Data controller
The data controller for personal data processed through runi.services and the connected agent platform is:
- Runi Consulting ApS · CVR 39337487
- Copenhagen, Denmark
- General contact: kontakt@runi.services
- Privacy requests: privacy@runi.services
Data protection officer
We have not appointed a Data Protection Officer. Under GDPR Article 37, a DPO is required only when core processing activities consist of large-scale systematic monitoring or large-scale processing of special categories. Neither applies to our current operations. Privacy questions still route to a named, accountable person at privacy@runi.services.
Purposes & legal basis
Every processing activity we perform is tied to one of the legal bases listed in GDPR Article 6. The table is the authoritative overview — if something we do isn’t on it, we shouldn’t be doing it.
| Purpose | Legal basis | Typical data |
|---|---|---|
| Deliver the services under an engagement contract | Contract — Art. 6(1)(b) | Account info, work content, operational logs |
| Respond to support & sales enquiries | Legitimate interest — Art. 6(1)(f) | Email, message content |
| Security monitoring, fraud prevention | Legitimate interest — Art. 6(1)(f) | Auth logs, IP addresses, audit events |
| Accounting, audit, statutory record-keeping | Legal obligation — Art. 6(1)(c) (Bogføringsloven) | Invoice data, contracting parties |
| Marketing & newsletters | Consent — Art. 6(1)(a) | Email, stated interests |
Balancing test (legitimate interest)
Where we rely on legitimate interest, we have documented a balancing test. Summary: the processing is necessary to operate the service safely, the volume of data is minimised, and a reasonable user of a professional B2B service would expect it. Full assessments are available on request.
Categories of data
- Account & identity — name, email, role, organisation
- Engagement content — the work you bring into the agents, including messages, files, and memory entries
- Operational telemetry — auth events, rate-limit counters, error traces (no content)
- Support correspondence — emails, attachments
- Billing & contract — invoice data, VAT status, signatories
We do not intentionally collect special categories of data (health, ethnicity, religion, sexual orientation, biometrics, trade-union membership). If your engagement requires processing special categories, we put an Article 9 basis in writing before starting.
Recipients & sub-processors
We use a small, named set of sub-processors. A current list with versioning is maintained at /subprocessors/.
| Vendor | Purpose | Region |
|---|---|---|
| Microsoft (Azure, Entra, Graph, M365, Application Insights) | Hosting, identity, collaboration infrastructure, cookieless website analytics | EU — Sweden Central (analytics), EU (primary) |
| Anthropic | Claude language models for agent reasoning | US — DPF + SCCs |
| Gemini models where engagement requires them | US / EU — DPF + SCCs | |
| OpenAI (via Azure) | GPT models as backup where contracted | EU |
International transfers
EU data that reaches US processors is transferred under a combination of the EU-US Data Privacy Framework (where the vendor is certified) and Standard Contractual Clauses (where not). We prefer EU-resident service tiers wherever they exist and are contractually viable. Transfer mechanisms per vendor are listed in /subprocessors/.
Retention
- Engagement content — duration of the engagement plus any agreed handover window. On termination we provide an export and delete within 30 days.
- Accounting records — 5 years after the end of the financial year (Bogføringsloven §12).
- Support correspondence — up to 24 months, then deleted unless it documents a contractual matter.
- Operational telemetry — 30 days hot storage, aggregated metrics may be kept longer.
- Marketing data — until consent is withdrawn.
Your rights
Under GDPR Articles 15–22 you have the rights listed below. Exercise any of them by writing to privacy@runi.services. We answer within one month, extendable by up to two further months if a request is complex — you’ll hear from us either way within 30 days.
Get a copy of your personal data and the purposes we process it for.
Correct inaccurate data. Have incomplete data completed.
“Right to be forgotten” — subject to retention obligations under Danish law.
Ask us to limit processing while a dispute about accuracy or lawfulness is resolved.
Export your data in a structured, machine-readable format.
Object to processing based on legitimate interest, including profiling.
For anything based on consent (e.g. marketing), withdraw at any time.
We don’t make decisions with legal effects solely on automated processing.
