Persónuverndarstefna
Síðast uppfært 26. apríl 2026 · Útgáfa 2.0
Þessi persónuverndarstefna Native AS („Native“, „félagið“, „við“, „okkur“ eða „okkar“) lýsir því hvernig og hvers vegna við söfnum, geymum, notum og deilum („vinnum“) persónuupplýsingum þínum þegar þú notar þjónustu okkar („Þjónustuna“) - þegar þú heimsækir https://native.no eða hvaða vefsíðu sem er sem tengir á þessa stefnu, notar Native-vettvanginn til að framleiða og birta efni á samfélagsmiðlum, eða átt í samskiptum við okkur á annan hátt, svo sem í tengslum við sölu, markaðssetningu eða viðburði. Native er B2B-vettvangur sem hjálpar fyrirtækjum að gera efni sitt á samfélagsmiðlum sjálfvirkt með gervigreind. Við eigum viðskiptavini í Bandaríkjunum, Noregi, Svíþjóð, Danmörku, Nýja-Sjálandi og fjölda annarra landa, og þessi stefna er hönnuð til að uppfylla persónuverndarlöggjöf í öllum lögsögum þar sem við störfum - þar á meðal almennu persónuverndarreglugerð ESB (GDPR), persónuverndarlög bandarískra fylkja og New Zealand Privacy Act 2020. Ef þú ert ekki sammála stefnum okkar skaltu ekki nota Þjónustuna. Fyrir allar spurningar, hafðu samband við okkur á hei@native.no eða í gegnum native.no/en/contact.
Samantekt á helstu atriðum
- Inngangur: Native metur friðhelgi þína mikils og skuldbindur sig til að vernda persónuupplýsingar þínar með gagnsæjum starfsháttum.
- Upplýsingar sem við söfnum: Við söfnum upplýsingum til að veita og bæta Þjónustuna, þar á meðal reikningsupplýsingum, greiðsluupplýsingum, efni sem þú býrð til, notkunargögnum og upplýsingum frá þriðju aðila samþættingum sem þú tengir.
- Hvernig við notum upplýsingarnar þínar: Við notum gögnin þín til að veita, reka og bæta Þjónustuna, vinna úr greiðslum, eiga samskipti við þig, tryggja öryggi vettvangsins og uppfylla lagalegar skyldur.
- Notkun gervigreindar: Við notum skapandi gervigreind til að framleiða efni fyrir hönd viðskiptavina okkar. Við þjálfum ekki gervigreindarlíkön á gögnunum þínum og gervigreindarveitum okkar er samningsbundið óheimilt að nota inntak/úttak okkar til þjálfunar.
- Lagagrundvöllur: Við vinnum gögn á grundvelli samnings, lögmætra hagsmuna, samþykkis og lagalegra skyldna (6. gr. GDPR).
- Miðlun persónuupplýsinga: Við deilum gögnum með þjónustuveitendum (vinnsluaðilum) samkvæmt vinnslusamningum, aðeins þegar það er nauðsynlegt til að veita Þjónustuna. Við seljum ekki persónuupplýsingar.
- Vefkökur: Við notum vefkökur á grundvelli samþykkis fyrir ónauðsynlegar vefkökur, í samræmi við gildandi lög (þar á meðal ePrivacy-tilskipunina í ESB og CCPA í Kaliforníu).
- Innskráning með samfélagsmiðlum: Þegar þú skráir þig inn með Google eða öðrum þjónustum fáum við grunnprófílgögn sem þú hefur heimilað.
- Öryggi: Við innleiðum tæknilegar og skipulagslegar öryggisráðstafanir í samræmi við 32. gr. GDPR og staðla samkvæmt lögum bandarískra fylkja, þar á meðal dulkóðun, aðgangsstýringu og MFA.
- Ólögráða einstaklingar: Native safnar ekki vísvitandi gögnum frá einstaklingum undir 18 ára aldri og fylgir Children's Online Privacy Protection Act (COPPA) fyrir notendur undir 13 ára aldri.
- Réttindi þín: Þú átt rétt á aðgangi, leiðréttingu, eyðingu, flutningi gagna, andmælum og afturköllun samþykkis. Notendur í Bandaríkjunum, ESB/EES og Nýja-Sjálandi hafa tiltekin viðbótarréttindi sem lýst er hér að neðan.
- Do-Not-Track og GPC: Við bregðumst ekki við DNT-merkjum eins og er, vegna skorts á staðli í greininni, en við virðum Global Privacy Control (GPC) merki fyrir íbúa Kaliforníu.
- Réttindi eftir lögsögum: Við fjöllum sérstaklega um GDPR (ESB/EES), CCPA/CPRA (Kaliforníu), VCDPA (Virginíu), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah), TDPSA (Texas), OCPA (Oregon), MCDPA (Montana), TIPA (Tennessee) og fleiri, auk New Zealand Privacy Act 2020.
- Uppfærslur: Við tilkynnum þér um verulegar breytingar með tölvupósti eða í Þjónustunni að minnsta kosti 30 dögum áður en þær taka gildi.
- Samskipti: hei@native.no eða native.no/en/contact.
1. Ábyrgðaraðili og hlutverk
Ábyrgðaraðili upplýsinga um gesti á native.no, reikningshafa, tengiliði viðskiptavina og mögulega viðskiptavini er: Native AS, skráningarnr. 930 324 787, Møllergata 6, 0155 Osló, Noregi. Netfang: hei@native.no. Samskiptaeyðublað: native.no/en/contact.
Vinnsluaðili: Fyrir persónuupplýsingar sem viðskiptavinir okkar hlaða upp eða birta í gegnum Þjónustuna (efni, athugasemdir, upplýsingar um fylgjendur frá tengdum samfélagsmiðlum o.s.frv.) er viðskiptavinurinn ábyrgðaraðili og Native starfar sem vinnsluaðili samkvæmt vinnslusamningi okkar (DPA), sem er aðgengilegur sé þess óskað.
Þessi aðgreining fylgir 7.–8. tölul. 4. gr. og 28. gr. GDPR og endurspeglast í skilgreiningum á „service provider“ / „processor“ samkvæmt CCPA/CPRA og öðrum lögum bandarískra fylkja.
2. Upplýsingar sem við söfnum
2.1 Upplýsingar sem þú veitir af fúsum og frjálsum vilja
- Reiknings- og prófílgögn: nafn, netfang, símanúmer, starfsheiti, vinnuveitandi og lykilorð (geymt sem tætigildi).
- Greiðsluupplýsingar: fyrirtækjaheiti, reikningsfang, skráningarnúmer og greiðsluupplýsingar. Kortagögn eru meðhöndluð af Stripe - við geymum ekki heil kortanúmer.
- Notendaefni: allt efni, endurgjöf, athugasemdir, skilaboð eða aðrar upplýsingar sem þú býrð til, breytir eða birtir í gegnum Þjónustuna.
- Fyrirspurnir til þjónustuvers og önnur samskipti við okkur.
2.2 Upplýsingar sem safnað er sjálfkrafa
- Notkunargögn: heimsóttar síður, notaðir eiginleikar, tímastimplar og notkunarmynstur.
- Tæknileg gögn: IP-tala, tegund tækis, tegund vafra, stýrikerfi, tungumálastillingar og tæknileg auðkenni.
- Staðsetningargögn: áætluð landfræðileg staðsetning byggð á IP-tölu. Við söfnum ekki nákvæmri GPS-staðsetningu.
- Atburðaskrár og öryggisgögn: atburðaskrár sem notaðar eru við rekstur, bilanaleit og öryggi.
2.3 Upplýsingar frá þriðju aðilum
- Samfélagsmiðlar og tengdar þjónustur: þegar þú skráir þig inn með Google eða tengir Meta, LinkedIn, TikTok, X, Canva, Pexels eða aðra þriðju aðila fáum við prófílupplýsingar og tóka í samræmi við þær heimildir sem þú veitir.
- Greiningarvettvangar: samanteknar upplýsingar frá PostHog, Meta Ads og svipuðum verkfærum sem hjálpa okkur að skilja hvernig Þjónustan er notuð.
- Gagnaveitur þriðju aðila: við kunnum að fá viðbótarupplýsingar (t.d. fyrirtækjatengd B2B-gögn) til að staðfesta upplýsingar um fyrirtæki.
2.4 Vefkökur og svipuð tækni
Við notum vefkökur og svipaða rakningartækni til að bæta notendaupplifun, greina þátttöku og gera viðbótarvirkni mögulega. Þú getur stjórnað stillingum þínum í vefkökuborðanum á native.no eða í vafranum þínum. Sjá kafla 7.
2.5 Viðkvæmar persónuupplýsingar
Við söfnum ekki vísvitandi sérstökum flokkum persónuupplýsinga (9. gr. GDPR / „sensitive personal information“ samkvæmt CCPA), svo sem um þjóðernislegan uppruna, trúarbrögð, heilsufarsupplýsingar, lífkennagögn, stéttarfélagsaðild eða kynhneigð. Við hvetjum viðskiptavini til að hlaða ekki upp slíku efni án gilds lagagrundvallar.
2.6 Upplýsingar frá ólögráða einstaklingum
Native safnar ekki vísvitandi upplýsingum frá einstaklingum undir 18 ára aldri. Sjá kafla 11.
3. Hvernig við notum upplýsingarnar þínar
3.1 Til að veita Þjónustuna og halda utan um reikninga
- Stofna og halda utan um notendareikninga og áskriftir.
- Vinna úr greiðslum og endurnýja áskriftir.
- Veita þjónustu við viðskiptavini og svara fyrirspurnum.
3.2 Til að reka og bæta Þjónustuna
- Tryggja stöðugan rekstur og hámarka afköst.
- Innleiða uppfærslur, endurbætur og nýja eiginleika á grundvelli endurgjafar og notkunargagna.
- Vernda vettvanginn, notendur og gögn gegn ógnum og óheimilum aðgangi.
3.3 Til að framleiða efni með gervigreind
Eins og lýst er í kafla 5 notum við skapandi gervigreind til að framleiða texta og myndir fyrir samfélagsmiðla viðskiptavina okkar. Við vinnum gögnin þín eingöngu í þessum tilgangi og deilum þeim ekki með þjálfunargagnasöfnum gervigreindarveitna.
3.4 Til að eiga samskipti við þig
- Senda mikilvægar uppfærslur og tilkynningar um Þjónustuna.
- Senda markaðsefni þar sem það er heimilt samkvæmt gildandi lögum (CAN-SPAM, a/f-liðir 1. mgr. 6. gr. GDPR, TCPA fyrir SMS o.s.frv.).
- Óska eftir endurgjöf og innsýn til að bæta Þjónustuna.
3.5 Til að fara að lögum og reglum
- Uppfylla lagalegar skyldur, þar á meðal bókhaldskröfur (norsk bókhaldslög § 13: 5 ára varðveisla).
- Svara lögmætum beiðnum frá yfirvöldum.
- Framfylgja skilmálum okkar og stefnum.
- Vernda réttindi, eignir og öryggi Native, notenda okkar og almennings.
3.6 Til að greina notkun og þróa Þjónustuna
- Greina samantekin/gerviauðkennd notkunargögn til að skilja þróun og hegðun notenda.
- Stunda rannsóknir og þróun, þar á meðal prófanir á nýjum eiginleikum.
3.7 Engar sjálfvirkar ákvarðanir með réttaráhrifum
Við notum hvorki gervigreind né önnur verkfæri til að taka ákvarðanir sem hafa réttaráhrif eða sambærileg veruleg áhrif á einstaklinga (22. gr. GDPR). Við stundum ekki gerðarprófílun sem hefur réttaráhrif samkvæmt persónuverndarlögum bandarískra fylkja.
