Behandling av personopplysninger (personvernerklæring)
Brandsdal Group AS vil i forbindelse med vår virksomhet behandle personopplysninger.. Vi er opptatt av å håndtere dine personopplysninger på en trygg og sikker måte. Nedenfor finner du derfor informasjon om personopplysninger som samles inn og hvordan personopplysningene behandles, samt dine rettigheter knyttet til behandlingen av personopplysningene.
Behandlingsansvarlig for personopplysningene vi behandler er Brandsdal Group AS v/Espen Wetrhus, som kan kontaktes på e-post [email protected].
Behandlingsansvarlig kan også være våre datterselskap som tilbyr tjenester, som Netthandelen.no AS. Du kan kontakte kundesupport for alle spørsmål du måtte ha om behandling av dine personopplysninger eller gjennom "Min side".
Behandling av personopplysninger
Vi samler inn og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg. Nedenfor følger de personopplysninger vi behandler om deg, formålet og det lovlige grunnlaget med behandlingen, hvor lenge vi behandler personopplysningene, mv.
Med «personopplysninger» menes alle opplysninger som kan knyttes til en fysisk person (sistnevnte omtales som «registrert»).
Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Tjenester - netthandel
Vi samler inn og behandler personopplysninger om bruk av våre tjenester, som at du handler i våre nettbutikker. Formålet, samt grunnlaget, for å behandle alle personopplysninger om deg er å oppfylle vår avtale med deg dersom du bestiller og kjøper varer fra våre nettsider, jf. GDPR artikkel 6 nr. 1 punkt b). I tillegg behandler vi personopplysninger for å håndtere forholdet til våre kunder, sikre og forbedre tjenestene våre og verne om våre rettigheter mv. Behandlingen gjøres i disse tilfellene på bakgrunn av en nødvendig berettiget interesse i nevnte forhold, og at vår interesse veier tyngre enn den enkeltes personvern. I tillegg er vi pålagt å oppbevare en del informasjon i forbindelse med regnskapsføring, avgiftshåndtering og eventuell garanti- og returhåndtering, artikkel 6 nr. 1 punkt c). Som det fremgår nedenfor, behandler vi også opplysninger med grunnlag i ditt samtykke, iht. artikkel 6 nr. 1 punkt a).
Personopplysninger som samles inn og behandles kan deles i to kategorier:
- Informasjon du gir oss.
- Informasjon vi får når du bruker tjenestene våre.
A. Informasjon du velger å gi oss
Dersom du velger å handle hos oss vil vi samle inn og behandle den informasjonen du gir oss. Dette vil være:
- Ditt navn
- Din e-postadresse som vi benytter for kommunikasjon relatert til din ordre/ditt kundeforhold
- Ditt telefonnummer som vi benytter for kommunikasjon relatert til din ordre/ditt kundeforhold
- Din adresse, hvor vi vil sende eventuelle bestillinger
- Kontonummer (ved behov, dersom du har registrert dette) for utbetaling av evt. tilgodehavende
- Fødselsdato (valgfritt)
Dette er informasjon som er frivillig å gi fra seg, men som vil være nødvendig for å bruke eller bestille fra nettsiden, og som derfor er en forutsetning at du avgir dersom du vil handle hos oss.
Informasjonen over trenger vi også for å levere varene til deg, samt kontakte deg om forhold i forbindelse med bestillingen. Vi er dessuten pålagt å oppbevare denne informasjonen i forbindelse med regnskapsføring, avgiftshåndtering og eventuell garanti- og returhåndtering. Denne historikken slettes når formålet med behandlingen er opphørt, se nedenfor, og er også tilgjengelig for deg på "Min side". Vi oppbevarer av sikkerhetshensyn også IP-adressen som er benyttet for å registrere bestillingen.
Fødselsdato er frivillig å oppgi og samles inn for å sende deg en oppmerksomhet på din fødselsdag, og for å analysere data om brukere segmentert på alder.
