Personvernerklæring

1. Generell informasjon


1.1 Hva dekker denne personvernerklæringen? Denne personvernerklæring for Xlash ( “Personvernerklæringen”) regulerer behandlingen av personopplysninger som samles inn fra individuelle brukere (“deg” og “din”) via e-handelsnettstedet, https://xlash.com, og de relaterte domenene (samlet omtalt som “Xlash”). Denne personvernerklæringen dekker ikke andre nettsteder, applikasjoner eller programvare som integreres med Xlash eller andre tredjepartspro-dukter og -tjenester (for eksempel våre sosiale medietjenesteleverandører som er koblet til fra Xlash).





1.2 Hvem er behandlingsansvarlig? Xlash eies og drives av Beauty Generation AB, som har registrert forretningsadresse Oxenstiernsgatan 15A, 115 27 Stockholm, Sverige, og organisasjons-nummeret SE5591503270 (“vi,” “oss,” og “vår”).




1.3 Hvem er behandlingsansvarlig? Xlash eies og drives av Beauty Generation AB, som har registrert forretningsadresse Oxenstiernsgatan 15A, 115 27 Stockholm, Sverige, og organisasjons-nummeret SE5591503270 (“vi,” “oss,” og “vår”).
1.4 Barn. Xlash er ikke beregnet for bruk av personer under 18 år. Derfor samler vi ikke bevisst inn barns personopplysninger. Hvis du blir oppmerksom på at et barn har gitt oss sine perso-nopplysninger og du er en forelder eller verge for barnet, vennligst kontakt oss umiddelbart, så fjerner vi barnets personopplysninger fra systemene våre.
1.5 Varighet og oppsigelse. Denne personvernerklæringen trer i kraft på datoen som er angitt øverst i personvernerklæringen (“Sist oppdatert”) og forblir i kraft til den sies opp eller oppdate-res av oss.




1.6 Endringer. Vi forbeholder oss retten til å endre denne personvernerklæringen fra tid til annen. Det kan bli nødvendig på grunn av endringer i vår forretningspraksis, funksjonaliteten til Xlash, gjeldende lover, forskrifter og bransjestandarder. Den endrede versjonen av personvernerklæringen vil bli lagt ut på denne siden, og hvis vi har e-postadressen din vil vi sende deg et varsel om endringene som er foretatt av oss. Vi oppfordrer deg til å lese vår personvernerklæring jevnlig for å holde deg informert. For vesentlige vesentlige endringer i personvernreglene eller, der det kreves av gjeldende lov, kan vi be om ditt samtykke.



2. Hvilke data samler vi inn gjennom xlash?


2.1 Fra hvilke kilder får vi personopplysningene dine? Vi innhenter dine personopplysninger fra følgende kilder:
• Direkte fra deg: for eksempel hvis du sender inn dine personopplysninger når du kjøper noe fra oss eller kontakter oss;
• Direkte eller indirekte gjennom aktiviteten din på Xlash: når du bruker Xlash, samler vi automatisk inn teknisk informasjon om din bruk av Xlash; og
• Fra tredjeparter: Vi kan motta informasjon om deg fra tredjeparter som du tidligere har gitt dine personopplysninger til, hvis disse tredjepartene har et juridisk grunnlag for å utlevere dine personopplysninger til oss (for eksempel for betalingsbehandlingsformål).






2.2 Hvilke personopplysninger samler vi inn? Vi følger prinsippene for dataminimering. Dette betyr at vi kun samler inn en minimal mengde personopplysninger som er nødvendige for din bruk av Xlash. Vi bruker dine personopplysninger til begrensede, spesifiserte og legitime formål som er eksplisitt nevnt i denne personvernerklæringen. Generelt brukes dine personopplysninger med det formål å gi deg tilgang til Xlash, vedlikeholde og forbedre Xlash, behandle bestillingene dine, svare på dine henvendelser og vareta våre berettigede interesser. Vi bruker ikke personopp-ysningene dine på nytt. Dette betyr at vi ikke bruker det til andre formål enn formålene som personopplysningene dine ble innsamlet for. Nedenfor finner du en oversikt over hvilke typer personopplysninger vi samler inn, formålene vi bruker dem til, og det rettslige grunnlaget vi baserer oss på når vi behandler dem.





Bestillinger. Når du legger inn en bestilling, samler vi inn fornavn, etternavn, poststed, fylke, gateadresse, e-postadresse og telefonnummer. Vi bruker denne informasjonen til å sende deg transaksjonskvitteringer, levere bestillingene dine, kontakte deg hvis nødvendig og vedlikeholde forretningsregistrene våre. Det juridiske grunnlaget vi baserer oss på er å ‘utføre en kontrakt med deg’ og ’vareta vår berettigede interesse’ (dvs., å administrere Xlash). Vi lagrer disse dataene så lenge som påkrevd av gjeldende lov (minst 7 år) eller til du sletter brukerkontoen din, avhengig av hva som er senere.