Complaints
If you believe we’re processing your data unlawfully, you can complain to the Danish data-protection authority:
- Datatilsynet
- Carl Jacobsens Vej 35, 2500 Valby
- datatilsynet.dk · dt@datatilsynet.dk
We appreciate the chance to resolve issues directly first — but the right to complain to Datatilsynet is yours, unconditional.
Children & CPR
Our services are not directed at children under 13. The Danish age of digital consent is 13. We do not knowingly collect personal data from children and will delete it on notice.
CPR numbers are not processed by runi.services. §11 of Databeskyttelsesloven restricts CPR processing, and nothing in our service requires it.
Cookies & website analytics
Cookies used on public pages and in the authenticated dashboard are documented at /cookies/. We currently set no consent-requiring cookies on public pages.
We measure public-page usage with Azure Application Insights hosted in Sweden Central, configured in cookieless mode. The site sets no analytics cookies and writes no persistent identifier to your browser. Telemetry is limited to page views, referrers, browser and country, performance timings, and JavaScript errors — no cross-session identity, no advertising signals, no third-country transfer. Default retention is 90 days. We honour Do Not Track and Global Privacy Control: if either is set by your browser, no telemetry is sent.
Changes
Material changes to this policy are announced in Writing and dated below. We will not retroactively apply new practices to data already collected under earlier terms unless legally required.
Dataansvarlig
Dataansvarlig for personoplysninger, der behandles via runi.services og den tilknyttede agent-platform, er:
- Runi Consulting ApS · CVR 39337487
- København, Danmark
- Generel kontakt: kontakt@runi.services
- Privatliv: privacy@runi.services
Databeskyttelsesrådgiver
Vi har ikke udpeget en DPO. Efter GDPR artikel 37 er det kun påkrævet ved systematisk overvågning i stor skala eller behandling af særlige kategorier i stor skala. Ingen af delene omfatter vores nuværende drift. Spørgsmål går til en navngiven, ansvarlig person på privacy@runi.services.
Formål & retsgrundlag
Enhver behandlingsaktivitet knyttes til ét af retsgrundlagene i GDPR artikel 6. Tabellen nedenfor er styrende — gør vi noget, der ikke står der, bør vi ikke gøre det.
| Formål | Retsgrundlag | Typiske data |
|---|---|---|
| Levering af ydelser efter engagementskontrakt | Kontrakt — art. 6(1)(b) | Konto, arbejdsindhold, driftslogs |
| Svar på support & salgsforespørgsler | Legitim interesse — art. 6(1)(f) | E-mail, beskedindhold |
| Sikkerhed & svindelforebyggelse | Legitim interesse — art. 6(1)(f) | Login-logs, IP-adresser, audit-hændelser |
| Bogføring, revision, lovbestemte krav | Retlig forpligtelse — art. 6(1)(c) (Bogføringsloven) | Fakturadata, kontraktparter |
| Markedsføring & nyhedsbreve | Samtykke — art. 6(1)(a) | E-mail, angivne interesser |
Interesseafvejning
Hvor vi bygger på legitim interesse, er der udarbejdet en afvejning. Sammenfattet: behandlingen er nødvendig for forsvarlig drift, datamængden minimeres, og en rimelig bruger af en professionel B2B-tjeneste må forvente den. Fuldstændige vurderinger kan tilsendes på anmodning.
Kategorier af data
- Konto & identitet — navn, e-mail, rolle, organisation
- Engagementsindhold — arbejdet du fører ind i agenterne: beskeder, filer, hukommelsesposter
- Drifts-telemetri — login-hændelser, rate-limit, fejlspor (uden indhold)
- Support-korrespondance — e-mails, bilag
- Fakturering & kontrakt — fakturadata, momsstatus, underskrivere
Vi indsamler ikke bevidst særlige kategorier (helbred, etnicitet, religion, seksualitet, biometri, fagforeningsforhold). Hvis en engagement kræver behandling af særlige kategorier, aftales et artikel 9-grundlag skriftligt først.
