SM4RT EVENT v/Rasmus S. Pedersen
CVR: 42390380
Toftevænget 16, 8653 Them
info@sm4rtevent.dk · 22 33 58 58

Har du spørgsmål om, hvordan jeg håndterer dine data, skriver du bare til mig på info@sm4rtevent.dk.

Databeskyttelsesrådgiver (DPO): Som enkeltmandsvirksomhed uden omfattende behandling af særlige kategorier af persondata er der ikke krav om udpegning af en DPO efter GDPR Art. 37. Dataansvarlig håndterer selv alle henvendelser om persondata.

Når du udfylder en formular, gemmer jeg de oplysninger, du selv har indtastet, samt tidsstempel og dit samtykke. De konkrete felter afhænger af formularen:

• Kontaktformular (forsiden): navn, email, mobil, anledning, ønsket dato, besked.
• Booking-skema: ovenstående + firma, lokation, antal deltagere, ønsker til udstyr.
• Bryllupsskema: brudens og gommens navn, email og tlf; primær kontaktperson på dagen (navn + tlf); toastmaster (navn + tlf); venue-navn, adresse og kontaktperson/tlf; tidsplan, musikønsker (herunder Spotify-links og do-not-play-liste); aggregeret gæsteinfo (antal, aldersfordeling, stemning); bemærkninger om udstyr, zoner, lys, afterparty mv. Uploadede filer gemmes i en privat storage-bucket og kan efter kundens valg indeholde fx gæsteliste, sangprogram eller dekorationsmateriale.
• Undervisningsformular: navn, email, mobil, alder, erfaring, udstyrsoplysninger, lokation, mål, foretrukne tider.

Data om tredjeparter (bryllupsskema): Når brud og gom indsender oplysninger om tredjeparter - herunder kontaktperson på dagen, toastmaster, venue-kontaktperson samt eventuelle persondata indeholdt i uploadede filer (fx gæsteliste) - skal den indsendende part sikre, at disse tredjeparter er bekendt med videregivelsen. Behandlingen er fritaget fra den direkte oplysningspligt over for hver tredjepart jf. GDPR Art. 14(5)(b), da individuel information ville være uforholdsmæssigt krævende i forhold til behandlingens begrænsede omfang og korte opbevaringsperiode (6 måneder). Behandlingsgrundlaget for SM4RT EVENTs efterfølgende behandling er opfyldelse af aftale (Art. 6(1)(b)) eller legitim interesse (Art. 6(1)(f)) i at kunne afvikle det aftalte arrangement. Tredjepart-data behandles udelukkende til brug for planlægning og afvikling af det konkrete arrangement og slettes automatisk sammen med den øvrige bryllupsregistrering (se punkt 04).

• GDPR Art. 6(1)(b) - opfyldelse af kontrakt. Når du booker mig, skal jeg bruge dine oplysninger for at kunne levere aftalen.
• GDPR Art. 6(1)(f) - legitim interesse. Forespørgsler uden bindende aftale behandles for at kunne svare dig retur og tage stilling til, om vi kan samarbejde.

Jeg bruger ikke dine data til markedsføring, profilering eller salg til tredjepart.

Om cookieless analytics (Plausible) - to-lags-analyse:

Lag 1 (ePrivacy-direktivet art. 5(3)): Plausible gemmer eller læser ikke oplysninger på din enhed ud over hvad der er strengt nødvendigt for at levere den HTTP-kommunikation, du selv anmoder om (standard request-headere). Behandlingen falder derfor enten uden for art. 5(3)-scope eller under undtagelsen for "strengt nødvendigt for den udbedte tjeneste". Der kræves ingen samtykke efter ePrivacy-direktivet (jf. EDPB Guidelines 2/2023 om technical scope).

Lag 2 (GDPR Art. 6(1)(f)): For den efterfølgende behandling af aggregerede statistik-data (hash af anonymiseret IP med daglig roterende salt) er retsgrundlaget legitim interesse i at forstå trafik-mønstre, så sitet kan forbedres. Afvejningen (LIA): Plausible er valgt som den mindst-indgribende løsning - cookieless, ingen persondata, ingen re-identifikation på tværs af besøg, ingen tredjepart-deling. Dine rettigheder har forrang - skriv til info@sm4rtevent.dk for at gøre indsigelse, så udelukkes din trafik fra statistikken.

