Hovedinnhold

Personvernerklæring

1. Hvem vi er

Denne personvernerklæringen beskriver hvordan Devold Retail behandler personopplysninger om deg når du besøker devold.com, legger inn en bestilling i nettbutikken vår, oppretter en kundekonto, melder deg på nyhetsbrevet vårt, kontakter kundeservice eller på annen måte er i kontakt med oss på nett.

Behandlingsansvarlig

Devold Retail AS Organisasjonsnummer 975 984 184 O.A. Devold-vegen 16, 6030 Langevåg, Norge Telefon: +47 70 19 77 00

Kontakt for personvernhenvendelser: post@devold.no

For spørsmål knyttet til bestillinger kan du også kontakte kundeservice på webshop@devold.no.

Konsernstruktur

Devold Retail er en del av Fenix Outdoor-konsernet. I den grad det er tillatt etter personvernlovgivningen, kan vi dele personopplysningene dine med andre konsernselskaper for formål som konsernovergripende kundebehandling, konsernovergripende markedsføringsanalyser og levering av fellestjenester. Vi vil oppdatere denne erklæringen dersom og når slike ordninger formaliseres som felles behandlingsansvar etter artikkel 26 i personvernforordningen.

2. Erklæringens virkeområde

Denne erklæringen gjelder for personopplysninger som vi behandler gjennom vår nettbaserte virksomhet på devold.com, herunder nettbutikken, kundekontoer, nyhetsbrev, kundeservicehenvendelser mottatt på nett og våre digitale markedsføringsaktiviteter.

Egne personvernerklæringer gjelder for behandling i våre fysiske butikker (herunder vår brandstore i Oslo og våre outlet-butikker i Langevåg, Valldal, Vestby, Stavanger, Hellesylt og Dyrkorn) og ved arrangementer, samt for behandling i forbindelse med ansettelsesforhold og søknader.

3. Hvilke personopplysninger vi behandler, hvorfor, og på hvilket rettslig grunnlag

3.1 Når du besøker devold.com

Hva vi behandler: teknisk informasjon om enheten og nettleseren din (IP-adresse, nettlesertype og -versjon, operativsystem, skjermstørrelse, språk), sider du har besøkt, navigasjonsmønster, henvisende URL og tidsstempler. Vi behandler også informasjonskapsel-identifikatorer og lignende sporingsteknologier — se punkt 4.

Hvorfor: for å drifte, sikre og stabilisere nettstedet; for å oppdage og forhindre misbruk; og (med ditt samtykke) for å måle rekkevidde, analysere besøksatferd, optimalisere innhold og tilpasse markedsføring.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav f i personvernforordningen (berettiget interesse) for teknisk drift og sikkerhet; artikkel 6 nr. 1 bokstav a (samtykke), gitt via informasjonskapsel-banneret, for analyse, markedsføringsmåling, annonsering og retargeting. Du kan når som helst trekke samtykket tilbake via «Innstillinger for informasjonskapsler» nederst på nettsiden.

Lagringstid: tekniske loggdata oppbevares i inntil 12 måneder. Analyse- og markedsføringsdata oppbevares som angitt i vår erklæring om informasjonskapsler.

3.2 Når du legger inn en bestilling i nettbutikken

Hva vi behandler: navn, leverings- og fakturaadresse, e-postadresse, telefonnummer, ordrespesifikasjoner, betalingsmiddel-identifikator (vi lagrer ikke fullstendige kortdata), ordrehistorikk, kommunikasjon knyttet til bestillingen, og IP-adressen som bestillingen er lagt inn fra.

Hvorfor: for å motta og oppfylle bestillingen din, herunder å behandle betaling, organisere levering, håndtere returer, reklamasjoner og garantikrav; for å kommunisere med deg om bestillingen; for å overholde lovpålagte forpliktelser etter bokførings-, skatte-, forbruker- og produktsikkerhetslovgivning; og for å oppdage og forhindre svindel.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav b (oppfyllelse av kjøpsavtale) for ordrebehandling; artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) for bokføring, skatteoppbevaring og forbrukerlovgivning; artikkel 6 nr. 1 bokstav f (berettiget interesse) for svindelkontroll.

