Privatlivserklæring
1. Dataansvarlig
Mercantec Auth behandler personoplysninger i forbindelse med login til tilsluttede undervisnings- og projektplatforme. I denne installation er den praktiske kontakt:
- MAGS (underviser) — [email protected]
Tjenesten er et undervisningsprojekt og er ikke Mercantecs officielle produktions-login. Skolens egne platforme kan have supplerende privatlivstekster.
2. Hvilke oplysninger vi behandler
| Kategori | Eksempler | Formål |
|---|---|---|
| Konto | Bruger-id (GUID), vist navn, e-mailadresser, adgangskode-hash (ved e-mail-login) | Identificere dig og give adgang til tilsluttede apps |
| Roller | Fx Admin, app-specifikke roller |
Autorisation i Mercantec Auth og i jeres API’er via JWT |
| Eksterne login | Udbyder-id fra Google, GitHub, Discord, Microsoft m.fl. | Knytte din konto til social login uden at gemme deres adgangskode |
| OAuth / tokens | Authorization codes, refresh tokens, krypterede eksterne tokens (hvis aktiveret) | Sikker session og token-udstedelse (PKCE, korte access tokens) |
| Tekniske data | Session-cookie (mercantec_auth), IP og tidspunkt i serverlogs |
Sikkerhed, fejlsøgning og misbrugsforebyggelse |
JWT access tokens kan indeholde claims som sub, name, email,
role og login_method — se integrations-manifestet
/.well-known/mercantec-auth.json.
3. Retsgrundlag
Vi behandler data, fordi det er nødvendigt for at:
- opfylde login og adgang til platforme, du bruger i undervisningssammenhæng (kontraktopfyldelse / berettiget interesse);
- beskytte tjenesten mod misbrug og sikre OAuth-flows (berettiget interesse);
- overholde lovkrav, hvor de gælder.
4. Modtagere og overførsel
- Tilsluttede apps modtager de claims, der sendes i tokens efter dit login — kun inden for godkendt client og scopes.
- Eksterne login-udbydere (Google, Microsoft, GitHub, Discord) behandler data efter deres egne vilkår, når du vælger deres knap.
- Hosting og database (fx PostgreSQL, Docker-miljø) bruges til drift; placering afhænger af jeres deployment.
Vi sælger ikke dine personoplysninger.
5. Opbevaring
Kontodata opbevares, så længe du har brug for adgang til tilsluttede platforme, eller indtil sletning efter anmodning. Authorization codes og korte tokens har begrænset levetid jf. konfiguration (access tokens i minutter, refresh tokens i dage). Serverlogs kan roteres efter behov for drift og sikkerhed.
6. Sikkerhed
Adgangskoder hashes; JWT signeres med RS256; PKCE kræves for offentlige klienter; session-cookies er HttpOnly. Eksterne OAuth-tokens kan lagres krypteret i databasen. Ingen metode er 100 % sikker — rapporter mistanke om brud til [email protected].
7. Cookies
Vi bruger en nødvendig session-cookie til at holde dig logget ind mellem OAuth-trin og besøg på login-sider. Den er ikke til markedsføring. Du kan slette cookies i browseren; det afslutter din session.
8. Dine rettigheder
Under GDPR kan du have ret til at:
- få indsigt i, hvilke oplysninger vi har om dig;
- få rettet urigtige oplysninger;
- få slettet data, hvor der ikke længere er grundlag;
- gøre indsigelse eller begrænse behandling i særlige tilfælde;
- klage til Datatilsynet.
Kontakt [email protected] med dit bruger-id eller den e-mail, du registrerede med. Vi svarer inden for rimelig tid.
9. Ændringer
Denne erklæring kan opdateres; se dato øverst. Ved væsentlige ændringer informeres brugere via tilsluttede platforme, hvor det er relevant.
Undervisningsprojekt af MAGS — ikke Mercantecs officielle produktion. Til forsiden · Vilkår for brug