BYOM AS er behandlingsansvarlig for personopplysninger som samles inn og behandles i forbindelse med bruk av byom.com og levering av tjenester. Rettslig grunnlag: personopplysningsloven (lov 15. juni 2018 nr. 38) og forordning (EU) 2016/679 (GDPR), som gjelder i Norge via EØS-avtalen.
BYOM AS
Skjoldenveien 9
1832 Askim
Indre Østfold, Norge
Org.nr. 937 698 208
Daglig leder: Karin Gutenbrunner Byom
E-post: karin@byom.com
Telefon: +47 473 82 740
BYOM AS har ikke utpekt et personvernombud (DPO), da virksomheten ikke er underlagt plikten etter GDPR Art. 37. Spørsmål om personvern rettes til karin@byom.com.
Tilsynsmyndighet: Datatilsynet, Postboks 458 Sentrum, 0105 Oslo. www.datatilsynet.no.
Gjennomføring av coaching og rådgivning, inkludert terminplanlegging, kommunikasjon og oppfølging av avtaleforholdet.
Utstedelse av fakturaer og oppfyllelse av bokføringsplikten etter bokføringsloven (lov 2004-11-19 nr. 73) § 13 annet ledd (oppbevaringsplikt 5 år).
Svar på henvendelser, bekreftelse av avtaler og praktisk koordinering knyttet til kundeforholdet.
Logging av tekniske data for å ivareta systemsikkerhet og forebygge misbruk. Berettiget interesse: sikker og stabil tjenesteavvikling.
| Kategori | Eksempler | Rettslig grunnlag |
|---|---|---|
| Kontaktopplysninger | Navn, e-post, telefon | Art. 6 nr. 1 b |
| Betalingsinformasjon | Fakturadata, betalingshistorikk | Art. 6 nr. 1 b og c |
| Tekniske data | IP-adresse, nettleser, sesjonsdata | Art. 6 nr. 1 f |
BYOM AS fører i utgangspunktet ikke digitale samtalenotater. Eventuelle notater nedtegnes på papir og oppbevares i et låsbart arkivskap. Innhold fra samtaler som kan utgjøre særlige kategorier etter GDPR Art. 9 behandles utelukkende på grunnlag av uttrykkelig samtykke (Art. 9 nr. 2 a).
Opplysninger om psykisk helse, livssituasjon og innhold fra rådgivnings- og coachingsamtaler kan utgjøre særlige kategorier av personopplysninger etter GDPR Art. 9 nr. 1. Slike opplysninger behandles utelukkende på grunnlag av ditt uttrykkelige samtykke, jf. Art. 9 nr. 2 a.
Hva samtykket omfatter: Behandling av opplysninger om psykisk helse, livssituasjon og alt innhold som fremkommer i samtaler med BYOM AS, samt eventuelle papirnotater nedtegnet i tilknytning til samtalene.
Samtykkets egenskaper: Samtykket er frivillig, spesifikt og informert, jf. Art. 4 nr. 11 GDPR. Det innhentes separat fra andre avtalevilkår og dokumenteres med tidsstempel.
Konsekvenser av å ikke samtykke: Dersom du ikke gir samtykke, kan BYOM AS likevel gjennomføre coaching og rådgivning uten notatføring. Der rådgiver vurderer at notater er nødvendig for faglig forsvarlig oppfølging, avklares dette med deg på forhånd.
Tilbaketrekking (Art. 7 nr. 3 GDPR): Du kan trekke tilbake samtykket når som helst ved å kontakte karin@byom.com. Tilbaketrekking påvirker ikke lovligheten av behandling som skjedde før tilbaketrekking.
Nettsiden byom.com er hostet av Render Services, Inc. (650 California Street, San Francisco, CA 94108, USA).
Ved besøk på nettsiden behandler Render automatisk tekniske tilgangsdata, herunder IP-adresse, dato og tidspunkt, forespurt URL, HTTP-statuskode og datamengde. Formålet er teknisk stabil og sikker drift.
Rettslig grunnlag: Art. 6 nr. 1 f (berettiget interesse i stabil og sikker nettstedsavvikling).
Lagringstid for serverlogger: maksimalt 30 dager. Render sletter serverlogger senest etter 30 dager, og tidligere avhengig av abonnementet.
Overføring til tredjeland: Render er etablert i USA. Overføringen er hjemlet i Europakommisjonens tilstrekkelighetsbeslutning av 10. juli 2023 om EU-US Data Privacy Framework (Art. 45 GDPR). Render er sertifisert under EU-US Data Privacy Framework fra 6. januar 2025 (kilde: render.com/changelog).
Nettsiden tilbyr et kontaktskjema. Ved bruk samles følgende opplysninger inn:
Dataene behandles via en serversidekjørt funksjon (Supabase Edge Function), lagres i prosjektdatabasen og videresendes til karin@byom.com via e-postleverandøren Brevo. Kildesiden til henvendelsen lagres internt for sporbarhet.
Rettslig grunnlag: Art. 6 nr. 1 b der henvendelsen gjelder avtale om tjenester. I øvrige tilfeller Art. 6 nr. 1 f (berettiget interesse i å behandle innkommende henvendelser).
Lagringstid: Opplysningene slettes senest 12 måneder etter at henvendelsen er ferdigbehandlet, med mindre lovpålagte oppbevaringsplikter gjelder. Merk: automatisk sletterutine er ikke teknisk implementert ennå. Implementering er planlagt.