Lagringstid: ordredata som ikke inngår i regnskapet oppbevares i inntil 3 år etter siste bestilling. Regnskapsmateriale oppbevares i fem år fra utløpet av det regnskapsåret bestillingen ble lagt inn (bokføringsloven § 13). Garantirelevant informasjon oppbevares i garantiperioden pluss gjeldende foreldelsesfrist for forbrukerkrav etter norsk rett.

3.3 Når du oppretter eller bruker en kundekonto

Hva vi behandler: e-postadresse, passord (lagret som «salted hash»; vi ser aldri passordet ditt i klartekst), navn, kontaktopplysninger, ordrehistorikk, kontoinnstillinger, returhistorikk og lagrede adresser.

Hvorfor: for å tilby og drifte kontoen din, herunder innlogging, passordtilbakestilling, ordrehistorikk og lagrede opplysninger; for å gi deg mulighet til å utøve dine rettigheter via selvbetjeningsverktøy der dette er tilgjengelig; og for å holde kontoen din sikker.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav b (oppfyllelse av kontoavtalen); artikkel 6 nr. 1 bokstav f (berettiget interesse i kontosikkerhet).

Lagringstid: kontodata oppbevares så lenge kontoen er aktiv. Dersom kontoen har vært inaktiv (ingen innlogginger og ingen bestillinger) i mer enn 24 måneder, kan vi stenge den etter forhåndsvarsel, og kontodataene vil bli slettet eller anonymisert, unntatt der lagring er pålagt etter lov.

3.4 Når du melder deg på nyhetsbrevet vårt

Hva vi behandler: e-postadresse; valgfritt navn, land og produktinteresser; samt din interaksjon med nyhetsbrevet (åpningsrate, klikk, klikketidspunkt, oppholdstid — innsamlet pseudonymt for å måle effekten).

Hvorfor: for å sende deg nyhetsbrevet vårt; for å tilpasse innholdet etter dine angitte preferanser og din interaksjon; og for å måle effekten av nyhetsbrevet.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav a (samtykke), gitt via dobbel opt-in; artikkel 6 nr. 1 bokstav f (berettiget interesse) for pseudonyme effektmålinger.

Tilbakekall: hvert nyhetsbrev inneholder en lenke for å melde seg av med ett klikk. Du kan også sende e-post til post@devold.no for å melde deg av.

Lagringstid: inntil du melder deg av; deretter flytter vi e-postadressen din til en suppression-liste for å unngå utilsiktet gjenpåmelding.

3.5 Når du kontakter kundeservice

Hva vi behandler: innholdet i meldingen din, navn og kontaktopplysninger, samt eventuell annen informasjon du velger å oppgi. Innkommende telefonnumre kan bli lagret automatisk i telefonsystemet vårt i en kort periode.

Hvorfor: for å besvare henvendelsen din; for å håndtere klager, returer og garantikrav; og for å forbedre kundeservicen.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav b for henvendelser knyttet til en bestilling; artikkel 6 nr. 1 bokstav f (berettiget interesse) for generelle henvendelser.

Lagringstid: korrespondanse med kundeservice oppbevares i inntil 3 år fra siste kommunikasjon. Telefonimetadata oppbevares i inntil 2 måneder.

3.6 Produktanmeldelser og konkurranser

Produktanmeldelser: dersom du legger igjen en produktanmeldelse, deler vi ordreinformasjonen din med Lipscore (vår anmeldelsesplattform) slik at Lipscore kan invitere deg til å anmelde kjøpet ditt. Anmeldelsen publiseres med det navnet eller pseudonymet du velger. Rettslig grunnlag: artikkel 6 nr. 1 bokstav f (berettiget interesse i å samle inn autentiske kundetilbakemeldinger). Du kan når som helst be om å få anmeldelsen slettet.

