Dataskyddsförklaring

Läge: 2022-10-18

Best Secret GmbH tar skyddet av dina personuppgifter mycket allvarligt och samlar in och använder dina personuppgifter endast enligt gällande lagbestämmelser.

För att du ska känna dig säker när du besöker vår webbsida, ger vi dig här en översikt över, hur Best Secret GmbH garanterar detta skydd, vilken typ av data som samlas och för vilket syfte. Du kan alltid hämta Dataskyddspolicy på vår webbsida.

1. Information om databehandling inom BestSecret gruppen

1.1 Allmänt

Best Secret GmbH är en del av BestSecret gruppen (härefter kallat BestSecret gruppen).

Inom ramarna för affärsverksamheten är det därför viktigt att data utbyts regelbundet mellan filialer och företag för att främja och underlätta gruppövergripande samarbete. Av denna anledning begränsas den centrala processen inte bara till det enskilda koncernföretaget, utan omfattar även andra koncernföretag. Företagen i S&B gruppen arbetar därför tillsammans inom många områden och fungerar i dataskyddsrättslig mening som gemensamt ansvariga.

1.2 Information om väsentligt innehåll i kontraktet om gemensamt ansvar inom BestSecret gruppen

Av denna anledning har medlemsföretagen i S&B gruppen slutit ett avtal som gemensamt ansvariga enligt. art. jämte art. 4 nr. 7 GDPR, för att säkerställa säker behandling och för att du ska kunna göra gällande dina rättigheter.

Detta avtal reglerar särskilt följande punkter:

• Föremål, ändamål, medel och omfattning samt ansvarsområden och ansvar för databehandlingen
• Information till den berörda
• Uppfyllande av de berörda personernas övriga rättigheter
• Säkerhet vid behandlingen
• Inblandning av personuppgiftsbiträden
• Förfarande vid överträdelse av dataskyddsrättigheter
• Andra gemensamma och ömsesidiga förpliktelser
• Samarbete med tillsynsmyndigheter
• Ansvar

2. Ansvarig och dataskyddsansvarig

Ansvarig för behandlingen av dina personrelaterade uppgifter är BestSecret gruppen som gemensamt personuppgiftsansvariga. Du kan särskilt hävda dina rättigheter gentemot Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland, härefter kallat BestSecret. Koncernföretagen i S & B gruppen har vart och ett utsett en dataskyddsombud. De ansvariga personerna och den dataskyddsansvariga personen kan du kontakta på följande sätt:

Ansvarig för databearbehandlingen	Dataskyddsombu hos den ansvariga
Best Secret GmbH Representerad av Dr. Moritz Hahn, Axel Salzmann och Dr. Andreas Reichhart Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland Telefon: +49 (0) 89 / 24600 000 E-mail: [email protected]	Best Secret GmbH Dataskyddsomb Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland E-mail: [email protected]

3. Lämpliga garantier vid bearbetning av personrelaterade tredjeparts länder

Om vi använder tjänsteleverantörer utanför EU eller Europeiska ekonomiska samarbetsområdet (EES) tar vi adekvata och lämpliga garantier i enlighet med art. 44 ff. GDPR t.ex. för ingående av EU: s standardkontrakt, extra tekniska och organisatoriska åtgärder såsom kryptering och anonymisering. Observera att trots ett noggrant urval av tjänsteleverantör och dennes skyldigheter, kan densamma behandla uppgifter utanför EU eller EES alternativt omfattas av ett annat rättssystem på grund av företagets säte och därför inte erbjuda en adekvat nivå angående dataskydd. Om uppgifterna överförs till USA, föreligger en risk, att dina uppgifter kan behandlas av amerikanska myndigheter för kontroll- och övervakningssyfte utan att du har några möjligheter till rättshjälp.

4. Allmän datainsamling vid besök av vår webbsida

Vid enbart informativ användning av webbsidan, dvs. om du inte registrerar dig eller på annat sätt lämnar information, samlar vi endast in personuppgifterna som din webbläsare sänder till vår server. Dessa uppgifter är tekniskt nödvändiga, för att vi ska kunna informera dig om vår hemsida och för att säkerställa stabilitet och säkerhet (rättslig grund är det berättigade intresset enligt art. 6 p. 1 f) GDPR).

Av tekniska skäl sparas dessa som så kallade loggfiler (protokollfiler) som standard.

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning	Optimerad webbplatsrepresentation. Säkerställer korrekt webbplatsdrift	Artikel 6 p.1 f) GDPR	Radering efter senast 60 dagar
IP-adress	Säkerställer korrekt webbplatsdrift	Artikel 6 p.1 f) GDPR	Radering efter senast 60 dagar

Vi använder felanalystjänsten Rollbar från Rollbar Inc. (Rollbar, 51 Federal Street, San Francisco, CA 94107, USA) för att säkerställa systemstabiliteten på vår webbplats. Med hjälp av Rollbar kan vi upptäcka tekniska fel som inträffar på vår webbplats, för att i så fall åtgärda dessa fel omgående. Syftet med behandlingen av uppgifter som då sker är den tekniska observationen av vår webbplats och dokumentationen av felmeddelanden för att garantera och optimera webbplatsens tekniska stabilitet.

För det fall att applikationsfel inträffar överförs följande uppgifter till Rollbar:

• den anropande enhetens IP-adress
• användaragent
• den anropande ändenhetens operativsystem, språk och version
• den anropande enhetens webbläsarversion
• den använda webbläsarens språk
• document object model (DOM)-händelse (t ex ”klickat på knapp xy”)
• tidszonsskillnad till Greenwichtid (GMT)
• den hämtade filens namn
• datum och tidpunkt för hämtning
• information om det fel som inträffat (t ex JavaScript-fel, nätverksfel)

Behandlingens rättsliga grund stödjer sig på artikel 6 p. 1 f) GDPR, vårt berättigade intresse att erbjuda en tekniskt stabil webbplats och en så felfri användning som möjligt av vårt webbutbud.

De registrerade uppgifterna raderas 90 dagar efter att de har samlats in.

För att möjliggöra behandling överförs uppgifter till Rollbar i USA, där felanalystjänsten bedrivs på Googles datacentraler (Google Data Center, Council Bluffs, Iowa 51501/USA) (Google Cloud). Vi har träffat ett avtal med Rollbar om personuppgiftsbehandling enligt artikel 28 GDPR, i vilket Rollbar förpliktar sig att garantera det nödvändiga skyddet av dina uppgifter och att uteslutande behandla dem på vårt uppdrag och enligt våra anvisningar enligt de gällande dataskyddsbestämmelserna. En adekvat skyddsnivå såsom avses i artikel 44 och följande GDPR är genom tillämpningen av de så kallade EU-standardavtalsklausulerna enligt artikel 46 GDPR garanterad inom ramen för personuppgiftsbehandlingen.

Mer dataskyddsrättslig information om Rollbar finns på https://docs.rollbar.com/docs/privacy-policy och https://docs.rollbar.com/docs/security .

Vi använder övervaknings- och analysplattformen Datadog från Datadog, Inc. (Datadog, 620 8th Ave, 45th Floor, New York, NY 10018) för att kunna åtgärda fel och genomföra säkerhetsanalyser på ett effektivt sätt. Med hjälp av Datadog kan vi genom logfiles (protokollfiler) upptäcka tekniska fel som inträffar på vår webbplats, för att i förekommande fall åtgärda dessa fel omgående. Den behandling av uppgifter som då sker har till syfte att garantera en tekniskt stabil och säker webbplats och att ständigt optimera våra tjänster.

Följande uppgifter behandlas när plattformen bedrivs samt händelserelaterat när applikationsfel inträffar:

• customerPK (Primary Key som teknisk nyckel som tilldelas av BestSecret)
• customerId (kundnummer)
• customerUid (e-mail)
• clientIp (IP-adress)
• SchuboCustomerNumber (kundkortsinnehavarens kundnummer, vilket registreras vid felmeddelanden)
• SchuboCardNumber (kundkortsnummer, vilket registreras vid felmeddelanden)
• kundens kontaktuppgifter (vilka registreras vid felmeddelanden) – här kan följande komponenter registreras: herr/fru, kundens för- och efternamn
• kundens e-mailadress (vilken registreras vid felmeddelanden)
• information om det fel som inträffat
• den anropande webbläsarens eller slutenhetens operativsystem, språk och version
• tidszonsskillnad till Greenwichtid (GMT)
• den hämtade filens namn
• datum och tidpunkt för hämtning

Behandlingens rättsliga grund stödjer sig på artikel 6 stycke 1 mening 1 bokstav f) GDPR, vårt berättigade intresse att erbjuda en tekniskt stabil och säker webbplats och en så felfri användning som möjligt av vårt webbutbud.

De registrerade uppgifterna raderas i regel 30 dagar, men senast 60 dagar efter att de har samlats in.

Vi har valt det EU-servicealternativ som erbjuds av Datadog, så att uppgifterna uteslutande sparas och säkras på datacentra inom EU. För detta ändamål används Google Cloud-plattformen i Tyskland. Vi kan emellertid inte utesluta att det inom ramen för den nämnda behandlingen av uppgifter även kan hända att dessa överförs till USA eller att det för supportändamål finns möjlighet till åtkomst från tredjeländer. Vi har träffat ett avtal med Datadog om personuppgiftsbehandling enligt artikel 28 GDPR, i vilket Datadog förpliktar sig att garantera det nödvändiga skyddet av dina uppgifter och att uteslutande behandla dem på vårt uppdrag och enligt våra anvisningar enligt de gällande dataskyddsbestämmelserna. En adekvat skyddsnivå såsom avses i artikel 44 och följande GDPR är genom tillämpningen av de så kallade EU-standardavtalsklausulerna enligt artikel 46 GDPR garanterad inom ramen för personuppgiftsbehandlingen. Mer information om detta finns på https://www.datadoghq.com/legal/eea-data-transfers/ samt i Datadogs integritetspolicy.

5. Datainsamling vid inloggning/registrering på vår webbsida

När du loggar in eller registrerar dig på www.BestSecret.se, sparas personrelaterade, beteendemässiga och tekniska data.

Tekniska data anonymiseras, sparas och utvärderas. Anonymiserat innebär, att vi inte kan identifiera data till en specifik eller identifierbar fysisk person eller bara med förhållandevis stor tidsåtgång, kostnader och arbetskraft. Vi utvärderar denna anonyma data för att ytterligare förbättra shoppens funktionalitet och göra den mer användarvänlig.

