← Tillbaka till startsidan

Integritetspolicy

Senast uppdaterad: 29 april 2026

1. Introduktion

RestaurangAi Tech Sweden ("vi", "oss", "vår") är personuppgiftsansvarig för de personuppgifter som behandlas i samband med våra tjänster och denna webbplats. Denna integritetspolicy förklarar hur vi samlar in, behandlar, lagrar och skyddar dina personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR"), den svenska dataskyddslagen (2018:218) samt EU:s förordning om artificiell intelligens (EU) 2024/1689 ("EU AI Act").

Policyn gäller dig som representant för en restaurangkund (B2B), besökare på vår webbplats, eller person som på annat sätt interagerar med våra AI-system.

2. Personuppgiftsansvarig

RestaurangAi Tech Sweden
Enskild firma — Rickard Wilhelmsson
Org.nr: 871205-6970
Dunkehallavägen 72, Lgh 1206, 554 47 Jönköping
E-post: [email protected]
Webbplats: restaurangai.se

För frågor om personuppgiftsbehandling, kontakta oss på [email protected] med ämnesraden "GDPR".

3. Vilka personuppgifter behandlar vi?

3.1 Uppgifter du lämnar direkt

• Kontaktuppgifter: Förnamn, efternamn, e-postadress, telefonnummer
• Företagsinformation: Restaurangens namn, organisationsnummer, faktureringsadress
• Kommunikation: Meddelanden via kontaktformulär, e-post och chattinteraktioner

3.2 Uppgifter som samlas in automatiskt

• Teknisk information: IP-adress, webbläsartyp, operativsystem, enhetstyp
• Användningsdata: Besökta sidor, klickmönster, tidpunkt för besök
• Cookies: Se vår Cookiepolicy för fullständig information

3.3 Uppgifter från AI-interaktioner

• Chattloggar: Konversationer med vår AI-chatbot (AI Hovmästare), inklusive frågor och svar
• Röstinteraktioner: Metadata från AI-röstsamtal (samtalslängd, tidpunkt). Ljudinspelningar lagras i 30 dagar och raderas automatiskt. Texttranskript lagras i 12 månader för support och kvalitetssäkring.
• Genererat innehåll: AI-genererade texter och bilder skapade på uppdrag av kunden

4. Ändamål och rättslig grund för behandling

Vi behandlar personuppgifter för följande ändamål med angivna rättsliga grunder (GDPR Art. 6.1):

Ändamål	Rättslig grund	Kategorier
Leverans av avtalade SaaS-tjänster (AI-chatbot, marknadsföring, röst)	Avtal (Art. 6.1 b)	Kontaktuppgifter, företagsinfo, chattloggar
Hantera förfrågningar och kundkommunikation	Samtycke (Art. 6.1 a)	Kontaktuppgifter, kommunikation
Fakturering och bokföring	Rättslig förpliktelse (Art. 6.1 c) — Bokföringslagen (1999:1078)	Företagsinfo, betalningsuppgifter
Betalningshantering via Stripe	Avtal (Art. 6.1 b)	Namn, e-post, betalningshistorik (kortdata hanteras av Stripe, PCI DSS Level 1)
Förbättra tjänstekvalitet och AI-modeller	Berättigat intresse (Art. 6.1 f)	Anonymiserad användningsdata
Webbplatsanalys via Google Analytics	Samtycke (Art. 6.1 a)	Teknisk information, användningsdata
Uppfylla rättsliga skyldigheter (t.ex. bokföringslagen)	Rättslig förpliktelse (Art. 6.1 c)	Transaktionsdata

5. AI-system och transparens (EU AI Act Art. 50)

RestaurangAi använder AI-system i sina tjänster. I enlighet med EU:s AI-förordning (EU) 2024/1689, Art. 50, informerar vi om följande:

• AI Hovmästare (Chatbot) — begränsad risk (Art. 50.1): Våra AI-chatbotar identifierar sig alltid tydligt som AI-system vid inledningen av varje konversation. Gästen informeras att de interagerar med artificiell intelligens och kan när som helst begära att kopplas vidare till en mänsklig representant.
• AI Hovmästare (Röst) — begränsad risk (Art. 50.1): Vår AI-rösttjänst informerar tydligt i början av varje samtal att samtalet förs med ett AI-system. Samtycke till inspelning och transkription inhämtas vid samtalets start. Gästen kan säga "människa" för att kopplas vidare.
• AI Marknadsförare — märkning av AI-genererat innehåll (Art. 50.4): Allt AI-genererat innehåll som publiceras på sociala medier märks med #SkapatMedAI i enlighet med EU AI Act Art. 50.4. Innehållet presenteras alltid för kundens godkännande innan publicering.
• AI Restaurangchef (KPI-analys) — minimal risk: Används för intern affärsanalys. Presenterar förslag och statistik — fattar inga autonoma beslut.

Samtliga AI-system klassificeras som minimal risk eller begränsad risk enligt EU AI Act (se vår tekniska bedömning). Inget av våra system fattar autonoma beslut som påverkar enskildas rättigheter.

6. Underbiträden (personuppgiftsbiträden)

Vi använder följande underbiträden för att leverera våra tjänster. Samtliga är bundna av personuppgiftsbiträdesavtal (DPA) enligt GDPR Art. 28:

Underbiträde	Tjänst	Plats för databehandling	Skyddsåtgärd
Hetzner Online GmbH	Serverhosting (infrastruktur, databaser, vektordatabas Qdrant)	Helsingfors, Finland (EU/EES)	Inom EU/EES — ingen överföring till tredjeland. DPA signerat 2026-04-29.
Google LLC (Gemini / Vertex AI)	AI-språkmodell för chatbot, Voice AI och innehållsgenerering	EU data residency, zero data retention	EU SCCs (Art. 46.2 c), zero retention policy — ingen träning på kunddata
Google LLC (Google Drive / Workspace)	Lagring av faktura-PDF, avtalsdokument och e-post	EU (Google Workspace DPA, EU-region)	EU SCCs, Google Workspace DPA: workspace.google.com/terms/dpa_terms.html
Stripe Payments Europe Ltd.	Betalningshantering, fakturering, kortlagring	EU (Irland) + USA (Stripe LLC)	EU SCCs + EU-US Data Privacy Framework. PCI DSS Level 1. DPA: stripe.com/en-se/legal/dpa
Anthropic PBC	Claude API (intern analys, kundportalsstöd, AI-utvecklingsverktyg)	USA	EU SCCs (Schedule 3 i Anthropic DPA) + UK Addendum, zero data retention för API-anrop
OpenAI Ireland Ltd. / OpenAI OpCo, LLC	GPT API (innehållsgenerering, klassificering, automatisering)	EU (Irland) + USA	EU SCCs Module 2+3 + UK Addendum, ingen träning på API-data, DPA effektiv 1 jan 2026
ElevenLabs Inc.	Röstsyntes (AI-röst för Voice Hovmästare)	USA	EU SCCs, SOC 2 Type II-certifierad
Meta Platforms Ireland Ltd.	Graph API (Facebook + Instagram + Messenger för chatbot- och publishing-integration)	EU (Irland) + USA (Meta Platforms Inc.)	EU SCCs via Meta EU Data Transfer Addendum, Controller Addendum, Customer Information Addendum
LinkedIn Ireland Unlimited Company	Publicering av marknadsföringsinnehåll	Irland (EU)	LinkedIn DPA, GDPR Art. 28
Cloudflare Inc.	CDN, DDoS-skydd, WAF och DNS	Globalt (närmaste edge-nod, inkl. EU)	EU SCCs, DPF-certifierad, ISO 27001-certifierad
Loopia AB	DNS-hantering och WordPress-hosting för enstaka publika domäner	Sverige (EU/EES)	Inom EU/EES — svenska Loopias allmänna villkor inkluderar GDPR-klausuler. Separat DPA under förhandling.

