Integritetspolicy
Senast uppdaterad: 7 maj 2026
1. Personuppgiftsansvarig
Ett Två AB (org.nr 559580-5614), som driver LunchMap ("vi", "oss", "vår"), är personuppgiftsansvarig för de uppgifter som beskrivs i denna policy.
Kontakt: kontakt@lunchmap.se · Fullständig företagsinformation
Vi har inte utsett ett dataskyddsombud eftersom vi inte omfattas av kraven i artikel 37 GDPR.
2. Vilka uppgifter vi samlar in
2.1 Besökare (lunchgäster)
Du behöver inget konto för att använda kartan och se menyer. Vi samlar in minimalt med uppgifter:
| Uppgift | Syfte | Rättslig grund | Lagringstid |
|---|---|---|---|
| Klickdata (restaurang-ID, område som geohash, klockslag) | Aggregerad klickstatistik per restaurang och område (per vecka) | Samtycke (Art. 6.1.a) | Aggregeras direkt i veckosummor på servern (max 6 månader). Inga rådata, inga identifierare för dig — vi vet inte att två klick kommer från samma besökare. |
| Geohash (grov plats, ~1 km precision) | Geografisk aggregerad statistik | Samtycke (Art. 6.1.a) | Skickas med varje händelse och aggregeras direkt i veckokvotade summor (max 6 månader). Ingen rådata sparas. |
| Platsdata (GPS) | Visa restauranger nära dig | Samtycke (Art. 6.1.a) | Enbart lokalt i webbläsaren — skickas aldrig till servern |
Vi använder en certifierad samtyckeshanterare (CMP) i enlighet med IAB:s Transparency & Consent Framework (TCF v2.3). Vi sparar inga identifierare för dig — varken cookies eller localStorage-poster — för analysändamål. Klickdata aggregeras direkt på servern utan något besökar-ID. Vi använder localStorage enbart för dina egna inställningar (språk, sökradie, favoriter) — den datan lämnar aldrig din enhet. Se vår cookiepolicy för en fullständig lista.
2.2 Restaurangpartners (kontoinnehavare)
När du registrerar ett konto samlar vi in:
| Uppgift | Syfte | Rättslig grund |
|---|---|---|
| E-postadress | Inloggning, kontakt, notifieringar | Avtal (Art. 6.1.b) |
| Organisationsnummer | Identifiering av företag | Avtal (Art. 6.1.b) |
| Restauranguppgifter (namn, adress, meny, telefon) | Visa din restaurang för lunchgäster | Avtal (Art. 6.1.b) |
3. Hur vi använder uppgifterna
- Visa restauranger och menyer på kartan för besökare
- Ge restaurangägare statistik om klick och synlighet
- Skicka driftrelaterade e-postmeddelanden (menypåminnelser, skrapningsvarningar)
- Tillhandahålla och förbättra tjänsten
Personuppgifter delas inte med tredje part i marknadsföringssyfte.
3.1 AI-behandling av menyinnehåll
Vi använder externa AI-tjänster för att automatiskt tolka och strukturera menyinnehåll som skickas in via e-post eller hämtas från restaurangwebbplatser. Enbart menytext skickas till dessa tjänster — inga personuppgifter, kontaktuppgifter eller kontodata. AI-tjänsterna används inte för profilering eller automatiserat beslutsfattande som påverkar enskilda personer.
4. Underbiträden och tredjepartstjänster
| Tjänst | Syfte | Plats |
|---|---|---|
| Logto | Inloggning och kontohantering | Finland (EU) |
| Hetzner | Serverdrift | Finland (EU) |
| InMobi Choice (CMP) | Samtyckeshantering (cookiebanner, TCF v2.3) | EU/EES |
| Cloudflare | Innehållsleverans, säkerhetskopior, e-postinlämning, botskydd | EU/EES |
| Brevo | Transaktions- och notifieringsmejl | Frankrike (EU) |
| CARTO | Kartpaneler och kartvisning | EU/EES |
| OpenStreetMap Nominatim | Adressgeokodning | Diverse |
| Google Fonts | Typsnittsleverans (Inter, Outfit) — IP-adress synlig vid laddning, inga spårningscookies | USA |
| Extern AI-tjänst för textbehandling | AI-tolkning av menyinnehåll | USA (EU-U.S. DPF) |
| Stripe | Kortverifiering (0 kr), abonnemang, fakturering, annonsbetalningar | Irland (EU) / USA |
| Google AdSense | Annonslevereras till besökare (endast efter samtycke via CMP) | USA |
| Bolagsverket | Automatisk verifiering av organisationsnummer vid registrering | Sverige |
De flesta av våra underbiträden är inom EU/EES. För AI-tolkning av menyinnehåll använder vi externa tjänster vars servrar finns i USA. Denna överföring sker med stöd av EU-kommissionens beslut om adekvat skyddsnivå för USA (EU-U.S. Data Privacy Framework). Inga personuppgifter om besökare skickas till dessa tjänster — enbart restaurangmenyinnehåll. Stripe har verksamhet i både Irland och USA och tillämpar Standard Contractual Clauses (SCC) för överföringar till USA. Cloudflare har global infrastruktur och tillämpar SCC för överföringar utanför EU/EES.
