Integritetspolicy
Mysoda Norges personvernerklæring for bedriftskunder, leverandører og partnere
19. april 2026
Mysoda Norge behandler personopplysninger til sine kunder, leverandører eller partnerselskaper og enheter i samsvar med denne personvernerklæringen. Denne personvernerklæringen beskriver informasjonen som skal gis til den registrerte i henhold til artikkel 12–14 i EUs personvernforordning.
Mysoda kan endre denne personvernerklæringen ved å publisere en ny versjon på nettstedet sitt, for eksempel hvis lovgivning, offisielle instruksjoner, rettspraksis eller egen praksis endres. Registrerte vil bli varslet om vesentlige endringer i behandlingen av personopplysninger separat via e-post. Andre endringer vil ikke bli varslet separat, med mindre det er påkrevd ved lov. Denne policyen gir oppdatert informasjon om Mysodas praksis knyttet til behandling av personopplysninger.
1. Kontaktinformasjon til den behandlingsansvarlige i saker om personvern
| Datakontrollør | Mysoda Norge, organisasjonsnummer: NO933501523MVA ( «Mysoda» eller «dataansvarlig») |
|
Kontakter for alle saker knyttet til databeskyttelse |
Den registrerte kan kontakte den behandlingsansvarlige i alle saker knyttet til personvern som følger: Mysoda Oy/Kundeservice Holkkitie 6 |
2. Registrert
Den behandlingsansvarlige samler inn og behandler personopplysninger om beslutningstakere, kontaktpersoner og representanter («registrerte») for den behandlingsansvarliges nåværende og potensielle kunder, leverandører eller partnerselskaper og -enheter («Selskapet»).
3. Personopplysninger som er samlet inn
Den behandlingsansvarlige samler inn og behandler følgende personopplysninger om de registrerte:
| Datagruppe | Beskrivelse | Hvor samles og oppdateres informasjonen? |
| Grunnleggende | Firmainformasjon (inkludert fakturerings- og leveringsinformasjon), navn, tittel eller yrke, stilling eller oppgave i selskapet, arbeidsrelatert kontaktinformasjon (postadresse og besøksadresse, e-postadresse, telefonnummer), fødselsår, kjønn, morsmål, tjenestespråk, foretrukket kontaktmetode |
|
| Identifikasjonsinformasjon | Verifisering, identifikasjon og personlige identifikasjonsdata for den registrerte personen, f.eks. navn og personnummer, rett til å representere selskapet |
|
| Kredittinformasjon | Kredittinformasjon til selskapets ansvarlige person | kredittopplysningsbyråer i forbindelse med en kredittsjekk |
| Markedsføringsinformasjon |
|
|
| Bruksdata for elektroniske tjenester | Tilgangsrettigheter, brukernavn og passord, annen mulig identifikasjonsinformasjon |
|
| Brukshistorikk og loggdata registrert ved bruk av elektroniske tjenester |
|
|
| Bruksdata for nyhetsbrev: e-postadresse, data om sending, mottak og lesing |
|
|
| Bruksdata for nettbaserte tjenester og nettlesingsdata: siden som brukeren har åpnet den behandlingsansvarliges nettsted fra, enhetsmodell, unik enhets- og/eller informasjonskapselidentifikator, datainnsamlingskanal (nettleser, mobilnettleser, applikasjon), nettleserversjon, IP-adresse, øktidentifikator, økttid og -varighet, skjermoppløsning og operativsystem, plassering på lands-/bynivå | fra den registrerte ( ved bruk av informasjonskapsler, reklamekoder osv.) om bruk av internett- og mobiltjenester og nyhetsbrev. | |
| Informasjon om mistenkte forbrytelser | Informasjon om mistenkte forbrytelser eller misligheter | Databehandler, Selskap, Registrert |
| Informasjon om en kunde eller et annet kundeforhold | Kommunikasjon og andre aktiviteter i forholdet mellom den behandlingsansvarlige og selskapet, informasjon om abonnement på nyhetsbrev og oppsigelse |
|
| Informasjon om arrangementsorganisering | Deltakelsesinformasjon, f.eks. invitasjon, registrering og deltakelsesinformasjon knyttet til arrangementer, konkurranser, lotterier og andre arrangementer organisert av behandlingsansvarlig | den registrerte |
| Helseinformasjon: viktig informasjon om kosthold og tilgjengelighet | den registrerte | |
| Bilder og videoer tatt fra arrangementer | Datakontrollør | |
| Profil- og klassifiseringsinformasjon | Basert på analysen og profileringen av dataene beskrevet ovenfor, dannes klassifiseringer, segmenter og profiler for behandling i samsvar med denne erklæringen. | Dataene genereres automatisk basert på kunderegisterdata. |
Bedriftsinformasjon er ikke personopplysninger.