Betalinger. Når du foretar en betaling, samler betalingsbehandlerne våre Klarna og PayPal inn dine personopplysninger, som fornavn, etternavn, fakturerings- og leveringsadresser og betalingsdetaljer (f.eks. kredittkort- eller PayPal-detaljer). Vær oppmerksom på at typene personopplysninger du må sende inn, avhenger av betalingsbehandleren du har valgt. Vi har ikke tilgang til dine fullstendige betalingsdata; bare en del av dine personopplysninger gjøres tilgjengelig for oss av betalingsbehandlerne. Betalingsdataene dine brukes til å behandle betalinger og vedlikeholde regnskapet vårt. Det juridiske grunnlaget vi baserer oss på er å ‘utføre våre kontraktsmessige forpliktelser’ og ‘vareta vår berettigede interesse’ (dvs., å administrere vårt firma). Vi lagrer slike data i den tidsperioden loven påkrever (minst 5 år).





Forespørsler. Når du kontakter oss via e-post, samler vi inn navn, e-postadresse og all informasjon du velger å oppgi i meldingen. Når du kontakter oss ved å bruke "Kontakt oss"-funksjonaliteten, samler vi inn fornavn, etternavn, e-postadresse, telefonnummer og all informasjon du velger å inkludere i meldingen. Når du kontakter oss som en bedrift gjennom "Kon-takt oss"-funksjonaliteten, samler vi inn e-postadressen din, virksomhetstype, bedriftsnavn, nettsted (valgfritt), MVA-nummer, mobiltelefonnummer, e-postadresse for fakturering, kjøpers navn, leveringsadresse, land , og all annen informasjon som du velger å gi oss i meldingen din. Vi bruker slike data for å svare på dine henvendelser og gi deg den forespurte informasjonen. Det juridiske grunnlaget vi baserer oss på er å ‘vareta vår berettigede interesse’ (dvs., å vedlike-holde og utvide Xlash) og ‘ditt samtykke’ (for valgfrie personopplysninger). Vi lagrer disse dataene til du slutter å kommunisere med oss.





• Informasjonskapsler (cookies). Når du surfer på Xlash, samler vi eller vår tredjeparts analysetjenesteleverandør (som forklart nedenfor) inn din plassering og informasjonskapselrelaterte data. Vi bruker slik informasjon til å analysere de tekniske aspektene ved din bruk av Xlash, forhindre svindel og misbruk, og vareta sikkerheten til Xlash. For mer informasjon om vår bruk av informasjonskapsler, se våre retningslinjer for informasjonskapsler. Det juridiske grunnlaget vi baserer oss på er å ‘vareta våre berettigede interesser’ (dvs., å analysere innholdet vårt og beskytte Xlash) og ‘ditt samtykke’. Vi lagrer disse dataene så lenge analytiske registreringer er nødvendige for våre aktiviteter, eller til du trekker tilbake samtykket ditt.





• Anmeldelser. Når du legger igjen en kundeanmeldelse om produktene du har kjøpt, samler vi inn navnet ditt og all informasjon du velger å oppgi i anmeldelsen din. Vi bruker disse data for å vise kundeanmeldelsen din på Xlash. Det juridiske grunnlaget vi baserer oss på er ‘ditt samtykke’. Vi lagrer disse dataene til du ber oss om å slette din anmeldelse.





2.2 Samler vi inn sensitive data? Vi samler ikke inn eller bruker noen spesielle kategorier av personopplysninger ("sensitive data") fra deg, med mindre du bestemmer deg for, etter eget skjønn, å gi slike data til oss. Sensitive data refererer til din helse, religiøse og politiske overbevisning, rasemessig opprinnelse, medlemskap i en profesjonell eller bransjeforening, eller seksuell legning.   





2.3 Hva skjer hvis du nekter å gi dine personopplysninger? Hvis du bestemmer deg for ikke å gi oss dine personopplysninger når vi ber om det, kan det hende vi ikke kan utføre den forespurte operasjonen (for eksempel behandle bestillingen din), og du kan kanskje ikke bruke den fulle funksjonaliteten til Xlash , motta den forespurte informasjonen eller motta vårt svar. Gi oss beskjed umiddelbart hvis du mener at personopplysningene vi samler inn er overdrevne eller ikke nødvendige for det tiltenkte formålet. 





