Personvernerklæring
Sist oppdatert: 14. juli 2026
1. Behandlingsansvarlig
Bokable er et produkt fra Destination AS. Det er Destination AS som er behandlingsansvarlig for personopplysningene denne erklæringen gjelder.
- Selskap: Destination AS
- Organisasjonsnummer: 921 817 320
- Adresse: Malurtveien 8, 1369 Stabekk, Norge
- E-post: [email protected]
Vi har ikke plikt til å ha personvernombud etter GDPR artikkel 37, og har ikke utpekt et. Henvendelser om personvern går til adressen over.
2. Hva erklæringen dekker
Erklæringen skiller mellom to ting, fordi rollen vår ikke er den samme i begge:
- Dette nettstedet (bokable.com). Her er Destination AS behandlingsansvarlig. Punkt 3 til 6 handler om dette.
- Bokable-plattformen, altså produktet kundene våre logger inn i. Der er kunden normalt behandlingsansvarlig for gjeste- og bookingopplysninger, og Destination AS er databehandler. Punkt 7 handler om dette, og GDPR-siden går nærmere inn på rollene.
3. Informasjonskapsler
Dette nettstedet bruker ingen informasjonskapsler (cookies). Vi lagrer ingenting på enheten din og leser ingenting fra den. Konkret betyr det at nettstedet:
- ikke setter informasjonskapsler, verken egne eller tredjeparts
- ikke bruker localStorage, sessionStorage eller lignende lagring
- ikke har analyseverktøy — ingen Google Analytics, ingen Meta-piksel, ingen sporing
- ikke laster skrifter, skript eller annet innhold fra tredjeparts tjenere. Skriftene ligger på vår egen tjener, og innholdssikkerhetspolicyen vår blokkerer eksterne kilder
Ekomloven § 3-15, som trådte i kraft 1. januar 2025, krever samtykke før noen lagrer opplysninger i, eller skaffer seg tilgang til opplysninger i, kommunikasjonsutstyret ditt. Samtykket må oppfylle kravene i personvernforordningen. Nettstedet gjør ingen av delene, og da er det heller ingenting å samtykke til. Det er grunnen til at du ikke møter et samtykkebanner her — ikke fordi vi har hoppet over det, men fordi det ikke er noe å spørre om.
Tar vi senere i bruk informasjonskapsler eller annen sporing som ikke er strengt nødvendig for å levere tjenesten, spør vi om samtykke først. Da skal det være like enkelt å si nei som å si ja, og du skal kunne trekke samtykket tilbake like lett som du ga det.
4. Serverlogger
Nettjeneren som leverer bokable.com fører en driftslogg, slik enhver nettjener gjør. Loggen inneholder IP-adressen til den besøkende, tidspunkt, hvilken adresse som ble hentet, statuskode og nettleserens user agent. En IP-adresse regnes som en personopplysning.
- Formål: å drifte og sikre nettstedet, og å oppdage feil og misbruk
- Behandlingsgrunnlag: berettiget interesse, GDPR artikkel 6 nr. 1 bokstav f. Interessen er å holde nettstedet oppe og trygt, og vi mener den ikke går foran personvernet ditt, siden loggen ikke brukes til å profilere eller gjenkjenne deg
- Lagringstid: loggene oppbevares ikke lenger enn det som er nødvendig for drift og sikkerhet. Loggene skrives til driftsplattformen vi hoster nettstedet på, og oppbevaringen følger rutinene der. Vi har derfor ikke satt en fast frist i antall dager, men vil du vite hva som gjelder nå, får du svar om du spør
Loggene brukes ikke til markedsføring, de kobles ikke mot andre opplysninger om deg, og de brukes ikke til å gjenkjenne deg fra ett besøk til det neste.
5. Kontaktskjemaet
Kontaktskjemaet vårt sender ingenting til oss av seg selv. Når du trykker send, åpner nettleseren e-postprogrammet ditt med en ferdig utfylt melding. Ingenting forlater maskinen din før du selv velger å sende e-posten. Skjemaet lagrer ingenting, og opplysningene du skriver inn, går ikke innom noen tjener hos oss underveis.
Sender du e-posten, mottar vi det du har fylt ut: navn, e-postadresse, telefonnummer, firmanavn, type overnattingssted, antall enheter og meldingen din.
