Personvernerklæring

1. Generell informasjon

1.1 Hva dekker denne personvernerklæringen?

Denne personvernerklæringen (“Personvernerklæringen”) regulerer behandlingen av personopplysninger som samles inn fra individuelle brukere (“du” og “din”) via e-handelsnettstedet https://xlash.com og de tilknyttede domenenavnene (samlet “Xlash”). Personvernerklæringen gjelder ikke for andre nettsteder, applikasjoner eller programvare som integreres med Xlash eller andre tredjepartsprodukter og -tjenester (for eksempel våre leverandører av sosiale medier som er lenket til Xlash).

1.2 Hvem er ansvarlig for personopplysningene?

Xlash eies og drives av Beauty Generation AB, Fiskargatan 8, 116 20 Stockholm, Sverige, organisasjonsnummer SE5591503270 (“vi”, “oss” og “vår”).

1.3 Mindreårige

Xlash er ikke ment for bruk av personer under 18 år. Derfor samler vi ikke bevisst inn personopplysninger fra barn. Hvis du blir klar over at et barn har gitt oss sine personopplysninger og du er forelder eller foresatt for barnet, vennligst kontakt oss umiddelbart, så vil vi slette barnets personopplysninger fra våre systemer.

1.4 Periode og oppsigelse

Denne personvernerklæringen trer i kraft på datoen som er angitt øverst i personvernerklæringen (“Sist oppdatert”) og forblir i kraft til den blir oppdatert eller sagt opp av oss.

1.5 Endringer

Vi forbeholder oss retten til å endre denne personvernerklæringen fra tid til annen. Dette kan være nødvendig for blant annet å etterleve gjeldende lover, forskrifter og bransjestandarder. Den oppdaterte versjonen av personvernerklæringen vil bli publisert på denne siden, og dersom vi har din e-postadresse, vil vi sende deg en melding om endringene som er gjort. Vi anbefaler at du leser personvernerklæringen jevnlig for å holde deg oppdatert. Ved vesentlige endringer kan vi be om ditt samtykke.

2. Hvilke opplysninger samler vi inn gjennom Xlash?

2.1 Fra hvilke kilder henter vi dine personopplysninger?

Vi henter dine personopplysninger fra følgende kilder:
• Direkte fra deg: for eksempel dersom du oppgir dine personopplysninger når du kjøper noe fra oss eller kontakter oss;
• Direkte eller indirekte gjennom din aktivitet på Xlash: når du bruker Xlash samler vi automatisk inn teknisk informasjon om din bruk av Xlash; og
• Fra tredjeparter: vi kan motta informasjon om deg fra tredjeparter som du tidligere har gitt dine personopplysninger til, dersom disse tredjepartene har et rettslig grunnlag for å utlevere dine personopplysninger til oss (for eksempel for betalingsformål).

2.2 Hvilke personopplysninger samler vi inn?

Vi følger prinsippet om dataminimering. Dette betyr at vi kun samler inn et minimum av personopplysninger som er nødvendige for din bruk av Xlash. Vi bruker dine personopplysninger til begrensede, spesifiserte og legitime formål som uttrykkelig er nevnt i denne personvernerklæringen. Generelt brukes dine personopplysninger for å gi deg tilgang til Xlash, vedlikeholde og forbedre Xlash, behandle dine bestillinger, svare på dine henvendelser og ivareta våre legitime interesser. Vi gjenbruker ikke dine personopplysninger. Dette betyr at vi ikke bruker opplysningene til andre formål enn de som dine personopplysninger ble gitt for. Nedenfor finner du en oversikt over hvilke typer personopplysninger vi samler inn, til hvilke formål vi bruker dem og de rettslige grunnlagene vi baserer oss på ved behandlingen.

• Bestillinger

Når du legger inn en bestilling, samler vi inn ditt fornavn, etternavn, by, region, adresse, e-postadresse og telefonnummer. Vi bruker denne informasjonen for å sende deg transaksjonskvitteringer, levere dine bestillinger, kontakte deg ved behov og for å opprettholde våre forretningsregistre. De rettslige grunnlagene vi baserer oss på er ‘å oppfylle en avtale med deg’ og ‘å ivareta våre legitime interesser’ (dvs. å levere Xlash). Vi vil lagre disse opplysningene så lenge det kreves i henhold til gjeldende lov (minst 7 år) eller til du sletter din brukerkonto, avhengig av hva som skjer sist.

