Personvernerklæring for Nitteberg AS

Sist endret: 12. august 2025

  • Innledning og virkeområde
  • Behandlingsgrunnlag og formål
  • Kategorier av personopplysninger
  • Datakilder og innsamlingsmetoder
  • Utlevering til tredjeparter
  • Internasjonale dataoverføringer
  • Dine rettigheter som registrert
  • Tekniske og organisatoriske
    sikkerhetstiltak
  • Cookies og sporing
  • Datalagring og oppbevaringstider
  • Personvernbrudd og varslingsrutiner
  • Barns personvern
  • Internasjonale brukere -
    særskilte bestemmelser
  • Tilsynsmyndigheter og klageadgang
  • Kontaktinformasjon for
    personhenvendelser
  • Endringer i personvernerklæringen

Personvernerklæring for Nitteberg AS

Behandlingsansvarlig:
Nitteberg AS
Organisasjonsnummer: 931309862
Adresse: Gardermovegen 128, Nannestad
E-post: personvern@nitteberg.as
Telefon: 959 41 166
Nettside: nitteberg.as

Sist oppdatert: 12.08.2025

1. Innledning og virkeområde

Denne personvernerklæringen beskriver hvordan Nitteberg AS («vi», «oss», «selskapet») behandler personopplysninger i forbindelse med drift av nettbutikken nitteberg.as og tilhørende tjenester.

Vi er behandlingsansvarlig for personopplysningene som behandles i henhold til denne erklæringen og forplikter oss til å beskytte ditt personvern i samsvar med:

  • EU General Data Protection Regulation (GDPR) (Forordning 2016/679)
  • Norsk personvernlov (LOV-2018-06-15-38)
  • E-handelsloven (LOV-2003-05-23-35)
  • Markedsføringsloven (LOV-2009-01-09-2)
  • Andre relevante nasjonale og internasjonale personvernbestemmelser

Personvernerklæringen gjelder for alle brukere av våre tjenester, uavhengig av geografisk plassering, med særskilte bestemmelser for EU/EØS-borgere og andre internasjonale brukere.

2. Behandlingsgrunnlag og formål

2.1 Kontraktsoppfyllelse (GDPR art. 6(1)(b))

Formål: Gjennomføring og oppfyllelse av kjøpsavtaler

Behandlede opplysninger:

  • Identitetsopplysninger (navn, fødselsdato)
  • Kontaktopplysninger (adresse, telefon, e-post)
  • Leveringsinformasjon (leveringsadresse, spesielle instrukser)
  • Betalingsinformasjon (faktureringsadresse, betalingsmetode-referanser)
  • Transaksjonsinformasjon (ordrenummer, kjøpshistorikk, beløp)

Oppbevaringstid: 5 år etter siste transaksjon i henhold til bokføringsloven og reklamasjonsfrister

2.2 Rettslig forpliktelse (GDPR art. 6(1)(c))

Formål: Oppfyllelse av lovpålagte forpliktelser

Behandlede opplysninger:

  • Regnskapsinformasjon (faktureringsdata, mva-grunnlag)
  • Transaksjonslogger (for anti-hvitvasking og skatteformål)
  • Reklamasjons- og garantidokumentasjon

Oppbevaringstid: I henhold til gjeldende lovgivning (normalt 5-10 år)

Relevante lover:

  • Bokføringsloven
  • Skatteloven
  • Hvitvaskingsloven
  • Forbrukerkjøpsloven

2.3 Berettiget interesse (GDPR art. 6(1)(f))

Formål: Bedriftsdrift, sikkerhet og forretningsutvikling

Behandlede opplysninger:

  • Nettstedatilganger (IP-adresse, brukeragent, tidsstempler)
  • Kommunikasjonsinformasjon (kundeservice-korrespondanse)
  • Tekniske logger (feilmeldinger, ytelsesdata)
  • Markedsanalyseddata (aggregerte brukerstatistikker)

Interesseavveining: Våre berettigede interesser av effektiv drift, sikkerhet og forretningsutvikling veier tyngre enn personvernhensyn, gitt implementerte beskyttelsestiltak.