Inom ramarna för en intresseavvägning enligt art. 6 p. 1 f) GDPR har vi tagit hänsyn till och avvägt vårt intresse av att tillhandahålla uppgifterna och ditt intresse av att personuppgifterna ska kunna hanteras dataskyddsenligt korrekt.

Följande data är nödvändiga för att tillhandahålla vår tjänst, för att erbjuda dig vår webbsida och för att garantera stabilitet och säkerhet, särskilt för att skydda mot missbruk. Följaktligen kan vi - med en datasäkerhetsgaranti av senaste tekniska standard – behandla dessa data, med beaktande av och hänsyn tagen till ditt intresse av en dataskyddsenlig behandling av personuppgifterna.

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personlig information som: Namn, e-postadress, ...	Registreringsändamål. Kundkommunikation	Artikel 6 p.1 f) GDPR	Radering efter utgått syfte eller till dess att skyldigheten att bevara affärshändelser avseende handels- och skatterätt upphör att gälla.
Beteenderelaterade data som: Senast inloggad, registreringsdatum, besökta produktsidor, ...	Kundkommunikation, Registreringsändamål	Artikel 6 p.1 f) GDPR	Radering efter utgått syftet, senast 90 dagar efter det att medlemskapet avslutats

Insamling av data för tillhandahållande av webbsidan och lagring av data i loggfiler är absolut nödvändigt för driften av internetsidan. Det finns följaktligen ingen invändningsmöjlighet från användarens sida.

Som autentiseringsplattform för din registrering och inloggning till medlemsområdet på vår webbplats använder vi Auth0 (Auth0 Inc., 10900 NE 8th Street, Suite 700, Bellevue, WA 98004), en tjänsteleverantör som är specialiserad på säker autentisering. Syftet med användningen av Auth0 är att få en säker autentisering av våra medlemmar inom ramen för inloggningsprocesser i samband med registreringspliktiga tjänster.

När du registrerar dig första gången via inloggningsformuläret på vår webbplats samlar vi för detta ändamål in din e-postadress, kontrollerar med stöd av uppgifterna ditt medlemskap hos oss och skickar sedan anmälningsuppgifterna (e-postadress och krypterat lösenord) vidare till Auth0. Auth0 sparar på vårt uppdrag dessa anmälningsuppgifter för senare matchning vid inloggningsprocesser. Uppgifterna används enbart för din autentisering. När du anmäler dig till vår webbplats under inloggningsprocessen överförs de uppgifter som du har angivit för anmälan – e-postadress och krypterat lösenord – till Auth0 för matchningen i autentiseringssyfte. Inom ramen för denna autentiseringsprocess får vi därefter tillbaka resultatet av verifieringen från Auth0. Under loppet av verifieringsprocessen samlas följande personrelaterade uppgifter in av Auth0: e-postadress, anmälningsdatum, datum för senaste inloggning, IP för senaste inloggning, webbläsare och operativsystem som använts vid anmälan.

Dina uppgifter används för att skapa, iordningsställa och personalisera din medlemsprofil inom ramen för tillhandahållande av en avtalsenlig tjänst. Rättslig grund för behandlingen av uppgifter är fullgörandet av avtalet (artikel 6 p. 1 b) GDPR) samt våra berättigade intressen (artikel 6 p. 1 f) GDPR) för att i samband med drivandet av våra registreringspliktiga tjänster uppvisa ett effektivt och säkert anmälningssystem.

Auth0 behandlar dina uppgifter i datacentra tillhörande Amazon Web Services (kort: AWS) i Frankfurt am Main och Dublin/Irland, en tjänst från Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg. Vi har ingått ett avtal med Auth0 gällande behandling av uppgifter enligt artikel 28 GDPR, i vilket Auth0 förpliktar sig att endast behandla uppgifterna enligt våra anvisningar och att följa EU:s dataskyddsnivå. För att säkerställa en adekvat dataskyddsnivå har vi dessutom med Auth0 avtalat EU-standardiserade avtalsklausuler som lämpliga skyddsåtgärder enligt artikel 46 GDPR.

Dina uppgifter sparas inom ramen för de lagliga skyldigheterna och raderas därefter. Principiellt sparas personrelaterade uppgifter bara så länge som krävs för de redan nämnda syftena, om inte företaget är förpliktat till en längre lagring enligt de lagliga dokumenterings- och förvaringsskyldigheterna. I den mening som avses ovan raderas dina uppgifter som registrerad medlem hos oss när ditt medlemskap upphör. Samtidigt med att ditt användarkonto raderas, raderas även de uppgifter som finns sparade hos Auth0.

Mer information om Auth0:s dataskyddspolicy hittar du på https://auth0.com/privacy/ .

6. Datainsamling och användning i samband med beställningar

Information, som vi får från dig, hjälper oss att behandla din beställning så smidigt som möjligt, att eliminera felkällor, förbättra vår service till dig och förhindra missbruk och bedrägeri.

Vi använder dina uppgifter för behandling av beställningar och betalningar, leverans av varor och tillhandahållande av tjänster. Inom ramen för beställningshanteringen får exempelvis de här av oss anlitade tjänsteleverantörerna (som t.ex. transportör, logistiker, banker eller vår Marketplace-partner) de nödvändiga uppgifterna för beställnings- och uppdragshantering. Samma sak gäller för hantering av returer. När du beställer en produkt på vår Marketplace lämnas de uppgifter som är nödvändiga för beställnings- och uppdragshanteringen även vidare till respektive Marketplace-partner för att denne ska kunna utföra leverans av beställningen.

Om du inte ger oss samtycke till att lagra dina betalningsuppgifter i samband med betalningen, inklusive ditt personnummer, så kommer vi inte att lagra dem längre än till dess att beställningen har slutförts. Om ingen beställning har slutförts inom sju dagar efter att du har angett alla eller några av betalningsuppgifterna på betalningsskärmen, raderar vi dessa uppgifter. Du måste sedan ange dessa uppgifter vid varje ny beställning för att beställningen ska kunna slutföras.

Inom ramarna för behandlingen av betalningar skickar vi dina betalningsuppgifter vidare till den beställda betaltjänstleverantören. Beakta att många av dessa mottagare har egen rätt eller skyldighet att behandla dina personrelaterade uppgifter, t.ex. Riverty (https://documents.myafterpay.com/consumer-terms-conditions/se_se/). Om du vill ha mer information om mottagarna, kontakta [email protected].

Närmare information om dataskydd hittar du i vår dataskyddsinformation för kunder, som vi ställer till förfogande för dig här: Länk till information

7. Tracking-teknologier

7.1 Allmänt

För att förbättra vårt webberbjudande och utnyttja det så optimalt som möjligt, använder vi Tracking-teknologier som t.ex. cookies. Cookies är små textfiler som lagras i datorns operativsystem när du besöker vår webbsida. Cookies innehåller bland annat en karakteristisk sträng som gör att webbläsaren kan identifieras tydligt när webbsidan hämtas igen. Cookies lagrar ytterligare information, till exempel din språkinställning, varaktigheten av ditt besök på vår webbsida eller vissa inmatningar som görs där. Därmed undviks, att man vid varje användning behöver mata in alla nödvändiga data igen. Dessutom möjliggör cookies, att vi känner igen dina preferenser och anpassar vår webbsida enligt dina intressen.

7.2 Typ an använda tracking-teknologier

Vi skiljer mellan tracking-teknologier, som är tekniskt nödvändiga för webbplatsen, tracking för optimering av vår webbplats, optimering av vår webbplats/app samt tracking för personlig marknadsföring.

7.2.1 Tekniskt nödvändiga tracking-teknologier

Inom ramarna för tekniskt nödvändiga tracking-teknologier använder vi cookies. Dessa cookies är nödvändiga för drift av en webbsida/app och dess funktioner. Härtill hör exempelvis session-cookies och cookies, som sparar särskilda användarinställningar (t.ex. varukorg-, språkinställningar, förinställning av kön eller inloggningsdata), Opt-Out cookies, cookies från betalningstjänsteleverantörer, som används för genomförande av betalningsprocessen, Cookies från speditörer, som är nödvändiga för leveransspårning, eller Google Tag Manager för förvaltning av dina tracking-inställningar. Rättslig grund för användning av tekniskt nödvändiga tracking-teknologier har sitt berättigade intresse enligt Art. 6 p. 1 f) GDPR.

En deaktivering av dessa cookies kan dock göras genom inställning i respektive webbläsare.

7.2.2 Tracking för optimering och prestanda av webbplats/app

Tracking för optimering och prestanda är till för utvärdering av användarbeteendet av BestSecret webbplats och app för Performance analys resp. för statistiska ändamål. På basis av dessa utvärderingar kan BestSecret optimera användarvänligheten i sin shop och eventuellt åtgärda inträffade fel.

Till tracking-teknologier för optimering och prestanda räknas:

• Google Optimize
• Google Firebase
• Hotjar

Det exakta funktionssättet samt berörda datakategorier för de enskilda tracking-teknologierna beskrivs närmare under siffra 8.

Tracking för optimering och prestanda används endast, om du har givit ditt samtycke för detta enligt Art. 6 p. 1 a) GDPR. Samtycke måste lämnas både på webbplatsen och på den mobila användningen. De inställningar som har gjorts för samtycke i den mobila användningen gäller både för webbplatsen och för de mobila användningarna. Du kan återkalla ditt samtycke när som helst genom att välja bort tracking under "Optimering & Prestanda" i cookie-inställningarna längst ner på sidan. Frånvalet (Opt-Out) fungerar vanligtvis av tekniska skäl först efter 48-72 timmar. Om du gör ändringar gällande samtycke för appen kan du påskynda detta genom att starta appen på nytt.

För förvaltning av dina tracking inställningar använder vi samtyckesmanagement-verktyget ”Usercentrics Consent Management Plattform” från Usercentrics GmbH, Sendlinger Strasse 7, 80331 Muenchen, Tyskland. Därmed sparas följande data:

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tracking inställning (bl.a. samtycke eller vägran, tidpunkt)	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
Enhetsdata resp. data för använd dator (bl.a. Förkortad Ip-adress och tidpunkt)	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
User Identifier	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto

7.2.3 Tracking för personalisering

Tracking för personalisering är till för upprättande av personanpassad och avstämd reklam för dina intressen på våra webbplatser/app eller på våra reklampartners webbplatser samt för övriga marknadsföringsändamål.