• Betalinger

Når du foretar en betaling, samler våre betalingsleverandører Klarna og PayPal inn dine personopplysninger, som fornavn, etternavn, fakturerings- og leveringsadresser og betalingsopplysninger (for eksempel kredittkort- eller PayPal-informasjon). Vennligst merk at hvilke typer personopplysninger du må oppgi avhenger av hvilken betalingsleverandør du velger. Vi har ikke tilgang til dine fullstendige betalingsopplysninger; kun deler av dine personopplysninger gjøres tilgjengelig for oss av betalingsleverandørene. Dine betalingsopplysninger brukes for å behandle betalinger og for å utføre vår regnskapsføring. De rettslige grunnlagene vi baserer oss på er ‘å oppfylle våre kontraktsforpliktelser’ og ‘å ivareta våre legitime interesser’ (dvs. å drive vår virksomhet). Vi lagrer slike opplysninger i den perioden som er fastsatt i loven (minst 7 år).

• Henvendelser

Når du kontakter oss via e-post, samler vi inn ditt navn, din e-postadresse og all informasjon du velger å oppgi i meldingen din. Når du kontakter oss via funksjonen ‘Kontakt oss’, samler vi inn ditt fornavn, etternavn, e-postadresse, telefonnummer og all informasjon du velger å inkludere i meldingen din. Når du kontakter oss som et selskap via funksjonen ‘Kontakt oss’, samler vi inn din e-postadresse, selskapstype, selskapsnavn, nettside (valgfritt), organisasjonsnummer/MVA-nummer, telefonnummer, e-postadresse for fakturering, kjøperens navn, leveringsadresse, land og all annen informasjon du velger å oppgi i meldingen din. Vi bruker slike opplysninger for å svare på dine henvendelser og gi deg den etterspurte informasjonen. De rettslige grunnlagene vi baserer oss på er ‘å ivareta våre legitime interesser’ (dvs. å opprettholde og utvikle Xlash) og ‘ditt samtykke’ (for valgfrie personopplysninger). Vi vil lagre disse opplysningene til du slutter å kommunisere med oss.

• Cookies

Når du besøker Xlash, samler vi eller vår tredjepartsleverandør av analysetjenester (forklart nedenfor) inn din lokasjon og cookie-relaterte opplysninger. Vi bruker slik informasjon for å analysere de tekniske aspektene ved din bruk av Xlash, forhindre svindel og misbruk samt sikre Xlash. For mer informasjon om vår bruk av cookies, vennligst se vår cookiepolicy. De rettslige grunnlagene vi baserer oss på er ‘å ivareta våre legitime interesser’ (dvs. å analysere vårt innhold og beskytte Xlash) og ‘ditt samtykke’. Vi vil lagre disse opplysningene så lenge det er nødvendig for våre aktiviteter eller til du trekker tilbake ditt samtykke (hvis du har gitt det).

• Anmeldelser

Når du legger igjen en anmeldelse av produktene du har kjøpt, samler vi inn ditt navn og all informasjon du velger å inkludere i anmeldelsen din. Vi bruker disse opplysningene for å vise anmeldelsen din på Xlash. Det rettslige grunnlaget vi baserer oss på er ‘ditt samtykke’. Vi vil lagre disse opplysningene til du ber oss om å slette anmeldelsen din.

2.2 Samler vi inn sensitive opplysninger?

Vi samler ikke inn noen spesielle kategorier av personopplysninger (“sensitive opplysninger”) fra deg, med mindre du frivillig velger å gi oss slike opplysninger. Sensitive opplysninger refererer til din helse, religiøse og politiske overbevisning, etnisk opprinnelse, medlemskap i en fagforening/bransjeorganisasjon eller seksuell orientering.