Oppbevaringstid: 2 år for tekniske logger, 3 år for kundeservice-korrespondanse

2.4 Samtykke (GDPR art. 6(1)(a))

Formål: Markedsføring og kommunikasjon

Behandlede opplysninger:

  • E-postadresse for nyhetsbrev
  • Kommunikasjonspreferanser
  • Markedsføringssegmenteringsdata

Samtykkehåndtering: Samtykke innhentes gjennom eksplisitt opt-in-mekanisme med mulighet for enkelt tilbaketrekking.

Oppbevaringstid: Til samtykke trekkes tilbake eller 3 år uten interaksjon

3. Kategorier av personopplysninger

3.1 Identitetsopplysninger

  • Direkte identifikatorer: Navn, fødselsdato
  • Indirekte identifikatorer: Kundenummer, bruker-ID
  • Behandlingsgrunnlag: Kontraktsoppfyllelse
  • Oppbevaringstid: 5 år etter siste transaksjon

3.2 Kontaktopplysninger

  • Fysisk adresse: Bostedsadresse, leveringsadresse, faktureringsadresse
  • Elektronisk kontakt: E-postadresse, telefonnummer
  • Behandlingsgrunnlag: Kontraktsoppfyllelse, berettiget interesse
  • Oppbevaringstid: 5 år etter siste transaksjon

3.3 Økonomiske opplysninger

  • Betalingsdata: Betalingsmetode-referanser (ikke komplette kortnummer)
  • Transaksjonsinformasjon: Kjøpshistorikk, fakturadata, refusjoner
  • Behandlingsgrunnlag: Kontraktsoppfyllelse, rettslig forpliktelse
  • Oppbevaringstid: 5 år i henhold til bokføringsloven

3.4 Tekniske opplysninger

  • Nettverksdata: IP-adresse, MAC-adresse (der tilgjengelig)
  • Enhetsdata: Brukeragent, skjermoppløsning, operativsystem
  • Atferdsdata: Besøkte sider, klikk-paths, sesjonsvarighet
  • Behandlingsgrunnlag: Berettiget interesse, samtykke (for cookies)
  • Oppbevaringstid: 13 måneder for web-analytics, 2 år for sikkerhetsllogger

3.5 Kommunikasjonsopplysninger

  • Kundeservice: E-post-korrespondanse, telefonsamtaler (ved opptak)
  • Reklamasjonsdata: Reklamasjonssaker, returnerings-informasjon
  • Behandlingsgrunnlag: Kontraktsoppfyllelse, berettiget interesse
  • Oppbevaringstid: 3 år etter siste kommunikasjon

4. Datakilder og innsamlingsmetoder

4.1 Direkte innsamling fra deg

  • Kontoregistrering: Frivillig opprettelse av brukerkonto
  • Bestillingsprosess: Nødvendige opplysninger for kjøpsgjennomføring
  • Kundeservice: Henvendelser via e-post, telefon eller chat
  • Nyhetsbrevregistrering: Eksplisitt samtykke-basert registrering

4.2 Automatisk innsamling

  • Cookies og lignende teknologier: Se vår cookiepolicy
  • Server-logger: Automatisk registrering av nettstedstilgang
  • Feilrapportering: Tekniske feil og ytelsesdata

4.3 Tredjepartskilder

  • Betalingsleverandører: Vipps AS og Stripe Inc. for betalingsvalidering
  • Fraktleverandører: PostNord, Bring, DHL for leveringsbekreftelse
  • Kredittsjekk: Ved fakturabestilling (med samtykke)

5. Utlevering til tredjeparter

5.1 Databehandlere (GDPR art. 28)

Betalingsleverandører:

  • Vipps AS (Norge): Behandler betalingsdata for norske kunder
  • Stripe Inc. (USA/Irland): Behandler betalingsdata for internasjonale kunder
  • Databehandleravtaler: Inngått i henhold til GDPR art. 28
  • Overføringsgrunnlag: Adequacy decision (for EU-entiteter), Standard Contractual Clauses

IT-tjenesteleverandører:

  • Hosting: WPX – Serverhosting og infrastruktur
  • E-post: Domeneshop – E-postutsendelse og kommunikasjon
  • Analytics: Google Analytics (anonymisert) – Nettstedanalyse
  • Support: Domeneshop – Kundeservice-platform

Logistikkpartnere:

  • Proteria AS

5.2 Myndigheter og offentlige organer

Personopplysninger kan utleveres til myndigheter når dette kreves av lov, inkludert:

  • Skattemyndigheter: Transaksjonsinformasjon for skatte- og mva-formål
  • Politimyndigheter: Ved rettskraftig beslutning eller pågripelse
  • Finanstilsynet: Ved mistanke om hvitvasking eller terrorfinansiering
  • Toll- og avgiftsmyndigheter: For internasjonale forsendelser

5.3 Forretningsmessige overføringer

Ved fusjon, oppkjøp eller virksomhetsoverdragelse kan personopplysninger overføres til ny eier med forbehold om:

  • Forhåndsvarsling til registrerte
  • Opprettholdelse av samme personvernnivå
  • Mulighet for sletting av data ved innsigelse

6. Internasjonale dataoverføringer

6.1 Overføringer til tredjeland

USA (Stripe Inc.):

  • Overføringsgrunnlag: EU-US Data Privacy Framework (adequacy decision)
  • Ytterligere beskyttelse: Standard Contractual Clauses som fallback
  • Formål: Betalingsbehandling for internasjonale kunder

Andre tredjeland:

  • Overføringer skjer kun ved adequacy decision eller med egnede beskyttelsestiltak
  • Standard Contractual Clauses (SCCs) implementeres hvor nødvendig
  • Transfer Impact Assessments gjennomføres for høyrisiko-overføringer

6.2 EØS/EU-overføringer

Overføringer innen EØS/EU skjer fritt i henhold til GDPR uten ytterligere beskyttelsestiltak.

7. Dine rettigheter som registrert

7.1 Rett til informasjon (GDPR art. 13-14)

Du har rett til å få informasjon om behandlingen av dine personopplysninger, som gis gjennom denne personvernerklæringen.

7.2 Rett til innsyn (GDPR art. 15)

Du kan kreve innsyn i alle personopplysninger vi behandler om deg, inkludert:

  • Kategorier av personopplysninger
  • Behandlingsformål
  • Mottakere av opplysningene
  • Oppbevaringstider
  • Opprinnelse til opplysningene

Fremgangsmåte: Send skriftlig forespørsel til personvern@nitteberg.as med gyldig legitimasjon.

7.3 Rett til retting (GDPR art. 16)

Du kan kreve retting av unøyaktige eller utfylling av ufullstendige personopplysninger.

7.4 Rett til sletting («retten til å bli glemt») (GDPR art. 17)

Du kan kreve sletting av personopplysninger når:

  • Opplysningene ikke lenger er nødvendige for det opprinnelige formålet
  • Du trekker tilbake samtykke og det ikke finnes annet behandlingsgrunnlag
  • Opplysningene er behandlet ulovlig
  • Sletting kreves for oppfyllelse av rettslig forpliktelse

Begrensninger: Sletting kan nektes når behandling er nødvendig for:

  • Oppfyllelse av rettslig forpliktelse
  • Fastslåing, utøvelse eller forsvar av rettskrav
  • Utførelse av oppgave i allmennhetens interesse

7.5 Rett til begrensning av behandling (GDPR art. 18)

Du kan kreve begrensning av behandling når:

  • Du bestrider nøyaktigheten av personopplysningene
  • Behandlingen er ulovlig, men du motsetter deg sletting
  • Du trenger opplysningene for rettskrav selv om vi ikke lenger trenger dem
  • Du har innsigelse til behandling basert på berettiget interesse

7.6 Rett til dataportabilitet (GDPR art. 20)

For opplysninger behandlet basert på samtykke eller kontrakt, har du rett til:

  • Å motta opplysningene i strukturert, alminnelig anvendt og maskinlesbart format
  • Å overføre opplysningene til annen behandlingsansvarlig

7.7 Rett til innsigelse (GDPR art. 21)

Du kan protestere mot behandling basert på berettiget interesse eller allmennhetens interesse. Vi vil da stanse behandlingen med mindre vi kan påvise tvingende berettigede grunner.

Direktemarkedsføring: Du har absolutt rett til å protestere mot behandling for direktemarkedsføring.