Till tracking-teknologier för personalisering räknas:

• Google Ads, Audiences och Conversion Tracking
• Google Analytics
• Google Marketing Platform
• Criteo
• Salesforce
• Meta Custom Audiences & Smartly
• Snapchat
• TikTok
• RTB House
• Pinterest
• Adjust
• Socialbakers

Det exakta funktionssättet för de enskilda tracking-teknologierna beskrivs närmare under siffra 8.

Tracking för personalisering används endast, om du har givit ditt samtycke för detta enligt Art. 6 p. 1 a) GDPR. Samtycke måste lämnas både på webbplatsen och på den mobila användningen. De inställningar som har gjorts för samtycke i den mobila användningen gäller både för webbplatsen och för de mobila användningarna. Du kan återkalla ditt samtycke när som helst genom att välja bort tracking under "Personalisering" i cookie-inställningarna längst ner på sidan. Frånvalet (Opt-Out) fungerar vanligtvis av tekniska skäl först efter 48-72 timmar. Om du gör ändringar gällande samtycke för appen kan du påskynda detta genom att starta appen på nytt.

För förvaltning av dina tracking inställningar använder vi samtyckesmanagement-verktyget ”Usercentrics Consent Management Plattform” från Usercentrics GmbH, Sendlinger Strasse 7, 80331 Muenchen, Tyskland. Därmed sparas följande data:

Berörd datakategori	Bearbetnings syfte	Rättslig grund för bearbetningen	Lagringstid
Tracking inställning (bl.a. samtycke eller vägran, tidpunkt)	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
Enhetsdata resp. data för använd dator (bl.a. Förkortad Ip-adress och tidpunkt)	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
User Identifier	Bevisändamål	Artikel 6 p.1 f) GDPR	3 år efter återkallelse av samtycke resp. radering av konto

8. Google Tag Manager

För tydlighetens skull, påpekar vi att vi använder Google Tag Manager. Google Tag Manager registrerar själv inga personuppgifter. Google Tag Manager gör det lättare för oss att integrera och hantera våra tags. Tags är små kodenheter, som bland annat används för att mäta trafik och besökarnas beteende, spåra effekterna av online-annonsering och sociala kanaler, ställa in remarketing resp. retargeting och målgruppsinriktning och att testa och optimera webbsidor. För ytterligare information om Google Tag Manager se https://www.google.com/analytics/tag-manager/use-policy/.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	personuppgiftsbiträden	JA	USA

9. Google Analytics & Google Optimize

Denna website använder Google Analytics, en webbanalystjänst från Google Inc. Vi använder oss också av Google Optimize. Med hjälp av Google Optimize kan vi analysera hur olika varianter av vår hemsida används samtidigt som vi får hjälp med att förbättra hemsidans användarvänlighet utifrån användarnas beteende. Verktyget Google Optimize är kopplat till Google Analytics.

För Google Analytics och Google Optimize används så kallade ”Cookies”, textfiler som lagras på din dator och gör det möjligt att analysera hur du använder hemsidan. Den genom cookien skapade informationen över din användning av denna website överförs som regel till en server hos Google i USA och sparas där. Genom en aktivering av IP-anonymisering på denna website, kommer först din IP-adress att förkortas av Google inom medlemsstaterna i Europeiska unionen eller andra parter i avtalet över det europeiska ekonomiska samarbetsområdet. Endast i undantagsfall överförs den fullständiga IP-adressen av Google till en server i USA och förkortas där. Den inom ramarna för Google och Google Optimize från din webbläsare överförda IP-adressen sammanförs inte med andra data av Google. På uppdrag av operatören av den här websiten kommer Google att använda denna information, för att utvärdera din användning av websiten, för att sammanställa rapporter om aktiviteter på websiten och vidare att skaffa fram med website- och internetanvändningen knutna tjänster gentemot websiteoperatören. Vi använder också de uppgifter som Google tillhandahåller oss i rapporterna - uteslutande i aggregerad anonymiserad form - för att hantera våra marknadsföringsaktiviteter online på våra webbplatser eller plattformar för sociala medier (bland annat Meta).

Data som skickas av oss och kopplade till cookies, användaridentifiering (t.ex. användar-ID) eller annonserings-ID kommer automatiskt att raderas efter 26 månader. Raderingen av data, vars lagringsperiod har uppnåtts görs automatiskt en gång i månaden. Närmare information om användarvillkoren och dataskydd hittar du under
https://www.google.com/analytics/terms/se.html,
https://support.google.com/optimize/answer/6230273
resp. under https://policies.google.com/?hl=sv.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Utvärdering av kundbeteende	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Utvärdering av kundbeteende	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Användar-ID, enhets-ID	Utvärdering av användarbeteende på olika enheter/webbläsare	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Personuppgifter som e-mailadress, Google Click-ID, Google Client-ID, IP-adress, mobilt annons-ID, beställnings-ID, användar-ID, rabattkod	Annonsleverans för kundsegment	Artikel 6 p. 1 a) GDPR	Radering efter senast 26 månader

10. Google Ads, Audiences, och Conversion Tracking

För att uppmärksamma våra tjänster kör vi Google Adwords-annonser med hjälp av Googles Conversion-Tracking för personlig, intresse- och platsbaserad online-annonsering.

Annonserna visas på Googles egna webbplatser, tjänster och appar. De visas dessutom på webbplatser som tillhör Googles annonsnätverk. Detaljerad information om Google-reklamnätverk hittar du under https://support.google.com/adwords/answer/1752334?hl=sv. Vi har möjlighet att kombinera våra annonser med specifika sökord. Med hjälp av cookies kan vi visa annonser baserade på en användares tidigare besök på vår webbsida.

När man klickar på en annons, placerar Google en cookie på användarens dator. För mer information om den använda cookie-tekniken, se Googles vägledning för webbplatsstatistik på https://services.google.com/sitestats/sv.html och i dataskyddsbestämmelserna under https://policies.google.com/privacy?hl=sv.

Med hjälp av denna teknik får Google och vi som kund, information om att en användare har klickat på en annons och omdirigerades till våra webbsidor. Informationen som erhålls här, används uteslutande för en statistisk utvärdering för annonsoptimering. Vi får ingen information som skulle göra det möjligt för dem att identifiera användaren personligen. Den statistik som tillhandahålls av Google inkluderar det totala antalet användare som har klickat på en av våra annonser och, om tillämpligt, om de har omdirigerats med en Conversion-Tag som är markerad till vår webbplats. Baserat på denna statistik kan vi förstå, vilka sökord som används mest i vår annons när användaren klickar på den, och vilka annonser som leder till kontakt via kontaktformuläret.

Vi använder dessutom den så kallade Custom Match-funktionen från Google Ads. Med hjälp av denna funktion kan vi skapa målgrupper för att på så sätt kunna presentera visst reklaminnehåll för bara en del av användarna. För detta ändamål ställer vi Google en kundlista till förfogande som innehåller den e-mailadress som har noterats i ditt kundkonto.

Mer information samt möjligheten att invända hittar du på: https://support.google.com/google-ads/answer/6379332 eller https://adssettings.google.com/.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Personuppgifter som e-mailadress, Google Click-ID, Google Client-ID, IP-adress, mobilt annons-ID, beställnings-ID, användar-ID	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader

11. Google Marketing Platform

Vi använder också Marketing Platform, en tjänst som tillhandahålls av Google Inc. Marketing Platform använder cookies, för att visa användarbaserade annonser. Cookies identifierar vilken annons som redan har visats i din webbläsare och om du har hämtat en visad annons på en webbsida. Cookies samlar inte in någon personlig information och kan inte associeras med sådan information.

Ytterligare informationer om hur man använder Google Cookies, kan du läsa om i Dataskyddsförklaringen från Google.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader
Personuppgifter som e-mailadress, Google Click-ID, Google Marketing Platfrom Click-ID, Google Marketing Platform Client-ID, IP-adress, mobilt annons-ID, beställnings-ID	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 26 månader

12. Google Web Fonts (offline-variant)

Den här webbplatsen använder så kallade webbfonter för att framställa typsnitt på ett enhetligt sätt. Webbfonterna ställs till förfogande av Google. När du öppnar en sida laddar webbläsaren in nödvändiga webbfonter i webbläsarens cache så att texter och typsnitt kan visas på ett korrekt sätt. Vi har beslutat oss för offline-varianten, vilket betyder att Google-fonterna sparas lokalt på vår webbserver. Det är då möjligt att med CSS förvalta typsnitten precis som för varje annan typsnittsfamilj. Någon överföring av IP-adressen och andra uppgifter till Google äger inte rum. Användningen av Googles webbfonter sker i syfte att framställa vårt online-utbud på ett enhetligt och tilltalande sätt med tanke på effektivitet och sänkta kostnader. Detta utgör ett berättigat intresse enligt artikel 6 p. 1 f) GDPR. Om din webbläsare inte stöder webbfonter används ett standardtypsnitt från din dator.

Mer information om Google Web Fonts hittar du på https://developers.google.com/fonts/faq och i Googles integritetspolicy: https://www.google.com/policies/privacy/.

13. Hotjar

Vår webbsida är ansluten till Hotjar (https://www.hotjar.com). Med Hotjar kan vi registrera och utvärdera användarbeteende (t.ex. musrörelser, klicks, rullhöjd) på våra internetsidor. För detta ändamål placerar Hotjar cookies på användarnas datorer och kan anonymt spara data från användare, t.ex. webbläsarinformation, operativsystem, spartid på sidan. Mer om databehandling genom Hotjar hittar du under följande länk: https://www.hotjar.com/privacy.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Hotjar, 3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta	personuppgiftsbiträden	NEJ	/

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Analys av kundbeteende mot webbplatsoptimering	Artikel 6 p.1 a) GDPR	Radering efter senast 12 månader
Beteenderelaterade data som: Besökte produktsidor, webbläsarbeteende på webbplatsen, besökta sidor ...	Analys av kundbeteende mot webbplatsoptimering	Artikel 6 p.1 a) GDPR	Radering efter senast 12 månader

14. Criteo

På våra sidor samlar vi in information i pseudonym form med teknik från Criteo, om webbside-besökarens surfbeteende i marknadsföringssyfte och vi placerar in cookies och webbpixlar för detta ändamål. Criteo kan sedan analysera surfningsbeteendet och därefter visa riktade produktrekommendationer som passande reklambanners, när andra webbsidor besöks. För detta ändamål placeras även cookies på våra partners webbsidor via pixlar. De pseudonymiserade uppgifterna kan inte i något fall användas för att identifiera besökaren av webbplatsen personligen. Data som samlas in av Criteo kommer endast att användas för att förbättra annonseringsbjudandet.

