<!-- AUTO-GENERATED FILE - DO NOT EDIT MANUALLY -->
<!-- Generated by: npx tsx scripts/generate-llms-md.ts -->
<!-- Last updated: 2026-05-31T19:27:23.106Z -->

# Personvern og cookies

Sist oppdatert: 23. mai 2026

## 1. Behandlingsansvarlig

FORMHEIM AS er behandlingsansvarlig for personopplysninger som samles inn via formheim.no og våre tjenester.

FORMHEIM AS, org.nr. 937612311, Postboks 100, 3054 Krokstadelva, hei@formheim.no, 92 08 66 66.

## 2. Personvernombud

Formheim er et lite selskap som ikke driver storskala overvåkning. Vi har ikke utnevnt eget personvernombud (jf. GDPR Art. 37). Personvernspørsmål rettes til hei@formheim.no.

## 3. Hvilke opplysninger vi samler inn — og når

Vi samler kun inn det som er nødvendig for å levere tjenestene våre:

- **Ved konto**: e-post, navn, og eventuelt telefonnummer, firmanavn og organisasjonsnummer
- **Ved handel**: leveringsadresse, ordreinnhold og betalingsmetode. Full kortinformasjon behandles utelukkende av Stripe — vi lagrer kun de siste fire sifrene.
- **Ved print-tilbud**: opplastet 3D-fil, filnavn og beskrivelse av ønsket produkt
- **Ved kontakt**: navn, e-post og meldingsinnhold via kontaktskjema eller chat (Chatwoot)
- **Automatisk**: anonymisert besøksstatistikk, kun ved samtykke til analytiske cookies. Vi lagrer aldri IP-adresser.

## 4. Formål og rettsgrunnlag (GDPR Art. 6)

| Behandling | Rettsgrunnlag |
|---|---|
| Levere bestilte produkter og håndtere kundeservice | Avtale (Art. 6(1)(b)) |
| Bokføring, fakturering og MVA-rapportering | Lovpålagt plikt (Art. 6(1)(c)) — bokføringsloven § 13 |
| Stripe Radar, intern sikkerhetslogg og feilsøking | Berettiget interesse (Art. 6(1)(f)) |
| Nyhetsbrev og e-postmarkedsføring | Samtykke (Art. 6(1)(a)) |
| Analyse (GA4), annonsering (Meta Pixel, Google Ads) og markedsføringscookies | Samtykke (Art. 6(1)(a)) |
| Visning av kundeanmeldelser via Elfsight | Samtykke (Art. 6(1)(a)) |

## 5. Mottakere og databehandlere (GDPR Art. 13(1)(e))

Vi deler kun opplysninger med tjenester som er nødvendige for å drive Formheim. Vi selger aldri personopplysningene dine.

| Tjeneste | Formål | Lokasjon | Overføring utenfor EØS |
|---|---|---|---|
| Supabase | Database, autentisering, fillagring | EU (Stockholm) | Nei |
| Cloudflare Workers | Hosting og edge runtime | Globalt edge / EU | EU SCC |
| Cloudflare Turnstile | CAPTCHA og svindelbeskyttelse | Globalt edge / EU | EU SCC |
| Stripe Payments Europe | Betaling, faktura og svindelsjekk | Irland | EU-US Data Privacy Framework |
| Resend | Transaksjons-e-post og nyhetsbrev | EU | Nei |
| Cookiehub | Administrasjon av cookie-samtykke | EU / Island | Nei |
| Bring / Posten | Fraktberegning og pakkesporing | Norge | Nei |
| Google (GA4, Tag Manager, Ads) | Analyse og annonsering — kun ved samtykke | USA | EU-US Data Privacy Framework |
| Meta Pixel | Annonseeffekt — kun ved samtykke | USA | EU-US Data Privacy Framework |
| Chatwoot | Kundechat — kun ved aktiv samtale | Se Chatwoots vilkår | Per Chatwoots DPA |
| Elfsight | Visning av kundeanmeldelser — kun ved samtykke | USA | EU-US Data Privacy Framework |

## 6. Overføring til tredjeland (GDPR Art. 44–49)

Google, Meta, Stripe og Elfsight overfører data til USA. Hjemmel: EU-US Data Privacy Framework (DPF) eller Standard Contractual Clauses (SCC). Google og Meta aktiveres kun ved samtykke.

