Privatlivspolitik
Sidst opdateret: 25. juni 2026
Denne politik beskriver, hvordan Grundfast behandler personoplysninger som dataansvarlig for vores konto-, fakturerings- og logdata, jf. databeskyttelsesforordningen (GDPR) art. 13–14 og databeskyttelsesloven. For personoplysninger, vi behandler på vegne af en kunde (fx ejeroplysninger leveret som enrichment), er kunden dataansvarlig og Grundfast databehandler — se databehandleraftalen.
1. Dataansvarlig
Grundfast drives af MICCI, CVR-nr. 45587452, Fyrretoften 31, 7100 Vejle. Kontakt: hej@grundfast.dk.
2. Hvilke personoplysninger behandler vi
- Kontodata: e-mailadresse, navn (valgfrit), adgangskode (kun gemt som Argon2id-hash — aldrig i klartekst).
- Brugs- og sikkerhedslogs: API-kald (tidspunkt, endpoint, status), IP-adresse og request-id til rate-limiting, fejlsøgning og misbrugsbeskyttelse.
- Faktureringsdata: abonnementstier, forbrug og Stripe-kunde-id. Kortoplysninger håndteres alene af Stripe — Grundfast ser dem aldrig.
- E-mail-tokens: engangstokens (kun som hash) til bekræftelse af e-mail og nulstilling af adgangskode.
- Registerdata med personoplysninger: for personligt ejede virksomheder kan et CVR-opslag (
/v1/cvr/:cvr) indeholde indehaverens navn og virksomhedens beliggenhedsadresse — se afsnit 5.
3. Formål og retsgrundlag
- Levering af tjenesten og fakturering — art. 6, stk. 1, litra b (opfyldelse af aftale).
- Sikkerhed, drift, rate-limiting og misbrugsbeskyttelse — art. 6, stk. 1, litra f (legitim interesse).
- Overholdelse af bogføringsloven for fakturadata — art. 6, stk. 1, litra c (retlig forpligtelse).
- Genudstilling af offentlige registerdata — herunder CVR-personoplysninger for personligt ejede virksomheder — art. 6, stk. 1, litra f (legitim interesse i at levere et retvisende erhvervs- og ejendomsdata-API), afvejet mod den registreredes rettigheder (se afsnit 5).
4. Databehandlere og underdatabehandlere
Grundfast deler personoplysninger med følgende leverandører, alle i EU/EØS:
- HostStack — hosting, database og drift (eu-central).
- Stripe — betaling og fakturering.
- PostStack — transaktionsmails (bekræftelse, nulstilling).
- Datafordeler / SDFI — upstream-kilde for ejendomsdata (åbne data, CC BY 4.0). I den nuværende arkitektur sendes der ingen personoplysninger upstream — der slås op på ejendoms- og adresse-id, ikke på person.
Med hver leverandør er der indgået en databehandleraftale (art. 28), og al behandling sker i EU/EØS uden overførsel til tredjelande.
5. Registerdata med personoplysninger (CVR)
Som en del af tjenesten genudstiller Grundfast offentlige registerdata fra Det Centrale Virksomhedsregister (CVR) via Datafordeler / SDFI. For virksomheder i personligt ejede former (enkeltmandsvirksomhed, deltagere i interessentskaber m.v.) kan disse data indeholde personoplysninger — typisk indehaverens navn og virksomhedens beliggenhedsadresse, der ofte er indehaverens privatadresse. For denne genudstilling er Grundfast selvstændig dataansvarlig.
Retsgrundlag: art. 6, stk. 1, litra f (legitim interesse) i at stille et retvisende, aktuelt erhvervsdata-API til rådighed for fx kreditvurdering, adressevask og due diligence, afvejet mod den registreredes rettigheder. Oplysningerne stammer fra et offentligt tilgængeligt register.
Videregivelse og brug: Grundfasts kunder er efter handelsbetingelserne kontraktligt forpligtet til ikke at anvende disse personoplysninger til markedsføring eller direkte markedsføring.
Dine rettigheder som registreret (art. 14 og 21): Er du registreret med personoplysninger, der genudstilles via et CVR-opslag, har du ret til indsigt, berigtigelse og sletning samt ret til at gøre indsigelse mod behandlingen af grunde, der vedrører din særlige situation. Kontakt hej@grundfast.dk — gør du indsigelse, ophører vi med at behandle oplysningerne, medmindre vi kan påvise vægtige legitime grunde, der går forud for dine interesser og rettigheder. Du kan også klage til Datatilsynet (se afsnit 7).
6. Opbevaring
Kontodata opbevares, så længe kontoen er aktiv, og slettes/anonymiseres ved kontolukning (se rettigheder nedenfor). Fakturadata opbevares i 5 år jf. bogføringsloven. Sikkerheds- og adgangslogs opbevares i op til 90 dage og slettes derefter automatisk.
7. Dine rettigheder
Du har efter GDPR ret til indsigt (art. 15), berigtigelse (art. 16), sletning (art. 17), begrænsning (art. 18), dataportabilitet (art. 20) og indsigelse (art. 21). Kontakt hej@grundfast.dk — vi svarer inden for én måned. Du kan klage til Datatilsynet.
8. Cookies
Se vores cookie- og sporingspolitik.
Spørgsmål til dette dokument? Skriv til hej@grundfast.dk.