Rettslige transaksjoner og dokumenter mellom den behandlingsansvarlige og Selskapet (f.eks. elektroniske transaksjonsskjemaer, tilbudsforespørsler, tilbud, bestillinger, avtaler osv.) som den registrerte har utført på vegne av Selskapet som dets representant, samt den registrertes informasjon som finnes der, er ikke personopplysninger, men informasjon som beskriver Selskapet og er ikke underlagt den registrertes rettigheter og personvernlovgivningen.
4. Rettslig grunnlag og formål for behandling av personopplysninger
Personopplysningene til de registrerte som er nevnt i punkt 3 behandles på de rettslige grunnlagene og for de formålene som fremgår av tabellen nedenfor.
| Formålet med behandlingen | Datagrupper som skal behandles | Rettslig grunnlag |
| Markedsføring av den behandlingsansvarliges tjenester og arrangementer knyttet til den registrertes arbeidsoppgaver, samt målretting av slik markedsføring i den behandlingsansvarliges egne og andre internett- og mobiltjenester og applikasjoner; direkte markedsføring og målrettet direkte markedsføring via telefon, post, e-post, tekstmeldinger og andre elektroniske kanaler; gjennomføring av opinions- og markedsundersøkelser samt organisering av markedsføringskonkurranser og andre arrangementer. |
|
|
|
|
Den behandlingsansvarliges legitime interesse, basert på retten til å drive virksomhet og kunde-, leverandør- eller annet forhold mellom den behandlingsansvarlige og selskapet (artikkel 6(1)(f) i GDPR) |
| Tilby en nyhetsbrevtjeneste | Informasjon om abonnement på nyhetsbrev, bruk og oppsigelse | Implementering av et registrert nyhetsbrevabonnement (artikkel 1, punkt 6 b) i GDPR) |
| Organisering av arrangementer |
|
Den behandlingsansvarliges legitime interesse basert på retten til å drive virksomhet (artikkel 6(1)(f) GDPR) |
| Helseinformasjon |
Samtykke fra den registrerte (Artikkel 6(1)(a) i GDPR) |
|
| Informasjon gitt av behandlingsansvarlig om hendelser i media, internett og sosiale medier | Bilder og videoer tatt fra arrangementer |
Samtykke fra den registrerte (Artikkel 6(1)(a) i GDPR) |
| Sikring av datasikkerhet |
|
Overholdelse av en rettslig forpliktelse (artikkel 6(1)(c) i GDPR og artikkel 32 i loven om elektroniske kommunikasjonstjenester) |
| Oppdage, forebygge og etterforske svindel og andre forbrytelser og misbruk | Informasjonen som kreves for bruksformålet nevnt i avsnitt 3 ovenfor og informasjon om mistenkte forbrytelser | Den behandlingsansvarliges legitime interesse i å forhindre kriminalitet mot seg selv og andre parter (artikkel 6(1)(f) i GDPR) |
| Utførelse av selskapets og den registrertes og andre lovbestemte plikter for behandlingsansvarlig | All informasjon som kreves for hver lovpålagte oppgave nevnt i avsnitt 3 ovenfor |
Overholdelse av en juridisk forpliktelse, f.eks. rapportering fra myndighetene (GDPR artikkel 6(1)(c)) |
| Analyse, statistikk og profilering for utvikling av tjenester og kunderelasjoner, samt for markedsføring | All informasjon nevnt i avsnitt 3 ovenfor og erklært behandlet for hvert bruksformål i samsvar med denne erklæringen |
Den behandlingsansvarliges legitime interesse basert på kundeforholdet (GDPR artikkel 6(1)(f)) |
| Bruk av nettjenester og nettleserdata |
Den registrertes samtykke til bruk av informasjonskapsler (lov om elektroniske kommunikasjonstjenester, paragraf 205) |
Den behandlingsansvarlige bruker ikke automatisert beslutningstaking i sine aktiviteter angående registrerte, og behandler ikke personopplysninger ved hjelp av kunstig intelligens.
