Personvern og cookies
Sist oppdatert: 23. mai 2026
1. Behandlingsansvarlig
FORMHEIM AS er behandlingsansvarlig for personopplysninger som samles inn via formheim.no og våre tjenester.
FORMHEIM AS
Org.nr.: 937612311
Adresse: Postboks 100, 3054 Krokstadelva
E-post: hei@formheim.no
Telefon: 92 08 66 66
2. Personvernombud
Formheim er et lite selskap som ikke driver storskala overvåkning eller behandling av særlige kategorier personopplysninger. Vi har derfor ikke utnevnt eget personvernombud (jf. GDPR Art. 37). Personvernspørsmål rettes til hei@formheim.no.
3. Hvilke opplysninger vi samler inn — og når
Vi samler kun inn det som er nødvendig for å levere tjenestene våre.
Når du oppretter konto: e-post, navn, og eventuelt telefonnummer, firmanavn og organisasjonsnummer.
Når du handler: leveringsadresse, ordreinnhold og betalingsmetode. Full kortinformasjon behandles utelukkende av Stripe — vi lagrer kun de siste fire sifrene.
Når du ber om print-tilbud: opplastet 3D-fil, filnavn, og beskrivelse av ønsket produkt.
Når du kontakter oss: navn, e-post og meldingsinnhold via kontaktskjema eller chat (Chatwoot).
Automatisk ved besøk: anonymisert besøksstatistikk innsamles kun dersom du har gitt samtykke til analytiske cookies. Vi lagrer aldri IP-adresser eller andre direkte identifiserbare data fra besøk.
4. Formål og rettsgrunnlag (GDPR Art. 6)
Her er en oversikt over hva vi bruker opplysningene til, og hvilket rettslig grunnlag som gjelder for hver behandling.
| Behandling | Rettsgrunnlag |
|---|---|
| Levere bestilte produkter, sende ordrebekreftelse og håndtere kundeservice | Avtale (Art. 6(1)(b)) |
| Bokføring, fakturering og MVA-rapportering | Lovpålagt plikt (Art. 6(1)(c)) — bokføringsloven § 13 |
| Svindelbeskyttelse via Stripe Radar, intern sikkerhetslogg og feilsøking | Berettiget interesse (Art. 6(1)(f)) |
| Nyhetsbrev og e-postmarkedsføring | Samtykke (Art. 6(1)(a)) |
| Analyse (GA4), annonsering (Meta Pixel, Google Ads) og markedsføringscookies | Samtykke (Art. 6(1)(a)) |
| Visning av kundeanmeldelser via Elfsight | Samtykke (Art. 6(1)(a)) |
Du kan protestere mot behandling basert på berettiget interesse (Art. 21) ved å kontakte oss på hei@formheim.no.
5. Mottakere og databehandlere (GDPR Art. 13(1)(e))
Vi deler kun opplysninger med tjenester som er nødvendige for å drive Formheim. Alle databehandlere er bundet av databehandleravtale etter GDPR Art. 28. Vi selger aldri personopplysningene dine.
| Tjeneste | Formål | Lokasjon | Overføring utenfor EØS |
|---|---|---|---|
| Supabase | Database, autentisering, fillagring | EU (Stockholm, eu-north-1) | Nei |
| Cloudflare Workers | Hosting og edge runtime | Globalt edge / EU | EU SCC |
| Cloudflare Turnstile | CAPTCHA og svindelbeskyttelse ved skjemainnsending | Globalt edge / EU | EU SCC |
| Stripe Payments Europe | Betaling (kort, Klarna, Apple Pay, Google Pay), faktura og svindelsjekk | Irland | EU-US Data Privacy Framework |
| Resend | Transaksjons-e-post og nyhetsbrev | EU | Nei |
| Cookiehub | Administrasjon av cookie-samtykke | EU / Island | Nei (tilstrekkelig beslutning for Island) |
| Bring / Posten | Fraktberegning og pakkesporing | Norge | Nei |
| Google (GA4, Tag Manager, Ads) | Besøksanalyse og annonsering — kun ved samtykke | USA | EU-US Data Privacy Framework |
| Meta Pixel | Måling av annonseeffekt — kun ved samtykke | USA | EU-US Data Privacy Framework |
| Chatwoot | Kundechat — kun ved aktiv samtale | Se Chatwoots egne vilkår | Per Chatwoots DPA |
| Elfsight | Visning av kundeanmeldelser — kun ved samtykke | USA | EU-US Data Privacy Framework |
6. Overføring til tredjeland (GDPR Art. 44–49)
Noen av tjenestene vi bruker — Google, Meta, Stripe og Elfsight — overfører data til USA. Disse overføringene er hjemlet i EU-US Data Privacy Framework (DPF), som er godkjent av EU-kommisjonen som et tilstrekkelig overføringsgrunnlag. Der DPF ikke dekker, benyttes EU Standard Contractual Clauses (SCC).
Google og Meta aktiveres kun dersom du har samtykket til analytiske eller markedsføringscookies. Uten samtykke overføres ingen data til disse tjenestene. Vi selger aldri personopplysningene dine.
