Personvernerklæring

1. Behandlingsansvarlig

Den behandlingsansvarlige for dine personopplysninger er selskapet bak Pulse AI Coach.

TIAN PILEBERG (enkeltpersonforetak)
Org.nr. 937 797 591
Augestadveien 31, 1413 Tårnåsen
E-post: tian@pulsecoach.no

2. Personopplysninger vi behandler

Vi behandler følgende kategorier av personopplysninger:

Profildata

• Navn og e-postadresse (oppgitt ved registrering)
• Alder og kjønn (oppgitt i onboarding)
• Treningsmål, treningsdager per uke og erfaringsnivå
• Valgt treningsløp (f.eks. styrke, løping)

Trenings- og aktivitetsdata

• Loggede treningsøkter (øvelser, sett, repetisjoner, vekt)
• Genererte treningsprogrammer
• Fremgangsdata per øvelse over tid

Kommunikasjonsdata

• Chat-historikk med AI-coachen
• AI-genererte oppsummeringer og «hukommelse» fra samtaler

Helserelaterte opplysninger (særlig kategori)

• Skader, begrensninger og andre helseopplysninger du oppgir til AI-coachen i samtale eller onboarding

Helserelaterte opplysninger behandles utelukkende på grunnlag av ditt eksplisitte samtykke (GDPR art. 9 nr. 2 bokstav a). Ved registrering må du aktivt krysse av for at Pulse kan behandle opplysninger om skader, smerter og fysiske begrensninger for å tilpasse treningsprogrammet ditt. Samtykket lagres med tidsstempel. Du kan trekke det tilbake ved å slette kontoen din under Innstillinger → Slett konto.

Vi lagrer ikke kostholdsplaner, kaloriregnskap eller vektlogging.

3. Formål med behandlingen

• Levere og tilpasse treningsprogram og AI-coaching
• Gi AI-coachen kontekst fra tidligere samtaler («hukommelse»)
• Vise fremgang og historikk til deg i appen
• Administrere din konto, pålogging og abonnement
• Forbedre tjenesten basert på aggregert, anonymisert bruk

4. Rettslig grunnlag

• Art. 6(1)(b) — Avtaleoppfyllelse: Behandling som er nødvendig for å levere tjenesten du har registrert deg for (konto, treningsprogram, fremgangsvisning).
• Art. 6(1)(a) — Samtykke: Behandling av opplysninger som ikke er strengt nødvendig for tjenesten, der vi ber om ditt samtykke.
• Art. 9(2)(a) — Eksplisitt samtykke (helsedata): Helserelaterte opplysninger du oppgir (skader, begrensninger) behandles kun på grunnlag av ditt eksplisitte samtykke.

5. Underleverandører og databehandlere

Vi benytter følgende underleverandører som behandler personopplysninger på vegne av oss:

• Anthropic (USA) — AI-plattform som prosesserer innholdet i chat-meldinger og genererer treningsprogram. Data kan overføres til USA.
• Supabase — Datalagring og autentisering. Data lagres i EU (Frankfurt).
• Vercel (USA) — Hosting av applikasjonen. Data kan overføres til USA.

Alle underleverandører er bundet av databehandleravtaler som sikrer forsvarlig behandling av dine opplysninger.

6. Overføring til tredjeland

Noen av våre underleverandører (Anthropic, Vercel) er lokalisert i USA. Overføring skjer på grunnlag av EUs standard kontraktsbestemmelser (Standard Contractual Clauses, SCC) i henhold til GDPR art. 46(2)(c).

7. Lagringstid

• Profildata og treningsdata: Lagres så lenge kontoen er aktiv. Ved sletting av konto slettes data innen 30 dager.
• Chat-historikk og AI-hukommelse: Lagres så lenge kontoen er aktiv, eller til du sletter tråden selv.
• Backup: Slettede data kan ligge i backup i inntil 30 dager etter sletting.
• Betalingsdata: Oppbevares i 5 år i henhold til bokføringsloven.

8. Dine rettigheter

Du har følgende rettigheter etter GDPR:

• Innsyn (art. 15): Du kan be om en kopi av opplysningene vi har om deg.
• Retting (art. 16): Du kan be oss rette feilaktige opplysninger.
• Sletting (art. 17): Du kan be om at vi sletter dine opplysninger («retten til å bli glemt»).
• Dataportabilitet (art. 20): Du kan be om å få dine data i et maskinlesbart format.
• Begrensning (art. 18): Du kan be om at behandlingen av dine opplysninger begrenses i visse situasjoner.
• Tilbaketrekking av samtykke: Der behandlingen er basert på samtykke, kan du trekke dette tilbake når som helst.
• Klage til Datatilsynet: Du har rett til å klage til Datatilsynet dersom du mener vi behandler dine opplysninger i strid med GDPR.

Send forespørsler om rettighetsutøvelse til kontaktadressen angitt i avsnitt 12.

9. Automatiserte avgjørelser og profilering

Pulse bruker AI til å generere treningsprogrammer automatisk basert på opplysningene du oppgir. Dette innebærer en form for automatisert behandling, jf. GDPR art. 22.

Programmene som genereres er anbefalinger — ikke juridisk bindende vedtak eller avgjørelser med vesentlige konsekvenser for deg. Du har likevel rett til å:

• Be om menneskelig vurdering av et generert program
• Uttrykke ditt syn og bestride AI-ens anbefalinger
• Bruke eller ignorere programmene etter eget skjønn

Ved skader, sykdom eller helseutfordringer skal du alltid konsultere lege eller fysioterapeut. Pulse erstatter ikke medisinsk veiledning.

10. Informasjonskapsler og lokal lagring

Vi bruker informasjonskapsler (cookies) og lokal lagring i begrenset omfang:

• Autentiseringstokens: Nødvendige for å holde deg innlogget (satt av Supabase). Disse kan ikke deaktiveres uten at tjenesten slutter å fungere.
• Lokal lagring (localStorage): Treningslogg, chat-historikk og temavalg lagres lokalt i nettleseren for rask tilgang.

Pulse bruker ikke analyse-, sporings- eller markedsføringskapsler. Dersom dette endres i fremtiden, vil erklæringen oppdateres og du vil bli varslet i henhold til gjeldende regelverk.

11. Sikkerhetstiltak

Vi iverksetter tekniske og organisatoriske tiltak for å beskytte dine personopplysninger, herunder:

• Kryptering av data under overføring (TLS/HTTPS)
• Kryptering av data i hvile hos Supabase
• Tilgangskontroll basert på autentisert bruker-ID
• Begrenset tilgang til produksjonsdata

12. Kontakt og personvernhenvendelser

Har du spørsmål om denne erklæringen eller ønsker å utøve dine rettigheter, kontakt oss på:

tian@pulsecoach.no