Behandlingsansvarlig (GDPR Art. 13(1)(a))
Skapertorget AS, org.nr 937 167 180, Krossvegen 9, 4351 Kleppe, er behandlingsansvarlig for personopplysninger samlet inn via skapertorget.no.
Vi har ikke pliktig personvernombud etter GDPR Art. 37, da virksomheten ikke driver storskala overvåking eller behandling av særlige kategorier. Personvern-henvendelser går til: personvern@skapertorget.no.
Felles behandlingsansvar med skaperne (GDPR Art. 26)
Når du kjøper noe på Skapertorget er plattformen og den enkelte skaperen felles behandlings- ansvarlige for kundedata knyttet til ordren (navn, adresse, telefon, ordreinnhold). Ansvaret er fordelt slik:
- Skapertorget er sentral mottaker for innsyn, retting og sletting (GDPR Art. 15–17). Du kontakter personvern@skapertorget.no eller bruker selvbetjent eksport/sletting under Min side.
- Skaperen har ansvar for å bruke ordredataen kun til å oppfylle kjøpsavtalen (pakke, sende, kontakte ved problemer), og slette egne eksporter/utskrifter når ordrebehandlingen er ferdig (typisk innen 90 dager etter levering).
- Du kan utøve dine rettigheter direkte mot enten Skapertorget eller skaperen — vi koordinerer internt.
Essensen av Art. 26-avtalen er publisert her. Fullstendige interne pliktoverføringer finnes i skaperavtalen mellom Skapertorget og den enkelte skaperen.
Hva vi samler — og hvorfor (GDPR Art. 13(1)(c))
Når du oppretter konto
E-post, navn (frivillig), telefon (frivillig). Formål: identifisere deg, sende ordrebekreftelser, gjenopprette passord.
Når du kjøper
Bestilling, leveringsadresse, betalingsmetode (kun siste 4 sifre av kortnummer — full PCI-data behandles av Stripe). Formål: gjennomføre kjøpet og oppfylle bokførings- og MVA-pliktene våre (bokføringsloven §13: 5 år).
Hvis du blir skaper
Organisasjonsnummer eller fødselsnummer (privat-skaper), BankID-verifisering, bankkontonummer, MVA-status, antall transaksjoner og brutto salg per kalenderår. Formål: utbetale riktig, rapportere til Skatteetaten (DAC7, se egen seksjon nedenfor).
Automatisk innsamling
Nettleser, IP-adresse, besøkte sider, klikk (anonymisert og kun ved samtykke). Se cookies-erklæringen for full liste.
Rettsgrunnlag (GDPR Art. 6)
- Avtale (Art. 6(1)(b)) — for å levere bestilte tjenester og produkter (ordrer, leveranser, kundeservice).
- Lovpålagt plikt (Art. 6(1)(c)) — bokføring, MVA-rapport, DAC7-rapport til Skatteetaten.
- Berettiget interesse (Art. 6(1)(f)) — svindelbeskyttelse, sikkerhets-logging, intern feilsøking, forbedring av tjenesten. Du har rett til å protestere mot behandling på dette grunnlaget (Art. 21) — kontakt oss.
- Samtykke (Art. 6(1)(a)) — markedsføring, nyhetsbrev, ikke-essensielle cookies, sporing for målrettet annonsering. Samtykke kan trekkes når som helst.
Mottakere og databehandlere (GDPR Art. 13(1)(e))
Vi deler kun data med tjenester som er nødvendige for å drifte plattformen. Alle databehandlere er bundet av databehandleravtale etter GDPR Art. 28.
| Tjeneste | Formål | Lokasjon |
|---|---|---|
| Stripe Payments Europe | Betaling, utbetaling, svindelsjekk | Irland / DPF |
| Supabase | Database, autentisering, fillagring | EU (Stockholm) |
| Vercel | Hosting, edge-network | EU (Frankfurt) |
| Resend | Transaksjonsmail, nyhetsbrev, klikk-sporing i e-post (via email.skapertorget.no) | EU / DPF |
| Inngest | Bakgrunnsjobber, cron | EU |
| PostHog | Produktanalyse (kun samtykke) | EU (Frankfurt) |
| Sentry | Feilsporing | EU (Frankfurt) |
| BetterStack | Uptime-monitoring | EU |
| Vipps | Betaling (når aktivert) | Norge |
| Google (Analytics, Ads, Maps) | Annonse + analyse (kun samtykke) | USA / DPF |
| Meta (Pixel, CAPI) | Annonse-effekt (kun samtykke) | USA / DPF |
| Den enkelte skaperen | Pakke og sende din bestilling | Norge |
Tredjelandsoverføring (GDPR Art. 44–49): Google, Meta og Stripe overfører data til USA. Overføringen er hjemlet i EU-US Data Privacy Framework (DPF) eller Standard Contractual Clauses (SCC). Vi selger aldri dataene dine.
DAC7 — rapportering til Skatteetaten (gjelder skapere)
Skapertorget er rapporteringspliktig plattformoperatør etter forskrift om skatteforvaltning §5-2-1 (implementerer EU-direktiv 2021/514, «DAC7»). Vi rapporterer salgsinformasjon for skapere som i løpet av et kalenderår har:
- 30 transaksjoner eller mer, ELLER
- 2 000 euro (eller mer) i brutto vederlag
Da rapporteres følgende: navn, adresse, fødselsnummer eller organisasjonsnummer, kontonummer, antall transaksjoner og brutto salg per kvartal. Rapport sendes innen 31. januar for forutgående år. Skapere får varsel før første rapportering.