2.3 Hva skjer hvis du nekter å oppgi dine personopplysninger?

Hvis du velger å ikke gi oss dine personopplysninger når vi ber om dem, kan det hende vi ikke kan gjennomføre visse forespurte prosesser (for eksempel behandle bestillingen din), og du kan ikke bruke alle funksjonene i Xlash, motta den forespurte informasjonen eller få svar fra oss. Vennligst gi oss beskjed umiddelbart dersom du mener at noen personopplysninger vi samler inn er overdrevne eller unødvendige for det tiltenkte formålet.

2.4 Samler vi inn analysedata?

Ja. Når du besøker Xlash, samler vi inn eller har tilgang til visse tekniske analysedata som samles inn fra deg. Slike opplysninger inkluderer følgende:
• Din aktivitet på Xlash (besøkstid, besøkte sider, viste produkter, tid på hver side, klikk, scrolldybde, interaksjon med widgets);
• URL-adresser du bruker for å få tilgang til Xlash;
• Din nettlesertype og -versjon;
• Ditt operativsystem;
• Informasjon om enheten din;
• Informasjon om dine bestillinger;
• Din generelle nettatferd; og
• Cookie-relaterte data, forklart i vår cookiepolicy.

2.5 Til hvilke formål bruker vi analysedata?

Vi bruker dine analysedata for å analysere hvilken type brukere som har tilgang til og bruker Xlash, måle ditt engasjement med Xlash, se hvilke produkter som er interessante for deg, forbedre vårt innhold, utvikle nye produkter og tjenester samt undersøke og forhindre sikkerhetsproblemer og misbruk. I de fleste tilfeller er slike analysedata ikke-personlige og gjør det ikke mulig for oss å identifisere deg som en fysisk person. Enkelte opplysninger, som din IP-adresse, kan imidlertid anses som personopplysninger, og vi vil sørge for at vi har nødvendig rettslig grunnlag for å behandle slike opplysninger. Når vi behandler analysedata som inneholder personopplysninger, baserer vi oss på ‘legitim interesse’ (for eksempel for å analysere og forbedre Xlash) og ‘ditt samtykke’.

2.6 Beholder vi din tilbakemelding?

Hvis du kontakter oss, kan vi registrere eventuelle spørsmål, svar, klager, anbefalinger eller komplimenter fra deg. Der det er mulig, vil vi anonymisere dine personopplysninger (dvs. fjerne alle personopplysninger som ikke er nødvendige for å opprettholde slike registre).

2.7 Hva skjer hvis vi kombinerer eller anonymiserer dine opplysninger?

Hvis dine ikke-personlige opplysninger kombineres med enkelte deler av dine personopplysninger på en måte som gjør at vi kan identifisere deg som individ, vil vi behandle slik kombinert informasjon som personopplysninger. Hvis dine personopplysninger anonymiseres på en slik måte at de ikke lenger kan knyttes til en identifisert eller identifiserbar fysisk person, vil de ikke anses som personopplysninger og kan derfor brukes til alle legitime formål.

2.8 Når mottar du vår kommersielle kommunikasjon?

Vi sender kun vår kommersielle kommunikasjon dersom (i) du melder deg på vårt nyhetsbrev, (ii) du abonnerer på et nyhetsbrev ved å gi oss din e-postadresse, eller (iii) du kjøper noe fra oss og vi ønsker å informere deg om våre lignende produkter. I slike tilfeller vil du motta informasjon om våre nye produkter, Xlash sine funksjoner og spesialtilbud. De rettslige grunnlagene vi baserer oss på er ‘ditt samtykke’ eller ‘våre legitime interesser’ (dvs. å fremme Xlash sin virksomhet og salg). Du kan når som helst melde deg av vår kommersielle kommunikasjon kostnadsfritt ved å klikke på “Avmeld”-lenken i våre nyhetsbrev, eller ved å kontakte oss direkte.

2.9 Når mottar du våre transaksjonsmeldinger?

Hvis vi har din e-postadresse og det er nødvendig, kan vi sende deg viktige informasjonsmeldinger, som oppdateringer om bestillinger, betalingskvitteringer, fakturaer, fraktinformasjon og andre tekniske eller administrative e-poster. Vennligst merk at slike meldinger sendes “ved behov” dersom de ikke faller inn under kommersiell kommunikasjon, som kan kreve ditt forhåndssamtykke. Du kan ikke melde deg av tjenesterelaterte meldinger.

