1. Behandlingsansvarlig

Boksmart AS
Organisasjonsnummer: 930 561 924
Østervågkaien 21, 4006 Stavanger
E-post: support@boksmart.no

2. Data vi samler inn

Vi samler inn og behandler følgende kategorier av personopplysninger:

• Informasjon om forlagsadministratorer: navn, e-postadresse og innloggingsopplysninger.
• Forfatterinformasjon: navn, e-postadresse og bankkontoopplysninger (for royaltyutbetalinger).
• Bokmetadata: titler, ISBN, priser og relaterte utgivelsesdata.
• Salgs- og ordredata: ordredetaljer, lagernivåer og salgstall fra tilkoblede salgskanaler.

Fra tilkoblede salgskanaler henter vi kun produkt- og ordreinformasjon som er nødvendig for salgssporing og royaltyberegning. Vi lagrer ikke personopplysninger om sluttkunder (som navn, e-postadresser eller leveringsadresser) fra disse kanalene.

3. Formål med behandlingen

Alle personopplysninger behandles utelukkende for å levere Boksmart-tjenesten, inkludert:

• Administrasjon av forlags- og forfatterkontoer.
• Beregning og utbetaling av royalties til forfattere.
• Sporing av boksalg, ordrer og lager på tvers av tilkoblede salgskanaler.
• Sending av transaksjonelle e-poster (kontoinvitasjoner, royaltyoppgaver).

Vi selger, deler eller bruker ikke data til markedsføring, profilering eller andre formål ut over det som er beskrevet ovenfor.

4. Rettslig grunnlag

Vi behandler personopplysninger på følgende rettslige grunnlag under GDPR:

• Oppfyllelse av avtale (art. 6(1)(b)): behandlingen er nødvendig for å oppfylle tjenesteavtalen med forlag.
• Berettiget interesse (art. 6(1)(f)): behandling av forfatterdata som er nødvendig for forlagets legitime forretningsvirksomhet (royaltyadministrasjon).

5. Datakilder

Vi mottar data fra følgende kilder:

• Brukerinput: informasjon som legges inn direkte av forlagsadministratorer og forfattere.
• Forlagssentralen (FS): bokmetadata, ordredata og lagerdata som synkroniseres automatisk.
• Shopify: produkt- og ordredata som hentes via Shopify API kun for salgssporing. Forlag autoriserer denne tilkoblingen via OAuth og kan koble fra når som helst.
• WooCommerce: ordre- og produktdata synkronisert via API-integrasjon.
• Sentraldistribusjon (SD): ordre- og lagerdata synkronisert via SFTP.

6. Underleverandører (databehandlere)

Vi bruker følgende tredjepartsleverandører for å levere vår tjeneste:

Leverandør	Formål	Lokasjon
Hetzner	Applikasjonshosting og database (via Kamal)	EU
Postmark (ActiveCampaign)	Transaksjonell e-postlevering	US (SCC-er på plass)
Stripe	Abonnementsbetalinger	US (SCC-er på plass)
Sentry	Feilvarsling	US (SCC-er på plass)

7. Informasjonskapsler (cookies)

Boksmart bruker kun en strengt nødvendig øktkapsel for å opprettholde innloggingssesjonen din. Vi bruker ingen sporings-, analyse- eller markedsføringskapsler. Strengt nødvendige informasjonskapsler er unntatt fra samtykkekrav i henhold til ePrivacy-direktivet.

8. Dine rettigheter

I henhold til GDPR har du rett til å:

• Få innsyn i dine personopplysninger.
• Rette unøyaktige eller ufullstendige opplysninger.
• Slette dine personopplysninger («retten til å bli glemt»).
• Begrense behandlingen av dine opplysninger.
• Dataportabilitet — motta dine data i et strukturert, maskinlesbart format.
• Protestere mot behandling basert på berettiget interesse.
• Klage til Datatilsynet på datatilsynet.no.

For å utøve noen av disse rettighetene, kontakt oss på support@boksmart.no. Vi behandler også forespørsler om datainnhenting og sletting som mottas via tilkoblede plattformer på vegne av deres brukere.

9. Oppbevaring av data

Vi oppbevarer personopplysninger så lenge kontoen din er aktiv og tjenesteavtalen er gjeldende. Ved oppsigelse slettes alle data innen 30 dager, i henhold til vår tjenesteavtale.

