Cookie- og sporingspolitik
Juridisk grundlag
Denne politik er udformet i overensstemmelse med:
- ePrivacy-direktivet 2002/58/EF, Art. 5(3) (som ændret ved 2009/136/EF) — krav om forudgående samtykke ved lagring i og adgang til brugerens terminaludstyr.
- Cookiebekendtgørelsen — BEK nr. 1148 af 9. december 2011 — dansk implementering; teknologineutral; gælder cookies, pixels, fingerprinting, reklame-ID'er og andre metoder til lagring på/adgang til brugerens enhed.
- Fællesvejledning fra Datatilsynet og Digitaliseringsstyrelsen, maj 2025 — supplerende vejledning om samspillet mellem cookiebekendtgørelsen og GDPR, herunder mobilapps og serverside-teknologier.
- GDPR (EU) 2016/679 — Art. 6 (retsgrundlag), Art. 7 (samtykkebetingelser), Art. 13 (oplysningspligt ved indsamling), Betragtning 32.
- Databeskyttelsesloven — LBK nr. 289 af 8. marts 2024 — supplerende dansk lov til GDPR.
Tilsynsmyndigheder: Cookiebekendtgørelsen: Digitaliseringsstyrelsen. GDPR: Datatilsynet.
1. Hvad er "cookies og lignende teknologier"?
Cookies er små tekstfiler, der gemmes på din enhed. Cookiebekendtgørelsen og ePrivacy-direktivet Art. 5(3) er teknologineutrale og gælder enhver form for:
- Cookies (browser-/app-baserede)
- Lokalt lager (Local Storage, AsyncStorage, MMKV)
- Sessions-ID'er gemt på enhed
- Pixels og web beacons
- Device fingerprinting
- Mobile reklameidentifikatorer (IDFA på iOS, GAID/AAID på Android)
- SDK'er fra tredjepart, der identificerer enheden eller brugerens adfærd
Nearly er primært en mobilapp og anvender ikke traditionelle browser-cookies. Vi anvender dog teknologier som beskrevet nedenfor, der er underlagt de samme regler.
2. Vores samtykke-gate — ingen sporings-SDK'er aktiveres uden samtykke
I overensstemmelse med ePrivacy-direktivet Art. 5(3) og cookiebekendtgørelsen § 3 gælder følgende ufravigelige regel:
Ingen sporings-SDK'er eller tredjepartstjenester initialiseres, før du aktivt har givet dit samtykke.
Samtykke-flow (sekvens):
- App-launch — appens teknisk nødvendige komponenter (autentifikation, CMP) initialiseres.
- CMP-banner (Usercentrics) vises straks — ingen analytics-SDK'er, affiliate-SDK'er eller tredjepartstjenester er aktive endnu.
- Du vælger (accept alle / tilpas / afvis ikke-nødvendige) — granuleret samtykke pr. formål.
- Kun de SDK'er, du har accepteret, initialiseres herefter.
- Efterfølgende: Du kan til enhver tid ændre dit samtykke via Profil → Privatliv & samtykke i appen. Tilbagekaldelse er teknisk lige så let som at give samtykke (ét klik, øjeblikkelig effekt) — jf. GDPR Art. 7(3).
Om samtykke-betingelserne (GDPR Art. 7 + Betragtning 32):
- Samtykke indhentes aktivt (ingen forudafkrydsede bokse).
- Samtykke er granuleret (analytics ≠ affiliate-tracking ≠ markedsanalyse).
- Afvisning af ikke-nødvendige teknologier medfører ingen forringet adgang til kernefunktioner.
- Datoen og versionen af den CMP-dialog, du tog stilling til, logges (Art. 7(1)).
3. Oversigt over de teknologier vi anvender
3a. Teknisk nødvendige teknologier (kræver ikke samtykke)
Disse er absolut nødvendige for, at appen kan fungere, og er undtaget fra samtykkekravet jf. cookiebekendtgørelsen § 3, stk. 1. De kan ikke fravælges.
| Teknologi | Beskrivelse | Lagringssted | Levetid | Udbyder |
|---|---|---|---|---|
| Supabase Auth-token | Krypteret session-token til autentifikation. | iOS Keychain / Android Keystore (krypteret, enhedslokal) | Udløber ved logout eller token-expiry | Supabase Inc. (Frankfurt, EU) |
| Anonymt sessions-ID | Tilfældig UUID genereret ved app-start; binder session-interne filtre og søgehændelser til én anonym session. Gemmes kun i RAM; slettes ved app-lukning. Knyttes aldrig til dit bruger-ID. | Kun i hukommelsen (RAM) | Slettes ved sessionsafslutning | Nearly (internt) |
| Usercentrics CMP-samtykke-token | Gemmer dit samtykkevalg lokalt, så du ikke besvarer CMP-banneret ved hvert app-åbning. | MMKV / AsyncStorage (enhedslokal) | 12 måneder | Usercentrics GmbH (EU) |
3b. Serverside søgehændelses-log (baseret på legitim interesse)
| Teknologi | Beskrivelse | Lagringssted | Levetid | Udbyder |
|---|---|---|---|---|
| Anonym søgehændelses-log | Anonymt sessions-ID + søgeord + tidsstempel + produkt-ID sendes til vores database. Ingen enhedsidentifikator eller bruger-ID. Serverside — ingen SDK på enheden. | Supabase PostgreSQL (Frankfurt, EU) | 12 måneder rullende | Nearly (internt via Supabase) |
Retsgrundlag: GDPR Art. 6(1)(f) — legitim interesse (forbedring af søgefunktion og kataloget). Du kan til enhver tid gøre indsigelse mod denne behandling via Profil → Privatliv & samtykke (Art. 21).