Konkurranser: vi gjennomfører konkurranser og giveaways, blant annet på våre sosiale mediekanaler (Facebook, Instagram). Når du deltar, behandler vi opplysningene du oppgir for å registrere deltakelsen, kontakte vinnere og sende premier. Rettslig grunnlag: artikkel 6 nr. 1 bokstav b (oppfyllelse av konkurransevilkårene) for deltakelse; artikkel 6 nr. 1 bokstav a (samtykke) for eventuell valgfri markedsføringskommunikasjon i forbindelse med deltakelsen. Når du deltar gjennom Meta-driftede plattformer, samler og behandler Meta Platforms Ireland Ltd. deltakerdata gjennom egne verktøy; vi opptrer da som felles behandlingsansvarlige med Meta etter artikkel 26 i personvernforordningen for data som samles inn i fellesskap i den sammenhengen.

4. Informasjonskapsler og lignende teknologier

Devold.com bruker informasjonskapsler, piksler, tags, lokal lagring og lignende teknologier. Noen er strengt nødvendige for at nettstedet skal fungere; andre krever ditt samtykke etter § 2-7b i ekomloven.

Informasjonskapsel-banneret vises ved ditt første besøk og ber om samtykke før ikke-nødvendige informasjonskapsler og sporere blir satt. Du kan når som helst endre preferansene dine via «Innstillinger for informasjonskapsler» nederst på nettsiden.

Fullstendige opplysninger om informasjonskapslene vi bruker finner du i vår separate erklæring om informasjonskapsler på [lenke settes inn].

5. Hvem vi deler opplysningene dine med

5.1 Våre databehandlere (tjenesteleverandører som handler på våre vegne)

Databehandlerne nedenfor handler på våre vegne og er kontraktsbundet til databehandleravtaler som oppfyller artikkel 28 i GDPR:

Netlify, Inc. — Frontend-hosting og content delivery network (CDN). Lokasjon: EU-basert primær edge med hovedkontor i USA. Netlify, Inc. er aktiv deltaker i EU-U.S. Data Privacy Framework (DPF) og UK Extension. Overføringer til USA skjer på grunnlag av DPF, supplert av EUs standardkontraktsklausuler.

New Black AB (EVA) — E-handelsplattform. Lokasjon: EU (Sverige). EVA er e-handelsplattformen som driver devold.com, levert av New Black AB.

Sanity — Innholdshåndteringssystem (CMS) og innholdsleveranse. Lokasjon: EU.

Algolia SAS (Paris, Frankrike) — Søk på nettsiden, merchandising av søkeresultater og produktanbefalinger (f.eks. "du vil kanskje også like", "ofte kjøpt sammen"). Lokasjon: EU (Frankfurt-cluster). Algolia SAS er den EU-baserte kontraktsparten; Algolia, Inc. (USA) leverer infrastruktur og support. Vi sender Algolia søkeord, klikk- og konverteringshendelser på søkeresultater og produktoversikter, en pseudonymisert brukeridentifikator og besøkerens IP-adresse (brukes av Algolia for ruting, misbruksbekjempelse og omtrentlig geolokalisering av resultater). Algolia opptrer som vår databehandler etter artikkel 28 i GDPR. Eventuell US-basert supporttilgang dekkes av Algolias databehandleravtale, EUs standardkontraktsklausuler (Beslutning (EU) 2021/914) og supplerende tiltak.

ITX — Kundeservice-ticketing. Lokasjon: EU.

Voyado AB — Drift av medlemsprogram og e-postmarkedsføring. Lokasjon: EU (Stockholm).

Adyen N.V. — Betalingsbehandling (kort og enkelte alternative betalingsmetoder). Lokasjon: EU (Amsterdam). Adyen håndterer fullstendige kortdata; Devold lagrer aldri fullstendige kortnumre.

Logistra AS — Frakt-integrasjonsplattform (transportør-ruting og generering av fraktetiketter). Lokasjon: EU (Norge). Sitter mellom Devolds ordresystem og de fysiske transportørene; ruter forsendelser og produserer fraktetiketter.

