1. Beskyttelse av personopplysninger
2A CONSULTING forplikter seg til å beskytte sine brukeres personopplysninger i samsvar med den generelle databeskyttelsesforordningen (GDPR — EU-forordning 2016/679) og gjeldende personvernlovgivning.
Behandlingsansvarlig:
2A CONSULTING
E-post: contact@athleteside.com
Personvernombud (DPO):
Kan nås per e-post på contact@athleteside.com
For alle spørsmål knyttet til beskyttelse av dine personopplysninger kan du kontakte oss på adressen ovenfor.
2. Innsamlede data
Vi samler inn ulike kategorier av data avhengig av din bruk av plattformen:
Identifikasjonsdata: navn, fornavn, e-postadresse, passord (hashet), profilbilde, fødselsdato.
Tilkoblingsdata: IP-adresse, nettlesertype, operativsystem, besøkte sider, dato og klokkeslett for tilkobling, kilde-URL.
Betalingsdata: bankkortinformasjon behandles utelukkende av vår betalingsleverandør Stripe. Vi lagrer aldri bankortnumrene dine på våre servere. Vi beholder transaksjonsreferanser, beløp og faktureringsdatoer.
Sportsdata: aktivitetshistorikk (via Strava, Garmin Connect eller manuell registrering), prestasjoner, hjertefrekvens, GPS-rutedata, sportsmål, kondisjonsnivå.
Coachingdata: meldinger utvekslet mellom coach og utøver, tildelte treningsplaner, anmeldelser og evalueringer.
AI-interaksjonsdata: samtalehistorikk med AI-coachen, stilte spørsmål, sportsprofil overført til AI.
Geolokaliseringsdata: geolokal IP-adresse (MaxMind GeoIP), plassering av arrangementer og klubber.
Navigasjonsdata: informasjonskapsler, sesjonsidentifikatorer, visningspreferanser, publikumsdata (se avsnittet om informasjonskapsler).
Kommunikasjonsdata: e-postadresse for nyhetsbrev, varslingsinnstillinger.
3. Rettslige grunnlag for behandling
Enhver behandling av personopplysninger er basert på et rettslig grunnlag i samsvar med artikkel 6 i GDPR:
Oppfyllelse av kontrakt (art. 6.1.b):
- Opprettelse og administrasjon av brukerkontoen din
- Behandling av bestillinger og betalinger (Prime-abonnementer, treningsplaner, coaching)
- Levering av coachingtjenesten (meldinger, planer, oppfølging)
- Kobling via markedsplassen
- Tilgang til AI-coach (for Prime-abonnenter)
- Eksport av økter til Strava / Garmin Connect
- Utsendelse av nyhetsbrev og kommersiell kommunikasjon
- Tilkobling av din Strava- eller Garmin-konto (tilgang til dine sportsaktivitetsdata)
- Innlogging via tredjepartstjeneste (Google, Facebook, Apple)
- Plassering av ikke-essensielle informasjonskapsler (analyse, reklame)
- Forbedring av plattformen og publikumsanalyse
- Svindelforebygging og nettstedssikkerhet (reCAPTCHA, rate limiting)
- Konverteringssporing og funksjonalitetsytelse
- Oppbevaring av fakturaer og transaksjonsdata (skatte- og regnskapsforpliktelser)
- Svar på rettslige pålegg
4. Formål med behandling
Dine personopplysninger behandles for følgende formål:
- Kontoadministrasjon: registrering, autentisering, administrasjon av brukerprofil.
- Betalte tjenester: behandling av betalinger, administrasjon av abonnementer (Prime, coaching), utstedelse av fakturaer, utbetaling av provisjoner til coacher.
- Coaching: kobling av coach/utøver, meldinger, oppfølging av økter, evalueringer.
- Kunstig intelligens: levering av AI-coachen, personalisering av treningsanbefalinger.
- Sportsdata: synkronisering med Strava og Garmin, eksport av økter, ytelsesberegninger.
