I. Navn og adresse til den behandlingsansvarlige
Den behandlingsansvarlige i henhold til personvernforordningen og andre nasjonale personvernlover i medlemsstatene samt øvrige personvernbestemmelser er:
Rafael Apélian
Yerka Kosmetik GmbH
Wielandstr. 26a
10707 Berlin
Telefon: +49 (0)30 881 38 76
Telefaks: +49 (0)30 881 74 37
E-post: info@yerka-kosmetik.de
II. Generelt om databehandling
1. Omfang av behandling av personopplysninger
Vi innhenter og bruker personopplysninger fra våre brukere kun i den grad det er nødvendig for å tilby en fungerende nettside samt vårt innhold og våre tjenester. Innhenting og bruk av personopplysninger fra våre brukere skjer som regel kun etter samtykke fra brukeren. Et unntak gjelder i tilfeller der det av praktiske årsaker ikke er mulig å innhente forhåndssamtykke, og behandlingen av dataene er tillatt i henhold til lovbestemmelser.
2. Rettsgrunnlag for behandling av personopplysninger
Når vi innhenter samtykke fra den registrerte for behandling av personopplysninger, er artikkel 6 nr. 1 bokstav a i EUs personvernforordning (GDPR) rettsgrunnlaget for behandlingen av personopplysninger.
Ved behandling av personopplysninger som er nødvendig for å oppfylle en kontrakt der den registrerte er part, er artikkel 6 nr. 1 bokstav b i GDPR rettsgrunnlaget. Dette gjelder også for behandling som er nødvendig for å gjennomføre førkontraktuelle tiltak.
Når behandling av personopplysninger er nødvendig for å oppfylle en juridisk forpliktelse som vårt selskap er underlagt, er artikkel 6 nr. 1 bokstav c i GDPR rettsgrunnlaget.
I tilfeller der vitale interesser til den registrerte eller en annen fysisk person gjør behandling av personopplysninger nødvendig, er artikkel 6 nr. 1 bokstav d i GDPR rettsgrunnlaget.
Dersom behandlingen er nødvendig for å ivareta en berettiget interesse for vårt selskap eller en tredjepart, og den registrertes interesser, grunnleggende rettigheter og friheter ikke veier tyngre enn denne interessen, er artikkel 6 nr. 1 bokstav f i GDPR rettsgrunnlaget for behandlingen.
3. Sletting av data og lagringsperiode
Personopplysningene til den registrerte slettes eller sperres så snart formålet med lagringen faller bort. Lagring kan også skje dersom dette er fastsatt av den europeiske eller nasjonale lovgiver i EU-rettslige forordninger, lover eller andre bestemmelser som den behandlingsansvarlige er underlagt. Sperring eller sletting av dataene skjer også når en lagringsperiode fastsatt i nevnte bestemmelser utløper, med mindre det er nødvendig å lagre dataene videre for inngåelse eller oppfyllelse av en kontrakt.
III. Tilgjengeliggjøring av nettstedet og opprettelse av loggfiler
1. Beskrivelse og omfang av databehandlingen
Ved hvert besøk på nettsiden vår registrerer systemet vårt automatisk data og informasjon fra datasystemet til den besøkende datamaskinen.
Følgende data innhentes:
- Informasjon om nettlesertype og versjon som brukes
- Brukerens operativsystem
- Brukerens internettleverandør
- Brukerens IP-adresse
- Dato og klokkeslett for tilgang
- Nettsteder som brukerens system kom til nettsiden vår fra
- Nettsteder som brukerens system besøker via nettsiden vår
2. Rettsgrunnlag for databehandlingen
Rettsgrunnlaget for midlertidig lagring av dataene og loggfilene er artikkel 6 nr. 1 bokstav f i GDPR.
3. Formål med databehandlingen
Midlertidig lagring av IP-adressen av systemet er nødvendig for å kunne levere nettsiden til brukerens datamaskin. For dette må brukerens IP-adresse lagres i løpet av økten.
Lagring i loggfiler skjer for å sikre funksjonaliteten til nettsiden. I tillegg bruker vi dataene til å optimalisere nettsiden og sikre sikkerheten til våre IT-systemer. Dataene brukes ikke til markedsføringsformål i denne sammenhengen.