4. Lagagrundvöllur vinnslu
| Tilgangur | Lagagrundvöllur |
|---|---|
| Að veita, reka og bæta Þjónustuna, þar á meðal gervigreindareiginleika | Samningur, b-liður 1. mgr. 6. gr. GDPR |
| Reikningagerð, reikningshald og bókhald | Lagaskylda, c-liður 1. mgr. 6. gr. GDPR, norsk bókhaldslög § 13 |
| Þjónusta við viðskiptavini og rekstrarleg samskipti | Samningur, b-liður 1. mgr. 6. gr. GDPR |
| Öryggi, varnir gegn misnotkun og rekstrarstöðugleiki | Lögmætir hagsmunir, f-liður 1. mgr. 6. gr. GDPR |
| Vöruþróun og greining á samanteknum/gerviauðkenndum notkunargögnum | Lögmætir hagsmunir, f-liður 1. mgr. 6. gr. GDPR |
| Markaðssetning gagnvart núverandi B2B-viðskiptavinum um svipaða þjónustu | Lögmætir hagsmunir, f-liður 1. mgr. 6. gr. GDPR |
| Markaðssetning gagnvart öðrum aðilum / fréttabréf | Samþykki, a-liður 1. mgr. 6. gr. GDPR; CAN-SPAM-fylgni fyrir Bandaríkin |
| Vefkökur og svipuð tækni sem er ekki bráðnauðsynleg | Samþykki (GDPR/ePrivacy); afþökkunarréttur þar sem lög bandarískra fylkja krefjast þess |
| Fylgni við lagakröfur og fyrirmæli stjórnvalda | Lagaskylda, c-liður 1. mgr. 6. gr. GDPR |
Þú getur hvenær sem er dregið samþykki til baka án þess að það hafi áhrif á lögmæti vinnslu sem fór fram fyrir afturköllunina (3. mgr. 7. gr. GDPR). Fyrir notendur í Bandaríkjunum byggist vinnsla okkar einnig á kaupum þínum á, skráningu fyrir eða notkun á Þjónustunni, og á lögmætum viðskiptahagsmunum okkar eins og þeir eru skilgreindir samkvæmt gildandi persónuverndarlögum fylkja.
5. Notkun gervigreindar (AI)
5.1 Engin líkanaþjálfun á gögnunum þínum
Native notar hvorki gögn viðskiptavina, notendagögn né efni til að þjálfa eða fínstilla gervigreindarlíkön. Við höfum samið við gervigreindarveitur okkar (OpenAI, Anthropic, Google, xAI) um að efni sem sent er í gegnum Þjónustuna verði ekki notað til þjálfunar.
5.2 Gervigreindarveitur sem vinnsluaðilar
OpenAI, Anthropic, Google (Gemini) og xAI vinna efni tímabundið til að búa til svör. Vinnslan fer fram annaðhvort í ESB/EES eða í Bandaríkjunum samkvæmt stöðluðum samningsskilmálum ESB (SCC 2021/914) og/eða EU–US Data Privacy Framework. Sjá kafla 12.
5.3 Gagnsæi um efni sem búið er til með gervigreind
Samkvæmt 50. gr. gervigreindarreglugerðar ESB (reglugerð (ESB) 2024/1689) verður efni sem er búið til eða því breytt á gervilegan hátt að vera auðkennanlegt sem slíkt. Efni sem búið er til með gervigreind í Native er auðkennanlegt í viðmóti okkar.
Þegar þú sem viðskiptavinur birtir efni sem búið er til með gervigreind undir eigin ritstjórnarlegri stjórn á samfélagsmiðlarásum þínum, kemur þú fram sem „notandi kerfis“ (deployer) og berð ábyrgð á að meta hvort upplýsingaskylda eigi við - sérstaklega ef efnið felur í sér djúpfölsun (deep fake) eða upplýsir almenning um málefni í almannaþágu (2. og 4. mgr. 50. gr. gervigreindarreglugerðarinnar).
5.4 Engar sjálfvirkar ákvarðanir
Við notum ekki gervigreind til að taka ákvarðanir með réttaráhrifum eða sambærilegum verulegum áhrifum (22. gr. GDPR; ákvæði um gerðarprófílun í lögum bandarískra fylkja).
5.5 Ábyrgð þín á upphlöðnu efni
Sem viðskiptavinur ábyrgist þú og staðfestir að þú hafir öll nauðsynleg réttindi (höfundarrétt, persónuvernd, rétt til eigin myndar, nafn- og ímyndarréttindi) yfir öllu efni sem þú hleður upp eða biður gervigreindina um að vinna.
Þú mátt ekki nota Þjónustuna til að búa til eða dreifa óheimilum eftirlíkingum af auðkennanlegum einstaklingum, þar á meðal frægu fólki, opinberum persónum eða hvers kyns einkaaðilum. Þetta felur í sér bannaðar djúpfalsanir og misnotkun á ímynd samkvæmt meðal annars:
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- öðrum gildandi fylkislögum um rétt til eigin ímyndar (right of publicity)
Brot geta leitt til tafarlausrar lokunar reiknings. Tilkynntu brot til hei@native.no til skjótrar yfirferðar og fjarlægingar. Sjá einnig Terms of Service og Acceptable Use Policy okkar.
5.6 Takmarkanir á gervigreindarþjálfun
Ef gögnin þín - með samþykki eða á öðrum lagagrundvelli - hafa verið notuð af þriðja aðila til að þjálfa gervigreindarlíkön, er ekki alltaf hægt að draga slík gögn út eða fjarlægja þau úr líkaninu eftir á. Eins og lýst er í 5.1 hefur Native samninga sem koma í veg fyrir slíka þjálfun, þannig að þetta ætti að vera ímyndað tilvik fyrir viðskiptavini okkar.