Retention er hard-coded i databasen. Når den automatiske udløbsdato rammer, bliver rækken slettet, og eventuelle tilhørende filer og PDFer ryddes sammen med den.

• Forespørgsler (kontaktformular): 3 måneder fra indsendelse.
• Booking-forespørgsler: 6 måneder fra indsendelse.
• Undervisningsforespørgsler: 3 måneder fra indsendelse.
• Bryllupsskemaer: 6 måneder efter bryllupsdatoen.

Aktive aftaler: Hvis en undervisnings- eller booking-relation etableres som løbende aftale, overgår data til kontrakt-retention - dvs. opbevaring så længe forholdet består + 6 måneder efter afslutning.

Bogføringsmateriale (separat): Regnskabsmateriale vedrørende betalte aftaler (fakturanavn, fakturabeløb, momsgrundlag, betalingsdato) opbevares separat i mit regnskabsprogram i 5 år efter regnskabsårets udgang, jf. bogføringsloven § 12. Retsgrundlaget for denne opbevaring er retlig forpligtelse (GDPR Art. 6(1)(c)) og er uafhængig af de øvrige retention- regler ovenfor.

Hvis du beder om sletning før udløb, sletter jeg inden for 30 dage, medmindre lovgivning kræver fortsat opbevaring (fx bogføringspligt). Se dine rettigheder i punkt 09.

Backups: Supabase tager automatiske krypterede backups af databasen til katastrofe-recovery. Slettede rækker kan derfor forekomme i backup-snapshots i op til 30 dage, hvorefter de fjernes automatisk ved backup-rotation. Backups er kun tilgængelige for Supabase som databehandler og kan ikke bruges til at gendanne enkelt-personers data uden at hele databasen skal restores.

Kun mig. Jeg er enkeltmandsvirksomhed, så ingen medarbejdere har adgang til formular-data.

For at drive sitet og håndtere formularer bruger jeg følgende databehandlere (GDPR Art. 28):

• Supabase Inc. (USA, Delaware) - database + fil-storage. Storage og compute kører i EU-region (Frankfurt, Tyskland) på AWS-infrastruktur. Driftslogs og support kan potentielt tilgås fra USA. Overførselsgrundlag: Standard Contractual Clauses (SCC'er) suppleret af tekniske foranstaltninger (kryptering at-rest + in-transit, EU-region, RLS-adskillelse).
• Vercel Inc. (USA, Delaware) - hosting af hjemmesiden. Compute og static assets serveres fra EU-region (Frankfurt). Driftslogs og support kan potentielt tilgås fra USA. Overførselsgrundlag: Vercel Inc. er certificeret under EU-US Data Privacy Framework (DPF) jf. Kommissionens afgørelse af 10. juli 2023, suppleret af Standard Contractual Clauses (SCC'er). Du kan verificere DPF-status på dataprivacyframework.gov.
• Plausible Analytics - cookieless statistik. Data i EU.
• Google LLC (Google Workspace) (USA, Mountain View) - email-hosting for info@sm4rtevent.dk. Når du skriver til mig, modtages og opbevares korrespondancen i Gmail/Workspace. Indholdet kan indeholde de persondata, du selv vælger at dele i emailen. Overførselsgrundlag: EU-US Data Privacy Framework (DPF) jf. Kommissionens afgørelse af 10. juli 2023, suppleret af Standard Contractual Clauses (SCC'er). DPF-status kan verificeres på dataprivacyframework.gov.
• Anthropic PBC (USA, Delaware) - AI-baseret opsummering og beslutningsstøtte i det interne admin-system. Når jeg arbejder med en henvendelse eller en kundesag, kan tekst-uddrag fra korrespondance og sags-noter sendes til Anthropics Claude-model for at generere opsummeringer eller besvare mine arbejdsspørgsmål. AI-svar er rådgivende, ikke bestemmende — alle afgørelser i din sag træffes af mig personligt (jf. punkt 10). Anthropic anvender ikke data til træning af deres modeller (kontraktuelt udelukket i databehandleraftalen). Data opbevares hos Anthropic i op til 30 dage til misbrugsdetektion (Trust & Safety) og slettes derefter automatisk. Overførselsgrundlag: EU-US Data Privacy Framework (DPF) jf. Kommissionens afgørelse af 10. juli 2023, suppleret af Standard Contractual Clauses (SCC'er). Supplerende foranstaltninger: TLS 1.2+ in transit, data-minimering i prompts, og særlige kategorier af persondata (GDPR Art. 9) sendes ikke til AI-modeller. Anthropic er certificeret under ISO 27001:2022, ISO/IEC 42001:2023 (AI Management Systems) og SOC 2 Type II. DPF-status kan verificeres på dataprivacyframework.gov.

