1. Om erklæringen og tjenesten
Denne erklæringen gjelder bruk av tjenesten og forklarer hvilke personopplysninger som behandles, hvorfor de behandles, hvem de deles med, hvor lenge de lagres og hvilke rettigheter den registrerte har.
Tjenesten er laget for virksomheter og andre profesjonelle kunder. En kunde kan laste opp innhold én gang og publisere det til sine tilknyttede sider og kontoer på flere sosiale plattformer. Når funksjonen er aktivert, kan kunden også samle meldinger og kommentarer i én arbeidsflate.
Ved motstrid mellom oversettelsene er den norske teksten styrende. Oversettelsene er tilgjengeliggjort for å gjøre informasjonen lettere å forstå.
2. Hvem er ansvarlig?
MDataService er behandlingsansvarlig for opplysninger om kundekontoer, kontaktpersoner, fakturering, sikkerhet, brukerstøtte og drift av tjenesten.
Når vi behandler meldinger, kommentarer, innhold eller følgerdata på vegne av en kunde, er kunden normalt behandlingsansvarlig og MDataService databehandler. Behandlingen reguleres av kundens instruks og en databehandleravtale etter GDPR artikkel 28.
Tilknyttede sosiale plattformer behandler også opplysninger etter sine egne vilkår og personvernerklæringer. Kunden må kontrollere plattformens innstillinger og vilkår før en konto kobles til.
- Virksomhetsopplysninger
- Mahmuod Data Service
- Organisasjonsnummer
- 927978792
- Adresse
- Dragehodesvingen, 1360 Oslo, Norway
- Personvernkontakt
- app@mdataservice.com
+4741138005 - Personvernombud
- Virksomheten har ikke oppgitt et eget personvernombud. Personvernspørsmål kan sendes til personvernkontakten.
3. Opplysninger vi behandler
Avhengig av funksjonene kunden bruker, kan vi behandle følgende kategorier:
- Navn, bruker-ID, rolle og kundekonto
- Virksomhetsnavn, e-post, telefon og kontaktperson
- Innloggingshendelser og autentiseringsidentifikatorer
- Tilknyttede sider, profiler, konto-ID-er og valgte tillatelser
- Krypterte tilgangs- og oppdateringstokener
- Bilder, video, tekst, lenker, utkast og publiseringsplan
- Meldinger, kommentarer, svar, vedlegg og samtalestatus
- Avsendernavn, offentlig profil-ID og side-/kontoidentifikator
- IP-adresse, nettleser, enhet, tidspunkt og funksjonsbruk
- Sikkerhetslogger, feil, revisjonsspor og misbruksindikatorer
- Abonnement, betaling, faktura og lovpålagte regnskapsopplysninger
- E-post, supportsaker og tilbakemeldinger
Tjenesten er ikke ment for bevisst innsamling av særlige kategorier personopplysninger. Kunden skal ikke laste opp helseopplysninger, biometriske opplysninger, politiske eller religiøse opplysninger eller andre sensitive data med mindre det finnes et gyldig rettslig grunnlag, nødvendige sikkerhetstiltak og en skriftlig avtale.
4. Hvor opplysningene kommer fra
Vi mottar opplysninger direkte fra kunden og kundens autoriserte brukere, fra enheter og nettlesere som bruker tjenesten, fra tilknyttede sosiale plattformer via godkjente API-er, og fra personer som kontakter kundens sider gjennom meldinger eller kommentarer. Når opplysninger ikke kommer direkte fra den registrerte, gis informasjonen normalt av kunden som behandlingsansvarlig.
5. Formål og behandlingsgrunnlag
Vi bruker bare personopplysninger til spesifiserte formål og etter et gyldig behandlingsgrunnlag:
Kontoidentitet, virksomhetskontakt og nødvendige autentiseringsopplysninger må oppgis for å inngå og oppfylle tjenesteavtalen. Uten dem kan vi ikke opprette eller sikre kontoen. Tilkobling av en sosial konto og bruk av publisering, innboks eller kommentarer er valgfritt, men funksjonen kan ikke leveres uten de tilhørende plattformdataene og tillatelsene.
6. Sosiale plattformer og Meta-data
Tjenesten ber bare om plattformtilganger som er nødvendige for funksjoner kunden uttrykkelig aktiverer. Autorisasjonskoder og tilgangstokener brukes til å identifisere tilknyttede sider, publisere kundens innhold og hente eller svare på meldinger og kommentarer når kunden har slått på disse funksjonene.
Meta-tillatelser som kan bli forespurt
Den faktiske innloggingsdialogen og Meta App Review skal bare omfatte tillatelser som er implementert og godkjent. Fjern ubrukte tillatelser i redigeringsverktøyet.
Data hentet fra plattform-API-er brukes ikke til salg av personopplysninger, uavhengig annonsering, kredittvurdering eller profilering som ikke er nødvendig for kundens valgte funksjon.
7. Meldinger, kommentarer og kundens ansvar
Når kunden sentraliserer innbokser eller kommentarer, kan tjenesten vise avsendernavn, offentlig profilidentifikator, tekst, vedlegg, tidspunkt, side/konto og samtalestatus. Opplysningene behandles for å gjøre det mulig for kunden å besvare og administrere henvendelsen.
Kunden må ha et lovlig behandlingsgrunnlag, gi sin egen målgruppe nødvendig informasjon, respektere innsigelser og sletteforespørsler, begrense brukertilgang og ikke bruke tjenesten til ulovlig overvåking, spam eller behandling av opplysninger kunden ikke har rett til å bruke.
