Privatlivspolitik
Sidst opdateret: april 2026
1. Dataansvarlig
Bestillo ("vi", "os", "vores") er ansvarlig for behandlingen af dine personoplysninger i forbindelse med vores hjemmeside bestillo.dk og tilhørende tjenester.
Kontakt: privacy@bestillo.dk
2. Hvilke data indsamler vi
Vi indsamler følgende personoplysninger:
| Datatype | Formål | Retsgrundlag |
|---|---|---|
| Navn | Ordrelevering, kundeservice | Kontraktopfyldelse |
| Konto, ordrebekræftelse | Kontraktopfyldelse | |
| Telefon | Kontakt vedr. ordre, OTP-login | Kontraktopfyldelse |
| Adresse | Levering | Kontraktopfyldelse |
| Betalingsdata | Gennemførsel af betaling | Kontraktopfyldelse |
| IP-adresse | Sikkerhed, fejlfinding | Legitim interesse |
| Enheds-tokens | Push-notifikationer | Samtykke |
3. Hosting og databehandling
Bestillo er en white-label platform. Hver restaurant driver sin egen server og database. Det betyder, at dine ordredata opbevares på den specifikke restaurants server — ikke hos Bestillo.
Restauranten er dataansvarlig for de data, der behandles via deres bestillingsplatform. Bestillo fungerer som databehandler, når vi bistår med teknisk drift.
Alle servere hostes inden for EU (typisk Tyskland eller Irland), i overensstemmelse med GDPR.
4. Tredjeparter
Vi deler kun data med følgende tredjeparter, alle med GDPR-overholdelse:
- Stripe — betalingsbehandling (PCI DSS Level 1-certificeret)
- Twilio — SMS-notifikationer (kun telefonnummer)
- Resend — email-notifikationer (kun emailadresse)
- Apple / Google — push-notifikationer (kun anonyme device tokens)
- Hostingudbyder — den valgte udbyder til serverdrift
Vi sælger aldrig dine data til tredjepart.
5. Cookies
Vores hjemmeside (bestillo.dk) bruger kun teknisk nødvendige cookies. Vi bruger ikke tracking-cookies, analytics eller reklame-cookies.
Restaurant-bestillingsapps bruger localStorage til at gemme din kurv og login-session. Disse data forlader aldrig din browser undtagen ved direkte API-kald.
6. Dine rettigheder (GDPR)
Du har ret til:
- Indsigt — se hvilke data vi har om dig
- Berigtigelse — rette forkerte data
- Sletning — få dine data slettet ("retten til at blive glemt")
- Dataportabilitet — modtage dine data i et maskinlæsbart format
- Indsigelse — gøre indsigelse mod behandling baseret på legitim interesse
- Tilbagetrækning af samtykke — til enhver tid for samtykkebaseret behandling
Kontakt os på privacy@bestillo.dk for at udøve dine rettigheder. Vi svarer inden for 30 dage.
7. Opbevaring
- Kontodata: så længe kontoen er aktiv + 30 dage efter sletning
- Ordredata: 5 år (lovkrav til bogføring jf. bogføringsloven)
- Betalingsdata: opbevares af Stripe iht. deres privatlivspolitik
- Logfiler: 90 dage
8. Sikkerhed
Vi beskytter dine data med:
- SSL/TLS-kryptering på al datatrafik
- Bcrypt-hashing af adgangskoder (cost factor 12)
- JWT-tokens med HMAC-SHA256 signering
- Isolerede servere per restaurant (ingen delt database)
- Automatisk firewall og sikkerhedsopdateringer
- Daglige databasebackups med 14 dages retention
9. Brud på datasikkerheden
I tilfælde af brud på persondatasikkerheden underretter vi Datatilsynet inden 72 timer og berørte personer uden unødig forsinkelse, i overensstemmelse med GDPR artikel 33-34.
10. Klageadgang
Du kan klage til Datatilsynet: datatilsynet.dk · Carl Jacobsens Vej 35, 2500 Valby · Tlf: 33 19 32 00.
11. Ændringer
Vi kan opdatere denne privatlivspolitik fra tid til anden. Væsentlige ændringer meddeles via email eller på hjemmesiden. Fortsæt brug efter ændringer udgør accept.