2.4 Samler vi inn analysedata? Ja. Når du surfer på Xlash, samler vi inn eller har tilgang til visse tekniske analysedata som samles inn fra deg. Slike data inkluderer følgende informasjon:
• Din aktivitet på Xlash (besøkstidspunkt, besøkte sider, viste produkter, tid brukt på hver side, klikk, rulledybde, interaksjon med widgets)
• URL-addressen fra hvor du kobler deg til Xlash;
• Din nettleser og versjon;
• Ditt operativsystem;
• Din enhetsdetaljer;
• Informasjon om dine bestillinger;
• Din andre nettadferd; og
• Cookies-relaterte data, som forklart i våre retningslinjer for informasjonskapsler.





2.5 Til hvilke formål bruker vi analysedata? Vi bruker analysedataene dine til å analysere hva slags brukere som kobler seg til og bruker Xlash, måle engasjementet ditt med Xlash, se hvilke produkter som er interessante for deg, forbedre innholdet vårt, utvikle nye produkter og tjenester, og undersøke og forhindre sikkerhetsproblemer og misbruk. I de fleste tilfeller er slike analysedata ikke-personlige og gir oss ikke mulighet til å identifisere deg personlig. Noen slike data, som IP-adressen din, kan imidlertid betraktes som personopplysninger, og vi vil sørge for at vi har det nødvendige juridiske grunnlaget for å behandle slike data. Når vi behandler analysedataene dine som er personopplysninger, baserer vi oss på å ‘vareta våre berettigede interesser’ (dvs., å analysere og forbedre Xlash) og ‘ditt samtykke’.





2.6 Tar vi vare på vi tilbakemeldingen din? Hvis du kontakter oss, kan vi ta vare på en oversikt over eventuelle spørsmål, klager, anbefalinger eller komplimenter fra deg og vårt svar. Der det er mulig, vil vi avidentifisere dine personopplysninger (dvs. vi fjerner alle personopplysninger som ikke er nødvendige for å føre slik historikk)





2.7 Hva skjer hvis vi samler eller avidentifiserer dataene dine? I tilfelle dine ikke-personlige data er kombinert med visse elementer av dine personopplysninger på en måte som gjør at vi kan identifisere deg som individ, vil vi håndtere slike aggregerte data som personopplysninger. Hvis personopplysningene dine avidentifiseres på en måte at de ikke lenger kan assosieres med en identifisert eller identifiserbar fysisk person, vil de ikke anses som personopplysninger, og vi kan bruke dem til ethvert legitimt formål.





2.8 Når vil du motta vår kommersielle kommunikasjon? Vi sender deg vår kommersielle kommunikasjon bare hvis (i) du melder deg på vårt nyhetsbrev, (ii) abonnerer på et nyhetsbrev ved å gi oss e-postadressen din, eller (iii) kjøper noe fra oss og vi ønsker å informere deg om våre lignende produkter. I slike tilfeller vil du motta informasjon om våre nye produkter, funksjoner til Xlash og spesialtilbud. Det juridiske grunnlaget vi baserer oss på er ‘ditt samtykke’ eller å ‘vareta vår berettigede interesse’ (dvs., å utvikle Xlash). Du kan når som helst melde deg av å motta vår kommersielle kommunikasjon gratis ved å klikke på koblingen "avslutt abonnement" inkludert i nyhetsbrevene våre eller ved å kontakte oss direkte.





2.9 Når vil du motta våre transaksjonsmeldinger? Hvis vi har e-postadressen din, og det er nødvendig for å gjøre det, kan vi sende deg viktige informasjonsmeldinger, for eksempel ordreoppdateringer, betalingskvitteringer, fakturaer, fraktinformasjon og andre tekniske eller administrative e-poster. Vær oppmerksom på at slike meldinger sendes på "hvis nødvendig"-basis og de faller ikke innenfor rammen av kommersiell kommunikasjon som kan kreve ditt forhåndssamtykke. Du kan ikke velge bort tjenesterelaterte varsler.


3. Hvor lenge oppbevarer vi dine data?


3.1 Hvor lenge lagrer vi dine personopplysninger? Vi og våre databehandlere som nevnt i avsnitt 4 nedenfor, lagrer dine personopplysninger bare så lenge slike personopplysninger er nødvendige for formålene beskrevet i denne personvernerklæringen, eller til du ber oss om å oppdatere eller slette dine personopplysninger, avhengig av hva som kommer først. Etter at dine personopplysninger ikke lenger er nødvendige for deres formål, og vi ikke har annet juridisk grunnlag for å lagre dem, vil vi umiddelbart slette dine personopplysninger på en sikker måte fra systemene våre. Vi lagrer ingen personopplysninger lenger enn strengt nødvendig.




3.2 Hvor lenge lagrer vi dine ikke-personlige data? Vi beholder ikke-personlige data som gjelder deg så lenge det er nødvendig for formålene beskrevet i denne personvernerklæringen. Dette kan inkludere lagring av ikke-personlige data i den tidsperioden vi trenger for å undersøke våre forretningsaktiviteter, oppfylle våre kontraktsmessige forpliktelser, vareta våre berettigede interesser, gjennomføre revisjoner, overholde (og vise at vi overholder) juridiske forpliktelser, løse tvister og håndheve våre avtaler.




3.3 Når er vi lovpålagt å lagre dine personopplysninger? Når vi er forpliktet ved lov til å lagre dine personopplysninger i en viss tidsperiode (f.eks. for å føre regnskap og forretningsdokumenter), vil vi lagre dine personopplysninger i tidsperioden fastsatt av gjeldende lov (i de fleste tilfeller i 5 år) og deretter slette dine personopplysningene på en sikker måte så snart den lovpålagte oppbevaringsperioden utløper.



4. Når deler vi dine personlige data?


4.1 Når deler vi dine personlige data? Vi holder dine personopplysninger strengt konfidensielt. Men hvis det er nødvendig for det tiltenkte formålet med dine personopplysninger, deler vi dine personopplysninger til organisasjoner som leverer tjenester på våre vegne eller støtter oss i vår virksomhet (databehandlerne våre). Dine personopplysninger kan bli delt med organisasjoner som tilbyr tekniske støttetjenester til oss, for eksempel hosting, betalingsbehandling, frakt og e-postdistribusjonstjenester. Vi selger ikke dine personopplysninger til tredjeparter og har ikke til hensikt å gjøre det i fremtiden. Utlevering av dine personopplysninger er begrenset til situasjoner hvor det er nødvendig for følgende formål:




• Sikre forsvarlig drift av Xlash;




• Levere produktene dine;
• Behandle betalingene dine;
• Svare på dine henvendelser;
• Vareta våre berettigede interesser;
• Håndheve våre rettigheter, forhindre svindel og sikkerhetsformål;
• Gjennomføre av våre kontraktsmessige forpliktelser;
• Rettshåndhevelsesformål; eller




• Hvis du gir ditt forhåndssamtykke til en slik utlevering.





4.2 Hvem har tilgang til dine personopplysninger? Vi velger våre databehandlere med omhu og sørger for at de sikrer et tilstrekkelig nivå av beskyttelse av personopplysninger som er i sam-svar med denne personvernerklæringen og gjeldende personvernlover. Databehandlerne som vil ha tilgang til dine personopplysninger er:




• Vår hosting- og databasetjenesteleverandør GleSys lokalisert i Sverige;
• Våre nyhetsbrevtjenesteleverandører Klaviyo lokalisert i USA og Jojka lokalisert i Sverige;
• Vår utviklende tjenesteleverandør WooCommerce (Automatic) lokalisert i USA;
• Vår støttetjenesteleverandør ZenDesk lokalisert i USA;
• Vår leverandør av frakttjenester;
• Våre markedsføringstjenesteleverandører Facebook, Google, Pinterest, Snapchat og TikTok lokalisert i USA;
• Våre analytiske tjenesteleverandører Google Analytics og SEM Rush lokalisert i USA;
• Våre betalingstjenesteleverandører Klarna lokalisert i Sverige og PayPal lokalisert i USA;
• Vår logistikktjenesteleverandør E-logistik lokalisert i Sverige; or
• Våre uavhengige entreprenører og konsulenter.




4.3 Overfører vi dine personopplysninger utenfor EØS? Selv om vi er basert i Sverige, som tilhører det europeiske økonomiske samarbeidsområdet (EØS), er noen av våre databehandlere basert utenfor EØS eller landet hvor du bor. Derfor kan det hende vi må overføre dine personopplysninger utenfor landet ditt. I tilfelle det er nødvendig å foreta en slik overføring, vil vi sørge for at landet hvor vår databehandler befinner seg garanterer et tilstrekkelig beskyttelses-nivå for dine personopplysninger, eller vi inngår en avtale med det som sikrer slik beskyttelse (f.eks. databehandleravtale basert på forhåndsgodkjente standard kontraktsbestemmelser).





4.4 Utleverer vi dine ikke-personlige data? Dine ikke-personlige data kan bli utlevert til tred-jeparter for ethvert formål, da det ikke identifiserer deg personlig. For eksempel kan vi dele det med potensielle kunder eller partnere for forretnings- eller forskningsformål, for å forbedre Xlash, svare på lovlige forespørsler fra offentlige myndigheter eller utvikle nye produkter og tje-nester.