Du kan läsa mer allmänt om Criteos dataskyddsförklaring och dataskyddsriktlinjer under https://www.criteo.com/privacy/.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Criteo GmbH, Lehel Carré, Gewuerzmuehlstrasse 11, 80538 Muenchen, Tyskland	Ansvarig	NEJ	/

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader
Personuppgifter som e-mailadress, Criteo Client-ID, IP-adress, mobilt annons-ID, beställnings-ID	Utvärdering av användarbeteende på olika enheter/webbläsare; Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader

15. Salesforce

För kundtjänst använder vi Customer Relationship Management-modulen ”Salesforce Marketing Cloud” och ”Salesforce Service Cloud” från Salesforce.com Inc. Dessa data bearbetas i USA. Ytterligare information om Salesforce Marketing Cloud och Salesforce Service Cloud samt om den data som behandlas hittar du under https://www.salesforce.com/company/privacy/.

Om du ger ditt uttryckliga samtycke, analyserar dessa teknologier också information om användarnas beteende på webbplatser, mobilappar, e-postmeddelanden, push-meddelanden, meddelanden i appen och annan kommunikation för marknadsföringsändamål. I detta syfte används cookies och webbpixlar, liksom spårningstjänsten iGoDigital, som tillhör Salesforce. Den samlade informationen är associerad med din e-postadress och förknippad med ett eget ID, för att entydigt matcha klickande i kommunikationen. Användarprofilen tjänar till att skräddarsy erbjudandet och våra tjänster till dina intressen och förbättra vårt reklamerbjudande samt vår kommunikation med dig.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Skapande av profiler som en del av Salesforce CRM-system	Artikel 6 p.1 a) GDPR	Radering efter utgått syfte, senast 90 dagar efter det att medlemskapet avslutats
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter,använd FAQ/Hjälp, namn på hämtad webbplats, produkter på önskelistan	Hitta lämpliga produktrekommendationer eller annat kommunikationsinnehåll för nyhetsbrev och specialutskick samt andra meddelanden som t.ex. push-meddelanden eller meddelanden i appen Förbättring av webbplatsen samt övrig kommunikation	Artikel 6 p.1 a) GDPR	Radering efter utgått syfte, senast 90 dagar efter det att medlemskapet avslutats
Användar-ID, enhets-ID	Hitta lämpliga produktrekommendationer eller annat kommunikationsinnehåll för nyhetsbrev och specialutskick samt andra meddelanden som t.ex. push-meddelanden eller meddelanden i appen Förbättring av webbplatsen samt övrig kommunikation	Artikel 6 p.1 a) GDPR	Radering efter utgått syfte, senast 90 dagar efter det att medlemskapet avslutats

16. Meta Ads och Custom Audiences & Smartly

Vi använder inom ramen för den användningsbaserade onlinereklamen tjänsten Custom Audiences från Meta Platforms Inc. (1601 S. California Avenue, Palo Alto, CA 94304, USA). Personuppgiftsbiträde är för oss därvid (som företag inom EU) även Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Inom ramen för den användningsbaserade onlinereklamen via Custom Audiences skapar vi i Metas annonshanterare målgrupper av användare med utgångspunkt från vissa egenskaper. Dessa målgrupper får sedan reklamannonser inom Metas nätverk. Användarna väljs ut av Meta med ledning av den profilinformation som anges om dem samt med stöd av andra uppgifter som ställs till förfogande genom användningen av Meta. Klickar en användare på en reklamannons och leds vidare till vår webbplats informeras Meta via Meta-pixeln på vår webbplats och även Meta conversion API om att användaren har klickat på reklamrutan. Principiellt genereras då en icke-reversibel och icke-personrelaterad kontrollsumma (ett hash-värde) utifrån dina användningsdata, vilket skickas vidare till Meta för analys- och marknadsföringsändamål. Därvid skapas en Meta-cookie. Cookien registrerar information om din aktivitet på vår webbplats (t.ex. surfbeteende, besökta sidor etc.). För en geografisk modulering av reklamen sparas och används dessutom din IP-adress.

Alternativt kan vi ställa Meta en kundlista till förfogande som innehåller den e-postadress som du har angivit vid din registrering.

Laglig grund för vår behandling är artikel 6 p. 1 a) i GDPR.

Det samtycke du har givit kan du när som helst återkalla med framtida verkan genom att ändra ditt val i cookie-inställningarna. Alternativt kan du radera dina cookies (alla eller endast de från denna webbplats). Rutan med valmöjligheter visas då på nytt.

När du har samtyckt till den beskrivna databehandlingen har även Meta åtkomst till dina uppgifter. Det är i synnerhet möjligt att Meta Platforms Inc., 1601 Willow Road, Menlo Park, California 94025, USA och Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland har åtkomst till dina uppgifter. Meta Platforms Inc. befinner sig i ett tredjeland.

Meta ställer sedan den 31 augusti 2020 online ett ” tillägg för överföring av EU-data” till förfogande genom vilket standardavtalsklausulerna i de fall ska tillämpas när Meta Platforms Irland Limited som personuppgiftsbiträde behandlar uppgifter från EU/EEG och i egenskap av underbiträde överför dessa uppgifter till Meta Platforms Inc.

Mer information om tjänsten Custom Audiences från Meta finns på: https://sv-se.facebook.com/business/help/744354708981227?id=2469097953376494.

Avaktivering av funktionen ”Meta Custom Audiences” är för inloggade användare möjligt på https://www.facebook.com/settings/?tab=ads#_.

Observera i detta sammanhang att Meta även kan använda de uppgifter som ställs till förfogande av oss beträffande ditt användningsbeteende samt din e-postadress för egna ändamål. På denna sida har du möjligheten att invända mot targeting på Facebook.

Mer information om ändamålet och omfattningen av insamlingen av uppgifter och den fortsatta behandlingen och användningen av uppgifterna genom Meta samt dina inställningsmöjligheter för att skydda din privatsfär framgår av Facebooks dataskyddsinformation.

Vi använder dessutom verktyget Smartly.io. Verktyget är en tjänst från Solutions Inc., Elielinaukio 2 G, 00100 Helsingfors, Finland. Plattformen har en webbaserad arbetsyta för att skapa och förvalta Facebook-, Messenger, Instagram- och WhatsApp-kampanjer. Vi använder Smartly för att skapa och genomföra reklamkampanjer åt BestSecret via Meta. Kampanjerna skapas i Smartly och spelas ut via gränssnittet till Meta. Den statistik som Meta upprättar för att analysera reklamkampanjerna delges oss även i Smartly. I samband med användningen av verktyget har vi slutit ett avtal med Smartly gällande personuppgiftsbehandling enligt artikel 28 GDPR och säkerställer därmed att bestämmelserna i dataskyddslagarna följs.

Mer information om dataskydd vid användning av Smartly.io kan hämtas på: https://cdn2.hubspot.net/hubfs/1570479/Privacy%20Policy/Smartly.io%20Privacy%20Policy.pdf?t=1541578381755.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Meta Platforms Inc. 1601 Willow Road Menlo Park, CA 94025, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Maximalt 12 månader, för närvarande 6 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Maximalt 12 månader, för närvarande 6 månader
Personuppgifter som e-mailadress, IP-adress, Meta Client-ID, Meta Click-ID, mobilt annons-ID, beställnings-ID, användar-ID	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Maximalt 12 månader, för närvarande 6 månader

17. Snapchat

Vi använder onlinetjänsterna från leverantören Snapchat Inc. (Market Street, Venice Ca 90291 USA) i syfte att analysera och optimera vår webbplats och våra tjänster.

Med hjälp av Snap-Pixel är det möjligt att slå ihop besökare på vår webbplats till en målgrupp och på så sätt placera reklam i form av Snapchat-Ads. Vi använder därför Snapchat-Pixel för att vända oss till specifika målgrupper som är intresserade av reklam eller som visar intresse för särskilda teman eller produkter. Det är dessutom möjligt för oss att kunna följa upp effektiviteten hos Snapchat-Ads i form av statistik.

Som grundval för behandling av uppgifter hos mottagare med säte i tredjeländer (utanför EU) eller för överföring av uppgifter dit använder Snapchat EU-standardavtalsklausuler (artikel 46 p. 2 och p. 3 GDPR). EU-standardavtalsklausuler är av EU-kommissionen offentliggjorda avtal för att fortsättningsvis säkra dataskyddsnivån för dina uppgifter även inom tredjeländer. Snapchat förpliktar sig därigenom att upprätthålla och följa den europeiska dataskyddsnivån vid behandling av dina personuppgifter, även om dessa behandlas i ett tredjeland.

Mer information om hur Snapchat behandlar dina personuppgifter hittar du under följande länk: https://snap.com/sv-SE/privacy/privacy-policy .

Rättslig grund för denna behandling av uppgifter är ditt samtycke enligt artikel 6 p. 1 a) GDPR.

18. TikTok

På vår webbplats använder vi TikTok Pixel, ett Conversion-Tracking-verktyg från tjänsteleverantören TikTok med säte i London, United Kingdom (6th Floor, One London Wall, London, EC2Y 5EB). Det rör sig om ett dotterbolag till koncernmodern TikTok med huvudsäte i Kina.

Vi vill uttryckligen göra dig uppmärksam på att TikTok sparar användarnas uppgifter (t ex IP-adress, preferenser och personliga intressen eller beteenden) och använder dem i kommersiellt syfte. Vi har inget inflytande över behandlingen och fortsatt användning av dessa uppgifter eftersom TikTok ensamt bestämmer över behandlingen av dina personuppgifter. I vilken omfattning, var och under vilken tid uppgifterna sparas och i vilken utsträckning uppgifterna länkas samman och utvärderas och till vem uppgifterna lämnas vidare kan vi för närvarande inte bedöma.