Modtagere & underdatabehandlere
Vi bruger et lille, navngivet sæt af underdatabehandlere. Opdateret liste med versionering findes på /subprocessors/.
| Leverandør | Formål | Region |
|---|---|---|
| Microsoft (Azure, Entra, Graph, M365, Application Insights) | Hosting, identitet, samarbejdsinfrastruktur, cookiefri hjemmesideanalyse | EU — Sweden Central (analyse), EU (primær) |
| Anthropic | Claude-sprogmodeller til agent-ræsonnement | USA — DPF + SCC |
| Gemini-modeller når engagement kræver det | USA / EU — DPF + SCC | |
| OpenAI (via Azure) | GPT-modeller som reserve | EU |
Overførsler uden for EU
EU-data som når amerikanske databehandlere, overføres under en kombination af EU-US Data Privacy Framework (hvor leverandøren er certificeret) og Standardkontraktbestemmelser (SCC) (hvor ikke). Vi foretrækker EU-baserede tjenester hvor de findes og er kontraktuelt mulige. Overførselsmekanismer pr. leverandør fremgår af /subprocessors/.
Opbevaring
- Engagementsindhold — varigheden af engagementet plus eventuelt aftalt overdragelsesvindue. Ved ophør leveres eksport og vi sletter inden for 30 dage.
- Bogføring — 5 år efter udløbet regnskabsår (Bogføringsloven §12).
- Support-korrespondance — op til 24 måneder, derefter slettet medmindre det dokumenterer et kontraktforhold.
- Drifts-telemetri — 30 dage varm opbevaring; aggregerede tal kan gemmes længere.
- Markedsføring — indtil samtykke tilbagekaldes.
Dine rettigheder
Efter GDPR artikel 15–22 har du følgende rettigheder. Udøv en ret ved at skrive til privacy@runi.services. Vi svarer inden for én måned (kan forlænges med op til to måneder i komplekse sager — vi melder tilbage inden 30 dage uanset).
Få kopi af dine data og formålet med behandlingen.
Ret forkerte data. Få ufuldstændige data fuldstændiggjort.
”Retten til at blive glemt” — med forbehold for dansk opbevaringspligt.
Begræns behandlingen mens en tvist om rigtighed eller lovlighed afklares.
Få dine data i struktureret, maskinlæsbart format.
Gør indsigelse mod behandling på legitim interesse, herunder profilering.
Tilbagekald samtykke til markedsføring m.v. når som helst.
Vi træffer ikke afgørelser med retsvirkning alene på automatisk behandling.
Klage
Mener du, vi behandler dine data ulovligt, kan du klage til:
- Datatilsynet
- Carl Jacobsens Vej 35, 2500 Valby
- datatilsynet.dk · dt@datatilsynet.dk
Vi sætter pris på chancen for at løse sager direkte først — men din ret til at klage til Datatilsynet er betingelsesløs.
Børn & CPR
Vores tjenester er ikke rettet mod børn under 13 år. Den danske aldersgrænse for digitalt samtykke er 13. Vi indsamler ikke bevidst personoplysninger fra børn og sletter ved underretning.
CPR-numre behandles ikke af runi.services. §11 i Databeskyttelsesloven begrænser CPR-behandling, og intet i vores tjeneste kræver det.
Cookies & hjemmesideanalyse
Cookies på offentlige sider og i dashboardet er beskrevet på /cookies/. I øjeblikket sætter vi ingen samtykke-krævende cookies på offentlige sider.
Vi måler brug af offentlige sider med Azure Application Insights i Sweden Central, konfigureret i cookiefri tilstand. Hjemmesiden sætter ingen analyse-cookies og skriver ingen vedvarende identifikator til din browser. Telemetri er begrænset til sidevisninger, henvisninger, browser og land, ydelsestidspunkter og JavaScript-fejl — ingen identitet på tværs af sessioner, ingen annoncesignaler, ingen overførsel uden for EU. Standard-opbevaring er 90 dage. Vi respekterer Do Not Track og Global Privacy Control: hvis nogen af disse er aktiveret i din browser, sendes ingen telemetri.
Ændringer
Væsentlige ændringer annonceres i Writing og dateres nedenfor. Vi anvender ikke nye regler med tilbagevirkende kraft på data indsamlet under tidligere vilkår, medmindre det er lovbestemt.