Personvernerklæring

Sist oppdatert: ⟨28.11.2025⟩

1. Hvem er vi

Behandlingsansvarlig: Bárus S.A Samisk Forlag
Org.nr: 997 081 730
Adresse: Ávzziluodda 28, 9520 Kautokeino
E‑post (personvern): privacy@baruslagadus.no

For skolekunder kan skolen være behandlingsansvarlig, og vi opptrer som databehandler (se pkt. 6).

2. Hva denne erklæringen gjelder

Denne erklæringen beskriver hvordan vi behandler personopplysninger når du bruker tjenesten vår (innlogging og kontoer), administrerer abonnementer og sete‑koder, mottar kundestøtte eller får driftsrelaterte varsler. Erklæringen bygger på personopplysningsloven og GDPR.

3. Hvilke opplysninger vi behandler (kategorier)

  • Konto‑ og kontaktopplysninger: faktura-/kontakt‑epost, (for virksomheter) navn på virksomhet og organisasjonsnummer.
  • Påloggingsopplysninger: e‑postadresse og tekniske identifikatorer fra innlogging. Vi lagrer aldri passord i klartekst.
  • Abonnements‑ og tilgangsdata: hvilke produkter som er aktive, antall seter, status og gyldighetsperioder, informasjon om sete‑koder (kun hashet kode, ikke kode i klartekst), hvilke brukere som har tatt i bruk en kode.
  • Fakturering/betaling (metadata): referanser til faktura/avtale, tidspunkt for utsendelse og forfall. Selve fakturaen lagres i vårt regnskaps-/betalingssystem.
  • Sikkerhets‑ og driftslogger: IP‑adresse og nettleser‑informasjon ved forsøk på å løse inn sete‑koder, samt tidspunkt og resultat (for å forebygge misbruk og gi støtte).

4. Formål og behandlingsgrunnlag

  • Levere og drifte tjenesten (innlogging, kontoadministrasjon, sete‑koder, tilgangsstyring). Grunnlag: avtale (GDPR art. 6(1)(b)) og/eller berettiget interesse (art. 6(1)(f)).
  • Fakturering og regnskapsoppfølging (B2B): vi behandler nødvendige faktura‑metadata og knytter dem til kontoen. Grunnlag: rettslig forpliktelse og avtale.
  • Betaling B2C (der det er aktuelt): vi behandler kun nødvendige betalings‑metadata. Grunnlag: avtale.
  • Sikkerhet og misbruksforebygging (f.eks. logging av mislykkede kodeforsøk). Grunnlag: berettiget interesse.
  • Kundestøtte og driftsvarsler (f.eks. forfall/fornyelse). Grunnlag: avtale og berettiget interesse.
  • Nyhetsbrev/markedsføring (valgfritt). Grunnlag: samtykke (kan trekkes tilbake når som helst).

5. Informasjonskapsler (cookies)

Vi bruker kun det som er nødvendig for innlogging/sesjon og sikkerhet (for eksempel CSRF‑beskyttelse). Analyse/markedsføring settes ikke uten ditt samtykke.

6. Roller ved skolekunder (barn/elever)

Ved skolebruk kan skolen være behandlingsansvarlig for elevenes opplysninger, og vi er databehandler. Vi inngår databehandleravtale (DPA) med skolen som regulerer formål, sikkerhetstiltak, underleverandører og sletting. Vi behandler ikke flere elevopplysninger enn nødvendig for å levere tjenesten.

7. Mottakere og kategorier av databehandlere

Vi bruker pålitelige underleverandører for å levere tjenesten, blant annet:

  • Skytjenester for database og autentisering (lagring og drift i EU/EØS der det er tilgjengelig).
  • Regnskaps-/fakturasystem (lagrer selve fakturaen og relaterte økonomidata).
  • Betalingsformidler (håndterer betalingsavtaler/trekk; vi lagrer kun nødvendige referanser).
  • E‑postutsender (driftsmeldinger, eier‑lenker m.m.).

Vi inngår databehandleravtaler der det kreves. En oppdatert oversikt over våre underleverandører finnes her: /underleverandorer.

8. Lagringssted og overføringer

Vi søker å behandle og lagre data i EU/EØS. Dersom data i enkelttilfeller behandles utenfor EU/EØS, benytter vi gyldige overføringsmekanismer (for eksempel EUs standardkontraktklausuler) og nødvendige tilleggstiltak.

9. Lagringstider

  • Konto/bruker og tilgangsdata: så lenge kontoen er aktiv, og deretter så kort som mulig for å håndtere krav/tvister.
  • Faktura-/betalingsmetadata: i tråd med lovpålagte plikter (typisk minst 5 år).
  • Sete‑koder: til koden er brukt, tilbakekalt eller utløpt.
  • Sikkerhetslogger for sete‑innløsning: normalt 180–365 dager.
  • Eier‑lenker (owner‑claim): til brukt eller utløpt (for eksempel 7–30 dager).

10. Sikkerhet

Vi benytter anerkjente tekniske og organisatoriske tiltak for å beskytte opplysningene, herunder kryptering under overføring, tilgangsstyring etter minste‑rettighetsprinsippet og kontinuerlig vurdering av risiko. Ved brudd på personopplysningssikkerheten vurderer vi konsekvenser og varsler Datatilsynet og berørte personer når det kreves.

11. Dine rettigheter

Du kan be om innsyn, retting, sletting (der vilkår er oppfylt), begrensning og protest, samt dataportabilitet for opplysninger du har gitt oss. Der samtykke er grunnlaget kan dette trekkes tilbake når som helst.

Henvendelser sendes til privacy@baruslagadus.no. Du kan også klage til Datatilsynet.

12. Automatiserte avgjørelser

Vi foretar ikke automatiserte individuelle avgjørelser som har rettsvirkning for deg.

13. Endringer

Vi kan oppdatere denne erklæringen ved endringer i tjenesten eller regelverket. Ny versjon publiseres her, og datoen øverst oppdateres.

14. Kontakt

Bárus S.A Samisk Forlag – Org.nr 997 081 730
Ávzziluodda 28, 9520 Kautokeino
E‑post: privacy@baruslagadus.no