Personvernerklæring

Sist oppdatert: 16. april 2026

Språk: Primærversjonen av personvernerklæringen er på norsk. En engelsk oversettelse finnes for internasjonale brukere og appbutikker; begge beskriver samme behandling. English version.

1. Behandlingsansvarlig

Luma AS er behandlingsansvarlig for personopplysningene som behandles i forbindelse med nettstedet luma.no, nettappen og mobilappene våre (samlet «Tjenesten»). Kontakt oss på hei@luma.no ved spørsmål om personvern eller for å utøve dine rettigheter.

2. Virkeområde

Erklæringen gjelder all behandling av personopplysninger som skjer når du bruker Tjenesten, enten du åpner den i nettleser eller via våre apper for iOS og Android.

3. Hvilke opplysninger vi behandler

Avhengig av hvordan du bruker Tjenesten, kan vi behandle:

  • Konto og identitet: navn, e-postadresse, autentiseringsdata og innstillinger knyttet til profilen din.
  • Økonomiske data og budsjett: transaksjoner, kategorier, budsjetter, regler, importfiler (for eksempel CSV) og annen informasjon du legger inn eller laster opp.
  • Banktilkobling (valgfritt): dersom du kobler til konto via vår integrasjonspartner Tink, behandler vi opplysninger som er nødvendige for å hente og vise kontoinformasjon og transaksjoner i tråd med tilganger du gir. Integrasjonen brukes ikke til formål som ligger utenfor leveransen av Tjenesten.
  • Tekniske og sikkerhetsmessige data: IP-adresse, nettleser- eller appversjon, tidsstempler, informasjonskapsler og tilsvarende teknologier som kreves for drift og sikkerhet, samt loggføring hos leverandører som leverer infrastruktur.
  • Produktanalyse: når produktanalyse er aktivert i drift, sendes bruks- og hendelsesdata til PostHog (vertskap i EU) for å forstå funksjonsbruk, forbedre stabilitet og utvikle produktet. Enkelte hendelser kan knyttes til bruker-ID eller e-post når klienten identifiserer deg etter innlogging eller registrering.

4. Formål og rettslig grunnlag (GDPR)

Vi behandler personopplysninger på følgende grunnlag:

  • Avtale (art. 6 nr. 1 bokstav b) — opprette og administrere konto, lagre og synkronisere data du velger å koble til, levere import, budsjett og rapportering, og kommunisere om Tjenesten.
  • Berettiget interesse (art. 6 nr. 1 bokstav f) — ivareta informasjonssikkerhet, hindre misbruk, begrenset produktanalyse som ikke overstyrer dine rettigheter, forbedring av Tjenesten og internt aggregert statistikk der det er mulig.
  • Rettslig forpliktelse (art. 6 nr. 1 bokstav c) — når oppbevaring eller utlevering kreves etter lov eller av myndigheter med hjemmel.

5. Automatisert behandling og forslag

Tjenesten kan foreslå kategorier eller gjenkjenne mønstre (for eksempel interne overføringer eller importkolonner) ved hjelp av regler og modeller på dine data. Verktøyene er ment som hjelp til deg og innebærer ikke avgjørelser med rettsvirkning eller tilsvarende betydning utelukkende ved automatisert behandling uten menneskelig involvering; du kan alltid kontrollere og endre kategorier og relaterte innstillinger.

6. Databehandlere og mottakere

Vi bruker databehandlere som behandler personopplysninger etter våre instruks, herunder etter behov:

  • Supabase (database, autentisering og tilknyttet infrastruktur i EØS).
  • Tink (valgfri sammenstilling av bankkontodata).
  • PostHog (produktanalyse i EU).
  • Øvrig infrastruktur og e-postleverandører som er nødvendige for drift av Tjenesten.

Vi selger ikke personopplysningene dine. Vi deler ikke personopplysninger med tredjeparter for deres egen markedsføring.

7. Overføring til tredjeland

Vi lagrer og behandler i utgangspunktet data innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Dersom en databehandler overfører til land utenfor EØS, sikrer vi lovlige overføringsgrunnlag i GDPR, for eksempel EU-kommisjonens standardkontraktsklausuler og eventuelle tilleggstiltak.

8. Lagringstid

Vi beholder opplysningene dine så lenge kontoen er aktiv. Ved sletting av konto sletter eller anonymiserer vi personopplysninger innen rimelig tid (som hovedregel innen 30 dager), med mindre lengre lagring følger av lov eller er nødvendig for å håndheve avtalevilkår eller avklare tvister.

9. Sikkerhet

Vi benytter bransjestandarder som kryptering i overføring (TLS), tilgangskontroll, separasjon av miljøer og databehandleravtaler. Ingen lagrings- eller overføringsmetode er fullstendig risikofri; vi arbeider løpende med å beskytte opplysningene dine.

10. Informasjonskapsler og lokal lagring (nett)

Nettstedet og nettappen bruker informasjonskapsler og tilsvarende teknologier som er strengt nødvendige for innlogging og økt, og for å huske visningsvalg der du lagrer det. Analyse kan bruke lokal lagring i nettleseren som konfigurert for PostHog.

11. Dine rettigheter

Etter personvernforordningen og norsk personvernlovgivning kan du, med de begrensninger som følger av lov:

  • Kreve innsyn i personopplysninger vi behandler om deg.
  • Kreve retting av uriktige opplysninger.
  • Kreve sletting («retten til å bli glemt») der vilkårene er oppfylt.
  • Kreve begrensning av behandling eller protestere mot behandling som bygger på berettiget interesse.
  • Kreve dataportabilitet for opplysninger du har gitt oss, der behandlingen er automatisert og bygger på avtale eller samtykke.
  • Rette klage til tilsynsmyndighet.

Kontakt hei@luma.no for å utøve rettighetene dine. I Norge er tilsynsmyndigheten Datatilsynet.

12. Barn

Tjenesten retter seg ikke mot barn under 16 år. Dersom du mener vi har behandlet opplysninger om et barn, ta kontakt så sletter vi opplysningene i tråd med lov.

13. Endringer

Vi kan oppdatere denne erklæringen ved endringer i Tjenesten eller lovkrav. Oppdatert versjon publiseres på denne siden med ny «Sist oppdatert»-dato. Ved vesentlige endringer gir vi tilleggsinformasjon der det er naturlig, for eksempel på e-post eller i appen.

14. Juridisk merknad

Erklæringen er ment å gi åpenhet om vår behandling og erstatter ikke individuell juridisk rådgivning. Ved behov for juridisk sikkerhet i din konkrete situasjon bør du konsultere advokat.