1. Behandlingsansvarlig
Superdingser AS (heretter “Superkeys”, “vi” eller “oss”) er behandlingsansvarlig for personopplysninger samlet inn via superkeys.no.
| Felt | Verdi |
|---|---|
| Selskap | Superdingser AS |
| Org.nr | 835 205 452 |
| Forretningsadresse | Knarreviktoppen 18, Kristiansand |
| Generell kontakt | support@superkeys.no |
| Personvern-henvendelser | personvern@superkeys.no |
2. Hva vi samler inn
2.1 Ved bestilling og kjøp
| Datakategori | Hva | Hvorfor |
|---|---|---|
| Identifikasjon | Fornavn, etternavn | Faktura, ordrebekreftelse |
| Kontakt | E-postadresse, telefon (valgfritt) | Levering av lisensnøkkel, kundeservice |
| Faktura-adresse | Land, gate, postnummer, poststed | Bokføringsplikt, MVA-beregning |
| Betalingsdata | Kort-token (ikke kortnummer), Vipps-referanse | Gjennomføre betaling |
| Ordrehistorikk | Kjøpte produkter, beløp, dato | Levering, garanti, reklamasjon |
| Lisensnøkler | Kryptert AES-256 | Levere produktet til deg |
| Samtykke-logg | IP, User-Agent, tidspunkt | Juridisk bevis ved kjøp (angrerett-bortfall iht. § 22n) |
2.2 Ved konto-opprettelse
| Datakategori | Hva | Hvorfor |
|---|---|---|
| Login-e-post | Kontoens hovedadresse | Innlogging + sikkerhets-e-post |
| Leverings-e-post | Egen adresse for nøkler (valgfritt, ellers samme som login) | Fleksibilitet |
| Visningsnavn | Kallenavn i konto-omraadet | UX |
| Passord | Kryptert hash (bcrypt) | Sikker innlogging — vi ser aldri klartekst |
2.3 Tekniske logger
Webserveren logger automatisk:
- IP-adresser
- Tidspunkt for besøk
- URL-er besøkt
- Henvisende nettside (referrer)
- User-Agent
Rettslig grunnlag: Berettiget interesse (GDPR art. 6 nr. 1 bokstav f) — sikkerhet, feilsøking, analyse.
2.4 Cookies
Vi bruker:
| Type | Navn / formål | Varighet | Krever samtykke |
|---|---|---|---|
| Tekniske | Session, CSRF, login | Sesjon / 14 dager | Nei (ekomforskriften § 7-2) |
| Funksjonelle | Handlekurv, valuta-valg | 30 dager | Nei |
| Statistikk | (Ingen pre-launch) | — | Ja, ved aktivering |
| Markedsforing | (Ingen pre-launch) | — | Ja, ved aktivering |
Cookie-banner viser oppdaterte detaljer når statistikk- eller markedsførings-cookies aktiveres.
3. Rettslig grunnlag
| Behandling | Rettslig grunnlag (GDPR art. 6) |
|---|---|
| Gjennomføring av kjøp | Avtale (1)(b) |
| Bokføring og MVA | Rettslig forpliktelse (1)(c) — bokføringsloven |
| Reklamasjon og garanti | Rettslig forpliktelse + berettiget interesse (1)(c)(f) |
| Markedsføring (etter samtykke) | Samtykke (1)(a) |
| Sikkerhetslogger | Berettiget interesse (1)(f) |
| Samtykke-logg ved kjøp | Rettslig forpliktelse (1)(c) — angrerettloven |
4. Lagringstider
| Datakategori | Lagringstid | Hjemmel |
|---|---|---|
| Transaksjonsdata (ordrer, betaling) | 5 år | Bokføringsloven § 13 |
| Kjøpshistorikk og lisensnøkler (kryptert) | Inntil 10 år | Reklamasjons- og garantirett |
| Samtykke-logg ved kjøp | Inntil 10 år | Bevis ved tvist |
| Markedsførings-samtykke + e-post | Inntil tilbakekall | GDPR art. 7 |
| Inaktive konto-data | 3 år etter siste innlogging | GDPR art. 5(1)(e) — minimering |
| Tekniske logger | 30 dager | Berettiget interesse |
| Sikkerhetshendelser | 1 år | Sikkerhets-etterforskning |
5. Hvem vi deler data med
5.1 Databehandlere (under databehandleravtale)
| Leverandør | Tjeneste | Lokasjon | Overføring utenfor EØS |
|---|---|---|---|
| Hostinger International | Webhost, database | Litauen (EU) | Nei |
| Stripe Payments Europe | Kortbetaling | Irland (EU) | Standard kontraktsklausuler ved enkelte sub-prosessorer |
| Vipps MobilePay AS | Mobilbetaling | Norge | Nei |
| Postmark / Wildbit LLC | Transaksjonell e-post | USA | Standard kontraktsklausuler (SCC) |
5.2 Selvstendig behandlingsansvarlig
- Stripe og Vipps er selv selvstendig behandlingsansvarlig for KYC, anti-svindel og regnskapsdata utover det vi sender dem.