Lagringstider (GDPR Art. 13(2)(a))
- Konto-data: så lenge kontoen er aktiv + 12 mnd etter siste innlogging, deretter sletting eller anonymisering
- Bestillinger og fakturadata: 5 år (bokføringsloven §13)
- DAC7-grunnlag (for skapere): 5 år (skatteforvaltningsloven §10-13)
- Sikkerhetslogger og IP: 12 mnd
- Chat-meldinger: 24 mnd, deretter sletting
- Markedsføringssamtykke + nyhetsbrev: til samtykke trekkes
- Cookies: se cookies-erklæring for konkret per-cookie-tid
Dine rettigheter (GDPR Art. 15–22)
- Innsyn (Art. 15) — be om kopi av alt vi har om deg
- Retting (Art. 16) — korrigere feil opplysninger
- Sletting (Art. 17) — «rett til å bli glemt» (med unntak for lovpålagt lagring som bokføring)
- Begrensning (Art. 18) — pause behandling mens du klager
- Dataportabilitet (Art. 20) — få ut dataene i maskinlesbart format
- Protest (Art. 21) — protestere mot behandling basert på berettiget interesse eller direkte markedsføring
- Trekke samtykke (Art. 7(3)) — gjelder fremtidig behandling, ikke retroaktivt
Bruk knappene under Min side → Personvern eller send e-post til personvern@skapertorget.no. Vi svarer innen 30 dager (GDPR Art. 12(3)).
Automatiserte beslutninger (GDPR Art. 22)
Vi gjør ingen helautomatiserte beslutninger med rettslig eller tilsvarende vesentlig virkning. Vi bruker likevel automatiserte systemer som påvirker din opplevelse:
- Stripe Radar: svindel-scoring av kortbetalinger. Avvises en betaling, kan du kontakte oss for manuell vurdering.
- Anbefalinger: sortering av produkter basert på avstand, nylig populært, og lignende produkter du har sett (ikke profil-basert).
- Innholdsmoderering: ord-filter mot ulovlige uttrykk. Innhold som flagges går til manuell gjennomgang før evt. fjerning.
Hva vi gjør med dine sosiale medier-data
Skapere kan velge å koble Facebook + Instagram-kontoene sine til Skapertorget for å se sine egne insights (følgere, rekkevidde, topp-innlegg, annonse-ROAS) direkte i skaper-dashbordet. Dette er FRIVILLIG og krever ditt aktive samtykke via «Login with Facebook»-flyten.
Hva vi henter
- Offentlige profil-data (navn, e-post, profilbilde) for å vise hvilken konto som er tilkoblet.
- Insights for Facebook-sider du administrerer (likes, rekkevidde, topp-innlegg).
- Insights for Instagram business-konto knyttet til siden (følgere, reach, profilvisninger, topp-innlegg).
- Hvis du har valgt Proff-tilkobling: annonse-insights fra Meta Ads Manager (kostnad, ROAS, klikk per kampanje).
Hva vi IKKE henter
- Vi leser aldri private meldinger.
- Vi får ikke administrator-rettigheter til siden din.
- Vi laster ikke ned din venneliste eller andre brukeres data.
- Vi sender ingen innlegg, kommentarer eller meldinger på vegne av deg.
Hvordan vi beskytter tokens
- OAuth-tokens er AES-256-GCM-kryptert før lagring i databasen.
- Kun du (innlogget) kan utløse fetch mot Meta med ditt token. Plattform-ansatte kan ikke lese tokens i klartekst.
- Tokens varer maks 60 dager og fornyes ved aktivitet — vi ber deg autorisere på nytt hvis de utløper.
Koble fra
Du kan koble fra når som helst via Skaper-dashbord → Sosiale medier → Koble fra. Da slettes ditt token fra vår database umiddelbart, og vi caller Meta om å revokere tilgangen vår på din side. Du kan også fjerne Skapertorget direkte i Meta-kontoen din: Facebook → Innstillinger → Business Tools.
Rettsgrunnlag
Samtykke (GDPR Art. 6(1)(a)) — gitt via Facebook Login-dialogen. Trekkes ved disconnect.
Sikkerhet (GDPR Art. 32)
- HTTPS/TLS 1.2+ på alle sider
- Passord hashet med bcrypt (aldri lagret i klartekst)
- Row Level Security på databasenivå (Supabase RLS)
- Multi-factor authentication tilgjengelig for skapere
- Sentry overvåker sikkerhetshendelser i sanntid
- Tilgangskontroll på ansattnivå med audit-log
Ved avvik som påvirker dine rettigheter, varsler vi deg og Datatilsynet innen 72 timer (GDPR Art. 33–34).
Klagerett (GDPR Art. 77)
Hvis du mener vi behandler personopplysningene dine i strid med loven, kan du klage til Datatilsynet. Vi ber deg likevel kontakte oss først — vi prøver å løse saken raskt.
Sist oppdatert: 26. mai 2026