- Markedsplass: publisering og administrasjon av annonser, meldinger mellom selger og kjøper.
- Kommunikasjon: utsendelse av nyhetsbrev, transaksjonsvarslinger (ordrebekreftelse, betalingspåminnelse, kortutløp), tjeneste-e-poster.
- Verveparogram: sporing av vervinger, tildeling av belønninger.
- Analyse og forbedring: publikumsmåling, analyse av brukerreiser, optimalisering av nettstedet.
- Sikkerhet: svindeldeteksjon, beskyttelse mot misbruk (reCAPTCHA), tilgangslogging.
5. Kunstig intelligens
AthleteSide bruker kunstig intelligens-tjenester levert av OpenAI (OpenAI, L.L.C., San Francisco, USA) for følgende funksjoner:
- AI-coach: Konversasjonsassistent for trening, ernæring og løpsstrategi. Meldingene du sender til AI-coachen overføres til OpenAI API for å generere svar.
- Innholdsgenerering: Visse artikler og beskrivelser kan genereres eller berikes av AI.
- Oversettelse: Hjelp til oversettelse av innhold til nettstedets ulike språk.
Ingen automatisert beslutningstaking: AI gir anbefalinger til informasjonsformål. Ingen beslutning som har rettslige konsekvenser eller som påvirker brukeren vesentlig, tas automatisk utelukkende basert på algoritmisk behandling.
Data overført til OpenAI er gjenstand for overføring utenfor EU (se avsnittet «Overføringer utenfor EU»).
6. Betalingsdata
Betalinger på AthleteSide behandles av Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland).
Data behandlet av Stripe: bankortnummer, utløpsdato, sikkerhetskode, kortinnehaverens navn. Disse dataene samles inn og behandles direkte av Stripe i et PCI-DSS nivå 1-sertifisert miljø. AthleteSide lagrer aldri bankkortdataene dine.
Data beholdt av AthleteSide: Stripe-kundeidentifikator, de 4 siste sifrene på kortet, korttype, utløpsdato, transaksjonshistorikk (beløp, datoer, statuser), fakturaer.
For coacher: provisjonsutbetalinger gjøres via Stripe Connect. Coachen oppgir bankopplysningene sine (IBAN, BIC) direkte til Stripe.
Stripes personvernpolicy: https://stripe.com/fr/privacy
7. Innlogging via tredjepartstjenester
AthleteSide tillater innlogging og registrering via følgende tredjepartstjenester:
Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) — Hentede data: navn, fornavn, e-postadresse, profilbilde.
Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland) — Hentede data: navn, fornavn, e-postadresse, profilbilde.
Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland) — Hentede data: navn, e-postadresse (muligens videreformidlet via «Hide My Email»-tjenesten).
Strava (Strava, Inc., San Francisco, USA) — Hentede data: navn, fornavn, profilbilde, sportsaktivitetsdata (se avsnittet «Sportsdata»).
Bruken av disse innloggingstjenestene er valgfri og underlagt ditt samtykke. Du kan når som helst koble fra en tredjepartstjeneste fra kontoinnstillingene dine. Kun data som er nødvendige for å opprette eller logge inn på kontoen din hentes.
8. Sports- og helsedata
Visse funksjoner på AthleteSide innebærer behandling av helsedata i henhold til artikkel 9 i GDPR, særlig:
- Hjertefrekvens (data importert fra Strava eller Garmin Connect)
- Fysisk aktivitetsdata: distanse, varighet, tempo, høydemeter, effekt, kadens
- GPS-data: rutespor
- Sportsmål og kondisjonsnivå
Strava (Strava, Inc., San Francisco, USA) — Vi får tilgang til dine sportsaktiviteter via Strava API. Du kan tilbakekalle denne tilgangen når som helst fra Strava-kontoinnstillingene dine.