6. Miðlun persónuupplýsinga
Við seljum ekki persónuupplýsingar og deilum þeim ekki vegna hegðunartengdra auglýsinga þvert á samhengi eins og þau hugtök eru skilgreind samkvæmt CCPA/CPRA og öðrum lögum bandarískra fylkja. Við höfum hvorki selt né deilt persónuupplýsingum vegna hegðunartengdra auglýsinga þvert á samhengi síðastliðna 12 mánuði.
Við deilum persónuupplýsingum með eftirfarandi flokkum viðtakenda, ávallt samkvæmt vinnslusamningi (28. gr. GDPR) þar sem við á:
6.1 Þjónustuveitendur (undirvinnsluaðilar / vinnsluaðilar)
| Undirvinnsluaðili | Tilgangur | Staðsetning | Flutningsleið |
|---|---|---|---|
| Amazon Web Services (AWS) | Skýjageymsla og rekstur | ESB/EES | - |
| Google Cloud (GCP) | Skýjaþjónusta og innviðir | ESB/EES | - |
| Stripe | Greiðsluvinnsla | ESB + Bandaríkin | DPF + SCC |
| OpenAI | Gervigreindargerð texta og mynda | ESB/Bandaríkin | DPF + SCC |
| Anthropic | Gervigreindargerð texta | ESB/Bandaríkin | DPF + SCC |
| Google Gemini / Vertex AI | Gervigreindargerð texta og mynda | ESB/EES | - |
| xAI | Gervigreindargerð texta | Bandaríkin | SCC |
| Ayrshare | Birting í gegnum API samfélagsmiðla | Bandaríkin | DPF + SCC |
| Firecrawl | Vefskröpun fyrir gervigreindarsamhengi | Bandaríkin | SCC |
| Canva | Innflutningur hönnunarskráa sem viðskiptavinurinn velur | ESB/Bandaríkin | DPF + SCC |
| Google Drive / Google Calendar | Samþættingar sem viðskiptavinur virkjar | ESB/Bandaríkin | DPF + SCC |
| Slack | Innri samskipti og samræður við viðskiptavini | ESB/Bandaríkin | DPF + SCC |
| PostHog | Vörugreining | ESB | - |
| Pexels | Safn af myndum (stock) | ESB/Bandaríkin | - |
Uppfærður listi yfir undirvinnsluaðila er aðgengilegur sé þess óskað og viðskiptavinum er tilkynnt um verulegar breytingar samkvæmt vinnslusamningi okkar (DPA).
6.2 Aðrir viðtakendur
- Fagráðgjafar: endurskoðendur, bókarar, lögmenn - bundnir trúnaði.
- Stjórnvöld: þar sem okkur ber lagaskylda til að afhenda upplýsingar.
- Yfirfærsla rekstrar: við samruna, yfirtöku eða sölu eigna kunna upplýsingar þínar að verða fluttar til kaupanda. Við munum tilkynna þér áður en vinnslan er flutt og kaupandinn verður að fylgja starfsháttum í samræmi við þessa stefnu.
- Tengd félög: verði Native hluti af fyrirtækjasamstæðu kunna upplýsingar að vera deildar innan hennar með sambærilegri vernd.
- Ópersónugreinanleg/samantekin gögn: má deila án takmarkana vegna greininga, rannsókna eða markaðssetningar.
6.3 Flokkar persónuupplýsinga sem miðlað er (CCPA/CPRA)
Fyrir íbúa Kaliforníu höfum við síðastliðna 12 mánuði miðlað eftirfarandi flokkum persónuupplýsinga í viðskiptalegum tilgangi til þeirra flokka viðtakenda sem taldir eru upp hér að ofan:
- Auðkenni (nafn, netfang, IP-tala, reikningsauðkenni)
- Viðskiptavinaskrár (greiðsluupplýsingar, samskiptaupplýsingar)
- Viðskiptaupplýsingar (áskriftarsaga, færslugögn)
- Net-/rafræn virkni (notkunarskrár, tækjaupplýsingar)
- Staðsetningargögn (áætluð, leidd af IP-tölu)
- Starfs-/atvinnutengdar upplýsingar (starfsheiti, vinnuveitandi)
- Ályktanir (óskir, mynstur í efnisþátttöku)
Við miðlum ekki viðkvæmum persónuupplýsingum umfram það sem nauðsynlegt er til að veita Þjónustuna eins og notandinn óskar eftir.
6.4 Samfélagsmiðlavettvangar og sameiginleg ábyrgð
Þegar þú tengir reikninga við Meta (Facebook/Instagram), LinkedIn, TikTok, X eða aðra vettvanga, vinna þessar þjónustur upplýsingar þínar sem sjálfstæðir ábyrgðaraðilar samkvæmt eigin skilmálum. Fyrir tilteknar greiningaraðgerðir (t.d. Meta Page Insights) kunna Native og vettvangurinn að vera sameiginlegir ábyrgðaraðilar samkvæmt 26. gr. GDPR. Þú getur afturkallað aðgang með því að aftengja samþættingar í appinu eða með því að fjarlægja heimildina beint hjá vettvanginum.
7. Vefkökur og rakningartækni
7.1 Tegundir vefkaka sem við notum
- Bráðnauðsynlegar vefkökur: nauðsynlegar til að Þjónustan virki (innskráning, öryggi, síðuhleðsla). Ekkert samþykki þarf.
- Virknivefkökur: muna óskir eins og tungumál og stillingar.
- Greiningarvefkökur: mæla hvernig Þjónustan er notuð (PostHog, Google Analytics).
- Markaðsvefkökur: notaðar til endurmarkaðssetningar og markvissra auglýsinga (Meta Pixel, LinkedIn Insight Tag).
7.2 Samþykki og stjórnun
Notkun ónauðsynlegra vefkaka krefst samþykkis þíns í lögsögum þar sem þess er krafist (ESB/EES samkvæmt ePrivacy-tilskipuninni, UK PECR). Íbúar Kaliforníu geta afþakkað sölu eða miðlun persónuupplýsinga í gegnum vefkökur fyrir markvissar auglýsingar með vefkökuborðanum eða með því að virkja Global Privacy Control (GPC) í vafranum sínum.
Þú getur einnig lokað á vefkökur í vafrastillingum þínum, en athugaðu að það getur haft áhrif á virkni.
7.3 Greiningar þriðju aðila
Við nýtum þjónustu þriðju aðila (PostHog, Meta, Google) til að greina notkun og veita tölfræðilega innsýn. Þær lúta eigin persónuverndarstefnum.
7.4 Ítarlegar upplýsingar um vefkökur
Ítarleg vefkökuskrá með heiti, tilgangi, þjónustuaðila og gildistíma hverrar vefköku er aðgengileg í vefkökuborðanum á native.no.
8. Innskráning með samfélagsmiðlum og vettvangssamþættingar
8.1 Notkun innskráningar með samfélagsmiðlum
Þegar þú skráir þig eða skráir þig inn með Google eða öðrum þriðja aðila veitir þú okkur aðgang að netfangi þínu og grunnprófílupplýsingum í samræmi við stillingar þínar hjá þeim aðila.
8.2 Meðferð gagna
Upplýsingarnar eru notaðar til að stofna og halda utan um Native-reikninginn þinn. Við birtum ekki fyrir þína hönd á samfélagsmiðlareikningum án skýrs samþykkis þíns sem veitt er í gegnum heimildaferli vettvangsins.
8.3 Öryggi og persónuvernd
Við viðhöldum ströngum stöðlum um gagnavernd þannig að upplýsingar þínar séu meðhöndlaðar á öruggan hátt og ekki notaðar umfram þá tilgangi sem lýst er í þessari stefnu.
8.4 Þín stjórn
Þú getur stjórnað persónuverndarstillingum þínum beint hjá samfélagsmiðlaþjónustunni og þú getur aftengt samþættingar hvenær sem er í Native-appinu.
9. Hversu lengi við varðveitum upplýsingarnar þínar
| Flokkur | Varðveislutími |
|---|---|
| Reiknings- og prófílgögn | Á samningstímanum + 90 dagar eftir lok samnings |
| Efni og miðlasafn | Á samningstímanum; eytt innan 90 daga eftir lok samnings |
| Reikninga- og bókhaldsgögn | 5 ár eftir lok reikningsárs (norsk bókhaldslög § 13) |
| Samskipti við þjónustuver | Allt að 24 mánuðir eftir síðustu samskipti |
| Atburðaskrár og öryggisgögn | Allt að 12 mánuðir, síðan eyðing eða ópersónugreining |
| Markaðsgögn (mögulegir viðskiptavinir) | Allt að 24 mánuðir frá síðustu samskiptum, eða þar til samþykki er afturkallað |
| Tókar fyrir tengdar þjónustur (Google, Canva o.s.frv.) | Eytt innan 30 daga eftir aftengingu eða lokun reiknings |
| Öryggisafrit (skyndiminni) | Eytt sjálfkrafa innan 90 daga |
| Vefkökur | Sjá vefkökuskrá |
Við endurskoðum varðveislustarfshætti okkar reglulega til að tryggja samræmi við lagakröfur og rekstrarþarfir. Þú getur hvenær sem er óskað eftir eyðingu gagna þinna með því að hafa samband við hei@native.no.
10. Öryggi
Við innleiðum viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir samkvæmt 32. gr. GDPR og gildandi stöðlum samkvæmt lögum bandarískra fylkja, þar á meðal:
- Dulkóðun í flutningi (TLS 1.2+) og í hvíld (AES-256).
- Aðgangsstýring samkvæmt meginreglunni um lágmarksréttindi með hlutverkatengdum aðgangi.
- Fjölþátta auðkenning (MFA) fyrir starfsfólk með aðgang að framleiðslugögnum.
- Skráning og vöktun aðgangs og atburða.
- Veikleikastjórnun og reglulegar öryggisúttektir.
- Viðbragðsferlar við öryggisatvikum með skilgreindri ábyrgð.
- Vinnslusamningar við alla undirvinnsluaðila.
- Þjálfun starfsfólks í persónuverndar- og öryggisstarfsháttum.
Ef öryggisbrestur verður við meðferð persónuupplýsinga munum við tilkynna: norsku persónuverndarstofnuninni innan 72 klukkustunda þar sem þess er krafist (33. gr. GDPR); viðkomandi einstaklingum án ótilhlýðilegrar tafar þar sem mikil áhætta er fyrir hendi (34. gr. GDPR); ríkissaksóknurum bandarískra fylkja (attorneys general) og viðkomandi einstaklingum í samræmi við gildandi fylkislög um tilkynningar öryggisbresta (svo sem California Civil Code § 1798.82); og öðrum eftirlitsstjórnvöldum þar sem gildandi lög krefjast þess.
Þrátt fyrir öryggisráðstafanir okkar er engin tækni til rafrænnar sendingar eða geymslu tryggð 100 % örugg. Við hvetjum þig til að nota sterk lykilorð og MFA og halda innskráningarupplýsingum þínum leyndum.
11. Ólögráða einstaklingar
Þjónustan er ætluð fyrirtækjum en ekki einstaklingum undir 18 ára aldri. Við söfnum ekki vísvitandi upplýsingum frá ólögráða einstaklingum og beinum ekki markaðssetningu að þessum hópi.
