Integritetspolicy

OrderFood.se ("vi", "oss", "vår") värnar om din integritet. Denna integritetspolicy förklarar hur vi samlar in, använder, lagrar och skyddar dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Personuppgiftsansvarig för behandlingen av dina personuppgifter är:

Kunder (beställare)

• Namn
• Telefonnummer
• E-postadress (valfritt)
• Leveransadress (vid hemleverans)
• Beställningshistorik och eventuella anteckningar du lämnar vid beställning
• Push-notistoken — om du tillåter notiser för att vi ska kunna skicka uppdateringar om din beställning
• Lojalitetspoäng — om restaurangen har ett lojalitetsprogram du deltar i
• Marknadsföringssamtycke — om du valt att ta emot erbjudanden
• Bilder du valfritt bifogar vid offertförfrågan eller meddelanden till restaurangen (kan innehålla EXIF-metadata som platskoordinater och kamerainformation)

Restaurangägare (registrerade användare)

• Namn och kontaktuppgifter (e-post, telefonnummer)
• Restauranginformation (namn, adress, organisationsnummer)
• Bankuppgifter för utbetalningar
• Inloggningsuppgifter (krypterade)

Automatiskt insamlade tekniska uppgifter

• IP-adress (loggas av webbservern, lagras 30 dagar för säkerhet och bedrägeribekämpning)
• Enhetsmodell, operativsystem och appversion (skickas vid krasch eller fel för felsökning)
• Anonym enhetsidentifierare (deviceToken) som kopplar dina beställningar i mobilappen utan att kräva inloggning
• Cookies på webbplatsen (se sektion om cookies nedan)

Vi behandlar personuppgifter för följande ändamål:

• Hantera och leverera beställningar (avtalsfullgörande)
• Kommunicera om orderstatus och leverans (push-notiser, e-post, SMS)
• Hantera betalningar, återbetalningar och bedrägeribekämpning
• Driva eventuella lojalitetsprogram för restauranger du beställer från
• Skicka marknadsföring eller erbjudanden — endast om du gett uttryckligt samtycke
• Tillhandahålla kundsupport
• Felsöka och förbättra våra tjänster genom anonym krasch- och prestandadata
• Uppfylla lagkrav (bokföring, skatt)

• Beställningsdata (kund): Personuppgifter (namn, telefon, e-post, leveransadress, anteckningar) anonymiseras automatiskt 90 dagar efter slutförd beställning. Själva transaktionen bevaras i 7 år enligt bokföringslagen (1999:1078) men utan koppling till dig som person.
• Betalningsuppgifter: Underlag för betalningar bevaras i 7 år enligt bokföringslagen. Kortuppgifter lagras aldrig hos oss — Stripe är PCI-DSS-certifierad processor.
• Restaurangkonton: Sparas tills du avslutar ditt konto. Vid avslut anonymiseras tillhörande beställningar.
• Granskningsloggar: Sparas i 24 månader för säkerhetsändamål och bedrägeribekämpning.

Vi delar endast personuppgifter med följande kategorier av underbiträden, samtliga bundna av personuppgiftsbiträdesavtal (DPA):

• Betaltjänstleverantörer: Stripe Payments Europe Ltd. (Irland) för korthantering, Apple Pay och Google Pay. Klarna Bank AB (Sverige) för delbetalning. Swish (Getswish AB, Sverige) för mobilbetalning.
• Infrastrukturleverantörer: Supabase (databas och autentisering, EU-region) och Vercel (webbhosting, EU-region) för plattformsdrift.
• E-postleverantör: Resend för transaktionsmeddelanden om beställning, kvitton och kontotjänster.
• Krasch- och felrapportering: Sentry (Functional Software Inc.) konfigurerad mot EU-instans i Tyskland. Endast tekniska metadata och anonyma enhets-ID skickas. Namn, telefon, e-post och beställningsdetaljer strippas innan data lämnar din enhet.
• Push-notiser: Apple Push Notification service (APNs, USA) och Google Firebase Cloud Messaging (FCM, USA), via Expo Push Notifications, för att leverera notiser om din beställning till din enhet. Endast en anonym push-token kopplas till din enhet — inget innehåll i notisen lagras hos Apple eller Google längre än vad som krävs för leverans.
• Leveranspartners: Vid hemleverans skickas namn, leveransadress och telefonnummer till den leveranspartner restaurangen använder (t.ex. Wolt eller egna bud) för att kunna utföra leveransen.

Alla tredjeparter är bundna av dataskyddsavtal (DPA) och behandlar uppgifter endast enligt våra instruktioner. Vid överföring utanför EU/EES tillämpas EU:s standardavtalsklausuler (SCC).

Du har följande rättigheter gällande dina personuppgifter:

• Rätt till tillgång: Du kan begära en kopia av alla uppgifter vi har om dig
• Rätt till rättelse: Du kan begära att felaktiga uppgifter korrigeras
• Rätt till radering: Du kan begära att vi raderar dina uppgifter ("rätten att bli glömd")
• Rätt till dataportabilitet: Du kan begära att få dina uppgifter i ett maskinläsbart format
• Rätt att återkalla samtycke: Du kan när som helst återkalla samtycke för marknadsföring
• Rätt att invända: Du kan invända mot behandling baserad på berättigat intresse

För att utöva dina rättigheter, kontakta oss på support@orderfood.se. Restaurangägare kan även hantera sina uppgifter direkt i kontrollpanelen under Inställningar.

Vi använder cookies för att förbättra din upplevelse på vår webbplats:

• Nödvändiga cookies: Krävs för att webbplatsen ska fungera (inloggning, kundvagn)
• Funktionella cookies: Sparar dina preferenser (t.ex. vald restaurang)
• Analytiska cookies: Hjälper oss förstå hur webbplatsen används (endast med samtycke)

Du kan hantera dina cookie-preferenser via bannern som visas vid ditt första besök.

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter, inklusive:

• Kryptering av känsliga uppgifter (bankuppgifter, lösenord)
• HTTPS-kryptering på alla sidor
• Radnivåsäkerhet (RLS) i databasen
• Regelbunden säkerhetsövervakning och granskningsloggar
• Begränsad åtkomst för personal enligt behov

Vi kan uppdatera denna integritetspolicy vid behov. Väsentliga ändringar meddelas via e-post till registrerade användare. Aktuell version finns alltid tillgänglig på denna sida med datum för senaste uppdatering.

Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till tillsynsmyndigheten:

Har du frågor om hur vi hanterar dina personuppgifter? Kontakta oss: