Personvern

Personvernerklæring

Hvordan Nailed av Berg Event (nailed) behandler personopplysningene dine når du bruker plattformen.

---

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysninger som samles inn gjennom nailed er Nailed av Berg Event, Oslo. Henvendelser om personvern sendes til hei@nailed.no.

2. Hvilke data vi samler inn

2.1 Fra Google ved innlogging

Innlogging skjer via Google. Vi mottar:

• Navn
• E-postadresse
• Profilbilde (hvis du har det på Google-kontoen)

Innlogging med Vipps er under utvikling og vil bli lagt til i en senere versjon. Når det er på plass, oppdaterer vi denne erklæringen før funksjonen aktiveres.

2.2 Det du selv legger inn

• Profilinformasjon du redigerer (navn, bilde, preferanser)
• Bookinger og bookinghistorikk
• Favoritter (lagrede salonger)
• Anmeldelser du publiserer (etter fullført booking)
• Chat-meldinger mellom deg og salongen

2.3 Teknisk informasjon

For sikkerhet, drift og enkel pageview-statistikk lagrer vi:

• IP-adresse ved innlogging og sensitive handlinger
• Nettleser- og enhetsinformasjon (user agent)
• En anonym besøks-ID (UUID) i en førsteparts-cookie kalt nailed.visitor, brukt for å telle sidevisninger på vårt eget domene. Se cookie-erklæringen.

Vi bruker ikke Google Analytics, Meta Pixel eller andre tredjeparts-sporings­verktøy.

3. Hvorfor vi behandler dem

• Avtalegrunnlag (GDPR art. 6 nr. 1 b): for å levere booking-tjenesten — opprette og vedlikeholde konto, formidle bookinger til salongen, sende e-postbekreftelser ved booking, avbestilling og chat-varsler, samt håndtere kundestøtte.
• Berettiget interesse (GDPR art. 6 nr. 1 f): for å sikre plattformen mot misbruk (audit-logg og IP-logging ved innlogging) og for å telle sidevisninger på vårt eget domene for å forstå hvilke sider som brukes mest.
• Rettslig forpliktelse (GDPR art. 6 nr. 1 c): bokføringsloven krever oppbevaring av visse opplysninger knyttet til abonnementsfakturering.

4. Lagringstid

• Konto og profil: så lenge du har en aktiv konto.
• Booking-historikk og fakturagrunnlag: 5 år, jf. bokføringsloven § 13.
• Chat-meldinger: så lenge bookingen er aktiv, og deretter slettet innen 12 måneder.
• Refresh-tokens (innlogging): opp til 30 dager (utløper automatisk).
• Audit-logg (sikkerhetshendelser, innlogginger): 5 år.
• Besøks-cookie (nailed.visitor): 2 år, eller til du sletter den i nettleseren.
• Slettet konto: profil og personopplysninger skrubbes umiddelbart, men en anonymisert oppføring kan beholdes i inntil 5 år av hensyn til regnskaps- og bokføringskrav.

5. Dine rettigheter

Etter personvernforordningen (GDPR) artikkel 15–22 har du rett til:

• Innsyn — å få vite hvilke opplysninger vi har om deg, og få en kopi.
• Retting — å få korrigert feil eller utdaterte opplysninger.
• Sletting — å få slettet kontoen og opplysningene dine (innenfor lovens rammer, f.eks. bokføringsloven).
• Dataportabilitet — å få utlevert dine data i et strukturert, maskinlesbart format.
• Begrensning og innsigelse — å begrense eller motsette deg behandling.
• Trekke samtykke — der behandlingen er basert på samtykke.

Du kan utøve rettighetene dine fra kontosiden eller ved å sende e-post til hei@nailed.no. Vi svarer normalt innen 30 dager. Du kan også klage til Datatilsynet.

6. Mottakere og databehandlere

Vi deler personopplysninger med følgende databehandlere som leverer tjenester til oss:

• Google LLC — innlogging via OAuth/OIDC.
• Hostinger International Ltd. — hosting av nettside, applikasjon og MySQL-database. Servere i EU.
• Cloudflare, Inc. — fillagring (R2) for bilder lastet opp av salonger.
• Resend (Resend, Inc.) — utsendelse av transaksjonelle e-poster (booking-bekreftelse, avbestilling, chat-varsel).

I tillegg deles bookinginformasjon (navn, tjeneste, tidspunkt og chat) med den salongen du booker hos, slik at salongen kan utføre tjenesten. Salongen er selv behandlingsansvarlig for hvordan de håndterer dine opplysninger etter at bookingen er gjennomført.

7. Internasjonal overføring

Google, Cloudflare og Resend er amerikansk-eide selskaper, men leverer tjenester med dataplassering i EU. Der overføring til USA likevel kan forekomme, skjer det på grunnlag av EU-kommisjonens standard kontraktsklausuler (SCC) og supplerende sikkerhetstiltak. Hostinger drifter databasen vår på servere i EU.

8. Sikkerhet

Vi bruker kryptert tilkobling (HTTPS) for all trafikk, lagrer passord-relaterte nøkler hashet, og begrenser tilgang til personopplysninger til personer som trenger det for å drifte tjenesten. Vi logger sensitive handlinger slik at vi kan spore eventuelle sikkerhetshendelser.

9. Endringer

Vi kan oppdatere denne erklæringen for å reflektere endringer i tjenesten eller regelverket. Vesentlige endringer varsles på e-post eller ved tydelig melding på plattformen før de trer i kraft.

Sist oppdatert: 2026-05-12.