2.10 Påminnelser om handlekurv

Hvis du har lagt produkter i handlekurven din, men ikke fullført kjøpet, kan vi sende deg en påminnelse via e-post for å gjøre handleopplevelsen enklere. Denne kommunikasjonen er basert på vår legitime interesse i å tilby deg en bedre kjøpsopplevelse. Du kan når som helst melde deg av disse påminnelsene via lenken i e-posten eller ved å kontakte oss.

2.11. Behandling av personopplysninger for SMS-kommunikasjon

2.11.1 Formål og rettslig grunnlag for behandling

Ved frivillig å oppgi ditt telefonnummer og samtykke til å motta SMS-kommunikasjon fra Xlash, samtykker du til at vi behandler dine personopplysninger for følgende formål:

Å sende transaksjonsmeldinger relatert til dine bestillinger (f.eks. ordrebekreftelser, leveringsoppdateringer).
Å sende markedsføringsmeldinger, inkludert kampanjer, påminnelser og eksklusive tilbud.

Det rettslige grunnlaget for å behandle dine personopplysninger for SMS-markedsføring er ditt uttrykkelige samtykke i henhold til artikkel 6(1)(a) i GDPR. For SMS-kommunikasjon som er nødvendig for å oppfylle en kjøpsavtale (f.eks. ordrepåminnelser), er behandlingen basert på kontraktsforpliktelser i henhold til artikkel 6(1)(b) i GDPR.

2.11.2 Innsamling og lagring av data

Vi samler inn og behandler personopplysninger for SMS-kommunikasjon i samsvar med gjeldende lovgivning. Dette kan inkludere telefonnummer og tilhørende informasjon samlet inn gjennom ulike kanaler, som:

Direkte registrering via vår nettside eller i kassen.
Kjøp eller interaksjon med våre tjenester.
Tidligere engasjement i våre markedsføringskanaler.

For SMS-markedsføring bruker vi kun telefonnumre hvor vi har verifisert samtykke. Vi lagrer SMS-relaterte opplysninger kun så lenge det er nødvendig for formålet de ble samlet inn for, eller til du trekker tilbake ditt samtykke. Hvis du trekker tilbake ditt samtykke, vil vi umiddelbart slutte å sende SMS og slette eller anonymisere dine opplysninger, med mindre vi er lovpålagt å oppbevare dem.

2.11.3 Tredjepartsleverandører og internasjonale dataoverføringer

Vi selger eller deler ikke ditt telefonnummer med tredjeparter for deres egne markedsføringsformål. Vi bruker imidlertid tredjepartsleverandører (f.eks. Klaviyo) for å administrere og sende SMS. Disse leverandørene fungerer som databehandlere i henhold til artikkel 28 i GDPR, og vi har inngått databehandleravtaler (DPA) med dem for å sikre at dine opplysninger behandles sikkert og i samsvar med gjeldende regelverk.

SMS-opt-in-data og samtykkestatus vil ikke bli delt med eksterne tredjeparter for formål som ikke er direkte relatert til våre tjenester.

Hvis SMS-data overføres utenfor Det europeiske økonomiske samarbeidsområdet (EØS), sikrer vi at slike overføringer er basert på:
Adekvansbeslutninger utstedt av Europakommisjonen (der det er relevant).
Standard kontraktsklausuler (SCC) godkjent av Europakommisjonen, supplert med ytterligere sikkerhetstiltak der det er nødvendig.

2.11.4 Dine rettigheter etter GDPR

Du har følgende rettigheter når det gjelder dine personopplysninger:

Rett til å trekke tilbake samtykke – Du kan når som helst melde deg av SMS-markedsføring ved å klikke på avmeldingslenken i SMS-meldingen eller ved å kontakte oss via vårt skjema her.
Rett til innsyn – Du kan be om en kopi av personopplysningene vi behandler om deg.
Rett til retting – Du har rett til å korrigere feilaktige eller ufullstendige opplysninger.
Rett til sletting (“retten til å bli glemt”) – Du kan be oss om å slette dine personopplysninger dersom det ikke foreligger en lovpålagt plikt til å beholde dem.
Rett til begrensning av behandling – Under visse forutsetninger kan du be om at vi begrenser behandlingen av dine opplysninger.
Rett til dataportabilitet – Når behandlingen er basert på samtykke eller avtale, kan du be om å få utlevert dine opplysninger i et maskinlesbart format.
Rett til å protestere – Du kan protestere mot behandlingen dersom den er basert på berettiget interesse.
Rett til å klage – Hvis du mener at vi behandler dine personopplysninger i strid med GDPR, har du rett til å klage til en tilsynsmyndighet.