Vi informerar våra kunder innan vi byter eller lägger till nya underbiträden. En aktuell lista finns alltid tillgänglig på denna sida.

7. Överföring till tredjeland

Vissa av våra underbiträden är belägna utanför EU/EES (USA). För dessa överföringar vidtar vi följande skyddsåtgärder i enlighet med GDPR Kapitel V:

• Standardavtalsklausuler (SCCs) — primär grund: Enligt EU-kommissionens genomförandebeslut (EU) 2021/914, Art. 46.2(c), har vi ingått SCCs med Google LLC, ElevenLabs Inc., Stripe Inc., Anthropic PBC, OpenAI OpCo LLC, Meta Platforms Inc. och Cloudflare Inc.
• EU-US Data Privacy Framework (DPF) — komplement: Stripe Inc. och Cloudflare Inc. är DPF-certifierade. DPF kompletterar men ersätter inte SCCs som primär rättslig grund.
• Transfer Impact Assessment (TIA): Vi har genomfört en bedömning av överföringens konsekvenser. Dokumentation finns tillgänglig på begäran.
• Kompletterande åtgärder: Kryptering vid överföring (TLS 1.3), minimering av data som överförs, avidentifiering där möjligt.

Google Gemini API: EU data residency och zero data retention — ingen kunddata lagras av Google efter API-anropet.

Google Drive: Fakturor och avtal lagras i EU-region. Google Workspace DPA med SCCs reglerar behandlingen.

Stripe: Kortdata hanteras av Stripe Ireland Ltd. (EU-entitet) för EU-kunder. Betalningshistorik lagras enligt Stripes DPA med SCCs. RestaurangAI lagrar aldrig kortnummer.

ElevenLabs: Röstdata behandlas i realtid. Ljudfiler raderas efter 30 dagar. Transkript lagras i 12 månader. Certifierad enligt SOC 2 Type II.

Anthropic: Claude API används för intern analys. Zero retention policy — ingen träning på kunddata.

OpenAI: GPT API används för innehållsgenerering och automatisering. Default 30 dagars retention för API-data. Ingen träning på API-data enligt OpenAI:s Services Agreement.

Meta: Graph API används för publicering till restaurangkunders Facebook- och Instagram-sidor. Meta agerar som biträde för publishing och som gemensam personuppgiftsansvarig för Insights/Pixel/CAPI.

8. Lagringstider

Uppgiftskategori	Lagringstid	Rättslig grund
Kontaktuppgifter (aktiva kunder)	Under avtalsperioden + 36 månader	Avtal + berättigat intresse för uppföljning
Kontaktuppgifter (leads/förfrågningar)	24 månader från senaste kontakt	Berättigat intresse (Art. 6.1 f) — raderas automatiskt
Chattloggar (text, AI Hovmästare)	12 månader	Berättigat intresse (Art. 6.1 f) — support och kvalitetssäkring
Voice-samtal (ljudinspelning)	30 dagar	Samtycke (Art. 6.1 a) — raderas automatiskt
Voice-transkript (text)	12 månader	Berättigat intresse (Art. 6.1 f) — support och kvalitetssäkring
Bokningsdata	36 månader	Avtal med gästen (Art. 6.1 b)
Röstsamtalsmetadata (längd, tidpunkt)	12 månader	Berättigat intresse (Art. 6.1 f) — fakturering och driftsstatistik
Faktura- och bokföringsunderlag	7 år	Rättslig förpliktelse (Art. 6.1 c) — Bokföringslagen (1999:1078) 7 kap. 2 §
Betalningshistorik (Stripe)	7 år	Rättslig förpliktelse (Art. 6.1 c) — Bokföringslagen 7 kap. 2 §
Webbplatsanalys (Google Analytics)	14 månader	Samtycke (Art. 6.1 a) — anonymiserad data, GA4 standardinställning
AI-genererat innehåll	Under avtalsperioden + 6 månader	Avtal (Art. 6.1 b) — återhämtning för kund vid avtalets slut

Efter lagringstidens utgång raderas eller anonymiseras uppgifterna. Du kan när som helst begära radering av uppgifter som inte krävs enligt lag (se avsnitt 10).