- Formål: å svare på henvendelsen og eventuelt forberede en avtale
- Behandlingsgrunnlag: tiltak før avtaleinngåelse på din oppfordring, GDPR artikkel 6 nr. 1 bokstav b. Gjelder henvendelsen noe annet enn et mulig kundeforhold, er grunnlaget vår berettigede interesse i å svare på henvendelser, artikkel 6 nr. 1 bokstav f
- Lagringstid: henvendelser som ikke fører til et kundeforhold, slettes senest 12 måneder etter siste kontakt. Blir du kunde, følger opplysningene kundeforholdet
Du er ikke forpliktet til å oppgi noe. Men uten navn og e-postadresse har vi ingen måte å svare deg på.
6. Markedsføring
Vi sender ikke nyhetsbrev eller markedsføring fra dette nettstedet, og vi har ingen påmelding til det. Tar du kontakt om Bokable, svarer vi på henvendelsen din. Skulle vi senere sende markedsføring på e-post, gjør vi det innenfor markedsføringsloven, og du kan reservere deg når som helst.
Vi selger ikke personopplysninger, og vi deler dem ikke med annonsenettverk.
7. Bokable-plattformen
Dette punktet gjelder produktet, ikke nettstedet. Bruker du Bokable som kunde, behandler vi opplysninger på vegne av deg, etter dine instrukser, som databehandler. Du er behandlingsansvarlig for gjeste-, booking- og eiendomsopplysningene som legges inn.
Primærdata for tjenesten ligger på Microsoft Azure innenfor EØS. I tillegg bruker vi disse underdatabehandlerne:
- Microsoft Azure — drift og lagring (EØS)
- Stripe — betalingsbehandling
- Postmark — utsending av transaksjonsepost, som bookingbekreftelser
- Cloudinary — lagring og levering av bilder
Hver av dem er bundet av en databehandleravtale. Kunder som vil ha en databehandleravtale med oss, eller en oppdatert liste over underdatabehandlere, kan be om det på [email protected].
8. Overføring utenfor EØS
Noen av leverandørene over er amerikanske selskaper, og behandlingen kan innebære overføring av personopplysninger ut av EØS. Når det skjer, bygger overføringen på et gyldig grunnlag i GDPR kapittel V — enten en beslutning fra EU-kommisjonen om tilstrekkelig beskyttelsesnivå, eller EUs standard personvernbestemmelser, med ytterligere tiltak der det er nødvendig. Du kan be om nærmere opplysninger om grunnlaget for en bestemt overføring.
9. Sikkerhet
Vi bruker tekniske og organisatoriske tiltak som skal beskytte personopplysninger mot uautorisert tilgang, endring, tap og utlevering. Det omfatter kryptering under overføring, tilgangsstyring, logging, sikkerhetskopiering og overvåking. Oppdager vi et brudd på personopplysningssikkerheten, varsler vi Datatilsynet innen 72 timer der GDPR artikkel 33 krever det, og de berørte der artikkel 34 krever det.
10. Dine rettigheter
Overfor Destination AS har du rett til å:
- få vite hvilke personopplysninger vi behandler om deg, og få kopi av dem (artikkel 15)
- få rettet opplysninger som er uriktige eller ufullstendige (artikkel 16)
- få slettet opplysninger (artikkel 17)
- kreve at behandlingen begrenses (artikkel 18)
- få opplysningene i et maskinlesbart format, og få dem overført til en annen (artikkel 20)
- protestere mot behandling som bygger på berettiget interesse, blant annet serverloggene (artikkel 21)
- trekke tilbake et samtykke, der behandlingen bygger på samtykke, uten at det påvirker lovligheten av det som allerede er gjort
Send en e-post til [email protected] for å bruke en rettighet. Vi svarer normalt innen én måned. Er vi i tvil om hvem du er, kan vi be om opplysninger som er nødvendige for å bekrefte identiteten din — vi ber ikke om mer enn det.
Gjelder forespørselen en booking eller opplysninger om en gjest, er det overnattingsstedet som er behandlingsansvarlig, og du bør henvende deg dit først. Vi bistår kundene våre med å svare.
11. Klage til Datatilsynet
Mener du at vi behandler personopplysninger i strid med regelverket, vil vi gjerne høre det fra deg først, så vi får rettet opp. Du har uansett rett til å klage til Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, eller til tilsynsmyndigheten der du bor eller arbeider. Datatilsynet forklarer fremgangsmåten på sine nettsider.
12. Endringer
Endrer vi hvordan vi behandler personopplysninger, oppdaterer vi denne erklæringen og datoen øverst. Er endringen av betydning for deg, sier vi fra på en tydeligere måte enn en ny dato.