Opplysningene knyttet til din konto hos oss vil lagres og behandles så lenge din konto er aktiv eller til du sletter kontoen. Dersom du ikke har foretatt kjøp, så vil kontoen slettes 12 måneder etter siste aktivitet på kontoen. Har du ordrer, vil kontoen slettes 5 år etter siste aktivitet på kontoen. Det sendes varsel om sletting på den e-postadressen du har oppgitt, og gir du ikke tilbakemelding vil kontoen slettes 14 dager etter sendt varsel. Dette for å sikre at vi har ordrehistorikk m.m. tilgjengelig ved eventuelle reklamasjoner.
Vi kan også behandle personopplysninger knyttet til klager, reklamasjon, herunder krav, eller annet knyttet til våre tjenester.
Vi bruker Klarna checkout. Dette betyr at vi kan overføre dine personlige data i form av kredittkortnummer og kontakt- og bestillingsdetaljer til Klarna når kassen lastes inn, slik at Klarna kan administrere kjøpet ditt. For selve betalingen er Klarna behandlingsansvarlig, og behandler personopplysningene i overensstemmelse med Klarnas egen personvernerklæring. Av sikkerhetshensyn sletter vi registrert kontonummer 3 måneder etter at formålet med oppbevaring av dette er innfridd. Dette er for å sikre effektiv håndtering av eventuelle problemer med belastning, oppheving av reservasjon og kreditering.
Dersom du kontakter kundeservice eller kommuniserer med oss på andre måter, samler vi inn den informasjonen du gir fra deg i forbindelse med kontakten. Dette vil være følgende informasjon:
- Ditt navn
- E-postadresse
- Telefonnummer
- Ordrenummer
Informasjonen du gir fra deg vil kunne bli brukt i våre interne testrutiner for IT-systemene våre. Dette er tester vi utfører for å sikre at systemene våre fungerer og har den graden av sikkerhet som de skal.
B. Informasjon vi får når du bruker tjenestene våre
Når du bruker nettsidene våre samler vi inn og oppbevarer loggdata om endringer gjort på kundeprofilen din (f.eks. endring av adresse, telefonnummer o.l.), samt hvilke kategorier og produkter du klikker eller søker på. Loggene oppbevares og slettes tilsvarende som for dine kontoopplysninger, se ovenfor. Dette for å kunne spore relevante endringer, samt lære hva våre kunder er opptatt av og dermed være i stand til å forbedre vårt produktutvalg og våre tilbud. Denne informasjonen benyttes også for å kunne gjøre det mulig å vise deg relaterte produkter eller sende deg relaterte tilbud (dersom du eksplisitt har bedt om dette). Informasjonen benyttes også for å produsere trafikkstatistikker for bl.a. kapasitetsplanlegging.
Som flere andre elektroniske tjenester bruker vi informasjonskapsler og lignende teknologi ("cookies") for å samle inn informasjon om aktivitet, nettleser og enhet.
Nyhetsbrev
Vi sender nyhetsbrev på e-post til de som har abonnert på å motta nyhetsbrevet. For å motta nyhetsbrevet må du ønske dette, og vi behandler da personopplysninger som gjør at vi kan foreta utsendelsen, som er e-postadresse. E-postadressen benyttes ikke til annet enn å sende ut nyhetsbrevet.
Vi behandler personopplysningene basert på ditt samtykke (GDPR artikkel 6 (1) a). Du kan når som helst trekke ditt samtykke ved å benytte link i nyhetsbrevet eller kontakte oss. Trekker du samtykket vil du imidlertid ikke kunne motta nyhetsbrevet.
Personopplysningene behandles så lenge du ønsker å motta nyhetsbrevet og ikke har avsluttet abonnementet eller tilkjennegitt på andre måter at du ikke ønsker nyhetsbrevet.
Bruk av nettsider
For å få informasjon om bruk av våre nettsider benytter vi informasjonskapsler (cookies). Du kan lese mer om cookies og hvilke cookies vi benytter nedenfor.