9. Säkerhetsåtgärder

Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust, ändring eller förstöring, i enlighet med GDPR Art. 32:

• Kryptering: All datatrafik skyddas med TLS 1.3. Databaser krypteras i vila (AES-256).
• Åtkomststyrning: Rollbaserad behörighetskontroll (RBAC) med Row-Level Security (RLS) i databas och multifaktorautentisering (MFA) för administratörer.
• Loggning: All åtkomst till personuppgifter loggas (vem, vad, när) med minimum 12 månaders retention.
• Backup: Dagliga krypterade säkerhetskopior med 3-2-1-strategi inklusive offsite-backup. Återställningstester genomförs regelbundet.
• Serverplacering: Primär infrastruktur hostas av Hetzner i Helsingfors, Finland (EU).

10. Dina rättigheter enligt GDPR

Du har följande rättigheter avseende dina personuppgifter (GDPR Art. 15–22):

• Rätt till tillgång (Art. 15): Du kan begära en kopia av de personuppgifter vi behandlar om dig.
• Rätt till rättelse (Art. 16): Du kan begära korrigering av felaktiga eller ofullständiga uppgifter.
• Rätt till radering (Art. 17): Du kan begära att vi raderar dina uppgifter ("rätten att bli bortglömd"), under förutsättning att det inte finns rättslig grund att behålla dem.
• Rätt till begränsning (Art. 18): Du kan begära att vi begränsar behandlingen av dina uppgifter.
• Rätt till dataportabilitet (Art. 20): Du kan begära att få ut dina uppgifter i ett strukturerat, maskinläsbart format (JSON eller CSV).
• Rätt att göra invändningar (Art. 21): Du kan invända mot behandling som grundas på berättigat intresse.
• Rätt att återkalla samtycke (Art. 7.3): Du kan när som helst återkalla ditt samtycke, utan att det påverkar lagligheten av behandling som utförts före återkallelsen.

För att utöva dina rättigheter, kontakta oss på [email protected] med ämnesraden "GDPR-begäran". Vi besvarar begäran inom 30 dagar (GDPR Art. 12.3).

11. Automatiserat beslutsfattande och profilering

I enlighet med GDPR Art. 22 informerar vi om att RestaurangAi inte använder automatiserat beslutsfattande eller profilering som har rättsliga effekter för den registrerade eller på liknande sätt i betydande grad påverkar denne.

Våra AI-system används för att generera förslag (t.ex. chattsvar, innehållsförslag), men alla beslut med verklig påverkan fattas av människor — antingen av restaurangkunden eller av vår personal.

12. Cookies

Vi använder cookies på vår webbplats. För fullständig information om vilka cookies vi använder, hur du ger och återkallar samtycke, läs vår Cookiepolicy.

13. Barn

Våra tjänster riktar sig till företag (B2B) och är inte avsedda för barn under 16 år. Vi samlar inte medvetet in personuppgifter från barn.

14. Ändringar i integritetspolicyn

Vi kan uppdatera denna integritetspolicy för att återspegla ändringar i vår behandling eller lagstiftning. Väsentliga ändringar meddelas via e-post till aktiva kunder och genom ett tydligt meddelande på vår webbplats.

Tidigare versioner finns tillgängliga på begäran.

15. Kontakta oss

RestaurangAi Tech Sweden
E-post: [email protected]
Webbplats: restaurangai.se

16. Klagomål till tillsynsmyndighet

Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till den nationella tillsynsmyndigheten (GDPR Art. 77):

Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
Telefon: 08-657 61 00
Webbplats: www.imy.se
E-post: [email protected]

Datatilsynet (Norge)
Postboks 458 Sentrum, 0105 Oslo
[email protected] | datatilsynet.no

Datatilsynet (Danmark)
Carl Jacobsens Vej 35, 2500 Valby
[email protected] | datatilsynet.dk