Integritetspolicy

1. Personuppgiftsansvarig

Samlink AB (org. nr. registrering pågår) är personuppgiftsansvarig för behandlingen av dina personuppgifter. Kontakta oss på privacy@samlink.app för frågor om denna policy eller om dina rättigheter.

2. Vilka uppgifter vi samlar in

Vi samlar bara in det som behövs för att leverera tjänsten:

• Kontouppgifter — e-post, namn, restaurangnamn, roll
• Användningsdata — vilka sidor som besöks, funktioner som används, tidsstämplar
• Transaktionsdata — beställningar, betalningar, kvitton
• Personalrelaterad PII — schema, närvaro, lön (när du som arbetsgivare lagrar det i Samlink)
• Kundbeställnings-PII — namn / telefon / e-post på QR-meny-kunder, om de väljer att lämna det
• Cookie-samtyckes-logg — IP-adress (anonymiserad), tidsstämpel, val, policy-version

3. Syfte och rättslig grund (Art. 6 GDPR)

Vi behandlar dina uppgifter på följande grunder:

• Avtalsuppfyllelse (Art. 6.1.b) — för att leverera tjänsten du abonnerar på
• Rättslig förpliktelse (Art. 6.1.c) — för att uppfylla Bokföringslagen, Skatteverkets krav, Personalliggare-kraven
• Berättigat intresse (Art. 6.1.f) — för att förbättra plattformen, säkerhet och bedrägeribekämpning
• Samtycke (Art. 6.1.a) — för marknadsförings- och analyscookies; återkallelse är möjlig när som helst

4. Mottagare av uppgifterna

Vi använder följande underbiträden — alla är GDPR-kompatibla:

• Supabase (EU-region) — databas + autentisering
• Stripe + Swish (per-tenant BYOK) — betalningsleverantörer; nycklar lagras krypterade med pgcrypto
• Resend — transaktionsmail (kvitton, påminnelser)
• Fortnox — bokföringsexport (SIE4)
• Wolt / Foodora / Uber Eats — leveransplattformar (HMAC-signerade webhooks)

5. Lagringstider

Vi sparar uppgifter bara så länge det behövs:

• Kontouppgifter — under abonnemanget + 12 månader
• Transaktionsdata — 7 år (Bokföringslagen 1999:1078)
• Personalliggare-data — 5 år (Skatteverket-krav)
• Trialdata — 30 dagar efter trial-perioden går ut
• Cookie-samtyckes-logg — 26 månader (IMY-rekommendation)

6. Dina rättigheter enligt GDPR

Du har följande rättigheter — kontakta privacy@samlink.app för att utöva dem:

• Rätt till tillgång (Art. 15) — vi exporterar all din data via dashboarden
• Rätt till rättelse (Art. 16) — du kan rätta direkt i kontoinställningarna
• Rätt till radering (Art. 17) — manuell hantering tills automatiserad radering är på plats
• Rätt till begränsning (Art. 18)
• Rätt till dataportabilitet (Art. 20) — JSON-export via /api/user/export
• Rätt att invända (Art. 21)
• Rätt att återkalla samtycke (Art. 7.3)

7. Klagomål till tillsynsmyndighet

Du har alltid rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) — Sveriges dataskyddsmyndighet — om du anser att vi behandlar dina uppgifter felaktigt. Vi uppskattar dock om du först kontaktar oss på privacy@samlink.app så att vi kan försöka lösa frågan direkt.

8. Är uppgifterna lagstadgade eller avtalsbundna?

För att kunna leverera tjänsten måste vi behandla kontouppgifter (avtalsbundet) och transaktionsdata (lagstadgat enligt Bokföringslagen). Personalliggare-data är lagstadgat för restauranger enligt Skatteverkets krav. Utan dessa uppgifter kan vi inte ingå avtal eller leverera tjänsten lagligt.

9. Cookies

Vi använder strikt nödvändiga cookies (autentisering, säkerhet) som inte kräver samtycke, och valfria analyscookies som bara sätts efter ditt uttryckliga samtycke via cookie-bannern. Du kan ändra ditt val när som helst via länken i sidfoten.

10. Internationella överföringar

Alla data lagras inom EU/EES (Supabase EU-region). Om din restaurang aktiverar Stripe (kortbetalningar) eller Resend (e-postutskick) kan dessa underbiträden behandla data utanför EU under EU-kommissionens standardavtalsklausuler (SCC) eller Data Privacy Framework — vi har avtal som säkerställer GDPR-skyddsnivå. Restauranger som inte aktiverar dessa tjänster behåller all data inom EU/EES.

11. Ändringar i policyn

Vi kan uppdatera den här policyn när tjänsten utvecklas. Materiella ändringar meddelas via e-post + i dashboarden minst 30 dagar innan de träder i kraft. Datumet "Senast uppdaterad" högst upp på sidan visar alltid när policyn senast reviderades.