Integritetspolicy

1. Personuppgifter vi samlar in

• Webbplatsbesökare: IP-adress, webbläsardata, cookies (se Cookie-policy).
• B2B-kunder (restauranger): Företagsnamn, kontaktperson (namn, e-post, telefon), betalningsuppgifter.
• Slutanvändare (ringande kunder): Namn, telefonnummer, orderdetaljer, samtalsinspelningar (röstdata), SMS-data. Dessa samlas på uppdrag av våra kunder (restauranger som personuppgiftsansvariga).

2. Rättslig grund för behandling

• Avtal: Orderhantering, tjänsteleverans (GDPR art. 6(1)(b)).
• Berättigat intresse: Säkerhet, marknadsföring, kvalitetsanalys (art. 6(1)(f); LIA-bedömning finns).
• Samtycke: Samtalsinspelning, icke-nödvändiga cookies, marknads-SMS (art. 6(1)(a)). Vid samtalsinspelning informeras den uppringande i början av samtalet och ges möjlighet att avböja inspelning.

3. Delning med tredje parter

Vi delar data endast för tjänstens drift:

• Retell.ai (USA): Samtalsinspelning/AI (personuppgiftsbiträde, DPA + SCCs).
• 46elks (Sverige): SMS (DPA).
• Supabase (EU): Databaslagring (DPA).
• Vercel: Webbhosting (DPA, eventuell US-transit via SCCs).

Inga försäljningar av data. Sub-biträden listas i DPA:er.

4. Överföringar utanför EU/EES

Data överförs till USA (Retell.ai, Vercel) med Standardavtalsklausuler (SCCs) godkända av EU-kommissionen. Skyddsnivå säkerställd via DPA och audit.

5. Lagringstid

• Samtal: Max 30 dagar (automatisk radering).
• Orderdata: 2 år efter transaktion.
• Kunddata: Under avtal + 6 månader efter uppsägning.

Radering när ändamål uppfyllt.

6. Dina rättigheter

• Tillgång, rättning, radering: Begär via dpo@svarly.se.
• Begränsning, invändning, portabilitet: Samma kanal.
• Återkalla samtycke: När som helst, påverkar ej tidigare behandling.

Svar inom 1 månad. Klagomål till IMY: imy.se.

7. Säkerhet

Kryptering, åtkomstkontroll, regelbundna säkerhetstester. Vid dataincident: Notis till IMY inom 72 timmar om risk.

8. Barn

Tjänsten riktar sig ej till barn under 16 år.

9. Ändringar

Vi uppdaterar policyn och notifierar via webbplats/e-post.