I disse formålene ligger også vår berettigede interesse i databehandlingen i henhold til artikkel 6 nr. 1 bokstav f i GDPR.
4. Lagringsperiode
Dataene slettes så snart de ikke lenger er nødvendige for å oppnå formålet med innhentingen. Ved innhenting av data for tilgjengeliggjøring av nettsiden er dette tilfellet når den aktuelle økten er avsluttet.
Ved lagring av dataene i loggfiler er dette tilfellet etter senest syv dager. Ytterligere lagring er mulig. I så fall slettes eller anonymiseres brukerens IP-adresser, slik at det ikke lenger er mulig å knytte dem til den besøkende klienten.
5. Mulighet for innsigelse og fjerning
Innhenting av dataene for tilgjengeliggjøring av nettsiden og lagring av dataene i loggfiler er strengt nødvendig for driften av nettsiden. Brukeren har derfor ingen mulighet til å protestere.
IV. Bruk av informasjonskapsler
1. Beskrivelse og omfang av databehandlingen
Nettsiden vår bruker informasjonskapsler. Informasjonskapsler er tekstfiler som lagres i nettleseren eller av nettleseren på brukerens datasystem. Når en bruker besøker et nettsted, kan en informasjonskapsel lagres på brukerens operativsystem. Denne informasjonskapselen inneholder en karakteristisk tegnstreng som gjør det mulig å identifisere nettleseren entydig ved senere besøk på nettsiden.
Vi bruker informasjonskapsler for å gjøre nettsiden vår mer brukervennlig. Noen elementer på nettsiden vår krever at den besøkende nettleseren kan identifiseres også etter et sidebytte.
Følgende data lagres og overføres i informasjonskapslene:
- Språkinnstillinger
- Nettleser
- Påloggingsinformasjon
- Vi bruker også informasjonskapsler på nettsiden vår som gjør det mulig å analysere brukernes surfeatferd.
På denne måten kan følgende data overføres:
- Inntastede søkeord
- Hyppighet av sidevisninger
- Bruk av nettstedsfunksjoner
Brukerdataene som innhentes på denne måten pseudonymiseres gjennom tekniske tiltak. Derfor er det ikke lenger mulig å knytte dataene til den besøkende brukeren. Dataene lagres ikke sammen med andre personopplysninger om brukerne.
Ved besøk på nettsiden vår informeres brukerne gjennom et infobanner om bruken av informasjonskapsler til analyseformål og henvises til denne personvernerklæringen. I denne sammenhengen gis det også informasjon om hvordan lagring av informasjonskapsler kan forhindres i nettleserinnstillingene.
Ved besøk på nettsiden vår informeres brukeren om bruken av informasjonskapsler til analyseformål.
2. Rettsgrunnlag for databehandlingen
Rettsgrunnlaget for behandling av personopplysninger ved bruk av informasjonskapsler er artikkel 6 nr. 1 bokstav f i GDPR.
3. Formål med databehandlingen
Formålet med å bruke teknisk nødvendige informasjonskapsler er å forenkle bruken av nettsteder for brukerne. Noen funksjoner på nettsiden vår kan ikke tilbys uten bruk av informasjonskapsler. For disse er det nødvendig at nettleseren gjenkjennes også etter et sidebytte.
Brukerdataene som innhentes gjennom teknisk nødvendige informasjonskapsler brukes ikke til å opprette brukerprofiler.
Bruken av analyseinformasjonskapsler skjer for å forbedre kvaliteten på nettsiden vår og innholdet. Gjennom analyseinformasjonskapslene får vi vite hvordan nettsiden brukes, og kan dermed optimalisere tilbudet vårt kontinuerlig.
I disse formålene ligger også vår berettigede interesse i behandlingen av personopplysningene i henhold til artikkel 6 nr. 1 bokstav f i GDPR.
4. Lagringsperiode, mulighet for innsigelse og fjerning
Informasjonskapsler lagres på brukerens datamaskin og overføres derfra til nettsiden vår. Derfor har du som bruker full kontroll over bruken av informasjonskapsler. Ved å endre innstillingene i nettleseren din kan du deaktivere eller begrense overføringen av informasjonskapsler. Allerede lagrede informasjonskapsler kan slettes når som helst. Dette kan også skje automatisk. Hvis informasjonskapsler deaktiveres for nettsiden vår, kan det hende at ikke alle funksjonene på nettsiden kan brukes fullt ut.
V. Kontaktskjema og e-postkontakt
1. Beskrivelse og omfang av databehandlingen
På nettsiden vår finnes det et kontaktskjema som kan brukes til elektronisk kontakt. Hvis en bruker benytter seg av denne muligheten, overføres og lagres dataene som er lagt inn i inntastingsfeltet hos oss.
Ved tidspunktet for sending av meldingen lagres også følgende data:
- Brukerens IP-adresse
- Dato og klokkeslett for registrering
For behandlingen av dataene innhentes ditt samtykke i forbindelse med sendingsprosessen, og det henvises til denne personvernerklæringen.
Alternativt er det mulig å ta kontakt via den oppgitte e-postadressen. I så fall lagres brukerens personopplysninger som overføres med e-posten.
Dataene videreformidles ikke til tredjeparter i denne sammenhengen. Dataene brukes utelukkende til behandling av samtalen.
2. Rettsgrunnlag for databehandlingen
Rettsgrunnlaget for behandling av dataene er artikkel 6 nr. 1 bokstav a i GDPR når brukeren har gitt samtykke.
Rettsgrunnlaget for behandling av dataene som overføres ved sending av en e-post er artikkel 6 nr. 1 bokstav f i GDPR. Hvis e-postkontakten har som mål å inngå en kontrakt, er artikkel 6 nr. 1 bokstav b i GDPR et ytterligere rettsgrunnlag for behandlingen.
3. Formål med databehandlingen
Behandlingen av personopplysningene fra inntastingsfeltet brukes kun til å behandle henvendelsen. Ved kontakt via e-post ligger også den nødvendige berettigede interessen i behandlingen av dataene.
De øvrige personopplysningene som behandles under sendingsprosessen brukes til å forhindre misbruk av kontaktskjemaet og sikre sikkerheten til våre IT-systemer.
4. Lagringsperiode
Dataene slettes så snart de ikke lenger er nødvendige for å oppnå formålet med innhentingen. For personopplysningene fra inntastingsfeltet i kontaktskjemaet og de som ble sendt via e-post, er dette tilfellet når den aktuelle samtalen med brukeren er avsluttet. Samtalen er avsluttet når det av omstendighetene fremgår at saken er endelig avklart.
De ytterligere personopplysningene som innhentes under sendingsprosessen slettes senest etter en frist på syv dager.
5. Mulighet for innsigelse og fjerning
Brukeren har når som helst mulighet til å trekke tilbake samtykket til behandling av personopplysningene. Hvis brukeren tar kontakt med oss via e-post, kan vedkommende når som helst protestere mot lagringen av personopplysningene. I et slikt tilfelle kan samtalen ikke fortsette.
Alle personopplysninger som ble lagret i forbindelse med henvendelsen slettes i så fall.
VI. Innbygging av tjenester og innhold fra tredjeparter
Vi bruker innholds- eller tjenestetilbud fra tredjeparter i vårt nettbaserte tilbud basert på våre berettigede interesser (dvs. interesse i analyse, optimalisering og økonomisk drift av vårt nettbaserte tilbud i henhold til artikkel 6 nr. 1 bokstav f i GDPR) for å bygge inn deres innhold og tjenester, som f.eks. videoer eller skrifttyper (heretter samlet omtalt som «innhold»). Dette forutsetter alltid at tredjepartsleverandørene av dette innholdet registrerer brukernes IP-adresse, siden de uten IP-adressen ikke kan sende innholdet til nettleseren deres. IP-adressen er derfor nødvendig for visningen av dette innholdet. Vi bestreber oss på kun å bruke innhold der de respektive leverandørene kun bruker IP-adressen til å levere innholdet. Tredjeparter kan også bruke såkalte pikselkoder (usynlig grafikk, også kalt «web beacons») til statistiske eller markedsføringsformål. Gjennom «pikselkodene» kan informasjon som besøkstrafikken på sidene på dette nettstedet evalueres. Den pseudonyme informasjonen kan også lagres i informasjonskapsler på brukerens enhet og kan blant annet inneholde teknisk informasjon om nettleseren og operativsystemet, henvisende nettsteder, besøkstid samt andre opplysninger om bruken av vårt nettbaserte tilbud, og kan også kobles til slik informasjon fra andre kilder.