TikTok behandlar uppgifter inom Europa, Kina och USA. Vi vill upplysa dig om att det enligt EU-domstolen för närvarande inte finns någon lämplig skyddsnivå för överföring av uppgifter utanför den Europeiska unionen. Som grundval för behandling av uppgifter hos mottagare med säte i ett tredjeland (utanför EU) har vi slutit så kallade EU-standardavtalsklausuler med TikTok (artikel 46 p. 2 och p. 3 GDPR). EU-standardavtalsklausuler är av EU-kommissionen offentliggjorda avtal för att fortsättningsvis säkra dataskyddsnivån för dina uppgifter även inom tredjeländer. TikTok förpliktar sig därigenom att upprätthålla och följa den europeiska dataskyddsnivån vid behandling av dina personuppgifter, även om dessa behandlas i ett tredjeland.

Mer information om hur TikTok behandlar dina personuppgifter hittar du under följande länk: https://www.tiktok.com/legal/privacy-policy-eea?lang=sv-SE.

Rättslig grund för denna behandling av uppgifter är ditt samtycke enligt artikel 6 p. 1 a) GDPR.

19. RTB House

På våra sidor, via hjälp av RTB House SA, genom placering av cookies och webbpixlar, samlas information in om webbsidobesökarens surfvanor för marknadsföring i pseudonym form. RTB House kan sedan analysera surfvanorna och därefter visa riktade produktrekommendationer som passande reklambanners, när andra webbsidor besöks. I inget fall kan de anonyma uppgifterna användas för att personligen identifiera besökarna på webbplatsen. Data som samlas in av RTB House kommer endast att användas för att förbättra annonseringsbjudandet.

Du kan läsa mer allmänt om RTB House dataskyddsförklaring och dataskyddsriktlinjer under https://www.rtbhouse.com/privacy/.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
RTB House SA, Złota 61/101, 00-819, Warszawa, Polen	personuppgiftsbiträden	NEJ	/

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader
Användar-ID, enhets-ID	Utvärdering av användarbeteende på olika enheter/webbläsare; Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Radering efter senast 13 månader

20. Firebase

I vår app använder vi teknik från Google Firebase (Google Ireland Limited., Gordon House, Barrow Street, Dublin 4, Irland, ”Google”) med olika funktioner. För Firebase används s.k. ”Instance-IDs” som hjälper appen att minnas personliga inställningar. Eftersom alla Instance ID är kopplade till en mobilapp och den mobilenhet som du använder kan man med Firebase analysera och reagera på specifika händelser i mobilappen. De uppgifter som genereras om hur du använder den här mobilappen på din enhet med hjälp av Instance-ID skickas som regel till en Google-server i USA och sparas där. Såvida IP-adressen vidarebefordras säkerställer Google att IP-adressen omgående anonymiseras.

I Firebases användarvillkor under (https://firebase.google.com/terms/) och integritetspolicy under (https://firebase.google.com/support/privacy/) hittar du mer information.

Leverantörens namn	Typ av serviceleverantör	Överföring av uppgifter till tredjeland	Tredje land
Google Ireland Limited., Gordon House, Barrow Street, Dublin 4, Irland	Registerförare	JA	USA

Närmare bestämt används de nedanstående funktionerna:

20.1 Firebase Remote Config

Med Firebase Remote Config kan man konfigurera app-inställningar. Vi kan anpassa din apps beteende och utseende på användarenheten utan att du behöver installera om den från aktuell App Store från början. Läs mer om hur Remote Config fungerar här.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: använt operativsystem, typ av webbläsare och version, enhet (smartmobiler, surfplattor eller andra enheter), datum och tid när hämtningen gjordes ...	Optimera appen	Artikel 6 p.1 a) GDPR	Radering efter uppnått syfte, senast 180 dygn efter uppmaning
Instance ID	Optimera appen	Artikel 6 p.1 a) GDPR	Radering efter uppnått syfte, senast 180 dygn efter uppmaning

20.2 Firebase Performance Monitoring

Med hjälp av Firebase Performance Monitoring kan vi kartlägga appens prestanda och reagera på särskilda händelser i appen. Läs mer om detta här.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: använt operativsystem, typ av webbläsare och version, enhet (smartmobiler, surfplattor eller andra enheter), datum och tid när hämtningen gjordes ...	Optimera appen	Artikel 6 p.1 a) GDPR	Radering efter uppnått syfte, senast 180 dygn efter uppmaning
Instance ID	Optimera appen	Artikel 6 p.1 a) GDPR	Radering efter uppnått syfte, senast 180 dygn efter uppmaning

20.3 Firebase Dynamic Links

Vi nyttjar Firebase Service Dynamic Links, såvida du använder en mobil enhet med operativsystemet iOS eller Android. Firebase Dynamic Links är länkar som fungerar på flera plattformar och oberoende av om du redan har installerat vår app eller inte. Om du öppnar en Dynamic Link på iOS eller Android dirigeras du direkt vidare till det länkade innehållet i din app. Om du inte har installerat vår app än dirigeras du via länken vidare till app-installationen i App Store respektive Play Store. Därefter startar din app och får åtkomst till länken. Om du å andra sidan öppnar samma Dynamic Link i en desktop-webbläsare dirigeras du vidare till det motsvarande innehållet på webbplatsen. På så sätt är det möjligt för oss att alltid dirigera dig direkt vidare till den rätta adressen. För att uppnå funktionaliteten används personrelaterade uppgifter som IP-adress och enhetsspecifikationer (som webbläsarprogrammets språk och version, operativsystem som används och dess yta, referrer URL, datum och klockslag för serverförfrågan, tidszonsskillnad gentemot Greenwich Mean Time (GMT), begärans innehåll (konkret sida), överförd datavolym, åtkomststatus/HTTP-statuskod) som övergående sparas för att erbjuda tjänsterna.

Mer information om Firebase Dynamic Links hittar du här (https://firebase.google.com/docs/dynamic-links), om dataskydd och IT-säkerhet på: https://firebase.google.com/support/privacy.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
IP-adress och enhetsspecifikationer (webbläsarprogrammets språk och version, operativsystem som används och dess yta, referrer URL, datum och klockslag för serverförfrågan, tidszonsskillnad gentemot Greenwich Mean Time (GMT), begärans innehåll (konkret sida), överförd datavolym, åtkomststatus/HTTP-statuskod).	Optimering av användarens upplevelse vid nyttjande av länkar	Artikel 6 p. 1 f) GDPR	Radering efter uppnått syfte, senast 180 dagar efter uppmaning

20.4 Firebase Crashlytics

I våra mobila applikationer för Android och iOS har vi integrerat Firebase Crashlytics (https://firebase.google.com/products/crashlytics) för att upptäcka och rapportera krascher och inte-totala krascher i appen. Denna information används för att förbättra applikationens prestanda och stabilitet. För dessa ändamål sänds tekniska data såsom mobilenhetens ID, enhetstyp, modell, operativsystem och ungefärlig plats för mobilenheten för att tillhandahålla en mer tillförlitlig analys, till exempel för att fastställa huruvida problemet är specifikt för en enhetstyp eller för multipla enheter.

I Firebases användarvillkor under (https://firebase.google.com/terms/) och integritetspolicy under (https://firebase.google.com/support/privacy/) hittar du mer information.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska data som: Använt operativsystem, webbläsartyp och version, enhet (t.ex. telefon, tablet, ...), datum och tid för webbplatshämtning, ...	Utvärdering av kundbeteende	Artikel 6 p.1 a) GDPR	Radering inte senare än 180 dagar
Beteenderelaterade data som: Registreringsdatum, besökta produktsidor, beställda produkter, namn på hämtad webbplats, ...	Utvärdering av kundbeteende	Artikel 6 p.1 a) GDPR	Radering inte senare än 180 dagar
Användar-ID, enhets-ID	Utvärdering av användarbeteende på olika enheter/webbläsare	Artikel 6 p.1 a) GDPR	Radering inte senare än 180 dagar

21. Business intelligence-användningar / interna verktyg

Inom vår organisation nyttjar vi olika tekniker på området business intelligence för att hela tiden förbättra vår onlineshop och därmed förknippade tjänster och för att ge dig en positiv shoppingupplevelse.

Det rör sig här om interna affärsanalyser med långsiktig optimering av våra tjänster, till exempel i form av nya tillämpningar (verktyg/appar). Vi behandlar härvid en mindre omfattning av redan existerande/insamlade personrelaterade uppgifter som t ex användar-ID eller beställningsinformation i pseudonymiserad form och förknippar eventuellt dessa med varandra. Om det är tekniskt möjligt att anonymisera dina personrelaterade uppgifter kommer vi att göra det för att förhindra identifiering av din person. De verktyg som används kommunicerar genom existerande gränssnitt för att säkerställa syftet med en långsiktig optimering.

Insamling och lagring av uppgifter sker för att fullgöra ett redan existerande avtal enligt artikel 6 p. 1 b) GDPR i förbindelse med våra berättigade intressen enligt artikel 6 p. 1 f) GDPR. Våra berättigade intressen består i att hela tiden förbättra vår onlineshop och den därmed förknippade shoppingupplevelsen.

Dina personrelaterade uppgifter raderas omgående när syftet är uppfyllt.

22. Pinterest Ads

Dessutom använder vi Pinterest Tag från Pinterest Europe Limited Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland. Detta gör att vi kan följa hur användare agerar efter att de sett en viss Pinterest-annons. Med hjälp av Pinterest Tag kan vi dessutom mäta en reklamkampanjs konverteringsgrad. Genom Pinterest Tag kan vi alltså kontrollera hur effektiv en viss Pinterest-annons är, optimera framtida reklamkampanjer samt anpassa dessa till användarnas behov. Vi har ingen möjlighet att dra några slutsatser om användarens identitet på grundval av de data som samlas in. Uppgifterna lagras dock även av Pinterest och kan kopplas samman med användarprofilen och användas för reklamändamål. Mer information om dataskydd hittar du här: https://policy.pinterest.com/sv/privacy-policy.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska uppgifter såsom: enhetsinformation, använt operativsystem, enhetens identifikationsnummer, datum och klockslag för sökning	Exponering av kundsegment för reklamannonser	Artikel 6 p.1 a) GDPR	Högst 12 månader
Användningsrelaterade uppgifter såsom: registreringsdatum, uppsökta produkter, beställda produkter, namn på den besökta sidan	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Högst 12 månader
Personuppgifter som e-mailadress, IP-adress, Pinterest Client-ID, mobilt annons-ID, beställnings-ID	Annonsleverans för kundsegment	Artikel 6 p.1 a) GDPR	Högst 12 månader

23.Adjust

Vi använder tjänsten Adjust från företaget Adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin/Tyskland för vår Best Secret-app, för att analysera användningen av appen och för att förbättra våra mobila reklamåtgärder. Med hjälp av Adjust kan vi registrera installationer av vår app och på vilket sätt den används och utvärdera och optimera insatsen av mobila reklamkampanjer på olika marknadsföringskanaler.

