Hovedinnhold

Personvernerklæring

1. Hvem vi er

Denne personvernerklæringen beskriver hvordan Devold of Norway AS behandler personopplysninger om deg når du besøker devoldprotection.com, kontakter kundeservice eller på annen måte er i kontakt med oss på nett.

Behandlingsansvarlig

Devold of Norway AS
Organisasjonsnummer 984 636 318
O.A. Devold-vegen 16
6030 Langevåg
Norge

Telefon: +47 70 19 77 00

Kontakt for personvernhenvendelser: post@devold.no

Konsernstruktur

Devold of Norway AS er en del av Fenix Outdoor-konsernet. I den grad det er tillatt etter personvernlovgivningen, kan vi dele personopplysningene dine med andre konsernselskaper for formål som konsernovergripende kundebehandling, konsernovergripende markedsføringsanalyser og levering av fellestjenester. Vi vil oppdatere denne erklæringen dersom og når slike ordninger formaliseres som felles behandlingsansvar etter artikkel 26 i personvernforordningen.

2. Erklæringens virkeområde

Denne erklæringen gjelder for personopplysninger som vi behandler gjennom vår nettbaserte virksomhet på devoldprotection.com, herunder kundekontoer, kundeservicehenvendelser mottatt på nett og våre digitale markedsføringsaktiviteter.

Egne personvernerklæringer gjelder for behandling i våre fysiske butikker (herunder vår brandstore i Oslo og våre outlet-butikker i Langevåg, Valldal, Vestby, Stavanger, Hellesylt og Dyrkorn) og ved arrangementer, samt for behandling i forbindelse med ansettelsesforhold og søknader.

3. Hvilke personopplysninger vi behandler, hvorfor, og på hvilket rettslig grunnlag

3.1 Når du besøker devoldprotection.com

Hva vi behandler: teknisk informasjon om enheten og nettleseren din (IP-adresse, nettlesertype og -versjon, operativsystem, skjermstørrelse, språk), sider du har besøkt, navigasjonsmønster, henvisende URL og tidsstempler. Vi behandler også informasjonskapsel-identifikatorer og lignende sporingsteknologier — se punkt 4.

Hvorfor: for å drifte, sikre og stabilisere nettstedet; for å oppdage og forhindre misbruk; og (med ditt samtykke) for å måle rekkevidde, analysere besøksatferd, optimalisere innhold og tilpasse markedsføring.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav f i personvernforordningen (berettiget interesse) for teknisk drift og sikkerhet; artikkel 6 nr. 1 bokstav a (samtykke), gitt via informasjonskapsel-banneret, for analyse, markedsføringsmåling, annonsering og retargeting. Du kan når som helst trekke samtykket tilbake via «Innstillinger for informasjonskapsler» nederst på nettsiden.

Lagringstid: tekniske loggdata oppbevares i inntil 12 måneder. Analyse- og markedsføringsdata oppbevares som angitt i vår erklæring om informasjonskapsler.

3.2 Når du oppretter eller bruker en kundekonto

Hva vi behandler: e-postadresse, passord (lagret som «salted hash»; vi ser aldri passordet ditt i klartekst), navn, kontaktopplysninger, ordrehistorikk, kontoinnstillinger, returhistorikk og lagrede adresser.

Hvorfor: for å tilby og drifte kontoen din, herunder innlogging, passordtilbakestilling, ordrehistorikk og lagrede opplysninger; for å gi deg mulighet til å utøve dine rettigheter via selvbetjeningsverktøy der dette er tilgjengelig; og for å holde kontoen din sikker.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav b (oppfyllelse av kontoavtalen); artikkel 6 nr. 1 bokstav f (berettiget interesse i kontosikkerhet).

Lagringstid: kontodata oppbevares så lenge kontoen er aktiv. Dersom kontoen har vært inaktiv (ingen innlogginger og ingen bestillinger) i mer enn 24 måneder, kan vi stenge den etter forhåndsvarsel, og kontodataene vil bli slettet eller anonymisert, unntatt der lagring er pålagt etter lov.

3.3 Når du kontakter kundeservice

Hva vi behandler: innholdet i meldingen din, navn og kontaktopplysninger, samt eventuell annen informasjon du velger å oppgi. Innkommende telefonnumre kan bli lagret automatisk i telefonsystemet vårt i en kort periode.

Hvorfor: for å besvare henvendelsen din; for å håndtere klager, returer og garantikrav; og for å forbedre kundeservicen.