5. Datalagring
- Klickdata aggregeras direkt i veckosummor (ingen rådata sparas); aggregerade besöksräkningar lagras max 6 månader
- Veckostatistik: upp till 6 månader
- Menyer: aktuella + viss historik
- Kontodata: tills du begär radering
- Betrodda enheter (hashad IP + enhets-ID): upp till 365 dagar efter registrering
- Verifieringsdata (Bolagsverket, kortverifiering): kontots livstid + 7 år enligt bokföringslag (1999:1078) för underlag till fakturor
- Fakturor och betalningsunderlag: 7 år enligt bokföringslag
- Säkerhetskopior: krypterade; endast senaste veckornas data behålls
- E-posthändelser: studsar (hard_bounce) och klagomål (complaint) behålls på obestämd tid för DSA art. 16(5)- och P2B art. 4-loggar. Övriga e-posthändelser (skickat, levererat, klick, öppningar) raderas efter 90 dagar. Betalnings- och tvistrelaterade e-posthändelser till kunder med bevarade faktureringsuppgifter behålls under tvistperioden.
- Bevisuppgifter vid betalningstvister: vid betalningsrelaterade tvister kan begränsade konto- och faktureringsuppgifter (e-post, namn, registrerings-IP och webbläsaridentifiering (User-Agent), villkorsversion, Stripe-ID:n, debiteringsbelopp och tidsstämpel, samt vem som sade upp prenumerationen och när) bevaras i upp till 36 månader efter att kontot raderats, för att kunna bemöta återbetalningskrav (chargebacks). Rättslig grund: GDPR art. 17(3)(e) (fastställande/försvar av rättsliga anspråk) samt bokföringslagen (1999:1078) 7 kap 2 §.
6. Säkerhet
Vi vidtar tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR för att skydda personuppgifter, inklusive kryptering vid överföring och vila samt kryptografisk hashning av identifierare. Klickdata aggregeras direkt i veckosummor utan något besökar-ID. Detaljerade säkerhetsåtgärder lämnas inte publikt av säkerhetsskäl.
7. Dina rättigheter
Enligt GDPR har du följande rättigheter:
- Rätt till tillgång (Art. 15): Du kan begära en kopia av alla dina personuppgifter.
- Rätt till rättelse (Art. 16): Du kan korrigera felaktiga uppgifter via din dashboard.
- Rätt till radering (Art. 17): Du kan radera ditt konto och dina personuppgifter. Anonymiserad aggregerad statistik och bokföringsunderlag enligt lag (se punkt 5) behålls i enlighet med tillämpliga lagkrav.
- Rätt till dataportabilitet (Art. 20): Du kan exportera all din data i maskinläsbart JSON-format.
- Rätt att göra invändningar (Art. 21): Du kan invända mot behandling baserad på berättigat intresse.
- Rätt att avprenumerera: Alla e-postmeddelanden innehåller en avprenumerationslänk. Du kan även hantera notifieringar i din dashboard.
Du kan utöva dina rättigheter genom att:
- Använda Exportera data / Radera konto i din dashboard (Inställningar)
- Kontakta oss via kontakt@lunchmap.se
Vi svarar på förfrågningar utan onödigt dröjsmål och senast inom 30 dagar från mottagandet. För komplexa ärenden kan tiden förlängas med ytterligare 60 dagar, varvid vi meddelar dig skälen för förlängningen inom den första 30-dagarsperioden (artikel 12.3 GDPR).
Om du anser att vi inte hanterar dina uppgifter korrekt har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY):
- Webb: imy.se
- E-post: imy@imy.se
- Post: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
8. E-postkommunikation
Vi skickar följande typer av e-post till restaurangpartners:
- Driftsrelaterade: Menypåminnelser, skrapningsvarningar, prestandasammanfattningar, nivå-aviseringar. Dessa kan avprenumereras individuellt via länk i mejlet eller i din dashboard.
- Transaktionella: Bekräftelse vid menyinlämning via e-post, kontoändringar. Dessa kan inte avprenumereras då de är nödvändiga för tjänsten.
Alla driftsrelaterade e-postmeddelanden stödjer RFC 8058 one-click unsubscribe och innehåller List-Unsubscribe-headers.
9. Barn
Vår tjänst riktar sig inte till barn under 16 år. Vi samlar inte medvetet in personuppgifter från barn.
10. Personuppgiftsincidenter
Om en personuppgiftsincident inträffar som innebär risk för dina rättigheter och friheter kommer vi att:
- Anmäla incidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar (Art. 33)
- Informera berörda registrerade utan onödigt dröjsmål om risken är hög (Art. 34)
Om du misstänker en säkerhetsincident, kontakta oss omedelbart via kontakt@lunchmap.se.
11. Ändringar i denna policy
Vi kan uppdatera denna policy vid behov. Datumet 'Senast uppdaterad' ovan visar senaste revisionen.
12. Kontakt
Har du frågor om denna policy eller om hur vi behandlar dina uppgifter?
- E-post: kontakt@lunchmap.se
- Tillsynsmyndighet: Integritetsskyddsmyndigheten (IMY)