Databeskyttelse og GDPR

Flango er designet med dataminimering og børnevenlighed som centrale principper. Denne side giver et overblik over hvordan personoplysninger behandles, hvem der har ansvar, og hvilke rettigheder registrerede har.

Den fulde privatlivspolitik med detaljerede tabeller over alle datapunkter, retsgrundlag, underbehandlere og cookies findes på flango.dk/privatlivspolitik.

Roller og ansvar

Dataansvarlig

Institutionen / kommunen

Den institution eller kommune der bruger Flango bestemmer formålet med behandlingen og er ansvarlig over for børn, forældre og personale.

Databehandler

Theison (CVR 34360642)

Udvikler og driver Flango-platformen. Behandler data udelukkende på vegne af den dataansvarlige i henhold til databehandleraftale.

Der indgås databehandleraftale (DPA) mellem Theison og hver institution/kommune i overensstemmelse med GDPR artikel 28.

Personoplysninger der behandles

Flango er designet til at anvende så få personoplysninger som muligt. Her er et overblik — den fulde liste med formål findes i privatlivspolitikken.

Børn

Fornavn og kontonummer (identifikation i café-appen)
Klassetrin (filtrering ved arrangementer)
PIN-kode (krypteret med bcrypt — kan aldrig genskabes)
Saldo og købshistorik
Allergen-indstillinger og kostpræferencer (forældrerapporteret)
Skærmtidssessioner (varighed, station)
Gamification-data (ekspedient-aktivitet, level, badges, avatar)

Forældre

E-mailadresse og kodeord (krypteret) — eller Google-login
Tilknytning til egne børn
Betalingshistorik (beløb og tidspunkt — aldrig kortdata)
Indstillinger (forbrugsgrænser, allergener, skærmtid, notifikationer)

Personale

E-mailadresse og kodeord (krypteret)
Rolle og institutions-tilknytning
Handlingslog (hvem, hvad, hvornår)

Hvad vi ikke behandler: Flango behandler ikke CPR-numre, helbredsoplysninger, religiøs overbevisning, etnisk oprindelse, biometriske data eller andre særligt følsomme personoplysninger (GDPR artikel 9). Allergen-indstillinger er forældrerapporterede kostpræferencer — ikke medicinske diagnoser.

Formål og retsgrundlag

Formål	Retsgrundlag (GDPR)
Cafédrift (salg, saldo, produkter)	Art. 6(1)(e) opgave i samfundets interesse / art. 6(1)(b) kontrakt
Forældreportal (indsigt, indstillinger, betaling)	Art. 6(1)(a) samtykke + art. 6(1)(b) kontrakt
Skærmtidsstyring	Art. 6(1)(e) institutionens drift / art. 6(1)(f) legitim interesse
Fødevaresikkerhed (allergen-blokering)	Art. 6(1)(f) legitim interesse + art. 6(1)(d) vital interesse
Gamification (pædagogisk motivation)	Art. 6(1)(f) legitim interesse
Administration og audit-log	Art. 6(1)(f) legitim interesse (compliance, sporbarhed)

Den dataansvarlige institution eller kommune fastlægger det endelige retsgrundlag.

Opbevaring og sletning

Alle persondata opbevares i EU (AWS eu-west-1, Irland) via Supabase.
Data opbevares så længe barnet er tilknyttet institutionen, eller indtil den dataansvarlige anmoder om sletning.
Ved ophør af samarbejde eksporteres alle data til den dataansvarlige, og data slettes derefter fra Flango.
Flango understøtter komplet datasletning med datadump inden sletning (teknisk verificerbar).

Underbehandlere

Underbehandler	Formål	Persondata	Placering
Supabase (AWS)	Database, auth, backend	Alle persondata	EU (Irland)
Stripe	Betaling	E-mail, beløb	EU / global
GitHub / Microsoft	Frontend-hosting	Ingen	CDN
Google (OAuth)	Valgfrit login	E-mail, navn	EU / global

Der er indgået databehandleraftale (DPA) med Supabase. Stripe er PCI DSS Level 1 certificeret og håndterer al kortdata — Flango ser aldrig kortnumre.

Særligt om børns data

Flango behandler primært børns personoplysninger og er særligt opmærksom på:

Vi indsamler kun oplysninger der er strengt nødvendige for cafédrift og skærmtidsstyring.
Børn identificeres ved fornavn og kontonummer — ikke ved CPR-nummer eller fuldt navn.
Forældre har fuld indsigt og kontrol via forældreportalen.
Gamification (levels, badges, avatarer) er baseret på simple tællere og har ingen konsekvenser ud over kosmetiske elementer. Det er ikke profilering i GDPR's forstand.

Dine rettigheder

Børn, forældre og personale har følgende rettigheder i henhold til GDPR:

Rettighed	Beskrivelse
Indsigt (art. 15)	Se hvilke oplysninger der behandles. Forældre har live-indsigt via portalen.
Berigtigelse (art. 16)	Få rettet forkerte oplysninger.
Sletning (art. 17)	Få slettet oplysninger (medmindre lovmæssigt grundlag kræver opbevaring).
Begrænsning (art. 18)	Begrænse behandlingen af dine data.
Dataportabilitet (art. 20)	Få udleveret dine data i maskinlæsbart format (JSON).
Indsigelse (art. 21)	Gøre indsigelse mod behandling baseret på legitim interesse.

Sådan udøver du dine rettigheder: Kontakt den institution eller kommune der anvender Flango — de er dataansvarlige og håndterer din henvendelse. Du kan også skrive direkte til kontakt@flango.dk, så hjælper vi med at videresende til den rette.

Klage

Hvis du mener, at behandlingen af personoplysninger er i strid med databeskyttelsesreglerne, kan du klage til:

Datatilsynet

Carl Jacobsens Vej 35, 2500 Valby

Telefon: 33 19 32 00

E-mail: dt@datatilsynet.dk

Web: datatilsynet.dk

Kontakt

Spørgsmål om databeskyttelse i Flango:

Theison

CVR: 34360642

E-mail: kontakt@flango.dk

Web: flango.dk

Relaterede sider

Privatlivspolitik — fuld privatlivspolitik med alle datapunkter, retsgrundlag og cookies
Sikkerhed — teknisk arkitektur, kryptering, adgangskontrol og infrastruktur