3c. Affiliate-klik-tracking (kræver samtykke)
| Teknologi | Beskrivelse | Lagringssted | Levetid | Udbyder |
|---|---|---|---|---|
| [PLACEHOLDER: Adtraction / Partner-ads / Awin] | Når du klikker på et produktlink, sendes et klik-signal med sessions-ID, produkt-ID og tidsstempel til affiliate-netværket til brug for provisionsberegning. | [PLACEHOLDER: hos affiliate-netværket] | [PLACEHOLDER: typisk 30–90 dage] | [PLACEHOLDER: affiliate-netværk] |
Retsgrundlag: GDPR Art. 6(1)(b) og/eller Art. 6(1)(f). Hvis affiliate-netværket anvender et 3.-parts-SDK, der tilgår enhedsidentifikatorer, kræves desuden ePrivacy-samtykke (cookiebekendtgørelsen § 3, stk. 1).
3d. Markedsanalyse-pipeline (kun Fase 5 — kræver separat eksplicit samtykke)
Aggregerer adfærdsdata til kohorter med minimum 50 brugere med 7-dages rullende vinduer. Output er genuint anonymt (GDPR Betragtning 26). Retsgrundlag for pipelinen: GDPR Art. 6(1)(a) — separat, eksplicit samtykke til "markedsanalyse"-formålet. Aktiveres kun hvis separat samtykke er opnået.
4. iOS App Tracking Transparency (ATT) — Apple
På iOS 14+ kræver Apple en særskilt systemdialog (ATT-prompt), der beder om tilladelse til at spore brugeren på tværs af apps og hjemmesider tilhørende andre virksomheder (via IDFA).
Nearlys fremgangsmåde:
- Vi indhenter GDPR-samtykke via vores CMP inden ATT-prompten vises.
- Vi anmoder kun om ATT-tilladelse, hvis den pågældende tracking-funktion er aktiveret af brugeren i CMP.
- Afviser du ATT-prompten, begrænser det visse tekniske muligheder, men påvirker ikke din adgang til appens kernefunktioner.
Apples ATT-prompt erstatter ikke GDPR-samtykke fra den dataansvarlige — begge samtykker er nødvendige og supplerende.
5. Android — Google Consent Mode v2
På Android integrerer vi Google Consent Mode v2 i alle relevante Google-tjenester (herunder Google Sign-In). Consent Mode sikrer, at Googles dataindsamling begrænses i overensstemmelse med brugerens samtykkevalg i vores CMP. Vi sender consent signals til Google for kategorierne analytics_storage og ad_storage baseret på brugerens faktiske valg.
6. Ingen adfærdsbaseret annoncering på tværs af apps
Nearly anvender ikke annoncenetværk til adfærdsbaseret annoncering på tværs af apps og hjemmesider. Affiliate-tracking er udelukkende begrænset til klik-attributering inden for vores egne produktlinks. Vi foretager ikke profilering af brugere med henblik på reklame til tredjepart.
7. Til- og fravalg
| Metode | Effekt |
|---|---|
| CMP-banner ved app-start | Granuleret samtykke til/fravalg af formål (analytics / affiliate / markedsanalyse) |
| Profil → Privatliv & samtykke | Ændring af samtykke til enhver tid med øjeblikkelig effekt; tilbagekaldelse er teknisk lige så let som accept (GDPR Art. 7(3)) |
| "Slet konto" | Sletter alle dine personoplysninger, herunder samtykke-loggen |
| iOS Indstillinger → Privatliv & Sikkerhed → Tracking | Tilbagekalder ATT-tilladelse på enhedsniveau (uden for Nearlys direkte kontrol) |
8. Kontakt og klage
Spørgsmål vedrørende vores brug af cookies og lignende teknologier kan rettes til: hello@getnearly.com
Klage over overtrædelse af cookiebekendtgørelsen kan indgives til Digitaliseringsstyrelsen (www.digst.dk).
Klage over overtrædelse af GDPR kan indgives til Datatilsynet (www.datatilsynet.dk).
9. Ændringer
Vi opdaterer denne politik, hvis vi indfører nye sporings-teknologier eller ændrer eksisterende. Ændringsdatoen fremgår øverst. Væsentlige ændringer meddeles via appen inden ikrafttræden.