5.3 Vi deler IKKE persondata med produktleverandører
Vår leverandør Kinguin (Hong Kong) er en B2B-leverandør for digitale nøkler — ikke en databehandler i GDPR-forstand. Når vi bestiller en nøkkel fra Kinguin, sender vi kun:
- Produkt-ID
- En anonymisert UUID (intern bestillings-referanse — ikke koblet til ditt navn/e-post)
Vi sender aldri ditt navn, e-postadresse, IP-adresse, ordrenummer, telefonnummer eller andre opplysninger som kan identifisere deg. Det betyr at det IKKE oppstår overføring av persondata til Hong Kong gjennom denne relasjonen.
5.4 Vi deler ALDRI for markedsføring
Vi selger eller deler aldri personopplysninger med tredjepart for markedsføring — uansett samtykke-status.
6. Internasjonale overføringer
| Land | Hvilken tjeneste | Beskyttelse |
|---|---|---|
| EØS (Litauen, Irland) | Hostinger, Stripe | Innenfor GDPR-jurisdiksjon |
| USA | Postmark | EU-kommisjonens standard kontraktsklausuler (SCC) + Postmark følger Data Privacy Framework |
7. Dine rettigheter
Etter GDPR art. 15–22 har du rett til:
| Rett | Hva betyr det | Hvordan |
|---|---|---|
| Innsyn | Be om kopi av alle data vi har om deg | personvern@superkeys.no — svar innen 30 dager |
| Retting | Få feil opplysninger korrigert | Profil-side eller personvern@superkeys.no |
| Sletting (“retten til å bli glemt”) | Be om sletting | Med unntak for data lagringspliktig etter bokføringsloven |
| Begrensning | Pause behandling mens en innsigelse vurderes | personvern@superkeys.no |
| Dataportabilitet | Faa data i strukturert format (JSON) | Min konto > Min data (GDPR-eksport) |
| Innsigelse | Protestere mot vår behandling | Spesielt mot berettiget interesse-grunnlag |
| Tilbakekalle samtykke | Avmeld markedsføring, slett konto | Avmeldings-link i hver e-post + Min konto-side |
| Klage til tilsyn | Klage til Datatilsynet | datatilsynet.no |
Vi anbefaler at du forst kontakter personvern@superkeys.no — vi loser de fleste personvernsaker raskt og direkte.
8. Sikkerhet
Vi beskytter personopplysninger gjennom flere lag:
- HTTPS / TLS 1.3 på hele nettstedet — all trafikk er kryptert
- AES-256-kryptering for lagring av lisensnoekler
- Bcrypt-hashing av passord — vi ser aldri klartekst-passord
- Stripe og Vipps som godkjente PSP-er — vi lagrer aldri kortdata på våre servere
- BankID ved Vipps-betaling for ekstra verifisering
- Tilgangskontroll — kun autorisert personell har tilgang til systemene
- Regelmessige sikkerhetskopier med kryptert lagring
- Sikkerhetshendelses-logging for forensisk analyse
Brudd-varsling
Ved sikkerhetsbrudd som medforer risiko for dine rettigheter:
- Datatilsynet varsles innen 72 timer (GDPR art. 33)
- Du varsles uten ugrunnet opphold via e-post hvis bruddet kan paavirke deg direkte
9. Automatiserte beslutninger og profilering
Vi bruker IKKE automatiserte beslutninger eller profilering med rettslig effekt for deg.
Risk-Engine-systemet vårt vurderer leverandør-nøkler (svindel-risiko) — ikke kunder. Det påvirker ikke deg som kjøper.
10. Mindreaarige
Vi krever at kjøpere er fylt 18 år, eller har foresattes samtykke (se Salgsvilkår § 3.1). Hvis vi blir kjent med at vi har samlet inn data fra et barn under 18 år uten foresattes samtykke, sletter vi dataene umiddelbart.
11. Endringer i denne erklæringen
Vi kan oppdatere denne erklæringen. Ved vesentlige endringer:
- Registrerte kunder varsles via e-post minst 14 dager for endringen trer i kraft
- Eksisterende kjøp reguleres av erklæringen som gjaldt ved kjøpstidspunkt
- En endringslogg under viser revisjons-historikken
12. Klage
Hvis du mener vi behandler personopplysninger i strid med personopplysningsloven eller GDPR, har du rett til å klage til:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Vi anbefaler at du først kontakter personvern@superkeys.no — vi har 30 dagers svar-frist.
13. Kontakt
| Saksomraade | Kontakt |
|---|---|
| Personvern, GDPR-rettigheter | personvern@superkeys.no |
| Generell kundeservice | support@superkeys.no |
| Sikkerhets-rapport (responsible disclosure) | security@superkeys.no |
Sist oppdatert: 8. mai 2026
Versjon: 2.0
Endringslogg
| Versjon | Dato | Endringer |
|---|---|---|
| Pre-launch v1.0 | 1. mai 2026 | Forste utkast — kun varslingsliste-perioden |
| 2.0 | 8. mai 2026 | Full launch-versjon: bestilling, kjop, konto, leverandører, lagringstider, GDPR-rettigheter, sikkerhetstiltak, automatiserte beslutninger, mindrearige. Synkronisert med Salgsvilkar v2 (felles data-retention-tabell). |