Følgende oversikt gir en oversikt over tredjepartsleverandører samt deres innhold, sammen med lenker til deres personvernerklæringer, som inneholder ytterligere informasjon om behandlingen av data:
Denne siden bruker såkalte webfonter levert av Google for enhetlig visning av skrifttyper. Når du besøker en side, laster nettleseren din de nødvendige webfontene inn i nettleserens hurtigbuffer for å vise tekster og skrifttyper korrekt. For dette formålet må nettleseren du bruker koble til Googles servere. Dette gir Google kunnskap om at nettsiden vår ble besøkt via din IP-adresse. Bruken av Google Web Fonts skjer i interesse av en enhetlig og tiltalende presentasjon av våre nettbaserte tilbud. Dette utgjør en berettiget interesse i henhold til artikkel 6 nr. 1 bokstav f i GDPR. Hvis nettleseren din ikke støtter webfonter, brukes en standardskrift fra datamaskinen din. Mer informasjon om Google Web Fonts finner du på https://developers.google.com/fonts/faq og i Googles personvernerklæring: https://www.google.com/policies/privacy/.
VII. Rettigheter for den registrerte
Når personopplysninger om deg behandles, er du registrert i henhold til GDPR, og du har følgende rettigheter overfor den behandlingsansvarlige:
1. Rett til innsyn
Du kan be den behandlingsansvarlige om bekreftelse på om personopplysninger som gjelder deg behandles av oss.
Hvis slik behandling finner sted, kan du be den behandlingsansvarlige om informasjon om følgende:
(1) formålene som personopplysningene behandles til;
(2) kategoriene av personopplysninger som behandles;
(3) mottakerne eller kategoriene av mottakere som personopplysningene om deg er eller vil bli utlevert til;
(4) den planlagte varigheten for lagringen av personopplysningene om deg, eller hvis konkrete opplysninger om dette ikke er mulig, kriterier for fastsettelse av lagringsperioden;
(5) eksistensen av en rett til retting eller sletting av personopplysningene om deg, en rett til begrensning av behandlingen av den behandlingsansvarlige eller en rett til å protestere mot denne behandlingen;
(6) eksistensen av en klagerett til et tilsynsorgan;
(7) all tilgjengelig informasjon om opprinnelsen til dataene hvis personopplysningene ikke innhentes fra den registrerte;
(8) eksistensen av automatisert beslutningstaking inkludert profilering i henhold til artikkel 22 nr. 1 og 4 i GDPR, og – i hvert fall i disse tilfellene – meningsfull informasjon om logikken som er involvert, samt rekkevidden og de tilsiktede konsekvensene av slik behandling for den registrerte.
Du har rett til å be om informasjon om hvorvidt personopplysningene om deg overføres til et tredjeland eller en internasjonal organisasjon. I denne sammenhengen kan du be om å bli informert om de egnede garantiene i henhold til artikkel 46 i GDPR i forbindelse med overføringen.
2. Rett til retting
Du har rett til retting og/eller fullføring overfor den behandlingsansvarlige dersom de behandlede personopplysningene om deg er uriktige eller ufullstendige. Den behandlingsansvarlige skal foreta rettingen umiddelbart.
3. Rett til begrensning av behandlingen
Under følgende forutsetninger kan du be om begrensning av behandlingen av personopplysningene om deg:
(1) hvis du bestrider riktigheten av personopplysningene om deg i en periode som gjør det mulig for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene;
(2) behandlingen er ulovlig, og du motsetter deg sletting av personopplysningene og i stedet ber om begrensning av bruken av personopplysningene;
(3) den behandlingsansvarlige ikke lenger trenger personopplysningene til formålene med behandlingen, men du trenger dem for å hevde, utøve eller forsvare rettskrav, eller
(4) hvis du har protestert mot behandlingen i henhold til artikkel 21 nr. 1 i GDPR, og det ennå ikke er fastslått om den behandlingsansvarliges berettigede grunner veier tyngre enn dine grunner.