Databehandleraftaler er indgået med alle eksterne parter.

Egen infrastruktur (ikke databehandler): Et N8N-setup på en dedikeret Hetzner VPS i EU bruges til automatiseret PDF-generering og email-notifikationer i forbindelse med bryllupsskemaer. Jeg ejer og driver serveren selv, og den behandler data som en del af min egen virksomhedsdrift, ikke som ekstern leverandør. Den er derfor ikke en databehandler i GDPR Art. 28-forstand, men en del af samme dataansvarlig (SM4RT EVENT).

Andre modtagere (Art. 13(1)(e)): Ud over databehandlere kan dine oplysninger videregives til revisor/bogholder, offentlige myndigheder (SKAT, Datatilsynet) og i sjældne tilfælde juridiske rådgivere, når det er nødvendigt eller lovpligtigt.

Driftslogs: Vercel og Supabase logger kortvarigt din IP-adresse og browser- user-agent i forbindelse med almindelig drift (fejlsøgning, rate-limiting, sikkerhedsovervågning). Logs slettes typisk inden for 24-72 timer hos leverandørerne. Retsgrundlag: legitim interesse (Art. 6(1)(f)) i at sikre stabil og sikker drift af tjenesten.

• Alt der sendes mellem din browser, sitet og databasen er krypteret (HTTPS/TLS).
• Kun jeg kan læse det, du har indsendt. Database-adgangen er styret via row-level security (RLS) og service-role-adskillelse, så andre besøgende på sitet kan sende deres egne formularer, men ikke se, ændre eller slette det, andre har sendt.
• Uploadede bryllupsfiler ligger et privat sted, som ikke er tilgængeligt for offentligheden.
• Data er også krypteret, når de ligger stille på serveren.
• Misbrugsbeskyttelse er bygget ind med 30-sekunders client-side cooldown mellem indsendelser samt Supabase's egne rate-limiting-mekanismer på database-niveau. Der bruges ikkeekstern Captcha-tjeneste (fx hCaptcha, Cloudflare Turnstile eller reCAPTCHA), så ingen tredjepart får data om dit besøg som led i spamfiltrering.

Ved indsendelse af en formular bekræfter du at have læst denne privatlivspolitik. Dette er ikke samtykke i GDPR Art. 6(1)(a)-forstand, men en bekræftelse af, at du er gjort bekendt med informationspligten efter Art. 13. Retsgrundlaget for den efterfølgende behandling er Art. 6(1)(b) opfyldelse af kontrakt eller Art. 6(1)(f) legitim interesse som beskrevet i punkt 03.

Hvis du alligevel ønsker, at behandling af dine oplysninger ophører, kan du skrive til info@sm4rtevent.dk - jeg vurderer da, om der er grundlag for sletning, indsigelse eller begrænsning (se dine rettigheder i punkt 09).

Dine formular-data opbevares og behandles på infrastruktur i EU/EØS. Supabase kører i Frankfurt (AWS-EU), Vercel kører compute i EU-region, Plausible gemmer data i EU, og N8N-automatiseringen kører på en server, jeg selv ejer og driver inden for EU.

Amerikanske moderselskaber (CLOUD Act-kontekst): Supabase Inc., Vercel Inc., Google LLC og Anthropic PBC er alle amerikanske selskaber. Selvom data primært lagres på EU-infrastruktur (Supabase + Vercel) eller i Google's europæiske regioner (Workspace), og selvom AI-behandling hos Anthropic sker på amerikansk infrastruktur, kan amerikanske myndigheder under CLOUD Act i princippet kræve data udleveret fra moderselskab. Det er en uafsluttet juridisk diskussion post-Schrems II.

Overførselsgrundlag: Vercel Inc., Google LLC og Anthropic PBC er certificerede under EU-US Data Privacy Framework (DPF) jf. Kommissionens afgørelse af 10. juli 2023. For Supabase Inc. er overførselsgrundlaget Standard Contractual Clauses (SCC'er). Alle suppleres af tekniske foranstaltninger: TLS 1.2+ in transit, kryptering at-rest hos databehandleren, EU-region-konfiguration (hvor muligt), og row-level security i databasen. For AI-behandling anvendes endvidere data-minimering i prompts og kontraktuel udelukkelse af model-træning. DPF-certificering kan verificeres på dataprivacyframework.gov.