Rettslig grunnlag: artikkel 6 nr. 1 bokstav b for henvendelser knyttet til en bestilling; artikkel 6 nr. 1 bokstav f (berettiget interesse) for generelle henvendelser.

Lagringstid: korrespondanse med kundeservice oppbevares i inntil 3 år fra siste kommunikasjon. Telefonimetadata oppbevares i inntil 2 måneder.

4. Informasjonskapsler og lignende teknologier

Devoldprotection.com bruker informasjonskapsler, piksler, tags, lokal lagring og lignende teknologier. Noen er strengt nødvendige for at nettstedet skal fungere; andre krever ditt samtykke etter § 2-7b i ekomloven.

Informasjonskapsel-banneret vises ved ditt første besøk og ber om samtykke før ikke-nødvendige informasjonskapsler og sporere blir satt. Du kan når som helst endre preferansene dine via «Innstillinger for informasjonskapsler» nederst på nettsiden.

Fullstendige opplysninger om informasjonskapslene vi bruker finner du i vår separate erklæring om informasjonskapsler på [lenke settes inn].

5. Hvem vi deler opplysningene dine med

5.1 Våre databehandlere (tjenesteleverandører som handler på våre vegne)

Databehandlerne nedenfor handler på våre vegne og er kontraktsbundet til databehandleravtaler som oppfyller artikkel 28 i GDPR:

Netlify, Inc. — Frontend-hosting og content delivery network (CDN). Lokasjon: EU-basert primær edge med hovedkontor i USA. Netlify, Inc. er aktiv deltaker i EU-U.S. Data Privacy Framework (DPF) og UK Extension. Overføringer til USA skjer på grunnlag av DPF, supplert av EUs standardkontraktsklausuler.

Sanity — Innholdshåndteringssystem (CMS) og innholdsleveranse. Lokasjon: EU.

Algolia SAS (Paris, Frankrike) — Søk på nettsiden, merchandising av søkeresultater og produktanbefalinger (f.eks. "du vil kanskje også like", "ofte kjøpt sammen"). Lokasjon: EU (Frankfurt-cluster). Algolia SAS er den EU-baserte kontraktsparten; Algolia, Inc. (USA) leverer infrastruktur og support. Vi sender Algolia søkeord, klikk- og konverteringshendelser på søkeresultater og produktoversikter, en pseudonymisert brukeridentifikator og besøkerens IP-adresse (brukes av Algolia for ruting, misbruksbekjempelse og omtrentlig geolokalisering av resultater). Algolia opptrer som vår databehandler etter artikkel 28 i GDPR. Eventuell US-basert supporttilgang dekkes av Algolias databehandleravtale, EUs standardkontraktsklausuler (Beslutning (EU) 2021/914) og supplerende tiltak.

ITX — Kundeservice-ticketing. Lokasjon: EU.

Columbus Norway — Implementering og integrasjon av Microsoft Dynamics 365 / AX (ERP). Lokasjon: EU (Norge).

Google Ireland Ltd. (Google Analytics, Google Tag Manager, Google Ads) — Webanalyse, tag-styring, annonsering. Lokasjon: EU primært, med videre overføring til Google LLC (USA). Overføringer til USA skjer på grunnlag av EU-U.S. Data Privacy Framework (Google LLC er deltaker) og supplerende EU-standardkontraktsklausuler. Vi vil oppdatere denne erklæringen dersom Data Privacy Framework blir kjent ugyldig.

Meta Platforms Ireland Ltd. (Facebook-piksel, Instagram, Custom Audiences) — Annonsering, retargeting, målgruppematching. Lokasjon: EU primært, med videre overføring til Meta Platforms, Inc. (USA). Samme DPF + SCC-grunnlag som Google. Samtykkebasert.

5.2 Selvstendige behandlingsansvarlige vi deler data med

Disse mottakerne opptrer som selvstendige behandlingsansvarlige for dataene vi deler med dem — de bestemmer selv hvordan dataene behandles etter at de er mottatt:

  • Sosiale medier-plattformer når du er i kontakt med oss gjennom dem — Meta (Facebook, Instagram), TikTok, YouTube og Pinterest opptrer hver som selvstendige behandlingsansvarlige (og i noen tilfeller felles behandlingsansvarlige med oss etter artikkel 26 i GDPR) for data som samles inn gjennom deres plattformer. Deres respektive personvernerklæringer gjelder for slik behandling.5.2 Konsernselskaper

5.3 Konsernselskaper

Vi er en del av Fenix Outdoor-konsernet. I den utstrekning personvernregelverket tillater det, kan vi dele personopplysningene dine med andre konsernselskaper for formål som konsernovergripende kunderelasjonsforvaltning, konsernmarkedsføringsanalyse, drift av medlemsprogrammet, og levering av delte tjenester (f.eks. logistikk, kundeservicestøtte). Der slik deling utgjør felles behandlingsansvar etter artikkel 26 i GDPR, kan en oppsummering av avtalen om felles behandlingsansvar og kontaktpunktet for utøvelse av dine rettigheter fås på forespørsel til post@devold.no.