DHL — Frakt og levering. Lokasjon: EU/EØS (med videre overføring for internasjonale forsendelser).

Element Logic — Implementering og integrasjon av Autostore / EWMS lagerstyring. Lokasjon: EU (Norge).

Columbus Norway — Implementering og integrasjon av Microsoft Dynamics 365 / AX (ERP). Lokasjon: EU (Norge).

Lipscore AS — Plattform for produktanmeldelser. Lokasjon: EU (Norge).

Outtra — "Kjøp lokalt"-widget. Lokasjon: EU.

Google Ireland Ltd. (Google Analytics, Google Tag Manager, Google Ads) — Webanalyse, tag-styring, annonsering. Lokasjon: EU primært, med videre overføring til Google LLC (USA). Overføringer til USA skjer på grunnlag av EU-U.S. Data Privacy Framework (Google LLC er deltaker) og supplerende EU-standardkontraktsklausuler. Vi vil oppdatere denne erklæringen dersom Data Privacy Framework blir kjent ugyldig.

Meta Platforms Ireland Ltd. (Facebook-piksel, Instagram, Custom Audiences) — Annonsering, retargeting, målgruppematching. Lokasjon: EU primært, med videre overføring til Meta Platforms, Inc. (USA). Samme DPF + SCC-grunnlag som Google. Samtykkebasert.

5.2 Selvstendige behandlingsansvarlige vi deler data med

Disse mottakerne opptrer som selvstendige behandlingsansvarlige for dataene vi deler med dem — de bestemmer selv hvordan dataene behandles etter at de er mottatt:

  • Klarna Bank AB (Sverige) — hvis du velger å betale med Klarnas "Betal senere" eller andre Klarna-finansierte metoder, blir du videresendt til Klarnas miljø. Klarna behandler dataene dine som en separat behandlingsansvarlig i samsvar med Klarnas egen personvernerklæring. Vi deler ordrebeløp, valuta, e-postadressen din og en transaksjonsidentifikator med Klarna; Klarna avgjør deretter selv om kredittvurdering, svindelkontroll og kredittrapportering etter sine egne rettslige grunnlag (typisk artikkel 6 nr. 1 bokstav b og f i GDPR for Klarna).
  • Kortnettverk og kortutsteder — når du betaler med kort, mottar kortnettverkene (Visa, Mastercard mv.) og kortutstederen din transaksjonsdetaljer som er nødvendige for å autorisere og gjennomføre transaksjonen.
  • Sosiale medier-plattformer når du er i kontakt med oss gjennom dem — Meta (Facebook, Instagram), TikTok, YouTube og Pinterest opptrer hver som selvstendige behandlingsansvarlige (og i noen tilfeller felles behandlingsansvarlige med oss etter artikkel 26 i GDPR) for data som samles inn gjennom deres plattformer. Deres respektive personvernerklæringer gjelder for slik behandling.

5.3 Konsernselskaper

Vi er en del av Fenix Outdoor-konsernet. I den utstrekning personvernregelverket tillater det, kan vi dele personopplysningene dine med andre konsernselskaper for formål som konsernovergripende kunderelasjonsforvaltning, konsernmarkedsføringsanalyse, drift av medlemsprogrammet, og levering av delte tjenester (f.eks. logistikk, kundeservicestøtte). Der slik deling utgjør felles behandlingsansvar etter artikkel 26 i GDPR, kan en oppsummering av avtalen om felles behandlingsansvar og kontaktpunktet for utøvelse av dine rettigheter fås på forespørsel til post@devold.no.

5.4 Offentlige myndigheter og andre lovlige utleveringer

Vi kan utlevere personopplysningene dine til offentlige myndigheter (skattemyndigheter, domstoler, politi, tilsynsmyndigheter) når det er lovpålagt, som svar på en gyldig rettslig anmodning, eller når det er nødvendig for å etablere, utøve eller forsvare rettslige krav. Vi kan også utlevere data til våre profesjonelle rådgivere (advokater, revisorer, regnskapsførere) under egnede konfidensialitetsforpliktelser.