Fonts blev tidligere hentet fra Googles CDN (USA). Det er ændret: fonts hostes nu lokalt på dette domæne, så din browser aldrig skal kontakte Google for at rendere sitet.

Under GDPR har du ret til:

• Indsigt - en kopi af de data, jeg har om dig (Art. 15).
• Berigtigelse - at få fejl rettet (Art. 16).
• Sletning - at få data slettet før udløb, "retten til at blive glemt" (Art. 17).
• Begrænsning - at data midlertidigt ikke må behandles (Art. 18).
• Dataportabilitet - at få dine data udleveret i et maskinlæsbart format (Art. 20).
• Indsigelse - mod behandling baseret på legitim interesse (Art. 21).

Send en email til info@sm4rtevent.dk med dit krav. Jeg svarer senest inden for 30 dage, som loven kræver (Art. 12).

Identitetsverifikation: Hvor jeg har rimelig tvivl om din identitet, kan jeg anmode om yderligere oplysninger til at verificere dig (GDPR Art. 12(6)). Det sker for at sikre, at dine data ikke videregives til uautoriserede personer. Tidsfristen på 30 dage starter først, når identiteten er bekræftet.

Jeg bruger ikke automatiserede beslutninger eller profilering som beskrevet i GDPR Art. 22. Alle beslutninger om, hvorvidt vi kan samarbejde, samt alle afgørelser i din sag, træffes af mig personligt.

AI-assistance som arbejdshjælp: Jeg anvender AI-baseret opsummering (Anthropic Claude, se punkt 05) til at få overblik over længere email-tråde, generere udkast til svar og få forslag til sagsstruktur. AI-svar er rådgivende, ikke bestemmende. Jeg læser, vurderer og godkender alt inden det sendes videre eller anvendes som beslutningsgrundlag. Du kan til enhver tid bede om indsigt (GDPR Art. 15) i hvilke AI-genererede opsummeringer der findes om din sag.

Hvis der sker et sikkerhedsbrud, som udgør en risiko for dine rettigheder, anmelder jeg det til Datatilsynet senest 72 timer efter, jeg opdager det (GDPR Art. 33). Er risikoen høj, kontakter jeg dig direkte (Art. 34).

Jeg kan opdatere denne politik, fx hvis jeg skifter databehandler, eller hvis ny regulering kræver det. Ændringer noteres i feltet "Senest opdateret" nederst. Har du en aktiv aftale med mig, får du besked pr. email ved væsentlige ændringer.

Som væsentlige ændringer regnes fx: nye eller ændrede databehandlere, nyt eller ændret retsgrundlag, ny eller ændret tredjelandsoverførsel, udvidet retention, eller ændringer i kategorierne af persondata der indsamles.

Er du utilfreds med min behandling af dine data, kan du klage til Datatilsynet:

Datatilsynet
Carl Jacobsens Vej 35, 2500 Valby
Tlf: 33 19 32 00
dt@datatilsynet.dk · datatilsynet.dk

DJ-undervisning tilbydes også til personer under 18 år, herunder under 13 år. Behandlingen af persondata om mindreårige følger reglerne i GDPR Art. 8 og databeskyttelsesloven § 6, stk. 3, hvorefter børn under 13 år ikke selv kan give et gyldigt samtykke til behandling i forbindelse med informationssamfundstjenester.

Praktisk håndtering:

• 13 år og opefter: Personen kan selv indsende undervisningsformularen. For mindreårige under 18 anbefales det, at en forælder eller værge er orienteret.
• Under 13 år: Indsendelse skal ske af eller med skriftligt samtykke fra en forælder eller værge. Formularen indeholder felter til forælderens/værgens navn, email og en bekræftelse af samtykke. Uden disse oplysninger behandles forespørgslen ikke.

Forælderens/værgens kontaktoplysninger behandles på samme grundlag som elevens (Art. 6(1)(b)/(f)) og slettes på samme retention-skema (3 måneder for forespørgsler, kontrakt-retention ved aktiv aftale). Ved spørgsmål eller anmodning om sletning skriv til info@sm4rtevent.dk.