Personvernerklæring — LettBestilt

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysningene som samles inn via LettBestilt er:

Tace IT AS
Org.nr. 989 093 495
Vestfold, Norge
E-post: thomas@schlytter-henrichsen.no

Restaurantene som bruker LettBestilt er selvstendige behandlingsansvarlige for opplysningene knyttet til sine egne bestillinger. Tace IT AS er databehandler på vegne av den respektive restauranten.

2. Hvilke opplysninger samler vi inn?

Når du legger inn en bestilling samler vi inn:

Kontaktinfo: Navn, e-postadresse og telefonnummer
Leveringsadresse (ved levering): Gate, postnummer og by
Bestillingsdetaljer: Produkter, varianter, tillegg, antall og totalpris
Betalingsinformasjon: Betalingsmetode og betalingsstatus — selve kortdata behandles utelukkende av Stripe og lagres ikke hos oss
IP-adresse: Brukes midlertidig for å begrense antall bestillinger (misbruksvern)
Tekniske data: Feilmeldinger og ytelsesdata for feilsøking (via Sentry)

3. Hvorfor behandler vi opplysningene?

Formål	Rettslig grunnlag
Behandle og bekrefte bestillingen din	Avtale (GDPR art. 6 nr. 1 b)
Sende e-postbekreftelse og statusoppdateringer	Avtale (GDPR art. 6 nr. 1 b)
Gjennomføre betaling via Stripe	Avtale (GDPR art. 6 nr. 1 b)
Misbruksvern og feilsøking	Berettiget interesse (GDPR art. 6 nr. 1 f)
Overholdelse av regnskapsloven	Rettslig forpliktelse (GDPR art. 6 nr. 1 c)

Vi bruker ikke dine opplysninger til markedsføring uten ditt samtykke.

4. Hvem deler vi opplysningene med?

Restauranten du bestiller fra — mottar navn, kontaktinfo og bestillingsdetaljer for å behandle og levere bestillingen din.
Stripe (betalingstjeneste, USA/EU) — behandler kortbetaling. Stripe er sertifisert under EU–US Data Privacy Framework.
Resend (e-posttjeneste, USA) — sender bekreftelse- og statusmeldinger. Behandler kun din e-postadresse og innholdet i meldingene.
Neon (databaseleverandør, EU) — lagrer bestillingsdata på servere i Europa.
Vercel (skyplattform, USA/EU) — kjører nettstedet og API-er. Behandling skjer primært i EU-regioner.
Sentry (feilsporing, USA) — mottar anonymiserte tekniske feilmeldinger og ytelsesdata. Ingen identifiserende bestillingsdata sendes til Sentry.
Supabase (realtime-infrastruktur, EU) — brukes utelukkende for å sende sanntidsoppdateringer til restaurantens dashbord. Ingen persondata lagres.

Vi selger, leier ut eller deler aldri dine personopplysninger med tredjeparter for markedsføringsformål.

5. Informasjonskapsler (cookies)

Informasjonskapsel	Formål	Type
__session, __client_uat	Innlogging for restaurantadmin (Clerk)	Nødvendig
lettbestilt-cart	Lagrer handlekurven lokalt i nettleseren	Nødvendig
Stripe cookies	Sikker betalingsbehandling og svindelforebygging	Nødvendig
cookie-consent	Husker ditt samtykkevalg	Nødvendig
Sentry session	Feilsporing og ytelsesmåling	Funksjonell

Vi bruker ingen annonserings- eller sporings-cookies. Du kan endre samtykkevalget ditt ved å slette nettleserdata for dette nettstedet.

6. Lagringstid

Bestillingsdata lagres i 3 år etter bestillingstidspunktet, i samsvar med krav i regnskapsloven.
Tekniske loggdata (IP-adresser for ratelimiting) lagres i maksimalt 24 timer.
E-postadresser knyttet til bestillinger slettes når tilhørende bestillingsdata slettes.

7. Dine rettigheter

I henhold til GDPR har du rett til å:

Innsyn — be om en kopi av personopplysningene vi har om deg
Retting — be om at feilaktige opplysninger rettes
Sletting — be om at opplysningene slettes, med visse unntak (f.eks. regnskapsloven)
Begrensning — be om at behandlingen begrenses mens en klage behandles
Dataportabilitet — motta dine opplysninger i et maskinlesbart format
Protest — protestere mot behandling basert på berettiget interesse

Send henvendelser til thomas@schlytter-henrichsen.no. Vi svarer innen 30 dager. Du kan også klage til Datatilsynet.

8. Endringer i personvernerklæringen

Vi kan oppdatere denne erklæringen ved behov. Vesentlige endringer varsles via e-post til registrerte brukere eller ved en tydelig melding på nettstedet. Datoen øverst på siden viser når erklæringen sist ble oppdatert.