7.8 Rettigheter knyttet til automatisert beslutningstaking (GDPR art. 22)

Du har rett til ikke å være gjenstand for avgjørelser basert utelukkende på automatisert behandling som har rettsvirkning eller tilsvarende betydelig virkning.

Vår praksis: Vi foretar ikke automatiserte avgjørelser med rettsvirkning uten menneskelig involvering.

8. Tekniske og organisatoriske sikkerhetstiltak

8.1 Tekniske sikkerhetstiltak

Kryptering:

  • Transport: TLS 1.3 for all datatransmisjon
  • Lagring: AES-256 kryptering for sensitive data i hvile
  • Databaser: Krypterte database-connections og felt-nivå kryptering

Tilgangskontroll:

  • Multifaktor-autentisering: For alle administrative kontoer
  • Rolle-basert tilgang: Minimum necessary access principle
  • Regelmessig tilgangsgjennomgang: Kvartalsvis audit av brukerrettigheter

Nettverkssikkerhet:

  • Brannmurer: Next-generation firewalls med intrusion detection
  • Sårbarhetsskanning: Automatisert og manuell penetrasjonstesting
  • Monitorering: 24/7 sikkerhetsovervåkning og incident response

8.2 Organisatoriske sikkerhetstiltak

Personell:

  • Bakgrunnssjekk: For alle ansatte med tilgang til personopplysninger
  • Personvernopplæring: Obligatorisk årlig opplæring for alle ansatte
  • Taushetserklæringer: Kontraktsfestede konfidensialitetsforpliktelser

Prosedyrer:

  • Incident response plan: Dokumenterte prosedyrer for personvernbrudd
  • Data retention policy: Automatiserte slettingsrutiner
  • Vendor management: Due diligence og kontraktuelle krav til leverandører

Fysisk sikkerhet:

  • Adgangskontroll: Kortbasert tilgang til serverlokaler
  • Overvåkning: CCTV og alarmssystemer
  • Sikker destruksjon: Sertifisert destruksjon av fysiske medier

9. Cookies og sporing

9.1 Nødvendige cookies

Formål: Grunnleggende nettstedfunksjonalitet Behandlingsgrunnlag: Berettiget interesse Varighet: Sesjonsbasert eller 1 år Eksempler: Handlekurv, språkvalg, innloggingsstatus

9.2 Ytelsescookies

Formål: Nettstedoptimalisering og feilsøking Behandlingsgrunnlag: Berettiget interesse (anonymiserte) Varighet: 13 måneder Leverandører: Google Analytics (anonymisert)

9.3 Markedsføringscookies

Formål: Målrettet reklame og konversjonsoppfølging Behandlingsgrunnlag: Samtykke Varighet: 13 måneder Leverandører: Google Ads, Facebook Pixel, Microsoft Advertising

Cookie-samtykke: Administreres gjennom vår cookie-banner med granulære valgmuligheter.

10. Datalagring og oppbevaringstider

10.1 Generelle prinsipper

  • Dataeffektivisering: Vi lagrer kun nødvendige personopplysninger
  • Lagringsbegrensning: Data slettes når formålet er oppfylt
  • Automatiserte slettingsrutiner: Implementert for alle datakategorier

10.2 Spesifikke oppbevaringstider

DatakategoriOppbevaringstidJuridisk grunnlag
Kundedata (aktive kunder)5 år etter siste transaksjonBokføringsloven, reklamasjonsfrister
Kundedata (inaktive)3 år uten aktivitetBerettiget interesse
Betalingsinformasjon5 årBokføringsloven
MarkedsføringsdataTil samtykke trekkes tilbakeSamtykke
Web-analytics13 månederBerettiget interesse
Sikkerhetslogger2 årBerettiget interesse
Reklamasjonssaker5 år etter avslutningRettslig forpliktelse

11. Personvernbrudd og varslingsrutiner

11.1 Interne rutiner

  • Oppdagelse: 24/7 monitorering og automatiserte varslingssystemer
  • Vurdering: Øyeblikkelig risikovurdering og klassifisering
  • Inngrep: Umiddelbare tiltak for å begrense skade
  • Dokumentasjon: Fullstendig logging av brudd og responstiltak

11.2 Varslingsplikter

Til tilsynsmyndighet (Datatilsynet):

