Privatlivspolitik
Sådan behandler Klokken20 dine persondata — fuldt GDPR-compliant.
Version 1.0 — Ikrafttrædelse: 15. april 2026
Privatlivsoversigt — det vigtigste på ét øjeblik
- Vi er Xoens ApS (CVR 46225430) — vi driver Klokken20.
- Vi bruger dine oplysninger til at vise din profil, matche dig med andre brugere og sende notifikationer.
- Vi sælger aldrig dine oplysninger til tredjeparter.
- Vi bruger kun nødvendige cookies (ingen tracking).
- Du kan til enhver tid slette din konto og alle dine data.
- Spørgsmål? Skriv til legal@xoens.dk — vi svarer inden for 30 dage.
Indholdsfortegnelse
- Hvem er den dataansvarlige?
- Hvilke personoplysninger behandler vi?
- Hvorfor og på hvilket grundlag?
- Automatiseret beslutningstagning
- Hvem deler vi dine oplysninger med?
- Overførsler til lande uden for EU/EØS
- Hvor længe gemmer vi dine oplysninger?
- Cookies og sporingsteknologier
- Dine rettigheder
- Sikkerhed og databrud
- Børn under 18 år
- Ændringer til denne politik
- Kontakt og klager
§ 1. Hvem er den dataansvarlige?
Den dataansvarlige for behandling af dine personoplysninger er:
Xoens ApSCVR-nr.: 46225430
Momsregistreringsnr.: DK46225430
Lønstrupvej 31, 1.tv
2720 Vanløse
Tlf.: +45 81 95 96 62
E-mail: legal@xoens.dk
Xoens ApS har ikke udpeget en databeskyttelsesrådgiver (DPO), da dette ikke er lovpligtigt for vores behandlingsaktiviteter på nuværende tidspunkt. Henvendelser om databeskyttelse besvares af vores interne kontaktpunkt på legal@xoens.dk inden for 30 dage.
§ 2. Hvilke personoplysninger behandler vi?
2.1 Oplysninger du giver os direkte
- Konto: Navn, e-mailadresse og krypteret adgangskode.
- Profil: Alder, by, køn, søgestatus (f.eks. kæreste, venskab), bio og profilfotos (op til 6 billeder).
- Følsomme oplysninger (GDPR art. 9): Seksuel orientering (hvem du søger — mænd, kvinder eller begge) samt personlighedsprofil genereret fra matchingtesten. Behandling sker udelukkende på baggrund af dit udtrykkelige samtykke (art. 9, stk. 2, litra a), som du afgiver ved oprettelse af din profil. Du kan til enhver tid trække samtykket tilbage ved at slette din konto.
- Aktivitetsdata: Glimt (daglige billeder med 24 timers udløb), Q&A-svar, event-deltagelse og Livetimen-aktivitet.
- Beskeder og invitationer: Indholdet af beskeder du sender til andre brugere samt invitationer (standard, visuel-respons, badge-forbindelse og tre-tags).
- Matchingdata: Præferencer og scores genereret af vores WCM-matchingalgoritme (se § 4).
- Betaling: Betalingskortoplysninger behandles direkte af vores betalingspartner Stripe — vi gemmer ingen kortdata selv. Vi modtager kun bekræftelse af betaling samt et anonymiseret betalings-ID.
- SMS-verifikation (valgfrit): Hvis du vælger at verificere dit telefonnummer, sender vi en engangskode (OTP) via SMS gennem vores SMS-udbyder GatewayAPI ApS. Vi gemmer kun verifikationsstatus (verificeret / ikke verificeret) og tidspunkt for verifikation — aldrig selve OTP-koden, som slettes straks efter brug.
- MitID-verifikation (når implementeret, valgfrit): Hvis du vælger at verificere din identitet, bekræfter MitID-tjenesten (drevet af Nets A/S) din identitet og alder over for os. Vi modtager og gemmer kun verifikationsstatus (verificeret / ikke verificeret) — aldrig dit CPR-nummer eller biometriske data.
2.2 Oplysninger vi indsamler automatisk
- Tekniske data: IP-adresse, browsertype, operativsystem og enhedstype ved besøg på platformen.
- Aktivitetsdata: Tidspunkter for login og interaktion (brugt til online-status og streak-beregning).
- Session: Autentificerings-token fra Supabase, der holder dig logget ind. Dette er en nødvendig cookie, der ikke kræver samtykke.
2.3 Oplysningsforpligtelse — hvad sker der, hvis du ikke oplyser?
Felterne e-mailadresse og adgangskode er obligatoriske for at oprette en konto. Profiloplysninger (alder, køn, by, søgestatus) er nødvendige for at kunne deltage i matching og blive vist til andre brugere. Telefonnummer, SMS-verifikation og MitID-verifikation er valgfrie — du kan bruge platformen uden dem, men visse funktioner (f.eks. verificeret-mærke på din profil) vil ikke være tilgængelige.