9. Overføringer utenfor EØS
Noen plattform- og driftsleverandører kan behandle data utenfor EØS. Der GDPR krever det, bruker vi en beslutning om tilstrekkelig beskyttelsesnivå eller EU-kommisjonens standard personvernbestemmelser, vurderer overføringsrisiko og bruker supplerende tekniske og organisatoriske tiltak. Informasjon om relevant overføringsgrunnlag kan fås fra personvernkontakten.
10. Lagring og sletting
Vi lagrer ikke personopplysninger lenger enn nødvendig. Følgende standardfrister gjelder med mindre kunden har avtalt kortere frist eller loven krever lengre lagring:
- Konto- og kontaktdata
- I kundeforholdet og inntil 30 dager etter stenging, hvis loven ikke krever lenger lagring.
- Tilgangstokener
- Til integrasjonen kobles fra, tillatelsen trekkes tilbake, tokenet utløper eller kontoen stenges.
- Utkast og publisert innhold
- Til kunden sletter innholdet eller stenger kontoen; sletting fra aktive systemer skjer normalt innen 30 dager.
- Meldinger og kommentarer
- Etter kundens konfigurerte frist eller dokumenterte instruks og aldri lenger enn nødvendig for funksjonen.
- Sikkerhets- og revisjonslogger
- Inntil 12 måneder, med mulig forlengelse ved en sikkerhetshendelse eller et rettskrav.
- Brukerstøttesaker
- Inntil 24 måneder etter at saken er avsluttet.
- Regnskaps- og betalingsdata
- Normalt 5 år eller den perioden norsk bokførings- og skattelovgivning krever.
- Sikkerhetskopier
- Rester kan finnes i tilgangsbegrensede sikkerhetskopier i inntil 90 dager.
11. Informasjonssikkerhet
Vi bruker risikobaserte tekniske og organisatoriske tiltak for å beskytte konfidensialitet, integritet og tilgjengelighet. Ingen løsning kan garantere absolutt sikkerhet, men vi gjennomgår tiltakene regelmessig og håndterer avvik etter en dokumentert beredskapsprosess.
- Kryptering under overføring (TLS)
- Kryptering av lagrede data
- Separat kryptering av plattformtokener
- Minste privilegium og begrensede API-tilganger
- Rollebasert tilgang
- Flerfaktorautentisering for administrativ tilgang
- Revisjons- og sikkerhetslogging
- Tilgangsbegrensede sikkerhetskopier og slettesyklus
- Beredskap for avvik og varslingsrutiner
- Sikkerhets- og personvernkontroll av leverandører
12. Dine rettigheter
Når MDataService er behandlingsansvarlig, kan du etter vilkårene i GDPR be om innsyn, retting, sletting, begrensning og dataportabilitet, protestere mot behandling basert på berettiget interesse og trekke tilbake samtykke uten at dette påvirker lovligheten før tilbaketrekkingen. Når kunden er behandlingsansvarlig, bør forespørselen først sendes til kunden; vi bistår kunden som databehandler.
Vi kan be om rimelig informasjon for å bekrefte identiteten og hindre at data gis til feil person. Forespørsler er normalt kostnadsfrie.
13. Sletting av app- og Meta-data
Du kan be om sletting eller koble fra en sosial konto på følgende måter:
- Åpne tjenestens innstillinger, velg Tilknyttede kontoer, koble fra den aktuelle plattformen og bekreft.
- Trekk tilbake appens tilgang i personvern- eller integrasjonsinnstillingene hos den sosiale plattformen.
- Send en slettingsforespørsel til e-postadressen nedenfor. Oppgi kontoens e-postadresse og den tilknyttede siden/kontoen, men ikke send passord eller tilgangstoken.
- Hvis opplysningene gjelder en virksomhets kundedialog, kontakt også den aktuelle virksomheten fordi den normalt er behandlingsansvarlig.
Etter verifisering deaktiverer vi relevante integrasjoner og sletter data fra aktive systemer uten ugrunnet opphold, normalt innen den oppgitte aktive slettefristen. Data som lovlig må beholdes sperres for annen bruk. Rester i sikkerhetskopier slettes ved automatisk overskriving.
13. Sletting av app- og Meta-data14. Denne policy-nettsiden
Den statiske personvernsiden setter som standard ingen informasjonskapsler, bruker ingen analyseverktøy og har ingen innlogging. Netlify kan behandle begrensede tekniske logger for sikker levering av siden. Hvis analyse eller andre sporingsverktøy senere aktiveres, må erklæringen og eventuell samtykkeløsning oppdateres før aktivering.
15. Barn
Tjenesten er en virksomhetstjeneste for autoriserte voksne brukere og er ikke rettet mot barn. Vi oppretter ikke bevisst kundekontoer for personer under angitt minstealder. Kontakt oss hvis du mener at et barn har gitt oss kontoopplysninger uten nødvendig tillatelse. 18+
16. Automatiserte avgjørelser og markedsføring
Tjenesten foretar ikke automatiserte avgjørelser som har rettsvirkning eller tilsvarende betydelig påvirkning på en person. Vi bruker ikke kundens publikumsdata til egen direkte markedsføring. Eventuell valgfri markedsføring til kunden sendes bare med gyldig grunnlag og tydelig avmeldingsmulighet.
17. Endringer
Vi oppdaterer erklæringen når behandlingen, leverandørene eller regelverket endres. Vesentlige endringer varsles i tjenesten eller direkte til kunden før de trer i kraft når det er praktisk og lovpålagt. Dato og versjon øverst viser gjeldende utgave.
18. Kontakt og klage
Send spørsmål eller rettighetsforespørsler til personvernkontakten. Du har også rett til å klage til Datatilsynet eller tilsynsmyndigheten der du bor eller arbeider.
Offisielle veiledningskilder
Lenkene er veiledning og en del av dokumentasjonen bak malen; de erstatter ikke en konkret juridisk vurdering av tjenestens faktiske behandling.