Vi bruker informasjonen som samles inn til å bedre kundeopplevelsen på nettsider og tjenester, samt å tilby funksjonalitet i tjenestene. Vi benytter også informasjonen for å gi besøkende anbefalinger og tjenestetilpasninger som er mest mulig relevant for deg. Dette vil både bli gitt på bakgrunn av besøkendes atferd, f.eks. på bakgrunn av tjenester som er benyttet, linker som det er klikket på, eller informasjon som er lest, og på bakgrunn av atferden til andre brukere med liknende bruksmønster.
Personopplysningene benyttes også for å forbedre våre nettsider, og å utarbeide statistikk og forstå bruken av sidene. Så langt det er praktisk mulig forsøker vi å gjøre dette med anonyme opplysninger, uten at vi vet at informasjonen er knyttet spesifikt til den enkelte besøkende.
Vi behandler personopplysninger ovenfor på grunnlag av vår nødvendige berettigede interesse (GDPR artikkel 6 (1) f), eventuelt ditt samtykke, for å tilpasse nettsiden til våre brukere. Denne interessen veier tyngre enn den enkeltes personvern. Vi ivaretar imidlertid personvernet til besøkende på nettsiden ved at vi kun bruker opplysningene til statistikk. I denne statistikken er det ikke mulig å identifisere enkeltpersoner. Opplysningene vil oppbevares så lenge de er nødvendige for formålene som nevnt ovenfor.
Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er beskrevet ovenfor hvor de enkelte behandlinger omtales.
I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.
Overføring eller utlevering av personopplysninger til andre
Vi gir ikke personopplysninger videre til andre i andre tilfeller enn nevnt i denne erklæringen og med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil typisk være en avtale med eller samtykke fra den registrerte eller et lovgrunnlag som pålegger oss å gi ut informasjonen. Sistnevnte gjelder til offentlig virksomhet som skatteinnkreving (om nødvendig), regnskapsfører/revisor, samt andre som vi har behov for i vår virksomhet som bankforbindelse.
Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta dine rettigheter og sikkerhet for dine personopplysninger i alle ledd av behandlingen. Se mer nedenfor.
Er det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil personopplysninger vi har lagret om deg kunne utleveres til offentlige myndigheter.
Dersom personopplysninger kan bli gjenstand for overføring til en annen organisasjon i forbindelse med fusjon, finansiering, omorganisering eller oppløsningstransaksjon av hele eller deler av oss, vil vi kun gjøre dette dersom de involverte partene har inngått en avtale der innsamlingen, bruk og deling av personopplysningene er begrenset til de formålene som angår transaksjonen, herunder en bestemmelse om hvorvidt transaksjonen skal gå videre eller ikke, og personopplysningene skal kun brukes av de involverte parter for å gjennomføre og fullføre transaksjonen. Hvis et annet selskap kjøper oss eller vår virksomhet eller eiendeler, vil dette selskapet ha tilgang til personopplysningene innsamlet av oss, og vil påta seg de rettigheter og forpliktelser som gjelder dine personopplysninger som beskrevet i denne personvernerklæringen.
Overføring av personopplysninger til mottaker i land utenfor EØS
Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne skje at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller vil overføring og behandling utenfor EØS skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss.
Linker til tredjeparter/andre nettsteder
Våre sider kan ha innhold eller lenker til andre nettsteder eller tredjeparter som tilbyr produkter eller tjenester, og som ikke er under vår kontroll. Disse koblingene er kun brukt for å tilby våre brukere mer informasjon, eller en bedre opplevelse og tjeneste.
Innhold og nettsider som ikke er en del av våre, dvs. som ikke tilhører våre domener, vil behandle personopplysninger som behandlingsansvarlig selv, og vil kunne ha separate og uavhengige retningslinjer for personvern. Herunder kan brukerens IP- og nettleserinformasjon logges som en del av leverandørens behov for å sikre at deres tjenester fungerer som tiltenkt.
Vi gjør enkle kontroller, men har ikke ansvar for innholdet og aktivitetene til det eksterne innholdet.