§ 3. Hvorfor og på hvilket grundlag behandler vi dine oplysninger?
Vi behandler dine oplysninger på følgende retsgrundlag i henhold til GDPR artikel 6 og artikel 9:
| Formål | Retsgrundlag (GDPR art. 6/9) | Kategori |
|---|---|---|
| Oprettelse og administration af konto | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Kontooplysninger |
| Visning af din profil til andre brugere | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Profildata, fotos |
| Matchingalgoritme (WCM) — generering af matchforslag | Kontraktopfyldelse (art. 6, stk. 1, litra b); Udtrykkeligt samtykke (art. 9, stk. 2, litra a) for følsomme data | Matchingdata, personlighedsprofil, seksuel orientering — se § 4 |
| Beskeder og invitationer mellem brugere | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Beskedindhold |
| Betalingsbehandling (premium-abonnement) | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Betalingsoplysninger |
| Moderation — håndtering af rapporter og blokerede brugere | Legitim interesse (art. 6, stk. 1, litra f) | Rapporter, moderationslog. Interesse: sikre et trygt miljø for alle brugere. |
| Transaktionelle notifikationer (beskeder, matches, invitationer) | Kontraktopfyldelse (art. 6, stk. 1, litra b) | E-mail, notifikationsdata |
| Livetimen — dagligt live-event (20:00-21:00) | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Glimt, deltagelsesdata, spilresultater |
| Events og aktiviteter | Kontraktopfyldelse (art. 6, stk. 1, litra b) | Event-deltagelse, aktivitetsposter |
| Statistik og forbedring af platformen | Legitim interesse (art. 6, stk. 1, litra f) | Aggregeret teknisk data. Interesse: levere en stabil og forbedret tjeneste. |
| Forebyggelse af svindel og kontomisbrug | Legitim interesse (art. 6, stk. 1, litra f) | Tekniske data, moderationslog. Interesse: beskytte platformens integritet og brugernes sikkerhed. |
| SMS-verifikation af telefonnummer (valgfrit) | Samtykke (art. 6, stk. 1, litra a) | Telefonnummer. OTP-kode slettes straks efter brug. |
| MitID-identitetsverifikation (når implementeret, valgfrit) | Samtykke (art. 6, stk. 1, litra a) | Verifikationsstatus. Kan trækkes tilbage. |
| Opbevaring af regnskabsdata og fakturaer | Retlig forpligtelse (art. 6, stk. 1, litra c) | Betalingshistorik. Bogføringsloven § 10 (5 år). |
§ 4. Automatiseret beslutningstagning (GDPR art. 22)
Platformen anvender automatisk behandling af dine profiloplysninger til at generere matchforslag ("anbefalede profiler"). Vi oplyser herom i overensstemmelse med GDPR artikel 13, stk. 2, litra f, og artikel 22.
4.1 Hvad algoritmen gør
Klokken20 matchingalgoritme — kaldet WCM (Weighted Contextual Matching) — beregner en kompatibilitets-score mellem dig og andre brugere baseret på en helhedsvurdering af jeres profiler. Brugere med høj score vises øverst i dine matchforslag.
4.2 Hvilke data indgår
- Din personlighedsprofil fra matchingtesten
- Q&A-svar og pinned answers
- Delte interesser og aktivitetsdeltagelse
- Event-deltagelsesmønster
- Søgepræferencer (køn, alder, by)
- Seksuel orientering (følsom oplysning, behandlet med dit udtrykkelige samtykke jf. art. 9)
4.3 Konsekvenser for dig
Matchforslag er udelukkende vejledende og har ingen retsvirkning. De påvirker ikke din retsstilling, og du kan til enhver tid manuelt søge og filtrere alle aktive profiler uafhængigt af algoritmen. Algoritmen forringer ikke din profils synlighed over for andre brugere — alle aktive profiler kan søges frit via søg/udforsk-funktionen.
Klokken20 anvender en fair model: premium-brugere får adgang til ekstra funktioner (ubegrænsede beskeder, invitationer m.m.), men opnår ikke øget synlighed i matchlister. Der er ingen pay-to-win mekanik.
4.4 Din ret til indsigelse
Du har ret til at gøre indsigelse mod den automatiserede behandling af dine oplysninger til matchmaking-formål ved at kontakte os på legal@xoens.dk. Du kan fortsat bruge platformen via den manuelle søge- og filtreringsfunktion.
§ 5. Hvem deler vi dine oplysninger med?