## 7. Lagringstider (GDPR Art. 13(2)(a))

| Datakategori | Lagringstid |
|---|---|
| Kontoopplysninger | Aktiv konto + 3 år etter siste innlogging |
| Bestillinger og fakturadata | 5 år (bokføringsloven § 13) |
| Handlekurv (ikke fullført) | 48 timer i database; ubegrenset i din nettleser (localStorage) |
| Print-tilbud og 3D-filer | 30 dager, deretter automatisk sletting |
| Aktivitetsdata (sidevisninger, søk) | Anonymiseres månedlig (maks 31 dager). IP-adresse lagres ikke. |
| Sikkerhetslogger (pålogging, autentisering) | 30 dager. IP-adresse og autentiseringsattributter lagres av Supabase. |
| Chat-meldinger (Chatwoot) | 30 dager. |
| Markedsføringssamtykke | Inntil samtykket trekkes tilbake |
| Cookies | Se Cookiehub-panelet for varighet per cookie |

## 8. Cookies og lignende teknologier

Samtykke administreres via Cookiehub gjennom Google Tag Manager. Tre kategorier:

- **Nødvendige**: handlekurv, innlogging, sikkerhet — settes uten samtykke
- **Analytiske**: GA4 — krever aktivt samtykke
- **Markedsføring**: Meta Pixel, Google Ads — krever aktivt samtykke

Endre samtykke via «Om informasjonskapsler» i bunnen av siden. Vi bruker ikke cookie wall.

## 9. Dine rettigheter (GDPR Art. 15–22)

Kontakt hei@formheim.no — vi svarer innen 30 dager (Art. 12(3)).

- **Innsyn (Art. 15)**: be om kopi av alle opplysninger vi har om deg
- **Retting (Art. 16)**: korrigere feil eller ufullstendige opplysninger
- **Sletting (Art. 17)**: «retten til å bli glemt»
- **Begrensning (Art. 18)**: stanse behandlingen midlertidig
- **Dataportabilitet (Art. 20)**: motta data i maskinlesbart format
- **Protest (Art. 21)**: mot behandling basert på berettiget interesse
- **Trekke samtykke (Art. 7(3))**: når som helst, uten tilbakevirkende kraft

## 10. Automatiserte beslutninger (GDPR Art. 22)

Vi gjør ingen helautomatiserte beslutninger med rettslig virkning. Stripe Radar gjør automatisk svindelsjekk — avvises en betaling kan du kontakte oss for manuell vurdering.

## 11. Sikkerhet (GDPR Art. 32)

HTTPS, industristandard passord-hashing via Supabase Auth, tilgangsbegrensning på radnivå, MFA for ansatte, løpende overvåkning.

## 12. Avvik og brudd (GDPR Art. 33–34)

Vi varsler Datatilsynet innen 72 timer ved sikkerhetsbrudd. Berørte brukere varsles uten ugrunnet opphold ved høy risiko.

## 13. Klagerett (GDPR Art. 77)

Kontakt oss gjerne først. Du kan også klage til Datatilsynet: www.datatilsynet.no.

## 14. Endringer

Vi oppdaterer erklæringen ved endringer i tjenester eller regelverk. Datoen øverst viser siste oppdatering. Vesentlige endringer varsles via e-post.

## 15. Kontakt

FORMHEIM AS
- Adresse: Postboks 100, 3054 Krokstadelva
- E-post: hei@formheim.no
- Telefon: 92 08 66 66
- Org.nr.: 937612311