6. Internasjonale overføringer av personopplysninger

Vårt utgangspunkt er at personopplysninger behandles innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Noen av databehandlerne og mottakerne som er listet i avsnitt 5, er imidlertid etablert eller har morselskaper etablert i land utenfor EØS — særlig USA.

Når personopplysninger overføres ut av EØS, baserer vi oss på en av følgende rettslige mekanismer etter kapittel V i GDPR:

  • Beslutninger om tilstrekkelig beskyttelse (artikkel 45 i GDPR): for overføringer til land som EU-kommisjonen har fastslått at gir et tilstrekkelig beskyttelsesnivå. Den oppdaterte listen finnes her: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en. Særlig skjer overføringer til USA til organisasjoner som er sertifisert under EU-U.S. Data Privacy Framework (DPF) — som EU-kommisjonen 10. juli 2023 anerkjente som tilstrekkelig — der mottakerorganisasjonen er DPF-deltaker.
  • Egnede garantier (artikkel 46 i GDPR): der ingen beslutning om tilstrekkelig beskyttelse foreligger (eller i tillegg til den), baserer vi oss på EU-kommisjonens standardkontraktsklausuler (SCC) — Beslutning (EU) 2021/914 — sammen med supplerende tekniske, kontraktsmessige og organisatoriske tiltak som påkrevet etter Schrems II-dommen fra EU-domstolen (sak C-311/18).
  • Unntak (artikkel 49 i GDPR): under begrensede omstendigheter — for eksempel når en overføring er nødvendig for å oppfylle en avtale inngått i din interesse (artikkel 49 nr. 1 bokstav b) eller når du har gitt uttrykkelig samtykke til overføringen (artikkel 49 nr. 1 bokstav a).

Du kan be om en kopi av garantiene vi har på plass for en bestemt overføring ved å sende e-post til post@devold.no.

7. Dine rettigheter

Med forbehold om vilkårene og begrensningene i GDPR har du følgende rettigheter knyttet til personopplysningene dine:

  • Innsyn (artikkel 15 i GDPR) — å få bekreftet om vi behandler personopplysninger om deg, og i så fall få en kopi av disse opplysningene sammen med informasjon om hvordan vi behandler dem.
  • Retting (artikkel 16 i GDPR) — å få uriktige personopplysninger rettet og ufullstendige opplysninger fullført.
  • Sletting / "retten til å bli glemt" (artikkel 17 i GDPR) — å få personopplysningene dine slettet under bestemte omstendigheter (f.eks. når opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for, eller når du trekker tilbake samtykket og det ikke finnes annet rettslig grunnlag).
  • Begrensning av behandlingen (artikkel 18 i GDPR) — å få behandlingen begrenset under bestemte omstendigheter (f.eks. mens vi verifiserer riktigheten av omstridte opplysninger).
  • Dataportabilitet (artikkel 20 i GDPR) — å motta personopplysningene du har gitt oss, i et strukturert, vanlig brukt og maskinlesbart format, og å få dem overført til en annen behandlingsansvarlig der det er teknisk mulig.
  • Innsigelse (artikkel 21 i GDPR) — å gjøre innsigelse mot behandling som er basert på våre berettigede interesser (artikkel 6 nr. 1 bokstav f i GDPR), herunder profilering, av grunner knyttet til din spesielle situasjon. Du kan også når som helst gjøre innsigelse mot behandling av personopplysningene dine for direkte markedsføringsformål — det kreves ikke noen bestemte grunner for slik innsigelse, og vi vil stanse behandling for direkte markedsføring umiddelbart ved mottak av innsigelsen.
  • Trekke tilbake samtykke (artikkel 7 nr. 3 i GDPR) — å trekke tilbake et samtykke du har gitt oss når som helst. Tilbaketrekking påvirker ikke lovligheten av behandlingen som er gjort før tilbaketrekkingen.
  • Klage til en tilsynsmyndighet (artikkel 77 i GDPR) — se avsnitt 10 nedenfor for kontaktopplysninger til Datatilsynet.
  • Slippe å bli underlagt en avgjørelse basert utelukkende på automatisert behandling (artikkel 22 i GDPR) — herunder profilering — som har rettslige virkninger for deg eller på lignende måte vesentlig påvirker deg. Vi treffer for tiden ingen avgjørelser om deg basert utelukkende på automatisert behandling som har slike virkninger.