Garmin Connect (Garmin Ltd., Schaffhausen, Sveits / Garmin International, Inc., Olathe, Kansas, USA) — Vi eksporterer økter til Garmin-kontoen din. Tilkoblingen kan tilbakekalles fra Garmin-innstillingene.
Du kan når som helst slette sportsdataene dine fra innstillingene for AthleteSide-kontoen din.
9. Underdatabehandlere og mottakere av data
Dine personopplysninger kan overføres til følgende underdatabehandlere som handler på instruksjoner fra 2A CONSULTING:
| Underdatabehandler | Tjeneste | Berørte data | Lokasjon |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting | Alle data | EU (Irland / Frankrike) |
| Stripe | Betalinger | Betalingsdata, identitet | Irland / USA |
| SendGrid (Twilio) | E-postutsendelse | E-postadresse, e-postinnhold | USA |
| OpenAI | Kunstig intelligens | AI-samtaler, sportsprofil | USA |
| reCAPTCHA, Analytics, OAuth | IP-adresse, navigasjonsdata | Irland / USA | |
| Plausible Analytics | Publikumsanalyse | Anonymiserte navigasjonsdata | EU |
| MaxMind (GeoIP2) | IP-geolokalisering | IP-adresse | USA |
| Meta (Facebook) | OAuth, sosial deling | Identitet (ved sosial innlogging) | Irland / USA |
| Apple | OAuth (Sign In with Apple) | Identitet (ved sosial innlogging) | Irland |
| Strava | Synkronisering av sportsaktiviteter | Fysisk aktivitetsdata | USA |
| Garmin | Økteksport | Treningsøkter | Sveits / USA |
| Effiliation | Kommersiell affiliate | Navigasjonsdata (informasjonskapsler) | Frankrike |
Ingen personopplysninger selges til tredjeparter.
10. Overføringer av data utenfor EU
Noen av våre underdatabehandlere befinner seg utenfor Den europeiske union, særlig i USA. Disse overføringene er regulert av følgende garantier i samsvar med kapittel V i GDPR:
EU-US Data Privacy Framework: Stripe, Google, Meta og andre amerikanske underdatabehandlere er sertifisert under Data Privacy Framework, anerkjent av EU-kommisjonen som å gi et tilstrekkelig beskyttelsesnivå (adekvansbeslutning av 10. juli 2023).
Standardkontraktklausuler (SCC): For underdatabehandlere som ikke er dekket av Data Privacy Framework, er standardkontraktklausuler godkjent av EU-kommisjonen på plass.
Underdatabehandlere berørt av overføring utenfor EU:
- Stripe (USA) — Data Privacy Framework
- SendGrid / Twilio (USA) — SCCs
- OpenAI (USA) — SCCs + Data Processing Agreement
- Google (USA) — Data Privacy Framework
- MaxMind (USA) — SCCs
- Strava (USA) — SCCs
11. Informasjonskapsler og sporingsverktøy
Nettstedet https://www.athleteside.com bruker informasjonskapsler og sporingsverktøy. For detaljert informasjon, se vår dedikerte informasjonskapselside.
Sammendrag av informasjonskapselkategoriene som brukes:
- Strengt nødvendige informasjonskapsler: Brukerøkt, autentisering, handlekurv, CSRF, språkpreferanse. Disse informasjonskapslene krever ikke ditt samtykke.
- Analytiske informasjonskapsler: Google Analytics, Plausible Analytics — publikumsmåling og nettstedsforbedring.
- Funksjonelle informasjonskapsler: Lagring av dine preferanser (produktsammenligner, filtre).
- Tredjeparts informasjonskapsler: reCAPTCHA (Google), sosiale delingsknapper, innebygd innhold (videoer).