Supabase, Inc. (550 Union Street, San Francisco, CA 94133, USA) er databehandler for prosjektdatabasen og serversidefunksjonene, jf. GDPR Art. 28. Dataene lagres i regionen North EU (Stockholm, Sverige), altså innenfor EU/EØS. Det skjer derfor ingen overføring av kontaktskjemadataene til tredjeland.
Brevo (Sendinblue SA), 7 rue de Madrid, 75008 Paris, Frankrike, er databehandler for e-postutsending. Brevo er etablert i EU. Ingen overføring til tredjeland skjer.
Fiken AS, Tordenskiolds gate 2, 0160 Oslo, Norge, er databehandler for regnskaps- og faktureringsprogramvare. Fiken AS er et norsk selskap. Behandlingen skjer i Norge innenfor EØS. Det skjer ingen overføring til tredjeland. Rettslig grunnlag: Art. 6 nr. 1 c jf. bokføringsloven (lov 2004-11-19 nr. 73) § 13 annet ledd.
For e-postkommunikasjon benyttes Google Workspace. Leverandør for brukere i EØS er Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, som databehandler etter inngått databehandleravtale. Google Ireland Limited kan overføre data til Google LLC (USA). Google LLC er sertifisert under EU-US Data Privacy Framework (Art. 45 GDPR). Rettslig grunnlag: Art. 6 nr. 1 b og f.
Nettsiden har innebygd Google Calendar Appointment Scheduling for terminbestilling. Videosamtaler gjennomføres via Google Meet. Ved bestilling av time oppgir du opplysninger (minimum navn og e-postadresse, eventuelt en merknad) direkte i Google sitt skjema. Disse opplysningene behandles av Google Ireland Limited.
Leverandør for brukere i EØS: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Ireland Limited behandler bestillingsdata som selvstendig behandlingsansvarlig. Googles personvernregler gjelder: policies.google.com/privacy.
Overføring til tredjeland: Google Ireland Limited kan overføre data til Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Grunnlaget er standardkontraktsklausuler (Art. 46 nr. 2 c GDPR). Google LLC er også sertifisert under EU-US Data Privacy Framework (Art. 45 GDPR).
Rettslig grunnlag for integrasjonen: Art. 6 nr. 1 f (berettiget interesse i funksjonell terminadministrasjon).
Et passordbeskyttet privat område gir tilgang til interne verktøy, kun tilgjengelig for innloggede brukere. Innloggings- og bruksdata behandles via Supabase, Inc. (se punkt 5). Sesjoner administreres via teknisk nødvendige informasjonskapsler (se punkt 8).
Rettslig grunnlag: Art. 6 nr. 1 b (oppfyllelse av avtale) eller Art. 6 nr. 1 f for den tekniske tilretteleggingen.
Nettsiden benytter utelukkende teknisk nødvendige informasjonskapsler og nettleserlagring. Et samtykkebanner for informasjonskapsler er derfor ikke påkrevd.
Nettsiden lagrer ditt valgte visningsspråk som verdien byom-lang i nettleserens localStorage. Denne verdien inneholder ingen personopplysninger, lagres utelukkende i din nettleser og overføres ikke til noen server. Teknisk funksjonell lagring av denne typen krever ikke samtykke etter ekomloven § 2-7b. Rettslig grunnlag: Art. 6 nr. 1 f.
Ved innlogging i privat-området setter Supabase informasjonskapsler med prefiks sb-. Access-token-kapselens gyldighetsperiode er 1 time (3 600 sekunder). Sesjonen opprettholdes via en refresh-token og opphører ved aktiv utlogging eller ved token-utløp. Kapslene er teknisk nødvendige for innloggingsfunksjonaliteten og settes ikke uten at du aktivt logger inn.
Analyseverktøy, sporingspiksler og markedsføringskapsler benyttes ikke på byom.com. Det settes ingen kapsler som krever samtykke etter ekomloven § 2-7b, utover det som er beskrevet for autentisering ovenfor.
Rettslig grunnlag: Art. 6 nr. 1 f (berettiget interesse i teknisk drift av det innloggede området).
BYOM AS iverksetter tekniske og organisatoriske tiltak for å beskytte personopplysninger, jf. GDPR Art. 32. Data overføres mellom nettleseren din og serverne i kryptert form (TLS/HTTPS). Ved brudd på personopplysningssikkerheten varsles Datatilsynet innen 72 timer der bruddet innebærer risiko for de registrerte (Art. 33 GDPR). Berørte registrerte varsles uten ugrunnet opphold ved høy risiko (Art. 34 GDPR).
Du har følgende rettigheter etter GDPR kapittel III:
Vi imøtekommer innsigelser med mindre vi kan påvise tvingende berettigede grunner som veier tyngre enn dine interesser.
For å benytte rettighetene dine, ta kontakt på karin@byom.com. Vi besvarer henvendelser innen 30 dager, jf. Art. 12 nr. 3.
Du har rett til å klage til Datatilsynet dersom du mener behandlingen er i strid med personvernregelverket (Art. 77 GDPR): Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, www.datatilsynet.no. Er du bosatt i et annet EØS-land, kan du også klage til tilsynsmyndigheten der.
Denne personvernerklæringen gjelder fra 29. juni 2026. BYOM AS kan oppdatere erklæringen ved endringer i databehandlingen eller regelverket. Gjeldende versjon er alltid tilgjengelig på denne siden.
Utarbeidet i samsvar med GDPR Art. 13 og personopplysningsloven (lov 15. juni 2018 nr. 38).