Personvernerklæring for VowFolio
Sist oppdatert: 20. mai 2026
Denne personvernerklæringen forklarer hvordan VowFolio («Tjenesten»), ved eierselskapet Meisal Media ENK («vi», «oss»), samler inn, bruker, lagrer og beskytter personopplysninger når du benytter vår applikasjon og tilhørende nettstudio.
1. Juridiske roller etter personvernforordningen (GDPR)
Forbindelsen mellom oss, våre direktekunder og deres sluttkunder er delt i to roller etter GDPR:
Behandlingsansvarlig (Data Controller): Vi er behandlingsansvarlig for personopplysningene til våre direkte avtalepartnere. Dette gjelder registrerte fotografer, videografer, studio-administratorer og crew-medlemmer som oppretter en brukerkonto.
Databehandler (Data Processor): Når våre kunder legger inn, samler inn eller behandler personopplysninger om sine egne klienter (f.eks. brudepar) eller tildeler tilganger til Crew i Tjenesten, opptrer vi utelukkende som en databehandler. Denne behandlingen reguleres i sin helhet av vår Databehandleravtale (DPA), som er et vedlegg til Brukervilkårene.
2. Personopplysninger som samles inn og behandles
A. Opplysninger om primærbrukeren (Fotografen / Crew)
For å administrere abonnementsforholdet, levere funksjonalitet i nettstudioet og tilrettelegge for Crew-markedet, behandler vi:
Kontoinformasjon: Navn, e-postadresse og kryptert passordmetadata (håndtert via Supabase Auth), samt unike identifikatorer ved bruk av tredjepartsautentisering (Sign in with Apple).
Studioprofil og forretningsdata: Studionavn, land, valuta, tidssone, fysisk adresse og timepriser.
Crew-profil og lokasjonsdata: Dersom brukeren aktiverer en offentlig Crew-profil, behandles base-lokasjon, geografiske koordinater (bredde- og lengdegrad utledet via MapKit-geokoding), reiseradius, biografi og lenker til eksterne porteføljer.
Finansielle transaksjonsdata: Stripe-konto-ID (Stripe Connect) samt statuser for fakturering og utbetalinger.
Tekniske metadata: IP-adresse, brukeragent (user agent), enhetstokener for push-varsler (Apple APNs) og tidsstempler for innlogging eller signering.
B. Opplysninger om sluttkunder (Brudepar / Klienter)
Når Tjenestens CRM-verktøy og klientportaler benyttes, lagres og rutes følgende opplysninger på vegne av Kunden:
Prosjektdetaljer: Klientenes fulle navn, e-postadresser, telefonnumre og fysiske adresser.
Logistikk og kjøreplaner: Detaljerte tidsplaner for arrangementer, adresser for lokasjoner, gjesteantall og spesifikke arrangementsnotater.
Kontraktsdata: Signerte avtaler, IP-adresser ved signering, tidsstempler samt en unik kryptografisk innholdshash (SHA-256) for verifisering av dokumentets integritet.
Kommunikasjonshistorikk: Meldinger, logger og e-posttråder som utveksles mellom partene i Tjenesten.
Mediefiler: Bilder og referanser opplastet til prosjekter eller moodboards.
3. Deling av opplysninger med underdatabehandlere
Tjenesten er avhengig av spesialiserte tredjepartsleverandører for teknisk drift. Data deles kun i den grad det er strengt nødvendig for å oppfylle vår avtale med Kunden:
Supabase Inc.: Hosting av infrastruktur, databaselagring, fil- og bildehosting, samt brukerautentisering.
Stripe Inc. / Stripe Connect: Behandling av abonnementsbetalinger, fakturalenker og finansielle overføringer til innleid personell.
Resend Inc.: Utsendelse av systemgenererte e-postvarsler, transaksjonsmeldinger og invitasjoner.
Cloudflare Inc.: E-postruting for trådbaserte meldinger, nettverkssikkerhet (DDoS-beskyttelse) og innholdslevering (CDN).