12. Lagringsperioder
Dataene dine lagres i følgende perioder:
| Datatype | Lagringsperiode |
|---|---|
| Brukerkonto | Kontoens varighet + 3 år etter sletting |
| Betalingsdata og fakturaer | 10 år (regnskapsforpliktelse) |
| Coachingdata (meldinger, planer) | Abonnementets varighet + 1 år |
| AI-coachsamtaler | Kontoens varighet (kan slettes av brukeren) |
| Sportsaktivitetsdata | Kontoens varighet (kan slettes av brukeren) |
| Nyhetsbrev | Til avmelding |
| Tilkoblingslogger | 12 måneder (rettslig forpliktelse) |
| Publikumsdata (analyse) | Maksimalt 26 måneder |
| Informasjonskapsler | Maksimalt 13 måneder |
| Markedsplassannonser | Publiseringsperiode + 6 måneder |
| Verveparogramdata | Ververs kontovarighet |
Ved utløpet av disse periodene slettes eller anonymiseres dataene på ugjenkallelig måte.
13. Dine rettigheter
I samsvar med GDPR har du følgende rettigheter over dine personopplysninger:
- Rett til innsyn (art. 15 GDPR): Få bekreftelse på at data om deg behandles og få en kopi.
- Rett til retting (art. 16 GDPR): Få korrigert unøyaktige eller ufullstendige data.
- Rett til sletting (art. 17 GDPR): Be om sletting av dataene dine, med forbehold om lovfestede lagringsforpliktelser.
- Rett til dataportabilitet (art. 20 GDPR): Motta dataene dine i et strukturert, allment brukt og maskinlesbart format.
- Rett til innsigelse (art. 21 GDPR): Motsette deg behandling av dataene dine av legitime grunner, eller motsette deg kommersiell markedsføring.
- Rett til begrensning (art. 18 GDPR): Be om midlertidig stans av behandlingen av dataene dine i visse tilfeller.
- Rett til å trekke tilbake samtykke: Trekke tilbake samtykket ditt når som helst (nyhetsbrev, informasjonskapsler, sosial innlogging, sportsdata), uten å påvirke lovligheten av tidligere behandling.
- Posthume direktiver: Fastsette direktiver om skjebnen til dataene dine etter din død.
14. Utøve dine rettigheter
For å utøve rettighetene dine kan du:
- Sende en e-post til contact@athleteside.com med angivelse av forespørselen din og vedlegg av identitetsbevis.
- Bruke funksjonene i kontoen din: endre opplysningene dine, slette kontoen din, administrere abonnementene dine, koble fra tredjepartstjenester (Strava, Google, etc.).
Hvis du har vanskeligheter med å utøve rettighetene dine, kan du klage til tilsynsmyndigheten for personvern i ditt land.
Nettsted: www.cnil.fr
15. Datasikkerhet
2A CONSULTING iverksetter passende tekniske og organisatoriske tiltak for å beskytte dine personopplysninger:
- Kryptering under overføring: All kommunikasjon er sikret via HTTPS/TLS.
- Kryptering i hvile: Sensitive data er kryptert i databasen.
- Passordhashing: Passord hashes med en sikker algoritme (bcrypt) og lagres aldri i klartekst.
- Tilgangskontroll: Begrenset datatilgang etter rolle (RBAC), forsterket autentisering for administratorer.
- Sikre betalinger: PCI-DSS-behandling via Stripe — ingen bankkortdata passerer gjennom våre servere.
- Beskyttelse mot misbruk: Rate limiting, reCAPTCHA, CSRF-beskyttelse, inntrengningsdeteksjon.
- Sikkerhetskopiering: Regelmessige og krypterte sikkerhetskopier av data.
- Oppdateringer: Regelmessig anvendelse av sikkerhetsoppdateringer.
16. Mindreårige
Nettstedet AthleteSide er ikke beregnet for barn under 15 år.
Brukere mellom 15 og 18 år må innhente tillatelse fra sin juridiske representant for å opprette en konto og bruke tjenestene, særlig betalte tjenester.
Hvis vi får kjennskap til at data er samlet inn om et barn under 15 år uten samtykke fra innehaveren av foreldremyndigheten, vil vi treffe nødvendige tiltak for å slette disse dataene snarest mulig.