Fyrir notendur í Bandaríkjunum fylgjum við Children's Online Privacy Protection Act (COPPA) og söfnum ekki vísvitandi gögnum frá börnum undir 13 ára aldri. Við fylgjum einnig gildandi fylkislögum um gögn ólögráða einstaklinga, þar á meðal „Shine the Light“-lögum Kaliforníu og kröfum Connecticut, Texas og annarra fylkja um vinnslu gagna ólögráða einstaklinga.
Ef þú kemst að því að ólögráða einstaklingur hafi veitt okkur upplýsingar skaltu hafa samband við hei@native.no og við eyðum þeim tafarlaust.
12. Alþjóðlegur flutningur gagna
Persónuupplýsingar eru fyrst og fremst geymdar innan ESB/EES (AWS Frankfurt og Google Cloud Europe). Sumir undirvinnsluaðilar vinna upplýsingar í Bandaríkjunum eða öðrum þriðju löndum. Slíkur flutningur fer aðeins fram á grundvelli eins af eftirfarandi:
- Ákvörðun um fullnægjandi vernd - þar á meðal EU–US Data Privacy Framework fyrir vottaða viðtakendur í Bandaríkjunum (45. gr. GDPR).
- Staðlaðir samningsskilmálar ESB (SCC 2021/914) ásamt mati á áhrifum flutnings og, þar sem nauðsynlegt er, tæknilegum ráðstöfunum (dulkóðun, gerviauðkenningu), samkvæmt 46. gr. GDPR.
Fyrir notendur í Bretlandi byggjum við á UK International Data Transfer Agreement (IDTA) eða breska viðaukanum við SCC-skilmála ESB.
Fyrir notendur á Nýja-Sjálandi er flutningur í samræmi við Information Privacy Principle 12 (IPP 12) í Privacy Act 2020, sem krefst þess að viðtakendur lúti sambærilegri persónuvernd eða að hinn skráði veiti skýrt og upplýst samþykki.
Þú getur óskað eftir afriti af flutningsverndarráðstöfunum með því að hafa samband við hei@native.no.
13. Persónuverndarréttindi þín
Þú átt rétt á að:
- Fá aðgang að þeim upplýsingum sem við höfum um þig (15. gr. GDPR; sambærileg réttindi samkvæmt lögum bandarískra fylkja).
- Leiðrétta rangar upplýsingar (16. gr.).
- Eyða upplýsingum þegar skilyrði eru uppfyllt (17. gr.).
- Takmarka vinnslu (18. gr.).
- Fá gögnin þín á skipulögðu, algengu sniði - flutningsréttur gagna (20. gr.).
- Andmæla vinnslu sem byggist á lögmætum hagsmunum, þar á meðal beinni markaðssetningu (21. gr.).
- Draga samþykki til baka hvenær sem er (3. mgr. 7. gr.).
- Leggja fram kvörtun til persónuverndaryfirvalds (77. gr.).
Til að nýta réttindi þín skaltu senda sannreynanlega beiðni á hei@native.no eða í gegnum native.no/en/contact. Þú getur notað viðurkenndan umboðsmann. Við mismunum ekki notendum sem nýta réttindi sín.
Við svörum almennt innan 30 daga fyrir GDPR-beiðnir (3. mgr. 12. gr.) og innan 45 daga fyrir beiðnir samkvæmt lögum bandarískra fylkja, með möguleika á 45 daga framlengingu þar sem það er sanngjarnt og nauðsynlegt, með tilkynningu til þín.
14. Do-Not-Track og Global Privacy Control
14.1 Do-Not-Track (DNT)
Flestir vafrar bjóða upp á Do-Not-Track-eiginleika. Enginn samræmdur staðall er til í greininni um hvernig vinna skuli úr DNT-merkjum og við bregðumst ekki við DNT-merkjum eins og er. Verði staðall samþykktur munum við aðlaga okkur að honum og uppfæra þessa stefnu.
14.2 Global Privacy Control (GPC)
Fyrir íbúa Kaliforníu meðhöndlum við GPC-merki sem gilda beiðni um að afþakka sölu/miðlun persónuupplýsinga samkvæmt CCPA/CPRA. Við virðum einnig GPC-merki fyrir íbúa Colorado, Connecticut og annarra fylkja sem viðurkenna slík almenn afþökkunarkerfi. Native „selur“ hvorki né „miðlar“ persónuupplýsingum eins og þau hugtök eru skilgreind samkvæmt CCPA, þannig að GPC-merkið staðfestir núverandi starfshætti okkar.
15. Réttindi eftir lögsögum
15.1 Bandaríkin - alríkis- og fylkisstig
Í Bandaríkjunum eru engin heildstæð alríkislög um persónuvernd. Þess í stað gilda ýmis fylkislög. Við viðurkennum og virðum réttindi bandarískra notenda óháð fylki og bjóðum öllum bandarískum notendum sjálfgefið eftirfarandi réttindi:
- Réttur til að vita um / fá aðgang að flokkum persónuupplýsinga sem safnað er, uppruna, tilgangi og viðtakendum.
- Réttur til að eyða persónuupplýsingum.
- Réttur til að leiðrétta rangar upplýsingar.
- Réttur til flutnings gagna þar sem það er tæknilega framkvæmanlegt.
- Réttur til að afþakka sölu, miðlun eða markvissar auglýsingar.
- Réttur til að afþakka gerðarprófílun með réttaráhrifum eða sambærilegum verulegum áhrifum.
- Réttur til að sæta ekki mismunun við nýtingu réttinda.