Hvis behandlingen av personopplysningene om deg er begrenset, kan disse dataene – bortsett fra lagringen – kun behandles med ditt samtykke eller for å hevde, utøve eller forsvare rettskrav eller for å beskytte rettighetene til en annen fysisk eller juridisk person eller av hensyn til en viktig offentlig interesse for Unionen eller en medlemsstat.
Hvis begrensningen av behandlingen er begrenset i henhold til de ovennevnte forutsetningene, vil du bli informert av den behandlingsansvarlige før begrensningen oppheves.
4. Rett til sletting
a) Slettingsplikt
Du kan be den behandlingsansvarlige om at personopplysningene om deg slettes umiddelbart, og den behandlingsansvarlige er forpliktet til å slette disse dataene umiddelbart dersom en av følgende grunner gjelder:
(1) Personopplysningene om deg er ikke lenger nødvendige for formålene de ble innhentet eller på annen måte behandlet for.
(2) Du trekker tilbake samtykket som behandlingen er basert på i henhold til artikkel 6 nr. 1 bokstav a eller artikkel 9 nr. 2 bokstav a i GDPR, og det mangler et annet rettsgrunnlag for behandlingen.
(3) Du protesterer mot behandlingen i henhold til artikkel 21 nr. 1 i GDPR, og det foreligger ingen overordnede berettigede grunner for behandlingen, eller du protesterer mot behandlingen i henhold til artikkel 21 nr. 2 i GDPR.
(4) Personopplysningene om deg er behandlet ulovlig.
(5) Sletting av personopplysningene om deg er nødvendig for å oppfylle en juridisk forpliktelse i henhold til unionsretten eller medlemsstatenes rett som den behandlingsansvarlige er underlagt.
(6) Personopplysningene om deg er innhentet i forbindelse med tilbud om informasjonssamfunnstjenester i henhold til artikkel 8 nr. 1 i GDPR.
b) Informasjon til tredjeparter
Hvis den behandlingsansvarlige har offentliggjort personopplysningene om deg og er forpliktet til å slette dem i henhold til artikkel 17 nr. 1 i GDPR, skal vedkommende, under hensyntagen til tilgjengelig teknologi og implementeringskostnader, treffe rimelige tiltak, også av teknisk art, for å informere behandlingsansvarlige som behandler personopplysningene om at du som registrert har bedt dem om å slette alle lenker til disse personopplysningene eller kopier eller replikasjoner av disse personopplysningene.
c) Unntak
Retten til sletting gjelder ikke i den grad behandlingen er nødvendig
(1) for å utøve retten til ytringsfrihet og informasjon;
(2) for å oppfylle en juridisk forpliktelse som krever behandling i henhold til unionsretten eller medlemsstatenes rett som den behandlingsansvarlige er underlagt, eller for å utføre en oppgave i allmennhetens interesse eller i utøvelsen av offentlig myndighet som er tildelt den behandlingsansvarlige;
(3) av hensyn til allmennhetens interesse innen folkehelse i henhold til artikkel 9 nr. 2 bokstav h og i samt artikkel 9 nr. 3 i GDPR;
(4) for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål i henhold til artikkel 89 nr. 1 i GDPR, i den grad retten nevnt under avsnitt a) sannsynligvis gjør det umulig å oppnå målene med denne behandlingen eller alvorlig svekker dem, eller
(5) for å hevde, utøve eller forsvare rettskrav.
5. Rett til informasjon
Hvis du har gjort gjeldende retten til retting, sletting eller begrensning av behandlingen overfor den behandlingsansvarlige, er vedkommende forpliktet til å informere alle mottakere som personopplysningene om deg er utlevert til om denne rettingen eller slettingen av dataene eller begrensningen av behandlingen, med mindre dette viser seg å være umulig eller innebærer en uforholdsmessig innsats.
Du har rett overfor den behandlingsansvarlige til å bli informert om disse mottakerne.
6. Rett til dataportabilitet
Du har rett til å motta personopplysningene om deg som du har gitt til den behandlingsansvarlige i et strukturert, alminnelig brukt og maskinlesbart format. I tillegg har du rett til å overføre disse dataene til en annen behandlingsansvarlig uten hindring fra den behandlingsansvarlige som personopplysningene ble gitt til, forutsatt at
(1) behandlingen er basert på et samtykke i henhold til artikkel 6 nr. 1 bokstav a i GDPR eller artikkel 9 nr. 2 bokstav a i GDPR eller på en kontrakt i henhold til artikkel 6 nr. 1 bokstav b i GDPR, og
(2) behandlingen skjer ved hjelp av automatiserte prosesser.
Ved utøvelsen av denne retten har du videre rett til å få personopplysningene om deg overført direkte fra en behandlingsansvarlig til en annen behandlingsansvarlig, i den grad dette er teknisk mulig. Andres friheter og rettigheter må ikke påvirkes av dette.
Retten til dataportabilitet gjelder ikke for behandling av personopplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse eller i utøvelsen av offentlig myndighet som er tildelt den behandlingsansvarlige.
7. Rett til innsigelse
Du har rett til, av grunner som følger av din spesielle situasjon, når som helst å protestere mot behandlingen av personopplysningene om deg som skjer på grunnlag av artikkel 6 nr. 1 bokstav e eller f i GDPR; dette gjelder også for profilering basert på disse bestemmelsene.
Den behandlingsansvarlige skal ikke lenger behandle personopplysningene om deg med mindre vedkommende kan påvise tvingende berettigede grunner for behandlingen som veier tyngre enn dine interesser, rettigheter og friheter, eller behandlingen tjener til å hevde, utøve eller forsvare rettskrav.
Hvis personopplysningene om deg behandles for å drive direkte markedsføring, har du rett til når som helst å protestere mot behandlingen av personopplysningene om deg til formål med slik markedsføring; dette gjelder også for profilering i den grad det er knyttet til slik direkte markedsføring.
Hvis du protesterer mot behandlingen til formål med direkte markedsføring, vil personopplysningene om deg ikke lenger behandles til disse formålene.
Du har mulighet til, i forbindelse med bruken av informasjonssamfunnstjenester – uavhengig av direktiv 2002/58/EF – å utøve din rett til innsigelse ved hjelp av automatiserte prosesser der tekniske spesifikasjoner brukes.
8. Rett til tilbakekalling av personvernsamtykke
Du har rett til å tilbakekalle ditt personvernsamtykke når som helst. Tilbakekallingen av samtykket påvirker ikke lovligheten av behandlingen som er utført på grunnlag av samtykket frem til tilbakekallingen.
9. Automatiserte enkeltavgjørelser, inkludert profilering
Du har rett til ikke å bli underlagt en avgjørelse som utelukkende er basert på automatisert behandling – inkludert profilering – og som har rettsvirkning for deg eller på tilsvarende måte i betydelig grad påvirker deg. Dette gjelder ikke dersom avgjørelsen
(1) er nødvendig for å inngå eller oppfylle en avtale mellom deg og den behandlingsansvarlige,
(2) er tillatt i henhold til unionsretten eller medlemsstatenes lovgivning som den behandlingsansvarlige er underlagt, og denne lovgivningen inneholder egnede tiltak for å ivareta dine rettigheter og friheter samt dine berettigede interesser, eller
(3) skjer med ditt uttrykkelige samtykke.
Slike avgjørelser kan imidlertid ikke være basert på særlige kategorier av personopplysninger etter art. 9 nr. 1 i GDPR, med mindre art. 9 nr. 2 bokstav a eller g får anvendelse og det er truffet egnede tiltak for å beskytte rettighetene og frihetene samt dine berettigede interesser.
For tilfellene nevnt i (1) og (3) skal den behandlingsansvarlige treffe egnede tiltak for å ivareta rettighetene og frihetene samt dine berettigede interesser, herunder minst retten til å få en person hos den behandlingsansvarlige til å gripe inn, til å gi uttrykk for ditt synspunkt og til å bestride avgjørelsen.
10. Rett til å klage til en tilsynsmyndighet
Uten at det berører andre administrative eller rettslige klagemuligheter, har du rett til å klage til en tilsynsmyndighet, særlig i medlemsstaten der du har ditt vanlige opphold, arbeidssted eller der det påståtte bruddet har funnet sted, dersom du mener at behandlingen av personopplysninger som gjelder deg, er i strid med GDPR.
Tilsynsmyndigheten som klagen er sendt til, informerer klageren om status og resultatet av klagen, inkludert muligheten for rettslig prøving etter art. 78 i GDPR.