Vi anvender følgende databehandlere. Med alle har vi indgået en databehandleraftale (DPA), der sikrer behandling i overensstemmelse med GDPR.
| Databehandler | Tjeneste | Lokation | Certificeringer / garantier |
|---|---|---|---|
| Supabase, Inc. | Database (PostgreSQL), autentificering, fillagring, realtidskommunikation | Frankfurt, EU | SOC 2 Type II, DPA |
| Vercel, Inc. | Hosting af webapplikation og API-routes | USA (DPF-certificeret) | SOC 2 Type II, SCCs, DPA |
| Stripe Technology Europe Ltd. | Betalingsbehandling (premium-abonnement) | Irland, EU | PCI DSS Level 1, DPA |
| NordicWay ApS (CVR 40745769) | Transaktionelle e-mails | Danmark / EU | DPA |
| GatewayAPI ApS (CVR 31854738) | SMS-verifikation (OTP). OTP slettes straks efter brug. | Danmark / EU | DPA |
| Nets A/S / MitID | Identitetsverifikation (når implementeret). Selvstændig dataansvarlig. | Danmark | Se MitIDs privatlivspolitik |
Vi sælger, lejer eller videregiver aldrig dine personoplysninger til tredjeparter med henblik på markedsføring.
§ 6. Overførsler til lande uden for EU/EØS
Visse databehandlere (Supabase, Vercel) er amerikanske virksomheder. Sådanne overførsler er lovlige på grundlag af et eller begge af følgende:
- EU-US Data Privacy Framework (DPF) — Vercel og Supabase er certificeret under denne EU-Kommissionens adequacy-afgørelse.
- EU's standardkontraktbestemmelser (SCCs) — indgået med alle relevante databehandlere.
Bemærk at Supabase opbevarer vores projektdata i EU (Frankfurt) — de faktiske persondata forbliver i EU. Stripe behandler betalingsdata via deres irske enhed (Stripe Technology Europe Ltd., Dublin). NordicWay ApS og GatewayAPI ApS er danske selskaber med data opbevaret i EU.
Du kan til enhver tid anmode om kopi af de relevante SCCs ved at kontakte os på legal@xoens.dk.
§ 7. Hvor længe gemmer vi dine oplysninger?
| Datakategori | Opbevaringsperiode | Grundlag |
|---|---|---|
| Kontoinformation | Indtil sletning + 30 dage (soft delete med fortrydelsesperiode) | Kontraktopfyldelse |
| Profildata og fotos | Indtil sletning + 30 dage | Kontraktopfyldelse |
| Beskeder | Indtil begge parter sletter, eller 30 dage efter kontosletning | Kontraktopfyldelse / legitim interesse |
| Glimt (daglige billeder) | 24 timer — automatisk udløb | Kontraktopfyldelse |
| Matchingdata | Indtil kontoen slettes | Kontraktopfyldelse / samtykke |
| Betalingshistorik og fakturaer | 5 år fra transaktionsdato | Retlig forpligtelse — bogføringsloven § 10. Kan ikke slettes tidligere. |
| Blokerede/rapporterede brugere | Moderationslog: 12 måneder | Legitim interesse (sikkerhed) |
| Serverlogfiler / IP-adresser | 90 dage | Legitim interesse |
| Inaktive konti | Automatisk sletning efter 3 år fra sidste login, med 30 dages varsel inden sletning | Legitim interesse |
Når du sletter din konto, indleder vi en 30-dages soft delete-periode, hvor du kan fortryde sletningen. Efter denne periode slettes dine personoplysninger permanent med undtagelse af betalingsdata, som vi er retligt forpligtet til at opbevare i 5 år i henhold til bogføringsloven § 10.
§ 8. Cookies og sporingsteknologier
Klokken20 anvender udelukkende nødvendige cookies til at drive platformen. Vi bruger ingen tracking-cookies, analytics-cookies eller tredjepartscookies til markedsføring.
Se vores cookiepolitik for en fuldstændig liste over alle cookies, deres navn, formål, varighed og type.
| Kategori | Formål | Samtykke kræves |
|---|---|---|
| Nødvendige cookies | Login-session (Supabase), sprogpræference | Nej — nødvendige for tjenestens funktion |
§ 9. Dine rettigheder
Du har følgende rettigheder i henhold til GDPR (databeskyttelsesforordningen) ogdatabeskyttelsesloven (lov nr. 502 af 23. maj 2018):
- Indsigt (art. 15): Du har ret til at få bekræftet, om vi behandler oplysninger om dig, og til at modtage en kopi. Anmod ved at skrive til legal@xoens.dk.
- Berigtigelse (art. 16): Du kan rette forkerte oplysninger direkte i dine kontoindstillinger eller ved at kontakte os.
