Personvernerklæring
Vi tar personvernet ditt på alvor. Her forklarer vi hvilke personopplysninger vi samler inn, hvorfor vi gjør det, hvem som har tilgang, og hvilke rettigheter du har som registrert.
1. Behandlingsansvarlig
Behandlingsansvarlig for dine personopplysninger er:
Sany Beautystudio AS
Org.nr: 928 206 941
Agnefestveien 2, Sandalsgården
4580 Lyngdal
E-post: kontakt@sanybeauty.no
Denne erklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR), som gjelder i Norge gjennom EØS-avtalen og den norske personopplysningsloven av 2018 (lov om behandling av personopplysninger).
2. Hvilke opplysninger samler vi inn?
Vi behandler følgende kategorier av personopplysninger, avhengig av hva du gjør på nettsiden vår:
2a. Booking og behandling
Når du bestiller time hos oss, registrerer vi navn, e-postadresse, telefonnummer, valgt behandling, ønsket tidspunkt og eventuelle kommentarer. Dette er nødvendig for å gjennomføre tjenesteavtalen med deg.
2b. Helse- og allergiopplysninger (særlige kategorier)
For visse behandlinger (f.eks. vippeextensions, permanente behandlinger eller hudbehandlinger) spør vi om du har allergier, hudreaksjoner, graviditet eller annen helseinformasjon som er relevant for den aktuelle behandlingen. Dette er særlige kategorier av personopplysninger etter GDPR art. 9. Vi behandler slike opplysninger kun på grunnlag av ditt uttrykkelige samtykke, og opplysningene benyttes utelukkende for å ivareta din helse og sikkerhet.
2c. Betalingsopplysninger
Ved betaling på nett behandler vi betalingstransaksjonsinformasjon. Vi lagrer ikke kortdetaljer hos oss — all kortdata behandles direkte av vår betalingstjenesteleverandør Stripe (se punkt 5).
2d. Tekniske opplysninger (informasjonskapsler)
Dersom du samtykker, samler vi inn anonymiserte trafikk- og brukeropplysninger via Google Analytics (besøksdata, enhet, nettleser, sider besøkt). Teknisk nødvendige informasjonskapsler settes uavhengig av ditt valg, da disse er nødvendige for at nettsiden skal fungere. Se punkt 6 for mer informasjon om informasjonskapsler.
3. Behandlingsgrunnlag (rettslig grunnlag)
Vi behandler personopplysninger på følgende grunnlag etter GDPR art. 6 og art. 9:
| Formål | Rettslig grunnlag |
|---|---|
| Gjennomføre booking | Art. 6(1)(b) – nødvendig for oppfyllelse av avtale |
| Helse- og allergiopplysninger | Art. 9(2)(a) – uttrykkelig samtykke |
| Betalingsbehandling | Art. 6(1)(b) – nødvendig for oppfyllelse av avtale |
| E-postbekreftelse på booking | Art. 6(1)(b) – nødvendig for oppfyllelse av avtale |
| Analyse og statistikk (Google Analytics) | Art. 6(1)(a) – samtykke (valgfritt) |
| Personalisert markedsføring | Art. 6(1)(a) – samtykke (valgfritt) |
| Sikkerhet og misbruksforebygging | Art. 6(1)(f) – berettiget interesse |
| Regnskapspliktig bokføring | Art. 6(1)(c) – rettslig forpliktelse (bokføringsloven) |
4. Lagringstid
Vi lagrer personopplysninger kun så lenge det er nødvendig for det angitte formålet:
- —Bookingopplysninger: 3 år etter gjennomført behandling, for å kunne håndtere reklamasjoner og dokumentasjonskrav.
- —Helse- og allergiopplysninger: Slettes senest 1 år etter siste behandling, med mindre du aktivt fornyer samtykket.
- —Betalingsopplysninger og kvitteringer: 5 år, i samsvar med bokføringsloven § 13.
- —Analysedata (Google Analytics): Maks 14 måneder, i tråd med Datatilsynets anbefalinger.
5. Databehandlere – hvem har tilgang til dine opplysninger?
Vi benytter følgende tredjepartsleverandører (databehandlere) som behandler personopplysninger på vegne av oss. Alle databehandlere er bundet av databehandleravtale (DPA) med oss, og har ikke lov til å bruke opplysningene til egne formål.
Supabase Inc. — Database og brukerautentisering
Supabase lagrer booking- og brukerdata i en PostgreSQL-database. Data lagres i EU-regionen (Frankfurt, AWS eu-central-1).
Stripe Payments Europe Limited — Betalingsbehandling
Stripe behandler betalingstransaksjoner. Vi ser aldri fulle kortnummer — disse krypteres og håndteres av Stripe. Stripe er PCI DSS Level 1-sertifisert og opererer gjennom sin europeiske enhet (Dublin, Irland) for norske kunder.
Resend Inc. — E-postutsendelse
Vi bruker Resend for å sende automatiske bookingbekreftelser og kvitteringer til deg. Resend mottar navn og e-postadresse for dette formålet.