Apple Inc. (MapKit & APNs): Geokoding av adresser, visning av kartdata og levering av push-varsler til mobile enheter.
Weather API: Henting av meteorologiske data basert på prosjektenes geografiske koordinater.
4. Datasikkerhet og teknisk arkitektur
Kryptering i transitt og lagring: All datatrafikk mellom brukerens enhet og våre servere er kryptert ved bruk av industristandard protokoller (SSL/TLS). Databaser og fillagring hos vår infrastrukturleverandør er kryptert på lagringsnivå (encryption at rest).
Lokal enhetssikkerhet: For data som caches lokalt på mobile enheter, benyttes maskinvarestøttet kryptering (AES-GCM via CryptoKit). Krypteringsnøklene oppbevares sikkert i enhetens Keychain og roteres automatisk ved utlogging.
Integritetskontroll: For å forhindre manipulasjon av signerte avtaler genereres en SHA-256 kontrollsum av dokumentinnholdet på signeringstidspunktet.
Isolasjon av sensitive parametere: Kritiske API-nøkler og konfigurasjonsdetaljer er fjernet fra applikasjonens kildekode og tildeles utelukkende via sikre miljøvariabler under kjøring.
5. Datalagring og sletterutiner
Aktive kontoer: Opplysninger tilknyttet en aktiv brukerkonto lagres så lenge abonnementsforholdet løper.
Oppsigelse og kontoavslutning: Ved avslutning av en konto vil alle tilhørende data (herunder prosjekter, tidsplaner, kunderegistre og mediefiler) bli permanent og ugjenkallelig slettet fra våre produksjonsservere etter tretti (30) dager.
Midlertidig meldingsbuffer (Soft Delete): Dersom en bruker sletter en melding eller en meldingstråd i grensesnittet, flyttes dataene til en lukket sikkerhetsbuffer. Data i denne bufferen slettes permanent og automatisk etter tretti (30) dager.
Utlogging: Ved utlogging fra applikasjonen slettes lokale krypterte cacher og tilhørende enhetstokener for push-varsler umiddelbart fra enheten.
6. De registrertes rettigheter
Brukere har etter personvernlovgivningen rett til å kreve innsyn i egne personopplysninger, retting av uriktige data, samt sletting («retten til å bli glemt») når lagringsgrunnlaget har opphørt. Sluttkunder (brudepar) som ønsker å utøve sine rettigheter, må rette sin henvendelse til den respektive fotografen/studioet som er behandlingsansvarlig for deres prosjekt.
Du har også rett til å klage til Datatilsynet dersom du mener vi behandler personopplysningene dine i strid med lovverket: datatilsynet.no.
7. Kontaktinformasjon og juridisk eier
Tjenesten driftes og eies av:
- Juridisk navn: Meisal Media ENK
- Organisasjonsnummer: 928 659 984 MVA
- Adresse: Bernt Balchens vei 30, 1364 Fornebu, Norge
- E-postadresse: [email protected]
Privacy Policy for VowFolio
Last updated: 20 May 2026
This Privacy Policy explains how VowFolio ("Service"), operated by Meisal Media ENK ("we", "us"), collects, uses, stores, and protects personal data when you use our application and associated web studio.
1. Legal Roles under the GDPR
The relationship between us, our direct customers, and their end clients is divided into two roles under the GDPR:
Data Controller: We are the data controller for the personal data of our direct contractual partners. This applies to registered photographers, videographers, studio administrators, and crew members who create a user account.
Data Processor: When our customers enter, collect, or process personal data about their own clients (e.g. wedding couples) or grant access to Crew within the Service, we act solely as a data processor. This processing is governed entirely by our Data Processing Agreement (DPA), which is an appendix to the Terms of Use.
2. Personal Data Collected and Processed
A. Data about the primary user (Photographer / Crew)
To manage the subscription relationship, deliver web studio functionality, and facilitate the Crew marketplace, we process:
Account information: Name, email address, and encrypted password metadata (handled via Supabase Auth), as well as unique identifiers when using third-party authentication (Sign in with Apple).