- Sletning — "retten til at blive glemt" (art. 17): Du kan slette din konto i indstillingerne. Bemærk at bogføringsdata ikke kan slettes inden for 5 år (se § 7).
- Begrænsning (art. 18): Under visse betingelser kan du anmode om, at vi begrænser behandlingen af dine oplysninger.
- Dataportabilitet (art. 20): Du har ret til at modtage de oplysninger, du har afgivet til os, i et struktureret, maskinlæsbart format (JSON/CSV). Anmod via legal@xoens.dk.
- Indsigelse (art. 21): Du kan gøre indsigelse mod behandling baseret på legitim interesse (§ 3 litra f) samt mod den automatiserede matchingalgoritme (§ 4). Vi ophører med behandlingen, medmindre vi kan påvise vægtige legitime grunde.
- Tilbagetrækning af samtykke: Samtykke til behandling af følsomme oplysninger (seksuel orientering, personlighedsprofil) kan trækkes tilbage ved at slette din konto. Samtykke til SMS-verifikation eller MitID-verifikation trækkes tilbage ved at kontakte os på legal@xoens.dk. Tilbagetrækning berører ikke lovligheden af den behandling, der er foretaget inden tilbagetrækningen.
Vi besvarer alle anmodninger inden for 30 dage. I komplekse sager kan fristen forlænges med yderligere to måneder — du vil i så fald blive underrettet herom.
Har du en klage over vores behandling af dine personoplysninger, kan du indgive klage til:
DatatilsynetCarl Jacobsens Vej 35
2500 Valby
Tlf.: 33 19 32 00
E-mail: dt@datatilsynet.dk
www.datatilsynet.dk
§ 10. Sikkerhed og databrud
Vi har implementeret følgende tekniske og organisatoriske sikkerhedsforanstaltninger:
- Krypteret kommunikation via HTTPS/TLS 1.2+
- Kryptering af data i hvile (AES-256)
- Krypterede adgangskoder (bcrypt hashing — aldrig gemt i klartekst)
- Rollebaseret adgangskontrol (Row Level Security i Supabase)
- SOC 2 Type II certificerede infrastrukturudbydere
- Intern procedure for håndtering af sikkerhedshændelser
10.1 Anmeldelse til Datatilsynet (art. 33)
Opstår der et brud på persondatasikkerheden, anmelder vi det til Datatilsynet senest 72 timer efter, at vi er blevet bekendt med det, medmindre bruddet ikke udgør en risiko for de registreredes rettigheder og frihedsrettigheder. Er det ikke muligt at anmelde inden for 72 timer, ledsages anmeldelsen af en begrundelse for forsinkelsen.
10.2 Underretning af dig (art. 34)
Vurderer vi, at et brud medfører høj risiko for dine rettigheder og frihedsrettigheder, underretter vi dig direkte uden unødig forsinkelse via e-mail til din registrerede adresse. Underretningen indeholder: bruddets art, sandsynlige konsekvenser og de foranstaltninger vi har truffet.
§ 11. Børn under 18 år
Klokken20 er en dating-platform rettet mod voksne i alderen 25-45 år og er ikke beregnet til personer under 18 år. Vi indsamler ikke bevidst personoplysninger om mindreårige.
Opdager vi, at en bruger er under 18 år, sletter vi kontoen og tilknyttede oplysninger straks. Er du forælder og mener, at dit barn har oprettet en konto, bedes du kontakte os på legal@xoens.dk.
§ 12. Ændringer til denne politik
Vi kan opdatere denne privatlivspolitik, når det er nødvendigt som følge af ændringer i vores behandlingsaktiviteter, ny lovgivning eller vejledning fra Datatilsynet.
Væsentlige ændringer varsles via e-mail til registrerede brugere med mindst 30 dages varsel inden ikrafttrædelse samt ved en fremtrædende besked på platformen. Fortsætter du med at bruge tjenesten efter ikrafttrædelsesdatoen, anses du for at have taget den opdaterede politik til efterretning.
Versionsnummer og ikrafttrædelsesdato fremgår øverst på denne side. Vi opretholder et arkiv over tidligere versioner — kontakt os, hvis du ønsker adgang hertil.
§ 13. Kontakt og klager
Har du spørgsmål til denne politik eller til behandlingen af dine personoplysninger:
Xoens ApSAtt.: Databeskyttelse
Lønstrupvej 31, 1.tv
2720 Vanløse
Tlf.: +45 81 95 96 62
E-mail: legal@xoens.dk
Vi besvarer henvendelser inden for 30 dage. Du kan altid klage til Datatilsynet — se § 9 for kontaktoplysninger.
DatatilsynetCarl Jacobsens Vej 35
2500 Valby
E-mail: dt@datatilsynet.dk
www.datatilsynet.dk