Personvern hos Diskshop
Vi samler inn så lite som mulig — bare det vi trenger for at prissammenligning, varslingsliste og statistikk skal fungere. Denne erklæringen forklarer hva vi behandler, hvorfor, og hvilke rettigheter du har etter personvernforordningen (GDPR) og personopplysningsloven.
1 Hvem er behandlingsansvarlig
Behandlingsansvarlig for personopplysningene som samles inn gjennom diskshop.no er:
Organisasjonsnummer: NO 937 332 300
Adresse: Nesmarka 35, 4404 Flekkefjord
E-post: [email protected]
Du kan kontakte oss på e-postadressen over for alle henvendelser knyttet til personvern. Vi har ikke utnevnt personvernombud da behandlingen ikke utløser krav om det etter GDPR artikkel 37, men [email protected] behandles av en navngitt ansvarlig internt.
2 Hva vi behandler og hvorfor
Vi har forsøkt å bygge Diskshop slik at de fleste kan bruke tjenesten helt anonymt. Nedenfor er en uttømmende oversikt over hvilke opplysninger vi behandler.
| Opplysning | Formål | Når den behandles |
|---|---|---|
| E-postadresse | Varsle deg når en disc kommer på lager eller går ned i pris (varslingsliste) | Når du selv legger en disc i varslingslisten |
Anonym sesjons-IDds_sid | Telle unike klikk per butikk uten å identifisere deg, og hindre dobbelttelling | Settes ved første besøk; ingen kobling til e-post eller navn |
| Klikk- og besøksstatistikk | Forstå hvilke discer som er populære, og rapportere klikk til samarbeidsbutikker | Automatisk når du klikker «Kjøp hos …» eller besøker en side |
| IP-adresse, nettleser-string | Driftslogger, sikkerhetsovervåkning og misbruksvern | Logges automatisk av serveren; slettes etter 30 dager |
| Innhold i e-post du sender | Svare på din henvendelse | Kun når du selv tar kontakt |
Innloggingsdata for administratorerds_admin | Administrere skraping, godkjenne matcher, drifte tjenesten | Kun for ansatte med admin-tilgang |
Vi behandler ikke: fødselsnummer, betalingsinformasjon, posisjonsdata, eller særlige kategorier («sensitive») personopplysninger. Diskshop selger ingen varer selv — kjøp skjer alltid hos den eksterne butikken, og betaling og leveringsdata behandles av dem.
3 Rettslig grunnlag
Vi behandler personopplysninger på følgende grunnlag i GDPR artikkel 6:
- Samtykke (art. 6 nr. 1 bokstav a) — for varslingsliste på e-post. Du kan trekke samtykket når som helst ved å fjerne disc-en fra listen eller kontakte oss.
- Berettiget interesse (art. 6 nr. 1 bokstav f) — for anonym klikk- og besøksstatistikk, driftslogger og sikkerhet. Vår interesse er å drive og forbedre tjenesten, og opplysningene er enten aggregerte eller knyttet til en sesjons-ID uten direkte identifikasjon. Du kan likevel protestere mot behandlingen (se punkt 8).
- Rettslig forpliktelse (art. 6 nr. 1 bokstav c) — der vi er pliktige å oppbevare opplysninger etter bokføringsloven eller annen norsk lov.
4 Hvor lenge vi lagrer
| Type opplysning | Lagringstid |
|---|---|
| E-postadresse i varslingsliste | Inntil du selv fjerner disc-en, eller etter 24 måneders inaktivitet |
Anonym sesjons-ID (ds_sid) | 12 måneder fra siste besøk |
| Klikk-events | 24 måneder, deretter kun aggregert statistikk |
| Server- og sikkerhetslogger | 30 dager |
| Henvendelser på e-post | Inntil 12 måneder etter at saken er avsluttet |
| Bokføringspliktige opplysninger | 5 år etter regnskapsårets slutt (bokføringsloven § 13) |
5 Hvem vi deler med
Vi selger ikke personopplysninger. Vi deler bare med leverandører som behandler opplysninger på våre vegne (databehandlere), og kun det som er nødvendig for at de skal levere tjenesten sin til oss. Vi har skriftlig databehandleravtale med hver av dem.
| Leverandør | Tjeneste | Hvor data ligger |
|---|---|---|
| Cloudflare | Drift av nettside og database | EU/EØS |
| Sendmail | Sending av varslings-e-post | EU/EØS |
| Google Analytics | Anonym besøks- og trafikkstatistikk | USA |
Når du klikker en «Kjøp hos …»-lenke, sender vi deg videre til en ekstern butikk. Butikken er selvstendig behandlingsansvarlig for opplysninger de samler om deg etter at du har forlatt diskshop.no. Se den enkelte butikks personvernerklæring.
6 Overføring utenfor EØS
Vi forsøker å holde all behandling innenfor EU/EØS. Hvis en av leverandørene våre overfører opplysninger til et tredjeland (for eksempel USA), skjer det bare med et lovlig overføringsgrunnlag etter GDPR kapittel V — typisk EUs standardkontrakter (SCC) supplert med tekniske og organisatoriske tiltak, eller EU–US Data Privacy Framework for sertifiserte amerikanske mottakere.
Du kan be om kopi av overføringsgrunnlaget ved å kontakte oss.
7 Sikkerhet
Vi har tekniske og organisatoriske tiltak som skal sikre at personopplysninger ikke kommer på avveie eller blir uberettiget endret. Tiltakene gjennomgås jevnlig og inkluderer:
- Kryptert overføring (HTTPS/TLS) for all trafikk.
- Kryptert lagring av sensitive felt i databasen.
- Tilgangskontroll: kun ansatte med tjenstlig behov har tilgang, og admin-pålogging er beskyttet med sterk autentisering.
- Sikkerhetslogging og overvåkning av uvanlig trafikk.
- Jevnlige sikkerhetskopier og testet gjenoppretting.
Ved brudd på personopplysningssikkerheten som medfører risiko for dine rettigheter, varsler vi Datatilsynet innen 72 timer og deg direkte hvis risikoen er høy, jf. GDPR art. 33 og 34.
8 Dine rettigheter
Etter personvernregelverket har du følgende rettigheter. Du kan utøve dem ved å sende e-post til [email protected]. Vi svarer normalt innen 30 dager.
Innsyn
Få en kopi av personopplysningene vi behandler om deg.
Retting
Få korrigert opplysninger som er feil eller ufullstendige.
Sletting
Få slettet opplysninger når de ikke lenger er nødvendige, eller du trekker samtykket.
Begrensning
Be om at behandlingen midlertidig stanses mens en sak utredes.
Innsigelse
Protestere mot behandling som er basert på berettiget interesse.
Dataportabilitet
Få utlevert opplysninger du har gitt oss i et maskinlesbart format.
For å sikre at vi ikke utleverer opplysninger til feil person, kan vi be om bekreftelse av at det er du som henvender deg — typisk ved å svare fra samme e-postadresse som er registrert hos oss.
9 Klage til Datatilsynet
Hvis du mener vi behandler personopplysninger om deg i strid med regelverket, vil vi gjerne høre fra deg først — men du har også rett til å klage til Datatilsynet:
10 Endringer i erklæringen
Vi kan oppdatere denne personvernerklæringen hvis tjenesten eller regelverket endrer seg. Vesentlige endringer varsles på forsiden og — hvis det berører deg — på e-post til adressen som er registrert i varslingslisten. Tidligere versjoner er tilgjengelig på forespørsel.
11 Kontakt oss
Spørsmål om personvern?
Send oss en e-post — vi svarer så fort vi kan, og senest innen 30 dager.