Google LLC — Google Analytics (nettstedsanalyse)
Kun aktivert dersom du samtykker til analysecookies. Google Analytics 4 samler inn anonymisert besøksdata (sider, varighet, enhet). Google opererer under EU-US Data Privacy Framework og tilbyr serverside-anonymisering.
Vercel Inc. — Hosting og CDN
Nettsiden er hostet på Vercel. Vercel behandler tekniske metadata (IP-adresse, forespørsler) som del av å levere nettsiden. IP-adresser anonymiseres og logges kun kortvarig for sikkerhet og driftsstabilitet.
Vi deler ikke personopplysninger med andre tredjeparter, og vi selger aldri dine opplysninger.
6. Informasjonskapsler (cookies)
Vi benytter følgende typer informasjonskapsler:
| Kategori | Formål | Samtykke kreves |
|---|---|---|
| Nødvendige | Sesjonshåndtering, sikkerhet, brukerinnstillinger | Nei – teknisk nødvendig |
| Analyse | Google Analytics 4 – nettstedstrafikk og brukeratferd (anonymisert) | Ja – krever samtykke |
| Markedsføring | Annonsemåling og retargeting via Google Ads | Ja – krever samtykke |
Du kan når som helst endre dine samtykkevalg ved å klikke på «Informasjonskapsler» i bunnteksten på nettsiden. Dersom du ikke har valgt, vil kun nødvendige informasjonskapsler settes.
7. Dine rettigheter
Som registrert har du en rekke rettigheter etter GDPR (kapittel III). Du kan utøve disse rettighetene ved å kontakte oss på kontakt@sanybeauty.no. Vi vil besvare din henvendelse uten ugrunnet opphold og senest innen 30 dager.
Rett til innsyn
Du kan kreve å få vite hvilke opplysninger vi har om deg, og motta en kopi.
Rett til retting
Du kan kreve at uriktige eller ufullstendige opplysninger rettes.
Rett til sletting («retten til å bli glemt»)
Du kan kreve at vi sletter dine personopplysninger, med forbehold om lovpålagte lagringsplikt (f.eks. bokføringsloven).
Rett til begrensning
Du kan kreve at behandlingen av dine opplysninger begrenses i visse situasjoner.
Rett til dataportabilitet
Du kan kreve å motta dine opplysninger i et strukturert, maskinlesbart format (gjelder data du selv har oppgitt).
Rett til å protestere
Du kan til enhver tid protestere mot behandling basert på berettiget interesse, inkludert direkte markedsføring.
Rett til å trekke samtykke
Der behandlingen er basert på samtykke (f.eks. helseopplysninger eller analysecookies), kan du når som helst trekke samtykket uten at dette påvirker lovligheten av behandling som skjedde før tilbaketrekkingen.
8. Overføring til tredjeland
Noen av våre databehandlere (Stripe, Resend, Google, Vercel) er etablert i USA. USA anses som et trygt tredjeland for overføringer under EU-US Data Privacy Framework (DPF), der leverandørene er sertifisert. For øvrige leverandører benyttes EUs standardkontraktklausuler (SCC, vedtatt av EU-kommisjonen i 2021) som rettslig overføringsmekanisme etter GDPR art. 46.
Supabase-databasen er konfigurert med EU-datalagring (Frankfurt, AWS eu-central-1) og forlater ikke EØS-området ved normal drift.
9. Datasikkerhet
Vi iverksetter tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot uautorisert tilgang, endring, utlevering eller sletting. Dette inkluderer blant annet:
- —Kryptert tilkobling (HTTPS/TLS) for all kommunikasjon mellom deg og nettsiden
- —Row Level Security (RLS) i databasen — du har kun tilgang til egne data
- —Passordhashing via Supabase Auth (bcrypt)
- —Begrenset tilgang til administrasjonspanelet (kun autorisert personell)
- —Rate limiting for å forhindre automatiserte angrep mot API-endepunkter
10. Rett til å klage til Datatilsynet
Dersom du mener vi behandler personopplysningene dine i strid med personvernregelverket, har du rett til å klage til Datatilsynet — den norske tilsynsmyndigheten for personvern:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Tlf: 22 39 69 00
E-post: postkasse@datatilsynet.no
Nettside: www.datatilsynet.no
Vi oppfordrer deg til å kontakte oss direkte først, slik at vi kan løse eventuelle spørsmål eller bekymringer på en rask og god måte.
11. Endringer i personvernerklæringen
Vi kan oppdatere denne erklæringen ved endringer i tjenestene, regelverket eller vår behandlingspraksis. Vesentlige endringer vil varsles via en synlig melding på nettsiden. Siste revisjonstidspunkt er angitt i bunnteksten nedenfor.
Personvernerklæringen ble sist revidert: 13. mars 2026
Sany Beautystudio AS — Org.nr: 928 206 941
Les også våre generelle vilkår og betingelser →