5.4 Offentlige myndigheter og andre lovlige utleveringer

Vi kan utlevere personopplysningene dine til offentlige myndigheter (skattemyndigheter, domstoler, politi, tilsynsmyndigheter) når det er lovpålagt, som svar på en gyldig rettslig anmodning, eller når det er nødvendig for å etablere, utøve eller forsvare rettslige krav. Vi kan også utlevere data til våre profesjonelle rådgivere (advokater, revisorer, regnskapsførere) under egnede konfidensialitetsforpliktelser.

6. Internasjonale overføringer av personopplysninger

Vårt utgangspunkt er at personopplysninger behandles innenfor Det europeiske økonomiske samarbeidsområdet (EØS). Noen av databehandlerne og mottakerne som er listet i avsnitt 5, er imidlertid etablert eller har morselskaper etablert i land utenfor EØS — særlig USA.

Når personopplysninger overføres ut av EØS, baserer vi oss på en av følgende rettslige mekanismer etter kapittel V i GDPR:

  • Beslutninger om tilstrekkelig beskyttelse (artikkel 45 i GDPR): for overføringer til land som EU-kommisjonen har fastslått at gir et tilstrekkelig beskyttelsesnivå. Den oppdaterte listen finnes her: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en. Særlig skjer overføringer til USA til organisasjoner som er sertifisert under EU-U.S. Data Privacy Framework (DPF) — som EU-kommisjonen 10. juli 2023 anerkjente som tilstrekkelig — der mottakerorganisasjonen er DPF-deltaker.
  • Egnede garantier (artikkel 46 i GDPR): der ingen beslutning om tilstrekkelig beskyttelse foreligger (eller i tillegg til den), baserer vi oss på EU-kommisjonens standardkontraktsklausuler (SCC) — Beslutning (EU) 2021/914 — sammen med supplerende tekniske, kontraktsmessige og organisatoriske tiltak som påkrevet etter Schrems II-dommen fra EU-domstolen (sak C-311/18).
  • Unntak (artikkel 49 i GDPR): under begrensede omstendigheter — for eksempel når en overføring er nødvendig for å oppfylle en avtale inngått i din interesse (artikkel 49 nr. 1 bokstav b) eller når du har gitt uttrykkelig samtykke til overføringen (artikkel 49 nr. 1 bokstav a).

Du kan be om en kopi av garantiene vi har på plass for en bestemt overføring ved å sende e-post til post@devold.no.

7. Dine rettigheter

Med forbehold om vilkårene og begrensningene i GDPR har du følgende rettigheter knyttet til personopplysningene dine:

  • Innsyn (artikkel 15 i GDPR) — å få bekreftet om vi behandler personopplysninger om deg, og i så fall få en kopi av disse opplysningene sammen med informasjon om hvordan vi behandler dem.
  • Retting (artikkel 16 i GDPR) — å få uriktige personopplysninger rettet og ufullstendige opplysninger fullført.
  • Sletting / "retten til å bli glemt" (artikkel 17 i GDPR) — å få personopplysningene dine slettet under bestemte omstendigheter (f.eks. når opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for, eller når du trekker tilbake samtykket og det ikke finnes annet rettslig grunnlag).
  • Begrensning av behandlingen (artikkel 18 i GDPR) — å få behandlingen begrenset under bestemte omstendigheter (f.eks. mens vi verifiserer riktigheten av omstridte opplysninger).
  • Dataportabilitet (artikkel 20 i GDPR) — å motta personopplysningene du har gitt oss, i et strukturert, vanlig brukt og maskinlesbart format, og å få dem overført til en annen behandlingsansvarlig der det er teknisk mulig.
  • Innsigelse (artikkel 21 i GDPR) — å gjøre innsigelse mot behandling som er basert på våre berettigede interesser (artikkel 6 nr. 1 bokstav f i GDPR), herunder profilering, av grunner knyttet til din spesielle situasjon. Du kan også når som helst gjøre innsigelse mot behandling av personopplysningene dine for direkte markedsføringsformål — det kreves ikke noen bestemte grunner for slik innsigelse, og vi vil stanse behandling for direkte markedsføring umiddelbart ved mottak av innsigelsen.
  • Trekke tilbake samtykke (artikkel 7 nr. 3 i GDPR) — å trekke tilbake et samtykke du har gitt oss når som helst. Tilbaketrekking påvirker ikke lovligheten av behandlingen som er gjort før tilbaketrekkingen.
  • Klage til en tilsynsmyndighet (artikkel 77 i GDPR) — se avsnitt 10 nedenfor for kontaktopplysninger til Datatilsynet.
  • Slippe å bli underlagt en avgjørelse basert utelukkende på automatisert behandling (artikkel 22 i GDPR) — herunder profilering — som har rettslige virkninger for deg eller på lignende måte vesentlig påvirker deg. Vi treffer for tiden ingen avgjørelser om deg basert utelukkende på automatisert behandling som har slike virkninger.