4.5 Hva skjer hvis vi mottar en rettslig forespørsel? Hvis en offentlig myndighet ber om det, vil vi avsløre informasjon om brukerne av Xlash i den grad det er nødvendig for å forfølge et mål av allmenn interesse, som nasjonal sikkerhet eller rettshåndhevelse.



5.Hvordan beskytter vi dine data?


5.1 Hvilke sikkerhetstiltak bruker vi? Vi bruker tekniske og organisatoriske informasjonssikkerhetstiltak som beskytter dine personopplysninger mot tap, misbruk, uautorisert tilgang og avsløring. Sikkerhetstiltakene som tas av oss inkluderer sikrede nettverk, sterke passord, skjulte URL-er, begrenset tilgang til dine personopplysninger av våre ansatte, anonymisering av personopplysninger (når mulig), regelmessige oppdateringer, sikkerhetsoppdateringer og nøye utvalgte databehandlere.




5.2 Hva skjer hvis det oppstår et sikkerhetsbrudd? Selv om vi gjør vårt beste for å beskytte dine personopplysninger, gitt naturen til kommunikasjons- og informasjonsbehandlingsteknologi og Internett, kan vi ikke være ansvarlige for noen ulovlig ødeleggelse, tap, bruk, kopiering, endring, lekkasje eller forfalskning av dine personopplysninger forårsaket av omstendigheter som er utenfor vår rimelige kontroll. I tilfelle et alvorlig brudd oppstår, vil vi iverksette rimelige tiltak for å redusere bruddet, som påkrevd av gjeldende lov. Vårt ansvar for ethvert sikkerhetsbrudd vil være begrenset i den grad det er tillatt av gjeldende lov.



6.Hvordan kan du få tilgang til, og administrere, dine data?


6.1 Hvilke rettigheter har du? Du har rett til å kontrollere hvordan vi behandler dine personopplysninger. Med forbehold om eventuelle lovmessige unntak, har du følgende rettigheter:




• Rett til innsyn: du kan få en kopi av dine personopplysninger som vi lagrer i våre sy-stemer og en liste over formål som dine personopplysninger behandles for;
• Rett til retting: du kan rette opp unøyaktige personopplysninger som vi har om deg;
• Rett til sletting (‘rett til å bli glemt’): du kan be oss om å slette dine personopplys-ninger fra systemene våre;
• Rett til begrensning: du kan be oss om å begrense behandlingen av dine personopplys-ninger;
• Rett til dataportabilitet: du kan be oss om å gi deg en kopi av dine personopplysninger i et strukturert, vanlig brukt og maskinlesbart format og overføre disse personopplysningene til en annen behandler;
• Rett til å protestere: du kan be oss om å slutte å behandle dine personopplysninger;
• Rett til å trekke tilbake samtykke: du har rett til å trekke tilbake samtykket ditt, hvis du har gitt et; eller
• Rett til å klage: du kan sende inn din klage angående vår behandling av dine perso-nopplysninger.




6.2 Hvordan utøve dine rettigheter? Hvis du ønsker å utøve noen av dine juridiske  rettigheter, vennligst kontakt oss ved å bruke kontaktinformasjonen vår som er tilgjengelig på slutten av personvernerklæringen og forklar henvendelsen din i detalj. For å bekrefte legitimiteten til forespørselen din, kan vi be deg om å gi oss identifiserende informasjon, slik at vi kan identifisere deg i systemet vårt. Vi vil svare på forespørselen din innen rimelig tid, og ikke senere enn 30 dager.




6.3 Sende en offisiell klage? Hvis du ønsker å sende en klage på måten vi håndterer dine personopplysninger på, ber vi deg om å kontakte oss først og uttrykke dine bekymringer. Etter at du har kontaktet oss, vil vi behandle klagen din og gi deg vårt svar så snart som mulig (senest 30 dager). Hvis du ikke er fornøyd med utfallet av klagen, har du rett til å sende inn en klage til din lokale databeskyttelsesmyndighet. I Norge er dette Datatilsynet. Mer informasjon finner du på https://www.datatilsynet.no.



7.Kontakt


Hvis du har spørsmål vedrørende denne personvernerklæringen, dine rettigheter eller vår personvernspraksis, vennligst kontakt oss ved å bruke følgende kontaktinformasjon:





Vårt kontaktskjema: https://xlash.zendesk.com/hc/en-gb/requests/new
Postadresse: Beauty Generation AB, Oxenstiernsgatan 15A, 115 27 Stockholm, Sverige