2.11.5 Lokasjonsdata

Hvis vi bruker lokasjonsbaserte tjenester for SMS-kommunikasjon (f.eks. geografisk tilpassede tilbud eller lokale butikkpåminnelser), kan vi samle inn og behandle omtrentlig lokasjonsdata basert på:

IP-adressen som brukes når du interagerer med vår nettside eller SMS-meldinger.
Lokasjonsdata fra din mobiloperatør, dersom dette er aktuelt og du har samtykket til det.

Disse opplysningene behandles kun med ditt uttrykkelige samtykke, og du kan når som helst trekke tilbake samtykket via enhetsinnstillingene dine eller ved å kontakte oss. Vi deler ikke lokasjonsdata med tredjeparter for markedsføringsformål.

3. Hvor lenge lagrer vi dine opplysninger?

3.1 Hvor lenge lagrer vi dine personopplysninger?

Vi og våre databehandlere som er angitt i avsnitt 4 nedenfor, lagrer kun dine personopplysninger så lenge slike opplysninger er nødvendige for formålene beskrevet i denne personvernerklæringen, eller til du ber oss oppdatere eller slette dine personopplysninger, avhengig av hva som skjer først. For mer informasjon om lagringsperioden for hver type personopplysning, se avsnitt 2.2. Når dine personopplysninger ikke lenger er nødvendige for formålet og vi ikke har noe annet rettslig grunnlag for å lagre dem, vil vi umiddelbart slette dem fra våre systemer på en sikker måte. Vi lagrer ikke personopplysninger lenger enn det som er strengt nødvendig.

3.2 Hvor lenge lagrer vi dine anonyme data?

Vi beholder anonyme data (dvs. opplysninger som ikke anses som personopplysninger) knyttet til deg så lenge det er nødvendig for formålene beskrevet i denne personvernerklæringen. Dette kan inkludere lagring av ikke-personlige data i den perioden som er nødvendig for å administrere vår virksomhet, oppfylle våre kontraktsforpliktelser, ivareta våre legitime interesser, gjennomføre revisjoner, overholde (og dokumentere at vi overholder) juridiske krav samt løse eventuelle tvister.

3.3 Når er vi lovpålagt å lagre dine personopplysninger?

Når vi er lovpålagt å lagre dine personopplysninger i en bestemt periode (for eksempel for regnskap og forretningsregistre), vil vi lagre dine personopplysninger i den perioden som er fastsatt i gjeldende lov (i de fleste tilfeller 7 år) og slette dem på en sikker måte så snart den nødvendige lagringsperioden utløper.

4. Hvordan deler vi dine personopplysninger?

4.1 Når deler vi dine personopplysninger?

Vi holder dine personopplysninger konfidensielle. Men dersom det er nødvendig for det tiltenkte formålet med dine personopplysninger, vil vi utlevere dem til selskaper som leverer tjenester på våre vegne eller støtter vår virksomhet (våre databehandlere). Dine personopplysninger kan deles med selskaper som leverer tekniske støttetjenester, som hosting, betalingsbehandling, frakt- og e-postdistribusjonstjenester. Vi selger ikke dine personopplysninger til tredjeparter og har ingen planer om å gjøre det i fremtiden. Utlevering av dine personopplysninger er begrenset til situasjoner der det er nødvendig for følgende formål:
• Sikre at Xlash fungerer korrekt;
• Levere dine produkter;
• Behandle dine betalinger;
• Svare på dine henvendelser;
• Ivareta våre legitime interesser;
• Opprettholde våre rettigheter, forhindre svindel og av sikkerhetsmessige formål;
• Oppfylle våre kontraktsforpliktelser;
• For rettshåndhevelsesformål; eller
• Dersom du på forhånd har gitt ditt samtykke.