För de nämnda analysfunktionerna och med hjälp av spårningsteknik använder Adjust i synnerhet app-användarens IP-adress, MAC-adress (hashad), användaragent (webbläsarinformation) och apparat-ID samt mobila identifierare som annons-ID för iOS (IDFA), säljar-ID för iOS (IDFV), Google Advertising-ID eller liknande mobila identifierare. De uppgifter som samlas in via Adjust kan informera om installationen, om när en app öppnades första gången på mobilenheten och om interaktioner på en app (t ex in-app-köp, inloggning). Uppgifterna ger dessutom information om vilka reklamannonser som användaren tittat eller klickat på.

Rättslig grund för behandlingen av uppgifter är ditt samtycke enligt artikel 6 p. 1 a) GDPR. Det samtycke som du har gett kan du när som helst återkalla så att återkallelsen gäller för framtiden.

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Tekniska uppgifter som: operativsystem och -version som används, typ och version av webbläsare, typ av enhet (smarttelefon, surfplatta), HTTP-header, användaragent, app-version, SDK-version, App Token, Event Token, datum och klockslag för aktiviteten	Utvärdering av användarens beteende för att optimera app-användningarna och för analys av mobila reklamkampanjer på olika marknadsföringskanaler	Artikel 6 p.1 a) GDPR	Radering efter ändamålets bortfall (t ex återkallat samtycke), respektive fram till dess att handels- och skatterättsliga förvaringsskyldigheter har upphört
Beteenderelaterade uppgifter som registreringsdatum, installation av en app och när den öppnades första gången, interaktioner på appen (t ex hämtade produkter, köpta produkter, produktsökningar) eller information om vilka reklamannonser som användaren tittat eller klickat på	Utvärdering av användarens beteende för att optimera app-användningarna och för analys av mobila reklamkampanjer på olika marknadsföringskanaler	Artikel 6 p.1 a) GDPR	Radering efter ändamålets bortfall (t ex återkallat samtycke), respektive fram till dess att handels- och skatterättsliga förvaringsskyldigheter har upphört
Adjust enhets-ID, Google Click-ID, Google Marketing Platform Click-ID, Meta Click-ID, IP-adress, mobilt annons-ID, tillverkar-ID (IDFV, endast för iOS), beställnings-ID, användar-ID	Utvärdering av användarens beteende för att optimera app-användningarna och för analys av mobila reklamkampanjer på olika marknadsföringskanaler	Artikel 6 p.1 a) GDPR	Radering efter ändamålets bortfall (t ex återkallat samtycke), respektive fram till dess att handels- och skatterättsliga förvaringsskyldigheter har upphört

Vi har träffat ett avtal med Adjust om personuppgiftsbehandling enligt artikel 28 GDPR, i vilket Adjust förpliktar sig att garantera det nödvändiga skyddet av dina uppgifter och att uteslutande behandla dem på vårt uppdrag och enligt våra anvisningar enligt de gällande dataskyddsbestämmelserna.

Adjust använder för sin drift datacentra hos leverantören Leaseweb Netherlands B.V., Hessenbergweg 95, 1101 CX Amsterdam, inom EU (Frankfurt am Main, Amsterdam) och i USA.

Om personuppgifter behandlas på servrar utanför EU/EES, t ex i USA, förutser avtalet om personuppgiftsbehandling att Adjust måste säkerställa en adekvat skyddsnivå när det gäller behandling av uppgifter i ett tredjeland såsom avses i artikel 44 och följande GDPR, vilket sker genom tillämpning av de så kallade EU-standardklausulerna enligt artikel 46 GDPR och genom ytterligare åtgärder.

Mer dataskyddsrättslig information från Adjust finns på https://www.adjust.com/terms/privacy-policy/ och https://www.adjust.com/terms/gdpr/ .

24.Socialbakers

Vi använder dessutom Socialbakers, en tjänst från Emplifi Czech Republic a.s., Pod Všemi svatými 17, Pilsen, Tjeckien. Socialbakers är ett styrnings- och marknadsföringssystem för sociala medier (Social Suite Plattform) som vi använder för marknadsbevaknings-, reklam- och marknadsföringsändamål.

Socialbakers gör det möjligt för oss att bevaka, analysera och utvärdera aktiviteterna på våra sociala mediekanaler och med stöd av databaserade rekommendationer genomföra målgruppsrelaterade marknadsföringsåtgärder. Vi använder dessutom Socialbakers inom ramen för vår kundsupport för att reagera på kundförfrågningar via respektive socialt mediums kommunikationsväg. För detta ändamål kopplar vi ihop Socialbakers med våra sociala medieplattformar eller webbplatser som använder Google Analytics. Socialbakers registrerar och bearbetar enbart sådana personrelaterade uppgifter som vi i enlighet med dataskyddsbestämmelserna samlar in om dig när du besöker våra sociala mediekanaler och webbplatser. Information om detta hittar du i vårt utbuds dataskyddsinformation/hanteringsverktygen för samtyckesförklaring.

Behandlingen av personrelaterade uppgifter sker med stöd av artikel 6 p. 1 b) och artikel 6 p. 1 f) GDPR. För att fullgöra ett avtal eller ett avtal som avtecknar sig förutsätts att de personrelaterade uppgifterna behandlas. I de fall ett köp inte avtecknar sig eller avtecknade sig i det förflutna består våra berättigade intressen i att optimera kundsupporten.

I samband med användningen av tjänsten har vi ingått ett avtal med Socialbakers gällande behandling av personuppgifter enligt artikel 28 GDPR. Mer information om dataskydd vid användning av Socialbakers kan hämtas på: https://www.socialbakers.com/privacy-policy.

25. Google Maps

Denna sida använder karttjänsten Google Maps. Google Maps är en karttjänst från Google LLC., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Om du vill använda funktionerna i Google Maps kan information, inklusive IP-adressen och adressen om anges som en del av ruttfunktionen, överföras till leverantörens servrar. Denna information överförs som regel till en server av Google i USA och sparas där. När du besöker en webbplats som innehåller Google Maps, upprättar din webbläsare en direkt anslutning till Googles servrar, varvid innehållet på kartan skickas till din webbläsare och integreras där. Dina data överförs dock först, när du har givit ditt samtycke för detta. Leverantören av denna sida har inget inflytande på anslutande dataöverföring. Baserat på aktuell information, innehåller denna information:

• Datum och klockslag för besök på den aktuella webbplatsen,
• Internetadress eller URL till webbplatsen,
• IP-adress, (start-) adress som anges inom ramarna för ruttplaneringen

Användningen av Google Maps genomförs för en attraktiv presentation av våra online-erbjudanden och för att göra det lätt att hitta de platser vi har angett på webbplatsen. Enligt detta är rättslig grund artikel 6 p. 1 f) GDPR. Om du inte vill ha Googles databehandling via denna tjänst, kan du inaktivera användningen av JavaScript i dina webbläsarinställningar. Observera att den interaktiva kartfunktionen i Google Maps inte kan användas i detta fall.

Mer information om hur du hanterar användardata finns i Googles dataskyddsförklaring: https://www.google.se/intl/sv/policies/privacy/.

Leverantörens beteckning	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Gemensamt ansvarig	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Datum och klockslag för besök på den aktuella webbplatsen, Internetadress eller URL till webbplatsen, IP-adress, (start-) adress som anges inom ramarna för ruttplaneringen	Lätt att hitta platser	Artikel 6 p.1 a) GDPR	BestSecret lagrar inga data relaterade till tjänsten Google Maps. Mer information om Googles lagringstid hittar du i ovanstående angivna Dataskyddsförklaring.

26. Nyhetsbrev

Genom att godkänna mottagandet av nyhetsbrevet, godkänner du ett regelbundet mottagande av information om försäljningskampanjer, produktrekommendationer, kuponger och VIP-status från Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland. Utskick av information kan ske genom Best Secret GmbH.

För att skicka nyhetsbrevet använder BestSecret dessutom tjänsten Salesforce Marketing Cloud, som drivs av företaget salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA.

För att göra vårt nyhetsbrev ännu mer intressant för dig i framtiden används vanliga tekniker som cookies eller att räkna pixlar i vårt nyhetsbrev. Vi utvärderar dina klick i nyhetsbrev med så kallade tracking-pixlar dvs. osynliga bildfiler samt personliga länkar och inbäddade länkar (Link Wrapping). De är associerade med din e-postadress och är förknippade med eget ID för att entydigt matcha klick i nyhetsbrev. Användarprofilen tjänar till att skräddarsy erbjudandet och våra tjänster för dina intressen. Rättslig grund för detta, är det berättigade intresset enl. Artikel 6 p.1 a) GDPR. Vi tar här hänsyn till dina cookie-inställningar.

Dessutom använder vi bestämda data (t.ex. kön, postnummer, VIP-status), för att på motsvarande sätt segmentera resp. individualisera vårt nyhetsbrev. Rättslig grund för detta är vårt berättigade intresse enl. artikel 6 p. 1 f) GDPR.

Du kan ändra hur ofta du ska få nyhetsbrevet eller innehållet i nyhetsbrevet i dina nyhetsbrevsinställningar.

Samtycket till nyhetsbrevet är frivilligt och kan återkallas när som helst. Återkallelsen kan göras under inställningar i ditt kundkonto och givetvis via avanmälningslänken i varje nyhetsbrev.