Sikkerhet for behandlingen
Vi prioriterer sikkerhet av personopplysninger høyt i vår virksomhet og vil iverksette alle påkrevede tekniske og organisatoriske tiltak for å sikre dine personopplysninger. Alle behandlinger vil om mulig krypteres, og ikke være tilgjengelig for andre enn de som trenger personopplysninger for sine oppgaver.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhetsprosedyrer for å beskytte personopplysningene dine fra uautorisert tilgang, bruk eller formidling. Der det er nødvendig gjennomføres det risikovurderinger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har på vår behandling av personopplysningene.
Vi begrenser tilgangen til personopplysningene dine til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt strenge konfidensialitetskrav og vi kan utøve sanksjoner eller si opp avtalen dersom disse kravene ikke overholdes.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
Dine rettigheter når vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter som registrert. For å ta i bruk dine rettigheter må du kontakte oss, se kontaktinformasjon over.
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Tar det lenger tid enn 30 dager vil du få beskjed. Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg.
Kontroll over informasjonen din
Du har rett til å få informasjon om og innsyn i de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
For at du skal ha kontroll over dine personopplysninger, vil du ha tilgang til følgende verktøy:
Tilgang til personopplysninger (innsyn) og oppdateringer
Du vil ha tilgang til det vesentlige av personopplysninger som behandles om deg ved å opprette bruker på nettsiden, og du kan da også oppdatere/korrigere opplysningene. Informasjon som ikke er tilgjengelig på "min side" kan du få tilgang til ved å opprette en kundesak via "min side" på vår nettside. Kundeservice hos oss vil da gjøre tilgjengelig dine opplysninger som ligger lagret på din profil og du vil motta en bekreftelse på e-post når opplysningene vil være tilgjengelige for deg. Disse vil du da kunne hente ut ved å logge inn på "min side".
Tilbakekall av samtykke
Hvis du senere ombestemmer deg om vår løpende mulighet til å samle inn informasjon fra kilder som du allerede har godtatt, kan du ganske enkelt tilbakekalle ditt samtykke ved å endre innstillingene på "min side". Hvis du gjør dette, vil naturligvis enkelte tjenester miste funksjonalitet. Alternativt kan du ta kontakt med kundeservice.
Sletting av konto
Hvis du av en eller annen grunn ønsker å slette brukerkontoen din, kan dette gjøres ved å logge inn på din kundeprofil via "min side".
Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg gjennom «min side», se over eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, se GDPR artikkel 33, som:
a) Du bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
b) Behandlingen er ulovlig, og du motsetter deg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
c) Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
d) Du har protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
Retten til dataportabilitet
Opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss), kan du be om å få utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker de som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
Bruk av databehandlere
Vi selger ikke personopplysningene dine til tredjepart, og vi bytter eller videreformidler heller ikke slik informasjon med tredjepart. En tredjepart får kun innsyn i opplysningene hvis dette er nødvendig for å utføre bestemte tjenester for oss, slik at vi kan levere våre tjenester til deg. Relevante opplysninger som er nødvendig for å gjennomføre handelen deles med betalingspartner og transportør.
Databehandlere er andre selskaper som vi benytter for å behandle personopplysningene. Det inngås strenge avtaler for å ivareta informasjonssikkerheten i slike tilfeller.
Klager
Ta selvsagt gjerne kontakt med oss dersom du har spørsmål eller bekymringer til hvordan vi behandler dine personopplysninger. Dersom du mener at vår behandling av personopplysninger bryter med disse reglene eller personvernlovgivningen, herunder personopplysningsloven eller personvernforordningen (GDPR), så kan du også klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
Vi benytter Datatilsynet i Norge som ledende tilsynsmyndighet for grenseoverskridende behandling etter GDPR artikkel 56.
Endringer
Vi kan måtte endre informasjonen om behandling av personopplysninger fra tid til annen, bl.a. som følge av endringer i nettsidene eller våre tjenester, eller dersom det skjer endringer i regelverket om behandling av personopplysninger. Endres denne informasjonen, vil vi gjøre deg oppmerksom på det dersom vi har dine kontaktopplysninger. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.
Samarbeidspartnere
For personvernerklæring for andre enn våre kunder, se konsernets personvernerklæring på www.brandsdalgroup.com