5. Offentliggjøring av informasjon
Den behandlingsansvarlige utleverer personopplysningene til de registrerte til følgende parter, som behandler dem som uavhengige behandlingsansvarlige i samsvar med sine egne personvernerklæringer:
| Erververe | Formålet med overføringen |
| Den behandlingsansvarliges respektive datterselskaper, f.eks. Mysoda Oy, Mysoda Sweden Ab, Mysoda Scandinavia Aps, Mysoda Deutschland GmbH, Mysoda France SAS | Oppfyllelse av formålene med denne uttalelsen |
| Leverandører av transport- og logistikktjenester | Lagring og ordrelevering |
| Banker og andre leverandører av fakturerings- og betalingstjenester | Fakturering, betaling og sporing av abonnementsavgifter |
| Den databehandlerens juridiske rådgivere og revisorer | Utførelse av juridiske oppdrag og revisjon |
| Myndigheter, f.eks. politi, håndhevingsmyndighet, skatteetaten | Implementering av myndighetens lovfestede rett til informasjon |
Personopplysninger vil ikke bli utlevert til andre parter uten samtykke fra den registrerte, med mindre det er nødvendig for å oppfylle den behandlingsansvarliges juridiske forpliktelser, i forbindelse med rettslige skritt, på forespørsel fra myndigheter eller som en del av forretningsavtaler.
6. Overføring av data for behandling av underleverandører
Data har rett til å bruke underleverandører i behandlingen av personopplysninger i samsvar med denne erklæringen. I dette tilfellet kan personopplysninger overføres til underleverandører i den grad det er nødvendig for gjennomføring av underleverandørens tjenester. Hver underleverandør behandler kun personopplysninger i den grad det er nødvendig for utførelsen av underleverandørens oppgaver. Underleverandørene behandler personopplysninger på vegne av og for den behandlingsansvarliges regning i samsvar med den behandlingsansvarliges instruksjoner. Underleverandørene er bundet av avtalene som er inngått med den behandlingsansvarlige angående behandling av personopplysninger, inkludert vilkårene for konfidensialitet og datasikkerhet.
Den behandlingsansvarlige bruker underleverandører til følgende oppgaver:
| Underleverandør eller gruppe | Oppgave |
| Den behandlingsansvarliges respektive datterselskaper, f.eks. Mysoda Sweden Ab, Mysoda Scandinavia Aps, Mysoda Deutschland GmbH, Mysoda France SAS | oppgaver knyttet til salg, IKT-tjenester, markedsføring, logistikk og kundeservice |
|
Shopify International Limited, 2. etasje, Victoria-bygningene 1–2, Haddington Road, Dublin 4, D04 XN32, Irland |
Shopify fungerer som leverandør av funksjonaliteten (plattformtjenesten) til Mysodas nettbutikk. En liste over Shopifys underdatabehandlere og tjenestene de utfører og dataene de behandler finner du her: https://help.shopify.com/en/manual/privacy-and-security/privacy/subprocessors |
|
Klaviyo, Inc., 125 Summer Street, 6. etasje, Boston, MA, 02110, USA |
Klaviyo produserer nyhetsbrevstjenesten Mysoda. En liste over Klavios underdatabehandlere og tjenestene de utfører og dataene de behandler finner du her: https://www.klaviyo.com/legal/subprocessors |
|
Reklame- og markedsføringsbyråer |
markedsføring, analyse |
|
Leverandører av økonomiske forvaltningstjenester |
regnskap og andre økonomiske forvaltningstjenester |
|
IKT-leverandører |
design av nettbutikker og andre applikasjoner, håndtering av informasjonskapsler, telekommunikasjonstjenester, andre elektroniske kommunikasjonstjenester, informasjonssikkerhetstjenester, informasjonssystemtjenester |
|
Google Inc. |
Statistisk overvåking av internettjenester utføres av Google Inc. på vegne av den behandlingsansvarlige i samsvar med samtykket til informasjonskapsler gitt av den registrerte. Google kan også bruke informasjonen som samles inn av informasjonskapsler til egne markedsføringsformål i samsvar med samtykket til informasjonskapsler og sine egne bruksvilkår og personvernregler. Google er ansvarlig for sine egne informasjonskapsler og informasjonen som samles inn til eget bruk. Se mer informasjon på: https://policies.google.com/technologies/cookies?hl=en |
7. Overføring av data til tredjeland
Den behandlingsansvarlige kan også overføre eller overføre personopplysninger til et land utenfor EU/EØS. Overføringene består hovedsakelig av overføring av personopplysninger til Shopify Inc., som er etablert i Canada og er underlagt EU-kommisjonens beslutning 2002/2/EF av 20. desember 2001 om tilstrekkelig vern av personopplysninger i henhold til den kanadiske loven om personopplysninger og elektroniske dokumenter. Overføringen av data til USA er basert på EU-kommisjonens beslutning av 10. juli 2023 om tilstrekkeligheten av databeskyttelsen som er gitt i henhold til EU-USAs databeskyttelsesrammeverk.
Med mindre Europakommisjonen har besluttet at nivået av databeskyttelse i destinasjonslandet er akseptabelt, skal den behandlingsansvarlige sikre tilstrekkelig databeskyttelse ved å inngå skriftlige avtaler med mottakeren ved bruk av standardkontraktsklausuler godkjent av Europakommisjonen eller annen juridisk prosedyre. Standardkontraktsklausulene finner du på: https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32021D0914
8. Den behandlingsansvarliges behandling av personopplysninger om brukere av sosiale medier
Den databehandlerens nettsted bruker funksjoner for sosiale medier (dvs. fellesskapspluginer), som Facebook-, Instagram- og TikTok-knapper, som tar deg til fellesskapssider som vedlikeholdes av den databehandleren.
Sosiale medietjenester deler brukerinformasjon med den behandlingsansvarlige i samsvar med deres personvernregler og samtykker gitt av brukere, f.eks. kommentarer og lenker delt av brukeren i media angående den behandlingsansvarliges nettsteder og informasjon i brukerens offentlige profil. Den behandlingsansvarlige behandler personopplysninger innhentet gjennom sine fellesskapsnettsteder på grunnlag av legitim interesse kun for den behandlingsansvarliges egne formål, for eksempel å informere om nye produkter, tjenester eller tilbud, gjennomføre konkurranser og lotterier, motta tilbakemeldinger, kjøpe annonser på den sosiale medietjenesten, måle rekkevidden til sider eller annonser eller yte kundeservice på fellesskapsnettsteder. Den behandlingsansvarlige behandler ikke informasjon utenfor sosiale medier, og informasjonen som deles av dem kombineres ikke med andre data eller registre tilhørende den behandlingsansvarlige uten brukerens samtykke.
Sosiale programtillegg er selskapets ansvar. De er primært ansvarlige for å overholde personvernlovgivningen og implementere datasikkerhet og den registrertes rettigheter på tjenesten. Du kan gjøre deg kjent med personvernreglene for sosiale medier og administrere personverninnstillingene deres på tjenestespesifikk basis:
Facebook og Instagram: https://facebook.com/privacy/explanation
TikTok: https://www.tiktok.com/legal/page/eea/privacy-policy
9. Prinsipper for registerbeskyttelse
Bare de personene som trenger informasjonen for å utføre sine arbeidsoppgaver har rett til å bruke informasjonen. Personell som behandler personopplysninger har fått opplæring og instruksjoner om databeskyttelse. Personell og underleverandører som behandler informasjonen er forpliktet til taushetsplikt. Informasjon om mistenkte lovbrudd holdes atskilt fra annen informasjon om den registrerte.
Personopplysninger lagres i låste lokaler som oppfyller personvernnivået og overvåkes av automatisk tilgangskontroll. Beskyttelsen av elektronisk lagrede data er basert på tilgangskontroll, brukeridentifikasjon, teknisk beskyttelse av databaser og servere, f.eks. brannmurer og annen sikkerhetsprogramvare, datakryptering, beskyttelse av datatrafikk, sikkerhetskopiering av data, innsamling av loggdata og overvåking av sikkerhetshendelser.