Följande data behandlas för nyhetsbrevet:

Beteckning för leverantören av nyhetsbrev	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland	Ansvarig	NEJ	/
Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA	personuppgiftsbiträden	JA	USA

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personuppgifter som: E-postadress, adressformulär, förnamn, efternamn, kön	Nyhetsbrev leverans	Artikel 6 p.1 a) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
Bekräftelse av leverans av nyhetsbrev, tid för bekräftelse, nyhetsbrev preferenser	Nyhetsbrev leverans	Artikel 6 p.1 a) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
Återkallande av bekräftelse	Bevis på återkallande	Artikel 6 p.1 a) GDPR	3 år efter återkallelse av samtycke resp. radering av konto
Beteendemässiga uppgifter som: Öppnings- och klickfrekvens	Analys av användarbeteende och skapande av personlig reklam	Artikel 6 p.1 a) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet
Personliga data som: Kön, postnummer eller inköp	Segmentering resp. individualisering	Artikel 6 p.1 f) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet

27. Direktreklam utan förvarning

Såvida vi har inhämtat din e-postadress eller postadress i samband med köpet av en vara eller tjänst förbehåller vi oss rätten att med jämna mellanrum skicka erbjudanden om produkter ur vårt sortiment via e-post eller post till dig. Vi använder också tjänsteleverantören Optilyz, Neue Schönhauser Str. 19, 10178 Berlin, Tyskland från Salesforce för postreklam via Salesforces Marketing Cloud. Direktreklam kan segmenteras enligt demografiska data, som t.ex. postnummer eller VIP-status. Du kan invända mot att din e-postadress används för utskick av direktreklam via en särskild länk i meddelandet med reklamerbjudanden eller/och mot användningen av din postadress genom att skicka ett e-postmeddelande till [email protected]

Beteckning för leverantören av nyhetsbrev	Tjänsteleverantör-typ	Data överförda till tredje land	Tredje land
Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA	personuppgiftsbiträden	JA	USA
Optilyz GmbH, Neue Schönhauser Str. 19, 10178 Berlin, Tyskland	personuppgiftsbiträden	NEJ	/

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personuppgifter som: E-postadress, adressformulär, förnamn, efternamn, kön	Nyhetsbrev leverans	Artikel 6 p.1 f) GDPR	Fram till invändning
Demografiska data som: Postnummer, sista inköp eller VIP-status	Utskick av marknadsföringskampanj / individualisering	Artikel 6 p.1 f) GDPR	Till invändning
invändning	Bevis	Artikel 6 p.1 f) GDPR	Radering efter utgått syftet, senast 90 dagar efter det att medlemskapet avslutats

28. Push-meddelanden, meddelanden i appen och meddelanden i inkorgen i appen

28.1 Push-meddelanden

I vår app kan du ge ditt samtycke till att få push-meddelanden. Push-meddelanden är vanliga skärmmeddelanden om ditt medlemskap, säljkampanjer och de senaste trenderna. Du kan när som helst slå de här meddelandena på och av i appinställningar på din mobila enhet och därmed bevilja eller återkalla ditt samtycke. Om du prenumererar på push-meddelanden, skickas enhets-ID för din mobila enhet till den tjänst som tillhandahåller push- funktionen för ditt operativsystem (för Android: Google Cloud Messaging; För iOS: Apple Push Notification Service) skickat. En så kallad identifierare (“Push Notification Identifier”) skapas sedan, som används för vidare kommunikation med BestSecret PushServer. Identifieraren tillåter inte att några slutsatser dras om användaren. För att skicka meddelanden använder BestSecret tjänsten Salesforce Marketing Cloud, som drivs av företaget Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA.

Dessutom använder vi bestämda data (t.ex. kön, postnummer, inköp), för att på motsvarande sätt segmentera resp. individualisera våra push-meddelanden och meddelanden i appen. Rättslig grund för detta är vårt berättigade intresse enl. Artikel 6 p.1 f) GDPR.

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Push-meddelandens identifierare	Utskick av push-meddelanden	Artikel 6 p.1 f) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet
Personliga data som: Förnamn, efternamn eller kön, VIP-status eller kuponger	Skapande av push-meddelande	Artikel 6 p.1 f) GDPR	Radering efter utgått syftet, senast 90 dagar efter det att medlemskapet avslutats

28.2 Meddelanden i appen och inkorgen

Dessutom använder vi oss av meddelanden i appen och inkorgen. Dessa meddelanden visar information om säljkampanjer, kuponger eller din VIP-status i appen. För att skicka meddelanden använder BestSecret tjänsten Salesforce Marketing Cloud, som drivs av företaget Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA.

Vi använder också meddelanden i appen och inkorgen (t.ex. kön, postnummer, inköp), för att på motsvarande sätt segmentera resp. individualisera våra push-meddelanden och meddelanden i appen. Rättslig grund för detta är vårt berättigade intresse enl. Artikel 6 p.1 f) GDPR.

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Apparat-ID och app-ID	Skapande av meddelande i appen	Artikel 6 p.1 f) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet
Personliga data som: Förnamn, efternamn eller kön, VIP-status eller kuponger	Skapande av meddelande i appen	Artikel 6 p.1 f) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet

28.3 Spårning av push-meddelanden, meddelanden i appen och meddelanden i inkorgen

För att göra våra push-meddelanden, meddelanden i appen och inkorgsmeddelanden ännu mer intressanta för dig i framtiden, utvärderar vi dina öppningar och klick samt besökets längd, bl.a. med hjälp av personliga länkar och inbäddade länkar (Link Wrapping). Insamlad information länkas till din abonnent-ID. Användarprofilen tjänar till att skräddarsy erbjudandet och våra tjänster till dina intressen. Detta kan bara göras, om du ger oss ditt samtycke i enlighet med Cookie Opt-Ins Artikel 6 p.1 a) GDPR.

Berörd datakategori	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Beteendemässiga uppgifter som: Öppnings- och klickfrekvens, besökstid	Analys av användarförhållande	Artikel 6 p.1 a) GDPR	Radering på grund av särskilda ändamål, senast 90 dagar efter uppsägning av medlemskapet

29. Uppgiftsanvändning för feedback från kunder

För att genomföra kundnöjdhetsenkäter använder vi tjänsterna från Zenloop (Zenloop GmbH, Brunnenstr. 196, 10119 Berlin, Tyskland) och Qualtrics (Qualtrics LLC, 333 River Park Drive, Provo, Utah 84604, USA). Rättslig grund härför är Artikel 6 p.1 f) GDPR. Enkätens innehåll kan vara både produktspecifikt och icke-specifikt. Härvid behandlas enkät- och kontaktuppgifter. Inga av de insamlade uppgifterna behandlas under ditt namn eller din e-postadress utan endast pseudonymiserade med ledning av ditt kundnummer. Efter färdig analys av uppgifterna raderas kundnumret ur dataposten så att vi bara har uppgifterna i anonymiserad form kvar. I Qualtrics behandlar vi även uppgifter som vi tidigare erhållit från Salesforce såvida du har gett ditt samtycke till en behandling av uppgifterna genom Salesforce. Behandlingen av uppgifter inom ramen för Qualtrics och Zenloop äger rum i Europa. Närmare information om behandlingen av uppgifter genom Zenloop och Qualtrics framgår av Zenloops dataskyddsförklaring (https://www.zenloop.com/de/legal/privacy) samt från Qualtrics dataskyddsförklaring (https://www.qualtrics.com/privacy-statement/). Om du har bestämt dig för att delta i kundfeedbacken men inte längre vill det kan du motsäga dig fortsatt behandling (genom att kontakta oss eller via länken i e-postmeddelandet).

Berörd datakategori	Behandlingens syfte	Rättslig grund för behandlingen	Lagringstid
Frågor om den tekniska utformningen av enkäten	Förfrågan uppströms om huruvida en enkät kan visas.	Artikel 6 p.1 a) GDPR	Radering när syftet inte längre föreligger
Enkätuppgifter, kontaktuppgifter	Genomförande och utvärdering av kundnöjdhetsenkäter	Artikel 6 p.1 f) GDPR	Radering när syftet inte längre föreligger
Tekniska uppgifter som: utrustningsinformation, operativsystem som används, unikt enhets-ID, typ och version av webbläsare, datum och klockslag för besöket	Genomförande och utvärdering av kundnöjdhetsenkäter	Artikel 6 p.1 f) GDPR	Radering när syftet inte längre föreligger
Demografiska data som: Postnummer, kön, språk	Genomförande och utvärdering av kundnöjdhetsenkäter	Artikel 6 p.1 f) GDPR	Radering när syftet inte längre föreligger
Beställnings- och omsättningshistorik eller VIP-status	Genomförande och utvärdering av kundnöjdhetsenkäter	Artikel 6 p.1 f) GDPR	Radering när syftet inte längre föreligger

30. Bjuda in vänner

Vi erbjuder dig möjligheten att rekommendera vår webbsida till intresserade personer. Genom att klicka på knappen “Bjuda in vänner” får du en exklusiv inbjudningslänk, som du kan skicka via sociala medier eller via e-post.

Dessutom lagrar vi personuppgifter om den person som du har rekommenderat. Som ett stängt Shopping Community ingår bara medlemmar som har rekommenderats av befintliga medlemmar. Lagringen fungerar för verifiering och spårbarhet och sker för sker för genomförandet av medlemsavtalet.

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personuppgifter på inbjuden som: E-postadress, inbjudningsmeddelande, tidpunkten för inbjudan	Genomförande av medlemsavtalet	Artikel 6 p.1 b) GDPR	Radering då ändamålet med behandlingen upphört, men senast 90 dagar efter det att medlemskapet avslutats.
Inbjudarens personliga uppgifter: Förnamn, efternamn, E-mail	Genomförande av medlemsavtalet	Artikel 6 p.1 b) GDPR	Radering då ändamålet med behandlingen upphört, men senast 90 dagar efter det att medlemskapet avslutats.

31. Väntelista

Eftersom vi är en sluten Shopping Community och dessvärre bara kan anta ett begränsat antal medlemmar erbjuder vi intresserade personer att sätta upp sig på en väntelista. Denna möjlighet gäller för det fall då en medlem skickar en inbjudan till en person, fastän denna medlem inte längre har rätt att bjuda in någon.

Genom väntelistan sparas nedanstående uppgifter:

Uppgifter	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Den inbjudna personens personuppgifter, såsom förnamn, efternamn, mejladress, tidpunkt för registrering och bekräftelse	Preliminär medlemsskapsåtgärd (före ingånget avtal)	Artikel 6 första stycket b i förordning (EU) 2016/679 (Dataskyddsförordningen)	Uppgifter raderas när syftet upphör att existera, senast 30 dagar efter att en inbjudan avvisats eller inte bekräftats genom BestSecret

32. Datainsamling inom ramarna för incentive programmet för VIP Club

Inom ramarna förr medlemskap hos BestSecret har du möjlighet att delta i incentive programmet för vår VIP Club.