- Réttur til að takmarka notkun viðkvæmra persónuupplýsinga.
| Fylki | Lög |
|---|---|
| California | California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA) |
| Virginia | Virginia Consumer Data Protection Act (VCDPA) |
| Colorado | Colorado Privacy Act (CPA) |
| Connecticut | Connecticut Data Privacy Act (CTDPA) |
| Utah | Utah Consumer Privacy Act (UCPA) |
| Texas | Texas Data Privacy and Security Act (TDPSA) |
| Oregon | Oregon Consumer Privacy Act (OCPA) |
| Montana | Montana Consumer Data Privacy Act (MCDPA) |
| Tennessee | Tennessee Information Protection Act (TIPA) |
| Iowa | Iowa Consumer Data Protection Act |
| Indiana | Indiana Consumer Data Protection Act |
| Delaware | Delaware Personal Data Privacy Act |
| New Jersey | New Jersey Data Privacy Act |
| New Hampshire | New Hampshire Data Privacy Act |
| Maryland | Maryland Online Data Privacy Act |
| Minnesota | Minnesota Consumer Data Privacy Act |
Eftirfarandi fylkislög eru sérstaklega viðeigandi:
15.1 Bandaríkin - viðbótarákvæði
Native „selur“ hvorki né „miðlar“ persónuupplýsingum vegna hegðunartengdra auglýsinga þvert á samhengi eins og þau hugtök eru skilgreind samkvæmt CCPA/CPRA. Við höfum ekki selt persónuupplýsingar síðastliðna 12 mánuði og hyggjumst ekki gera það.
California „Shine the Light“: Íbúar Kaliforníu geta einu sinni á ári og án endurgjalds óskað eftir upplýsingum um miðlun persónuupplýsinga til þriðju aðila í beinum markaðstilgangi. Þar sem við miðlum ekki persónuupplýsingum vegna beinnar markaðssetningar þriðju aðila hefur engin slík miðlun átt sér stað.
Til að nýta réttindi: sendu sannreynanlega beiðni á hei@native.no eða í gegnum native.no/en/contact. Þú þarft ekki reikning til að leggja fram beiðni. Þú getur notað viðurkenndan umboðsmann (með skriflegri heimild). Við svörum innan 45 daga, með möguleika á 45 daga framlengingu ef það er sanngjarnt og nauðsynlegt, með tilkynningu til þín.
Kæruréttur: Ef við höfnum beiðni þinni getur þú kært með því að svara svarpósti okkar eða hafa samband við hei@native.no. Við svörum kærum innan 60 daga (eða eins og lög fylkis þíns krefjast). Ef kæru þinni er hafnað getur þú haft samband við ríkissaksóknara fylkis þíns eða viðeigandi persónuverndaryfirvald.
Kvartanir í Kaliforníu: Íbúar Kaliforníu geta kvartað til California Privacy Protection Agency (cppa.ca.gov) eða California Attorney General.
Réttur til eigin ímyndar (right of publicity): Native bannar alla notkun Þjónustunnar til að búa til eða dreifa óheimilum eftirlíkingum af auðkennanlegum einstaklingum. Þetta felur í sér réttindi samkvæmt meðal annars:
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- öðrum gildandi fylkislögum um rétt til eigin ímyndar (right of publicity)
Brot má tilkynna til hei@native.no til skjótrar yfirferðar og fjarlægingar.
15.2 ESB/EES - þar á meðal Noregur, Svíþjóð, Danmörk og önnur aðildarríki
GDPR gildir með beinum hætti. Kvartanir má leggja fram hjá:
- Noregur: Datatilsynet (datatilsynet.no), Postboks 458 Sentrum, 0105 Osló.
- Svíþjóð: Integritetsskyddsmyndigheten (imy.se).
- Danmörk: Datatilsynet (datatilsynet.dk).
- Önnur ESB/EES-lönd: eftirlitsyfirvaldið í búsetulandi þínu.
15.3 Bretland (UK GDPR og Data Protection Act 2018)
Fyrir notendur í Bretlandi gilda UK GDPR og Data Protection Act 2018 til viðbótar við þessa stefnu. Kvartanir má leggja fram hjá Information Commissioner's Office (ico.org.uk).
15.4 Sviss (revFADP)
Fyrir notendur í Sviss gilda endurskoðuð alríkislög um gagnavernd (revFADP, í gildi frá 1. september 2023). Kvartanir má leggja fram hjá Federal Data Protection and Information Commissioner (FDPIC).
15.5 Nýja-Sjáland (Privacy Act 2020)
Fyrir notendur á Nýja-Sjálandi gilda 13 Information Privacy Principles (IPPs). Persónuupplýsingar eru aðeins fluttar frá Nýja-Sjálandi í samræmi við IPP 12 - þ.e. til viðtakenda sem lúta sambærilegri vernd (svo sem GDPR í ESB/EES) eða með skýru og upplýstu samþykki hins skráða.
Persónuverndartengiliður okkar gegnir hlutverki „Privacy Officer“ fyrir Nýja-Sjáland og er hægt að ná í hann á hei@native.no. Kvartanir má leggja fram hjá Office of the Privacy Commissioner (privacy.org.nz).
15.6 Ástralía (Privacy Act 1988)
Fyrir notendur í Ástralíu gilda Australian Privacy Principles (APPs) samkvæmt Privacy Act 1988. Kvartanir má leggja fram hjá Office of the Australian Information Commissioner (oaic.gov.au).
15.7 Kanada (PIPEDA og fylkislög)
Fyrir notendur í Kanada gilda Personal Information Protection and Electronic Documents Act (PIPEDA) og viðeigandi fylkislög (Quebec Law 25, BC PIPA, Alberta PIPA). Kvartanir má leggja fram hjá Office of the Privacy Commissioner of Canada (priv.gc.ca).
15.8 Brasilía (LGPD)
Fyrir notendur í Brasilíu gildir Lei Geral de Proteção de Dados (LGPD). Kvartanir má leggja fram hjá Autoridade Nacional de Proteção de Dados (ANPD).
15.9 Aðrar lögsögur
Við leggjum okkur fram um að fara að gildandi persónuverndarlögum í öllum löndum þar sem við störfum. Ef þú ert staðsett(ur) í lögsögu sem ekki er sérstaklega talin upp hér að ofan og vilt nýta persónuverndarréttindi skaltu hafa samband við hei@native.no og við munum afgreiða beiðnina í samræmi við gildandi lög.
