Integritetspolicy

Personuppgiftsansvarig är Grata Oy, ett bolag bildat enligt finsk rätt med säte i Helsinki, Finland, FO-nummer 0756383-4 (EU-momsnummer FI07563834), som driver plattformen tavolameet.com.

För att utöva de rättigheter som följer av GDPR eller för eventuella frågor som rör behandlingen av uppgifterna är det möjligt att kontakta den personuppgiftsansvarige genom att skriva till privacy@tavolameet.com.

Beroende på interaktionen med Plattformen behandlar TavolaMeet följande kategorier av uppgifter:

• Registreringsuppgifter: förnamn, efternamn, e-post, lösenord (krypterat med bcrypt), roll (Guest/Host/Admin), föredraget språk.
• Profiluppgifter: profilbild, verksamhetsort, beskrivning, kontaktuppgifter.
• Betalningsuppgifter: hanteras i sin helhet av Stripe Payments Europe Ltd. TavolaMeet lagrar inte kortuppgifter. Lagrar endast Stripe-identifierare (customer ID, charge ID).
• Ytterligare uppgifter om Host: adress där evenemangen äger rum, momsnummer (för Restaurang-Host), uppgifter från Stripe Connect-onboarding samt identitetskontroll via Stripe Identity.
• Genererat innehåll: evenemangsbeskrivningar, bilder på mat och plats, recensioner samt anmälningar.
• Tekniska uppgifter: IP-adress, user-agent, tidpunkt för åtkomst, säkerhetsloggar, godkännanden av villkoren med rättsligt bevis (version + IP + UA).

3.1Fullgörande av avtalet (art. 6.1.b GDPR): hantering av konto, bokningar, betalningar och transaktionell kommunikation (bekräftelser, kvitton, påminnelser).

3.2Rättslig förpliktelse (art. 6.1.c GDPR): bevarande av fakturor och skatterelaterad redovisning (10 år), revisionsspår över GDPR-samtycken, KYC mot penningtvätt för betalningar.

3.3Berättigat intresse (art. 6.1.f GDPR): bedrägeribekämpning, Plattformens säkerhet, moderation via anmälningssystemet samt intern aggregerad statistik.

Uppgifterna kan kommuniceras till följande aktörer, utsedda till personuppgiftsbiträden enligt art. 28 GDPR:

• Stripe Payments Europe Ltd. (Irland) — bearbetning av betalningar, KYC av Host, identitetskontroll.
• Resend, Inc. (USA) — utskick av transaktionella e-postmeddelanden. Överföring sker med stöd av Standard Contractual Clauses.
• Cloudflare, Inc. (USA) — hosting av bilder och statiska objekt (R2). Överföring sker med stöd av Standard Contractual Clauses.
• Hostinger International Ltd. (Cypern) — hosting av applikationen och PostgreSQL-databasen.
• Rättsliga och polisiära myndigheter — endast på formell rättslig begäran.

• Kontouppgifter: under hela kontots giltighetstid, plus 12 månader från radering av säkerhetsskäl.
• Boknings- och faktureringsuppgifter: 10 år (italiensk civilrättslig och skatterättslig skyldighet).
• Säkerhetsloggar och revisionsspår över samtycken: 5 år.
• Recensioner och offentligt innehåll: förblir synliga även efter att kontot raderats, i anonymiserad form.

Den registrerade kan när som helst utöva de rättigheter som följer av artiklarna 15-22 GDPR genom att skriva till privacy@tavolameet.com:

• rätt till tillgång till sina uppgifter;
• rätt till rättelse;
• rätt till radering (rätten att bli bortglömd), förenligt med de rättsliga skyldigheterna att bevara uppgifterna;
• rätt till begränsning av behandlingen;
• rätt till dataportabilitet;
• rätt att göra invändningar;
• rätt att lämna in klagomål till tillsynsmyndigheten för dataskydd (i Finland Dataombudsmannens byrå, tietosuoja.fi).

Vissa leverantörer (Stripe Identity USA, Resend, Cloudflare) är verksamma utanför Europeiska ekonomiska samarbetsområdet. Överföringarna sker på grundval av Standard Contractual Clauses som godkänts av Europeiska kommissionen (beslut 2021/914).

TavolaMeet vidtar lämpliga tekniska och organisatoriska åtgärder: kryptering av lösenord med bcrypt, HTTPS med TLS 1.3 överallt, nätverksisolering av databasen, åtkomst via SSH-nyckel, loggning av administrativa åtkomster samt dagliga säkerhetskopior.

Denna integritetspolicy kan uppdateras när som helst; eventuella väsentliga ändringar meddelas via e-post med 15 dagars förvarning.