För detta lagrar vi följande uppgifter:

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personuppgifter för den inbjudna/ inbjudaren: Förnamn, efternamn, E-mail	Genomförande av incentiveprogrammet för vår VIP-club	Artikel 6 p.1 b) GDPR	Radering efter speciellt ändamål, senast 90 dagar efter uppsägning av medlemskapet
Beteendemässiga uppgifter som: Beställningar, den inbjudnas byten	Genomförande av incentiveprogrammet för vår VIP-club	Artikel 6 p.1 b) GDPR	Radering efter speciellt ändamål, senast 90 dagar efter uppsägning av medlemskapet

33. Vinstspel

För vinstspel använder vi din information för vinstmeddelande och för att marknadsföra våra erbjudanden. Detaljerad information finns i våra användarvillkor för respektive vinstspel.

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Personuppgifter om vinnaren som Förnamn, efternamn, e-postadress, adress och social media kontaktinformation	Tävlingsutförande, meddelande till vinnaren, leverans av priser vid vinst	Artikel 6 p.1 f) GDPR	Radering efter utgått syfte

34. Kreditvärdighetskontroll

För att erbjuda dig de bästa betalningsalternativen måste vi skydda dig och oss mot missbruk. Därför, beroende på betalningsmetod, överför vi de personuppgifter som krävs för en identitets- och kreditkontroll (för- och efternamn, adress, födelsedatum, kön, e-postadress, telefonnummer och information om belopp och förfallodag för fordran) till vår betalningstjänstleverantör. Överföringen sker i syfte att genomföra avtalet (Artikel 6 p.1 b) GDPR) och på grund av vårt legitima intresse för att förebygga missbruk och skydda betalningsinställningar, eftersom vi levererar varan i förväg (Artikel 6 p.1 f) GDPR).

Därvid följer ett matematisk-statistiskt förfarande som bedömer sannolikheten för en utebliven betalning. Vår betalningstjänstleverantör använder denna information för ett avvägt beslut om vilka betalningsalternativ som ska ges till dig.

Under betalningsprocessen, innan du överför personuppgifter, informeras du särskilt om det och om vilka data som överförs, och du kan eventuellt avbryta processen. Dessutom gäller våra allmänna affärsvillkor och integritetspolicy från vår betalningstjänstleverantör. Om du vill ha närmare information om vår betalningstjänstleverantör, så kan du alltid kontakta [email protected].

35. Iakttagande av tullrättsliga bestämmelser

På grund av flera EU-direktiv (2580/2001/EG, 881/2002/EG och 753/2011/ EG) och andra lagstadgade krav, måste vi som företag granska våra kunders data mot allmänt tillgängliga utrikeshandels- och embargolistor innan vi tecknar ett försäljningskontrakt. Vi utför denna granskning, eftersom vi har ett berättigat intresse att uppfylla lagstadgade krav och behöver skydda oss mot sanktioner och böter (Artikel 6 p.1 b) GDPR). Vi gör endast en kontroll, när du beställer en produkt på vår hemsida och blir betalningsskyldig. Endast följande uppgifter jämförs: förnamn, namn och adress. Data raderas omedelbart efter kontrollen.

36. Databearbetning på vår karriärsida

På vår karriärsida informerar vi dig om lediga tjänster hos BestSecret gruppen. Närmare information om databearbetning på karriärsidan hittar du här.

37. Överföring av data

37.1 Överföring av data inom företagsgruppen

Best Secret GmbH är en del av företagsgruppen BestSecret. Inom ramarna för affärsverksamheten är det viktigt, att data utbyts regelbundet mellan företagen. Datautbytet är avgörande för medlemskap i BestSecret samt för fullgörande av kontrakt Datautbytet sker för fullgörande av kontrakt enl. art. 6 p. 1 b) GDPR. Följande företag i BestSecret gruppen har inom ramarna för koncernövergripande samarbete åtkomst till dina data:

Ansvarig	Syftet med behandlingen’	Rättslig grund till bearbetningen
Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim, Tyskland	Genomförande av medlemskapet samt drift och tillhandahållande av BestSecret Online Shops. Hävda och avvärja rättsliga anspråk, säkerhetsavdelning, betalningsbehandling, anslutning av kundkort med Best Secret, deltagande i provisionssystem.	Artikel 6 p.1 b) GDPR
Best Secret Logistik GmbH, Parsdorfer Strsse 13, 85586 Poing, Tyskland	Leverans av paket och bearbetning av returer	Artikel 6 p.1 b) GDPR
Best Secret Retail Wien GmbH, Berggasse 16, 1090 Wien, Österrike	Anslutning av kundkort, deltagande i provisionssystem	Artikel 6 p.1 b) GDPR

37.2 Anlitande av personuppgiftsbiträden

Förutom de ovan uttryckligen angivna serviceleverantörerna anlitar vi ytterligare serviceleverantörer som registerförare. I den utsträckning det är nödvändigt behandlar dessa personuppgifter. Vi väljer och följer upp våra serviceleverantörer med största omsorg. Dessa behandlar endast uppgifterna enligt våra instruktioner. Hit räknas serviceleverantörer såsom leverantörer av IT-tjänster, leverantörer av marknadsföringstjänster eller kundsupport-leverantörer.

37.3 Överföring till tredje part

Dina personuppgifter kommer endast att vidarebefordras till tredje part, eller överföras på annat sätt, om detta krävs för avtalets genomförande eller är nödvändigt för fakturering, eller om du tidigare har samtyckt till detta. Det är inte en del av vår affärsverksamhet att sälja denna kundinformation. Överföringen av data sker uteslutande i samband med de beskrivna ändamålen.

En överföring av dina personuppgifter till tredje part för andra ändamål än de som anges äger inte rum.

Vi överför endast dina personuppgifter till tredje part om:

1. du har meddelat ditt uttryckliga samtycke till detta,
2. upplysningarna är nödvändiga för att hävda, utöva eller försvara eventuella rättsliga krav och det inte finns anledning att tro att du har ett övergripande intresse av att din information inte vidarebefordras,
3. det finns skyldighet enligt lag att genomföra överförandet, liksom
4. detta är tillåtet enligt lag och krävs för genomförandet av avtalsförhållandena med dig.

Möjliga mottagare kan utgöras av konsulter, revisorer, advokater, domstolar eller myndigheter.

38. Information om berördas rättigheter

Varje berörd person har rätt till information enligt art. 15 GDPR, rätt till rättelse enligt art. 16 GDPR, rätten till radering (rätten att bli bortglömd) enligt art. 17 GDPR, rätten att begränsa behandlingen enligt art. 18 GDPR, rätt till invändning enligt art. 21 GDPR samt rätt till dataöverföring (dataportabilitet) enligt art. 20 GDPR. När det gäller informationsrätt och rätten att radera, gäller begränsningarna enligt §§ 34 och 35 BDSG eller respektive nationella bestämmelser.

39. Information om rätten till klagomål

Du har också rätt att framställa anspråk till den ansvarige tillsynsmyndigheten.

40. Information om återkallande av samtycke

Ett tilldelat samtycke för behandling av personuppgifter, kan när som helst återkalla gentemot oss. Detta gäller även för återkallande av samtyckesförklaringen, som lämnades till oss före giltigheten av Allmänna dataskyddsförordningen 2018-05-25. Beakta att återkallelsen endast har framtida verkan. Behandlingar som ägde rum före återkallelsen påverkas inte.

41. Rätt att invända mot direkt marknadsföring

Du har enligt art. 21 avs. 2 GDPR rätt, att när som helst invända mot behandlingen av personuppgifter som beträffar dig. I händelse av att du motsätter dig behandling beträffande direktreklamändamål, behandlar vi inte längre dina personuppgifter för dessa ändamål. Beakta att rättelsen endast har framtida verkan. Behandlingar som ägde rum före rättelsen påverkas inte.

42. Information om rätt att göra invändningar vid intresseavvägning

Såvitt vi baserar behandlingen av dina personuppgifter på en intresseavvägnnig, kan du motsätta dig behandlingen. I händelse av en sådan protesträtt, ber vi dig att förklara orsakerna till att vi inte ska behandla dina personuppgifter enligt vår beskrivning. När det gäller din motiverade invändning, undersöker vi situationen och kommer antingen att avbryta eller anpassa databehandlingen eller förklara våra tvingande skyddsskäl fördig.

43. Länkar till andra webbsidor

Våra webbsidor kan innehålla länkar till andra leverantörers webbsidor. Vi påpekar att denna dataskyddspolicy uteslutande gäller för webbsidor från www.BestSecret.se. Vi har ingen kontroll över andra leverantörers webbsidor och vi kontrollerar inte att andra leverantörer följer gällande dataskyddsbestämmelser.

44. Köp av begagnade kläder genom Buddy & Selly

Best Secret vill också lämna sitt bidrag till hållbarhet och erbjuder i samarbete med Buddy & Selly - Reverse-Retail GmbH med säte i Schnackenburgallee 41A, 22525 Hamburg, Tyskland - en tjänst som innebär köp av dina begagnade kläder.

Om du vill sälja ett begagnat klädesplagg dirigeras du vidare till Buddy & Selly med hjälp av en knapp på vår app eller webbplats. Du lämnar då vår webbplats. När du dirigeras vidare och säljer på Buddy & Selly överförs personuppgifter mellan BestSecret och Buddy & Selly i form av ditt kund-ID. Detta behövs för en tillordning av uppgifter. Tillordningen är nödvändig för att möjliggöra en individuell utdelning av ett rabattkort som lämnas vidare till dig och som kan användas inom BestSecret.

Data	Bearbetnings syfte	Rättslig grund för behandlingen	Lagringstid
Kund-ID	Tillordning av rabattkort	Artikel 6 p.1 f) GDPR	3 år

Vårt berättigade intresse att överföra kund-ID är att utöka vårt utbud och den nödvändiga möjligheten att tillordna det resulterande rabattkortet.

Mer information om hur Buddy & Selly behandlar dina personuppgifter finns i Buddy & Sellys integritetspolicy på: https://www.buddyandselly.com/en/privacy-policy.

45. Ändring av dataskyddspolicyn

Vi förbehåller oss rätten, att när som helst kunna ändra denna dataskyddspolicyn, under beaktande av gällande dataskyddsbestämmelser.