En beskrivelse av sikkerhetstiltakene som brukes på Shopifys e-handelsplattform finner du her: https://www.shopify.com/security
10. Oppbevaringsperioder for personopplysninger
| Datagruppe | Lagringstid |
| Informasjon samlet inn basert på samtykke | Så lenge samtykket gitt av den registrerte er gyldig. |
| Opptak av telefonsamtaler og eksterne møter | 12 måneder fra innspilling |
| Bruksdata for elektroniske tjenester samlet inn ved hjelp av informasjonskapsler | I samsvar med fristene som er oppgitt i forbindelse med samtykke til informasjonskapsler |
| Andre bruksdata for elektroniske tjenester | Maksimalt 5 år etter at kunde-, leverandør- eller annet forhold mellom den behandlingsansvarlige og selskapet er avsluttet, eller etter at den behandlingsansvarlige har blitt informert om at den registrerte ikke lenger er ansatt i selskapet. |
| Grunnleggende informasjon og markedsføringsinformasjon | Permanent, innenfor de grensene som er tillatt ved lov, med mindre den registrerte har forbudt behandlingen av dataene. |
| Anonymiserte data | Informasjon som ikke identifiserer en person kan lagres permanent. |
| Sikkerhetskopier | I samsvar med den behandlingsansvarliges normale oppbevarings- og slettingsplaner |
| Andre personopplysninger | Maksimalt 2 år etter at kunde-, leverandør- eller annet forhold mellom den behandlingsansvarlige og selskapet er avsluttet, eller etter at den behandlingsansvarlige har blitt informert om at den registrerte ikke lenger er ansatt i selskapet. |
Data kan oppbevares etter de ovennevnte oppbevaringsperiodene for å fastsette, gjøre gjeldende eller forsvare rettskrav, inntil kravene er endelig avgjort og i samsvar med kravene i gjeldende lov.
Den behandlingsansvarlige skal regelmessig vurdere behovet for å oppbevare personopplysninger, f.eks. identifikasjons- og autentiseringsdata og dokumenter, senest tre år etter forrige vurdering av behovet for oppbevaring. I tillegg skal den behandlingsansvarlige treffe rimelige tiltak for å sikre at ingen personopplysninger om de registrerte som er uforenlige med formålene med behandlingen, utdaterte eller uriktige, lagres i registeret.
11. Rettigheter for den registrerte
Den registrerte har rett til innsyn i opplysningene om seg selv som er lagret i personregisteret, og til å kreve retting eller sletting av uriktige, utdaterte, unødvendige eller ulovlige opplysninger.
Den registrerte har ikke rett til innsyn i opplysninger om mistenkte lovbrudd. Personvernombudet kan, på anmodning fra den registrerte, kontrollere lovligheten av behandlingen av disse opplysningene.
Den registrerte har rett til å si opp nyhetsbrevabonnementet og rett til å trekke tilbake et tidligere gitt samtykke til behandling av personopplysningene sine når som helst. Tilbaketrekking av samtykke påvirker ikke lovligheten av behandlingen som fant sted før tilbaketrekkingen av samtykket.
Den registrerte har rett til å forby bruk av deres data til direkte markedsføring, menings- og markedsundersøkelser, inkludert relatert profilering.
Når behandlingen av personopplysninger er basert på legitim interesse, har den registrerte rett til å protestere mot behandlingen av sine opplysninger av grunner knyttet til sin spesielle personlige situasjon. Den registrerte må spesifisere den spesielle situasjonen som innsigelsen er basert på i forespørselen.
Den registrerte kan kreve begrensning av behandlingen av sine personopplysninger, for eksempel at behandlingen helt eller delvis suspenderes, dersom den registrerte mener at det er usikkerhet om nøyaktigheten av opplysningene eller behandlingen av dem, inntil usikkerhetene knyttet til opplysningene er avklart og løst.
Dersom den registrerte har gitt sine personopplysninger til den behandlingsansvarlige, og behandlingen er basert på samtykke eller avtale, har vedkommende rett til å motta disse opplysningene i et strukturert, vanlig brukt og maskinlesbart format, og rett til å overføre opplysningene til en annen behandlingsansvarlig i samsvar med gjeldende lov.
Den registrerte kan utøve rettighetene ovenfor ved å sende forespørsler skriftlig eller via e-post til den behandlingsansvarlige (kontaktinformasjon finnes i begynnelsen av erklæringen). Om nødvendig kan den behandlingsansvarlige be den registrerte om å spesifisere forespørselen skriftlig og bevise sin identitet.
Den registrerte har rett til å klage på behandlingen av personopplysninger til Personvernombudet.