Studio profile and business data: Studio name, country, currency, time zone, physical address, and hourly rates.
Crew profile and location data: If the user enables a public Crew profile, we process base location, geographic coordinates (latitude and longitude derived via MapKit geocoding), travel radius, biography, and links to external portfolios.
Financial transaction data: Stripe account ID (Stripe Connect) and billing and payout statuses.
Technical metadata: IP address, user agent, push notification device tokens (Apple APNs), and timestamps for logins or signings.
B. Data about end clients (Wedding Couples / Clients)
When the Service's CRM tools and client portals are used, the following data is stored and routed on behalf of the Customer:
Project details: Clients' full names, email addresses, phone numbers, and physical addresses.
Logistics and timelines: Detailed event schedules, venue addresses, guest counts, and specific event notes.
Contract data: Signed agreements, IP addresses at signing, timestamps, and a unique cryptographic content hash (SHA-256) for verifying document integrity.
Communication history: Messages, logs, and email threads exchanged between parties in the Service.
Media files: Images and references uploaded to projects or moodboards.
3. Sharing Data with Sub-processors
The Service relies on specialised third-party providers for technical operations. Data is shared only to the extent strictly necessary to fulfil our agreement with the Customer:
Supabase Inc.: Infrastructure hosting, database storage, file and image hosting, and user authentication.
Stripe Inc. / Stripe Connect: Processing subscription payments, invoice links, and financial transfers to hired personnel.
Resend Inc.: Sending system-generated email notifications, transactional messages, and invitations.
Cloudflare Inc.: Email routing for threaded messages, network security (DDoS protection), and content delivery (CDN).
Apple Inc. (MapKit & APNs): Geocoding addresses, displaying map data, and delivering push notifications to mobile devices.
Weather API: Fetching meteorological data based on projects' geographic coordinates.
4. Data Security and Technical Architecture
Encryption in transit and at rest: All data traffic between the user's device and our servers is encrypted using industry-standard protocols (SSL/TLS). Databases and file storage at our infrastructure provider are encrypted at the storage level (encryption at rest).
Local device security: For data cached locally on mobile devices, hardware-backed encryption is used (AES-GCM via CryptoKit). Encryption keys are stored securely in the device's Keychain and are automatically rotated on logout.
Integrity verification: To prevent tampering with signed agreements, a SHA-256 checksum of the document content is generated at the time of signing.
Isolation of sensitive parameters: Critical API keys and configuration details are removed from the application's source code and are assigned exclusively via secure environment variables at runtime.
5. Data Retention and Deletion
Active accounts: Data associated with an active user account is stored for as long as the subscription relationship continues.
Cancellation and account closure: Upon closure of an account, all associated data (including projects, timelines, client records, and media files) will be permanently and irreversibly deleted from our production servers after thirty (30) days.
Temporary message buffer (Soft Delete): If a user deletes a message or message thread in the interface, the data is moved to a closed security buffer. Data in this buffer is permanently and automatically deleted after thirty (30) days.
Logout: Upon logging out of the application, local encrypted caches and associated push notification device tokens are immediately deleted from the device.
6. Rights of Data Subjects
Under data protection legislation, users have the right to request access to their own personal data, correction of inaccurate data, and deletion ("the right to be forgotten") when the basis for storage has ceased. End clients (wedding couples) who wish to exercise their rights must direct their enquiry to the respective photographer/studio that is the data controller for their project.
You also have the right to lodge a complaint with the Norwegian Data Protection Authority (Datatilsynet) if you believe we are processing your personal data in violation of the law: datatilsynet.no.
7. Contact Information and Legal Owner
The Service is operated and owned by:
- Legal name: Meisal Media ENK
- Organisation number: 928 659 984 MVA
- Address: Bernt Balchens vei 30, 1364 Fornebu, Norway
- Email: [email protected]