Databe­handlar­avtal

Detta Databehandleravtal ("DPA") utgör bilaga till Användarvillkoren för Stable Booking och reglerar behandlingen av personuppgifter i enlighet med GDPR (EU) 2016/679.

1. Roller

• Personuppgiftsansvarig: Kunden (restaurangen)
• Personuppgiftsbiträde: [FÖRETAGSNAMN AB], org.nr [ORGANISATIONSNUMMER] ("Biträdet")

Biträdet behandlar personuppgifter uteslutande enligt Kundens dokumenterade instruktioner, om inte annat krävs enligt tillämplig lag.

2. Behandling

Kategorier av registrerade

• Restaurangens gäster som bokar via bokningswidgeten
• Walk-in-gäster registrerade av restaurangpersonalen

Kategorier av personuppgifter

• Namn, telefonnummer, e-postadress
• Bokningsinformation (datum, tid, sällskapsstorlek, sittning)
• Allergier och önskemål
• Kommunikationshistorik
• Prenumerationsstatus (opt-in/opt-out och avregistreringsdatum)

Ändamål och varaktighet

Lagring och behandling av bokningsdata för att möjliggöra Kundens restaurangbokningsverksamhet. DPA gäller under avtalstiden. Vid avtalets upphörande raderas data inom 30 dagar, om inte lagstadgad skyldighet kräver längre lagring.

3. Säkerhet

• Kryptering i vila och under transport (TLS 1.2+, AES-256)
• Åtkomstkontroll med rollbaserade behörigheter (RLS)
• Säkerhetskopiering med geografisk redundans inom EU
• Loggning av åtkomst och ändringar

4. Underbiträden

Kunden ger generellt godkännande till följande underbiträden:

• Supabase Inc. – databas och autentisering (EU-region, Frankfurt)
• Vercel Inc. – webbhosting (EU-region, Frankfurt)
• Resend Inc. – transaktionell e-post

Ändringar meddelas minst 14 dagar i förväg. Kunden äger rätt att invända.

5. Personuppgiftsincidenter

Biträdet underrättar Kunden utan onödigt dröjsmål, och senast inom 48 timmar, vid konstaterad personuppgiftsincident.

6. Bistånd till Kunden

Biträdet bistår Kunden med hantering av registerutdrag, raderingsförfrågningar, konsekvensbedömningar (DPIA) och övriga skyldigheter enligt GDPR Art. 32–36.

7. Radering och återlämnande

Vid avtalets upphörande raderas all personuppgiftsdata inom 30 dagar. Export i maskinläsbart format (JSON/CSV) erbjuds på begäran. Radering bekräftas skriftligen på begäran.

8. Revision

Revision får ske i rimlig omfattning och med skälig förvarning. Biträdet tillhandahåller nödvändig information för att påvisa efterlevnad.

9. Internationella överföringar

Personuppgifter behandlas primärt inom EU/EES. Överföring till tredje land sker enligt EU:s standardavtalsklausuler (SCC, kommissionsbeslut 2021/914) eller EU–US Data Privacy Framework.

10. Tillämplig lag och ikraftträdande

Svensk rätt och EU:s dataskyddslagstiftning tillämpas. DPA träder i kraft automatiskt vid Kundens accept av Användarvillkoren.

Kontakt

[FÖRETAGSNAMN AB]
[GATUADRESS]
kundtjanst@stablebooking.se