  • Tidsfrist: 72 timer etter oppdagelse
  • Vilkår: Når bruddet sannsynligvis medfører risiko for rettigheter og friheter
  • Innhold: Bruddets art, kategorier og antall berørte, sannsynlige konsekvenser, tiltak

Til registrerte:

  • Tidsfrist: Uten ugrunnet opphold
  • Vilkår: Når bruddet sannsynligvis medfører høy risiko
  • Innhold: Bruddets art, kontaktinformasjon, sannsynlige konsekvenser, tiltak

11.3 Historikk og statistikk

Vi fører detaljerte registre over alle personvernbrudd i henhold til GDPR art. 33(5) for tilsynsmyndighetenes inspeksjon

12. Barns personvern

12.1 Aldersgrenser

  • Minimum alder: 16 år for egenståender bruk av tjenestene
  • Under 16 år: Krever foreldres/vergers samtykke og medvirkning
  • Verifisering: Aldersverifisering ved kontoopprettelse

12.2 Særskilte beskyttelsestiltak

  • Begrenset datainnsamling: Kun nødvendige opplysninger for tjenesten
  • Foreldrekontroll: Foreldres rett til innsyn og sletting
  • Markedsføringsforbud: Ingen direktemarkedsføring til mindreårige
  • Økt sikkerhet: Strengere tilgangskontroll og kryptering

13. Internasjonale brukere - særskilte bestemmelser

13.1 EU/EØS-borgere

  • Full GDPR-beskyttelse: Alle rettigheter etter GDPR art. 12-23
  • Tilsynsmyndighet: Kontakt ditt lokale datatilsyn eller Datatilsynet (Norge)
  • Tvisteløsning: EU Online Dispute Resolution platform tilgjengelig

13.2 California Consumer Privacy Act (CCPA) – California-borgere

  • «Do Not Sell» rettighet: Vi selger ikke personopplysninger
  • Ikke-diskriminering: Ingen forskjellsbehandling ved utøvelse av rettigheter
  • Kategorier delt: Se avsnitt 5 om utlevering til tredjeparter

13.3 Andre internasjonale brukere

  • Minimum beskyttelse: GDPR-lignende rettigheter tilbys alle brukere
  • Lokale lover: Lokale personvernlover kan gi ytterligere rettigheter
  • Kontakt: Engelsk kundeservice tilgjengelig for alle henvendelser

14. Tilsynsmyndigheter og klageadgang

14.1 Primær tilsynsmyndighet

Datatilsynet (Norge)

14.2 EU/EØS-borgere

Du kan også kontakte datatilsynet i ditt hjemland innen EU/EØS.

14.3 Klagerett

Du har rett til å klage til tilsynsmyndighet hvis du mener vi behandler dine personopplysninger i strid med gjeldende personvernlovgivning.

15. Kontaktinformasjon for personvernhenvendelser

15.1 Datavernombud (Data Protection Officer)

Kontakt: dpo@nitteberg.as Rolle: Uavhengig veiledning og overvåkning av personvernpraksis Tilgjengelighet: Virkedager 09:00-16:00

15.2 Personvernkontakt

Generelle henvendelser: personvern@nitteberg.as Rettighetsutøvelse: rettigheter@nitteberg.as Personvernbrudd: incident@nitteberg.as

15.3 Responstider

  • Innsyn og rettighetsutøvelse: 30 dager (kan forlenges til 90 dager ved komplekse saker)
  • Generelle henvendelser: 5 virkedager
  • Personvernbrudd: Umiddelbart (24/7 beredskap)

16. Endringer i personvernerklæringen

16.1 Varslingsrutiner

  • Vesentlige endringer: E-postvarsling til alle registrerte 30 dager i forveien
  • Mindre endringer: Publisering på nettside med oppdatert dato
  • Nye behandlingsformål: Innhenting av nytt samtykke når nødvendig

16.2 Versjonskontroll

Vi oppbevarer historiske versjoner av personvernerklæringen med tidsstempel for transparens og sporing.

Denne personvernerklæringen erstatter alle tidligere versjoner og er juridisk bindende fra ikrafttredelsesdatoen.

Juridisk rådgiver: Mattis
Kontakt for juridiske spørsmål: legal@nitteberg.as