Hvordan utøve rettighetene dine: send e-post til post@devold.no med forespørselen din. Vi svarer innen en måned etter mottak (artikkel 12 nr. 3 i GDPR). Der forespørsler er komplekse eller mange, kan vi forlenge fristen med ytterligere to måneder, og vi vil i så fall varsle deg innen den første måneden med begrunnelse for forsinkelsen.

Vi kan måtte verifisere identiteten din før vi svarer, særlig der forespørselen er sensitiv eller der vi har rimelig tvil om hvem som fremmer forespørselen. Vi vil be om så lite identifikasjonsdata som mulig og forklare hvorfor.

Det er ingen avgift for å utøve rettighetene dine. Der en forespørsel åpenbart er ugrunnet eller overdreven — særlig på grunn av gjentakelse — kan vi imidlertid kreve et rimelig gebyr eller nekte å behandle forespørselen, jf. artikkel 12 nr. 5 i GDPR.

8. Sikkerhet

Vi gjennomfører egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot uautorisert tilgang, utilsiktet tap, endring eller utlevering. Tiltakene omfatter kryptering av data under overføring (TLS), kryptering av sensitive data ved lagring, tilgangskontroller basert på minste privilegium, logging og overvåking, sikkerhetsvurderinger av leverandører og opplæring av ansatte. Vi lagrer aldri fullstendige kortnumre — alle kortdata sendes direkte til og lagres hos vår PCI-DSS-sertifiserte betalingsleverandør, Adyen.

Ved et personopplysningsbrudd vil vi varsle tilsynsmyndigheten innen 72 timer der det er påkrevd etter artikkel 33 i GDPR, og vi vil varsle deg direkte når bruddet sannsynligvis medfører høy risiko for dine rettigheter og friheter (artikkel 34 i GDPR).

9. Barn

Devoldprotection.com er ikke rettet mot barn. Vi samler ikke bevisst inn personopplysninger fra barn.

Hvis du tror vi har samlet inn personopplysninger fra et barn under 18 år, ta kontakt med oss på post@devold.no, så sletter vi disse opplysningene.

10. Tilsynsmyndighet og lokale markedsføringsregler

Tilsynsmyndighet: Datatilsynet, Postboks 458 Sentrum, 0105 Oslo. https://www.datatilsynet.no/ — Tlf. +47 22 39 69 00.

Markedsføring til eksisterende kunder (myk opt-in): § 15 i markedsføringsloven tillater elektronisk direkte markedsføring til eksisterende kunder for tilsvarende varer eller tjenester uten forhåndssamtykke, forutsatt at du ble gitt en klar og kostnadsfri mulighet til å reservere deg på tidspunktet kontaktopplysningene dine ble samlet inn, og at en reservasjonsmulighet tilbys i hver påfølgende melding.

Bokføring: fem år fra utgangen av regnskapsåret (bokføringsloven § 13).

11. Endringer i denne erklæringen

Vi kan oppdatere denne erklæringen fra tid til annen. Når vi gjør vesentlige endringer, vil vi:

  • publisere den oppdaterte erklæringen på devold.com med ny "Sist oppdatert"-dato;
  • der du har gitt oss kontaktopplysningene dine (f.eks. som kunde, nyhetsbrevabonnent eller medlem i programmet), varsle deg om endringen på forhånd der endringen sannsynligvis vil berøre deg vesentlig.

Sist oppdatert: juni 2026