5. Hvordan beskytter vi dine opplysninger?

5.1 Hvilke sikkerhetstiltak benytter vi?

Vi implementerer tekniske og organisatoriske informasjonssikkerhetstiltak som beskytter dine personopplysninger mot tap, misbruk, uautorisert tilgang og utlevering. Sikkerhetstiltakene vi benytter inkluderer sikre nettverk, sterke passord, skjulte URL-adresser, begrenset tilgang til dine personopplysninger for vårt personale, anonymisering av personopplysninger (der det er mulig), regelmessige oppdateringer, sikkerhetsoppdateringer og nøye utvalgte databehandlere.

5.2 Hva skjer dersom et sikkerhetsbrudd oppstår?

Selv om vi gjør vårt beste for å beskytte dine personopplysninger, kan vi, gitt naturen til kommunikasjon og informasjonsbehandlingsteknologi og Internett, ikke holdes ansvarlige for ulovlig ødeleggelse, tap, bruk, kopiering, endring, utlevering eller forfalskning av dine personopplysninger som skyldes omstendigheter utenfor vår rimelige kontroll. Dersom et alvorlig sikkerhetsbrudd oppstår, vil vi iverksette rimelige tiltak for å begrense bruddet i samsvar med gjeldende lovgivning. Vårt ansvar for eventuelle sikkerhetsbrudd vil være begrenset i den utstrekning det er tillatt etter gjeldende lov.

6. Hvordan du får tilgang til og håndterer dine personopplysninger

6.1 Hvilke rettigheter har du?

Du har rett til å kontrollere hvordan vi behandler dine personopplysninger. Med forbehold om eventuelle unntak etter loven, har du følgende rettigheter:
• Rett til innsyn: du kan få en kopi av personopplysningene vi lagrer i våre systemer samt en liste over formålene som dine personopplysninger behandles for;
• Rett til retting: du kan korrigere feilaktige personopplysninger vi har om deg;
• Rett til sletting (“retten til å bli glemt”): du kan be oss om å slette dine personopplysninger fra våre systemer;
• Rett til begrensning: du kan be oss om å begrense behandlingen av dine personopplysninger;
• Rett til dataportabilitet: du kan be oss om å gi deg en kopi av dine personopplysninger i et strukturert, alminnelig brukt og maskinlesbart format og overføre disse til en annen behandlingsansvarlig;
• Rett til å protestere: du kan be oss om å slutte å behandle dine personopplysninger;
• Rett til å trekke tilbake samtykke: du har rett til å trekke tilbake ditt samtykke dersom du har gitt et slikt; eller
• Rett til å klage: du kan sende inn en klage angående vår behandling av dine personopplysninger.

6.2 Hvordan utøver du dine rettigheter?

Hvis du ønsker å utøve noen av dine rettigheter, vennligst kontakt oss ved å bruke kontaktopplysningene som finnes på slutten av personvernerklæringen, og forklar forespørselen din i detalj. For å verifisere legitimiteten til forespørselen din kan vi be deg om å gi oss identifiserende informasjon slik at vi kan identifisere deg i våre systemer. Vi vil svare på forespørselen din innen rimelig tid, maks 30 dager.

6.3 Sende inn en klage

Hvis du ønsker å sende inn en klage om hvordan vi håndterer dine personopplysninger, ber vi deg først kontakte oss for å forklare problemet ditt. Etter at du har kontaktet oss vil vi undersøke klagen og gi deg et svar så snart som mulig (innen 30 dager). Hvis du ikke er fornøyd med resultatet av klagen din, har du rett til å sende inn en klage til din lokale databeskyttelsesmyndighet. I Sverige er dette Integritetsskyddsmyndigheten. Mer informasjon finner du på https://www.imy.se

7. Kontakt

Hvis du har spørsmål om denne personvernerklæringen, dine rettigheter eller vår databeskyttelsespraksis, vennligst kontakt oss ved å bruke følgende kontaktopplysninger:

Vårt kontaktskjema: https://xlash.zendesk.com/hc/en-gb/requests/new

Postadresse: Beauty Generation AB, Fiskargatan 8, 116 20 Stockholm, Sverige