7. Lagringstider (GDPR Art. 13(2)(a))
Vi lagrer personopplysninger så lenge det er nødvendig for formålet de ble samlet inn for. Her er konkrete lagringstider.
| Datakategori | Lagringstid |
|---|---|
| Kontoopplysninger | Aktiv konto + 3 år etter siste innlogging, deretter sletting eller anonymisering |
| Bestillinger og fakturadata | 5 år (bokføringsloven § 13) |
| Handlekurv (ikke fullført ordre) | 48 timer i vår database; ubegrenset i din nettleser (localStorage) inntil du tømmer den |
| Print-tilbud og opplastede 3D-filer | 30 dager etter siste aktivitet, deretter automatisk sletting |
| Aktivitetsdata (sidevisninger, søk) | Anonymiseres automatisk månedlig (1. i hver måned, maks 31 dager). IP-adresse eller andre direkte identifiserbare data lagres ikke. |
| Sikkerhetslogger (pålogging, autentisering) | 30 dager. Supabase lagrer IP-adresse og relevante attributter ved pålogging som del av innebygd sikkerhetsfunksjonalitet. |
| Chat-meldinger (Chatwoot) | 30 dager. |
| Markedsføringssamtykke og nyhetsbrev | Inntil samtykket trekkes tilbake |
| Cookies | Se Cookiehub-panelet («Om informasjonskapsler» i bunnen av siden) for varighet per cookie |
8. Cookies og lignende teknologier
Vi bruker cookies og lignende teknologier for å gi deg en god opplevelse på nettsiden. Samtykke administreres via Cookiehub, integrert gjennom Google Tag Manager.
Vi opererer med tre kategorier cookies:
- Nødvendige: kreves for at nettsiden skal fungere (handlekurv, innlogging, sikkerhet). Settes uten samtykke.
- Analytiske: hjelper oss å forstå hvordan nettsiden brukes (f.eks. Google Analytics 4). Krever aktivt samtykke.
- Markedsføring: brukes til målrettet annonsering (f.eks. Meta Pixel, Google Ads). Krever aktivt samtykke.
Du kan når som helst endre eller trekke samtykke via lenken «Om informasjonskapsler» nederst på enhver side. Full liste over hvilke cookies som settes, av hvem, til hvilket formål og hvor lenge, finner du i Cookiehub-panelet.
Vi bruker ikke «cookie wall» — du kan bruke nettsiden uten å akseptere ikke-nødvendige cookies.
9. Dine rettigheter (GDPR Art. 15–22)
Som registrert har du følgende rettigheter. Send en henvendelse til hei@formheim.no — vi svarer innen 30 dager (GDPR Art. 12(3)).
Innsyn (Art. 15): be om kopi av alle opplysninger vi har om deg.
Retting (Art. 16): korrigere feil eller ufullstendige opplysninger.
Sletting (Art. 17): «retten til å bli glemt» — med unntak for data vi er lovpålagt å beholde (f.eks. bokføring).
Begrensning (Art. 18): be om at behandlingen midlertidig stanses mens et krav vurderes.
Dataportabilitet (Art. 20): motta dine opplysninger i et maskinlesbart format, eller få dem overført til en annen tjenesteleverandør.
Protest (Art. 21): protestere mot behandling basert på berettiget interesse eller mot direkte markedsføring.
Trekke samtykke (Art. 7(3)): trekke tilbake samtykke når som helst. Dette påvirker ikke lovligheten av behandlingen som skjedde før tilbaketrekningen.
10. Automatiserte beslutninger (GDPR Art. 22)
Vi gjør ingen helautomatiserte beslutninger med rettslig eller vesentlig virkning for deg.
Vi bruker likevel automatiserte systemer som kan påvirke din opplevelse:
Stripe Radar: gjør automatisk svindelsjekk av kortbetalinger basert på transaksjonsmønstre. Avvises en betaling kan du kontakte oss på hei@formheim.no for manuell vurdering.
Produktsortering: produkter sorteres etter popularitet og produktegenskaper — ikke basert på en individuell profil av deg som bruker.
11. Sikkerhet (GDPR Art. 32)
Vi har satt i verk tiltak for å beskytte dine personopplysninger mot uautorisert tilgang og misbruk:
- All trafikk krypteres med HTTPS.
- Passord lagres aldri i klartekst — vi bruker Supabase Auth med industristandard hashing.
- Databasetilgang er begrenset på radnivå, slik at kunder kun kan se sine egne data.
- Multifaktor-autentisering er påkrevet for alle ansatte med tilgang til systemer.
- Tilgang til kundedata er strengt begrenset internt — bare det som er nødvendig for å utføre oppgaven.
- Vi overvåker systemene løpende for uregelmessigheter.
12. Avvik og brudd på personopplysningssikkerheten (GDPR Art. 33–34)
Dersom det oppstår et sikkerhetsbrudd som påvirker dine personopplysninger, er vi forpliktet til å varsle Datatilsynet innen 72 timer (Art. 33).
Dersom bruddet utgjør en høy risiko for dine rettigheter, vil vi varsle deg direkte uten ugrunnet opphold (Art. 34).
13. Klagerett (GDPR Art. 77)
Dersom du mener vi behandler personopplysningene dine i strid med loven, ber vi deg gjerne kontakte oss først — vi prøver å løse saken raskt.
Du kan også klage direkte til Datatilsynet: www.datatilsynet.no.
14. Endringer i erklæringen
Vi kan oppdatere denne erklæringen ved endringer i tjenestene våre eller gjeldende regelverk. Datoen øverst på siden viser når erklæringen sist ble oppdatert. Ved vesentlige endringer informerer vi deg via e-post eller melding på nettsiden.
15. Kontakt
Spørsmål om personvern, utøvelse av rettigheter eller klager kan rettes til:
FORMHEIM AS
Adresse: Postboks 100, 3054 Krokstadelva
E-post: hei@formheim.no
Telefon: 92 08 66 66
Org.nr.: 937612311