Hvordan utøve rettighetene dine: send e-post til post@devold.no med forespørselen din. Vi svarer innen en måned etter mottak (artikkel 12 nr. 3 i GDPR). Der forespørsler er komplekse eller mange, kan vi forlenge fristen med ytterligere to måneder, og vi vil i så fall varsle deg innen den første måneden med begrunnelse for forsinkelsen.

Vi kan måtte verifisere identiteten din før vi svarer, særlig der forespørselen er sensitiv eller der vi har rimelig tvil om hvem som fremmer forespørselen. Vi vil be om så lite identifikasjonsdata som mulig og forklare hvorfor.

Det er ingen avgift for å utøve rettighetene dine. Der en forespørsel åpenbart er ugrunnet eller overdreven — særlig på grunn av gjentakelse — kan vi imidlertid kreve et rimelig gebyr eller nekte å behandle forespørselen, jf. artikkel 12 nr. 5 i GDPR.

8. Sikkerhet

Vi gjennomfører egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot uautorisert tilgang, utilsiktet tap, endring eller utlevering. Tiltakene omfatter kryptering av data under overføring (TLS), kryptering av sensitive data ved lagring, tilgangskontroller basert på minste privilegium, logging og overvåking, sikkerhetsvurderinger av leverandører og opplæring av ansatte. Vi lagrer aldri fullstendige kortnumre — alle kortdata sendes direkte til og lagres hos vår PCI-DSS-sertifiserte betalingsleverandør, Adyen.

Ved et personopplysningsbrudd vil vi varsle tilsynsmyndigheten innen 72 timer der det er påkrevd etter artikkel 33 i GDPR, og vi vil varsle deg direkte når bruddet sannsynligvis medfører høy risiko for dine rettigheter og friheter (artikkel 34 i GDPR).

9. Barn

Devold.com er ikke rettet mot barn. Vi samler ikke bevisst inn personopplysninger fra barn, og minstealderen for å opprette en kundekonto eller bli medlem i medlemsprogrammet er 18 år. Kunder som ønsker å kjøpe Devolds barneprodukter på vegne av et barn, må gjøre det gjennom sin egen voksenkonto.

Hvis du tror vi har samlet inn personopplysninger fra et barn under 18 år, ta kontakt med oss på post@devold.no, så sletter vi disse opplysningene.

10. Tilsynsmyndighet og lokale markedsføringsregler

Tilsynsmyndighet: Datatilsynet, Postboks 458 Sentrum, 0105 Oslo. https://www.datatilsynet.no/ — Tlf. +47 22 39 69 00.

Markedsføring til eksisterende kunder (myk opt-in): § 15 i markedsføringsloven tillater elektronisk direkte markedsføring til eksisterende kunder for tilsvarende varer eller tjenester uten forhåndssamtykke, forutsatt at du ble gitt en klar og kostnadsfri mulighet til å reservere deg på tidspunktet kontaktopplysningene dine ble samlet inn, og at en reservasjonsmulighet tilbys i hver påfølgende melding.

Bokføring: fem år fra utgangen av regnskapsåret (bokføringsloven § 13).

11. Endringer i denne erklæringen

Vi kan oppdatere denne erklæringen fra tid til annen. Når vi gjør vesentlige endringer, vil vi:

  • publisere den oppdaterte erklæringen på devold.com med ny "Sist oppdatert"-dato;
  • der du har gitt oss kontaktopplysningene dine (f.eks. som kunde, nyhetsbrevabonnent eller medlem i programmet), varsle deg om endringen på forhånd der endringen sannsynligvis vil berøre deg vesentlig.