/EØS. E-postutsending (fakturaer, varsler, bekreftelser) skjer via vår e-postleverandør. Ved bruk av AI-bilagstolkning sendes bilagsbildet til en AI-leverandør for tekstuttrekk — bildet lagres ikke hos leverandøren. En fullstendig og oppdatert liste over underleverandører kan fås ved henvendelse.

6. Dine rettigheter

• Innsyn og dataportabilitet (art. 15 og 20): du kan laste ned dine personopplysninger fra kontosiden, eller be oss om en kopi.
• Retting (art. 16): du kan endre kontoopplysninger selv.
• Sletting (art. 17): du kan slette kontoen din fra kontosiden. Merk: regnskapsmateriale kan ikke slettes før oppbevaringsplikten på 5 år er utløpt (bokføringsloven § 13) — kontoen anonymiseres i stedet.
• Klage: du kan klage til Datatilsynet (datatilsynet.no).

7. Sikkerhet

All trafikk går over HTTPS. Passord lagres kun som bcrypt-hash. Sensitive felt (skattetrekk, kontonummer, lønn) er kryptert i databasen med AES-256-GCM. Revisjonsloggen er manipulasjonssikret med en kryptografisk hash-kjede. Det tas daglig sikkerhetskopi. Tofaktorautentisering (TOTP) er tilgjengelig og anbefales for alle kontoer.

8. Endringer

Vesentlige endringer i denne erklæringen varsles på e-post og/eller ved innlogging. Versjonsnummeret øverst oppdateres ved hver endring.