Når en tilkoblet salgskanal frakobles, slettes tilhørende data (legitimasjon, ordrer og produktdata fra den kanalen) umiddelbart.

10. Internasjonale overføringer

Vi lagrer data innenfor EU/EØS der det er mulig. Der data overføres utenfor EU/EØS (se underleverandører ovenfor), sørger vi for at passende sikkerhetstiltak er på plass, inkludert standardavtalevilkår (SCC-er) godkjent av EU-kommisjonen.

11. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen. Vesentlige endringer vil bli meddelt registrerte brukere via e-post. «Sist oppdatert»-datoen øverst gjenspeiler siste revisjon.

12. Kontakt

Ved spørsmål om denne personvernerklæringen eller vår databehandling, kontakt oss på:
support@boksmart.no

1. Data Controller

Boksmart AS
Organization number: 930 561 924
Østervågkaien 21, 4006 Stavanger, Norway
Email: support@boksmart.no

2. Data We Collect

We collect and process the following categories of personal data:

• Publisher administrator information: name, email address, and login credentials.
• Author information: name, email address, and bank account details (for royalty payments).
• Book metadata: titles, ISBNs, pricing, and related publishing data.
• Sales and order data: order details, inventory levels, and sales figures from connected channels.

From connected sales channels we only retrieve product and order information necessary for sales tracking and royalty calculation. We do not store personal data about end customers (such as names, email addresses, or shipping addresses) from these channels.

3. Purpose of Processing

All personal data is processed solely to provide the Boksmart service, including:

• Managing publisher and author accounts.
• Calculating and paying royalties to authors.
• Tracking book sales, orders, and inventory across connected sales channels.
• Sending transactional emails (account invitations, royalty statements).

We do not sell, share, or use data for marketing, profiling, or any purpose beyond those described above.

4. Legal Basis

We process personal data on the following legal bases under GDPR:

• Contractual necessity (Art. 6(1)(b)): processing is necessary to perform the service agreement with publishers.
• Legitimate interest (Art. 6(1)(f)): processing author data as necessary for the publisher's legitimate business operations (royalty management).

5. Data Sources

We receive data from the following sources:

• User input: information entered directly by publisher administrators and authors.
• Forlagssentralen (FS): book metadata, order data, and inventory data synced automatically.
• Shopify: product and order data accessed via the Shopify API for sales tracking purposes only. Publishers authorize this connection via OAuth and can disconnect at any time.
• WooCommerce: order and product data synced via API integration.
• Sentraldistribusjon (SD): order and inventory data synced via SFTP.

6. Sub-processors

We use the following third-party processors to deliver our service:

Processor	Purpose	Location
Hetzner	Application hosting and database (via Kamal)	EU
Postmark (ActiveCampaign)	Transactional email delivery	US (SCCs in place)
Stripe	Subscription payment processing	US (SCCs in place)
Sentry	Error monitoring	US (SCCs in place)

7. Cookies

Boksmart uses only a strictly necessary session cookie to maintain your login session. We do not use any tracking, analytics, or marketing cookies. Strictly necessary cookies are exempt from consent requirements under the ePrivacy Directive.

8. Data Subject Rights

Under GDPR, you have the right to:

• Access your personal data.
• Rectify inaccurate or incomplete data.
• Erase your personal data ("right to be forgotten").
• Restrict processing of your data.
• Data portability — receive your data in a structured, machine-readable format.
• Object to processing based on legitimate interest.
• Lodge a complaint with the Norwegian Data Protection Authority (Datatilsynet) at datatilsynet.no.

To exercise any of these rights, contact us at support@boksmart.no. We also process data access and deletion requests received via connected platforms on behalf of their users.

9. Data Retention

We retain personal data for as long as your account is active and the service agreement is in effect. Upon termination, all data is deleted within 30 days, in accordance with our service agreement.

When a connected sales channel is disconnected, related data (credentials, orders, and product data from that channel) is deleted promptly.

10. International Transfers

We host data within the EU/EEA where possible. Where data is transferred outside the EU/EEA (see sub-processors above), we ensure appropriate safeguards are in place, including Standard Contractual Clauses (SCCs) approved by the European Commission.

11. Changes to This Policy

We may update this privacy policy from time to time. Material changes will be communicated to registered users via email. The "Last updated" date at the top reflects the most recent revision.

12. Contact

For questions about this privacy policy or our data practices, contact us at:
support@boksmart.no