16. Söfnun og notkun Google-notendagagna
Þegar þú tengir Google-reikninga við Þjónustuna kunnum við að fá aðgang að og safna eftirfarandi á grundvelli skýrra heimilda þinna:
- Grunnprófílupplýsingum (nafni, netfangi, prófílmynd).
- Tengingum við samfélagsmiðla og heimildum til að birta færslur.
- Efni sem þú heimilar okkur að birta fyrir þína hönd.
16.1 Takmarkanir
Við notum Google-notendagögn EKKI til:
- Þjálfunar gervigreindarlíkana eða vélanáms.
- Markvissra auglýsinga eða markaðssetningar.
- Sölu eða flutnings til þriðju aðila.
- Nokkurs tilgangs umfram það að veita grunnþjónustu okkar fyrir samfélagsmiðla.
16.2 Heimil notkun
Við notum Google-notendagögn eingöngu til að:
- Auðkenna reikninginn þinn og viðhalda öruggum aðgangi.
- Birta efni á tengdum samfélagsmiðlareikningum þínum.
- Veita greiningar tengdar árangri þínum á samfélagsmiðlum.
- Veita þá tilteknu eiginleika sem þú hefur óskað eftir.
16.3 Fylgni við Google API Services User Data Policy
Notkun og flutningur upplýsinga sem berast frá Google API-um fylgir Google API Services User Data Policy, þar á meðal Limited Use-kröfunum.
17. Söfnun og notkun Canva-notendagagna
Þegar þú tengir Canva-reikninginn þinn við Þjónustuna söfnum við og vinnum Canva-notendagögn til að gera innflutning hönnunar mögulegan.
17.1 Gögn sem við söfnum frá Canva
- Grunnprófílupplýsingar (nafn, netfang).
- Hönnunarskrár sem þú velur að flytja inn.
- Lýsigögn hönnunar (titlar, stofndagsetningar).
- Möppuskipulag sem hjálpar þér að finna og velja hönnun.
17.2 Hvernig við notum Canva-notendagögn
Við notum Canva-notendagögn eingöngu til að:
- Auðkenna og viðhalda tengingu þinni við Canva.
- Birta Canva-hönnun þína til vals og innflutnings.
- Geyma innflutta hönnun í efnissafni þínu.
- Gera tímasetningu og birtingu innfluttrar hönnunar á tengdum samfélagsmiðlavettvöngum þínum mögulega.
Við notum Canva-notendagögn EKKI til þjálfunar gervigreindarlíkana eða vélanáms; auglýsinga, auglýsingamiðunar eða markaðssetningar; sölu eða flutnings til þriðju aðila; eða nokkurs tilgangs umfram það sem lýst er í þessari stefnu.
17.3 Varðveisla Canva-notendagagna
- Innflutt hönnun: geymd í efnissafni þínu þar til þú eyðir henni eða lokar reikningnum þínum.
- Tengingargögn: varðveitt á meðan Canva-reikningurinn þinn er tengdur Þjónustunni.
- Við aftengingu: Canva-auðkenningargögnum er eytt innan 30 daga.
- Við lokun reiknings: öllum Canva-notendagögnum er eytt innan 30 daga.
17.4 Tilkynning um öryggisbrest
Ef öryggisbrestur verður sem kann að hafa áhrif á Canva-notendagögn munum við:
- Tilkynna Canva með tölvupósti á legal@canva.com innan 48 klukkustunda frá uppgötvun.
- Tilkynna viðkomandi notendum í samræmi við gildandi persónuverndarlög.
- Grípa tafarlaust til aðgerða til að hemja og bæta úr brestinum.
17.5 Öryggisráðstafanir
Canva-notendagögn eru varin með dulkóðun í flutningi og í hvíld, aðgangsstýringum, reglulegum öryggisúttektum og öruggum eyðingarferlum.
17.6 Réttindi þín
Þú getur hvenær sem er aftengt Canva-tenginguna þína í reikningsstillingum, óskað eftir afriti af þeim Canva-notendagögnum sem við höfum um þig eða óskað eftir eyðingu. Hafðu samband við hei@native.no.
18. Uppfærslur á þessari stefnu
Við kunnum að uppfæra þessa persónuverndarstefnu eftir þörfum. Uppfærða útgáfan verður merkt með nýrri „Síðast uppfært“-dagsetningu og tekur gildi við birtingu.
Verulegar breytingar verða tilkynntar með tölvupósti eða í Þjónustunni að minnsta kosti 30 dögum áður en þær taka gildi. Eldri útgáfur eru aðgengilegar sé þess óskað á hei@native.no.
19. Hvernig þú hefur samband við okkur
Fyrir spurningar eða beiðnir varðandi þessa stefnu skaltu hafa samband við persónuverndartengilið okkar:
Native AS, skráningarnr. 930 324 787, Møllergata 6, 0155 Osló, Noregi. Netfang: hei@native.no. Samskiptaeyðublað: native.no/en/contact.
Fyrir notendur í Bandaríkjunum má einnig senda beiðnir um persónuverndarréttindi í gegnum native.no/en/contact.
20. Hvernig þú skoðar, uppfærir eða eyðir gögnunum þínum
- Skoða: Skráðu þig inn á Native og opnaðu reikningsstillingar, eða hafðu samband við hei@native.no fyrir fullan gagnaútflutning.
- Uppfæra: Uppfærðu prófílupplýsingar beint í Native eða hafðu samband við okkur til að fá aðstoð.
- Eyða: Óskaðu eftir eyðingu reiknings með því að hafa samband við hei@native.no. Við eyðum gögnunum innan 30 daga, að undanskildum gögnum sem okkur ber að varðveita samkvæmt bókhaldslögum eða öðrum gildandi lögum (sjá kafla 9).