Användarvillkor för Popcorn
Senast uppdaterad: 15 mars 2026 · Version 1.2
Dessa villkor ("Villkoren") gäller mellan dig ("Kunden", "du") och InsightsHub ("vi", "oss"), organisationsnummer 931 538 982, med säte i Norge. Genom att skapa ett konto godkänner du dessa Villkor.
1. Tjänsten
Popcorn är en digital plattform för insamling och analys av gästfeedback via QR-koder. Tjänsten levereras i befintligt skick ("as is") och inkluderar:
- QR-kodgenerering och feedbackformulär
- HQ Dashboard för överblick, feedback och inställningar
- Belöningssystem för gäster
- Google Review-koppling (automatisk vidarebefordran vid högt betyg)
2. Konto och ansvar
- Du måste vara minst 18 år för att skapa ett konto. Gäster som lämnar feedback måste vara minst 13 år (personopplysningsloven §5).
- Du ansvarar för att hålla dina inloggningsuppgifter säkra, inklusive engångskoder och Magic Links.
- Du ansvarar för all aktivitet som sker under ditt konto.
- Du garanterar att informationen du anger vid registrering är korrekt.
- Ett konto per restaurang/verksamhet. Flera platser hanteras inom samma organisation.
3. Planer och priser
- BAS är för närvarande kostnadsfri.
- Vi förbehåller oss rätten att införa användningsbegränsningar på gratisplanen (t.ex. max antal svar per månad) med 30 dagars förvarning.
- Framtida betalplaner (PRO, MAX) faktureras månadsvis. Prisändringar meddelas minst 30 dagar i förväg.
- Vid framtida betalplaner gäller 14 dagars ångerrätt från köptillfället i enlighet med angrerettloven. Detaljerade villkor fastställs när betalplaner lanseras.
4. Data och äganderätt
Din data ("Kunddata"):
- Du äger all feedback-data som samlas in via dina QR-koder.
- Vi lagrar Kunddata på dina vägnar för att tillhandahålla Tjänsten.
- Vid uppsägning raderas din Kunddata från våra aktiva system inom 30 dagar.
Vår rätt till aggregerad data:
- Vi förbehåller oss rätten att anonymisera och aggregera Kunddata — så att varken gäst eller restaurang kan identifieras — för att:
- Skapa branschinsikter och benchmarks
- Förbättra våra AI-modeller och algoritmer
- Utveckla nya funktioner
- Denna aggregerade data är inte persondata och omfattas inte av raderingsrätten.
Gästfeedback:
- Feedbacken samlas in anonymt. Vi begär inte gästernas namn eller kontaktuppgifter i standardflödet.
- Du ansvarar för att informera dina gäster om att feedback samlas in (vi tillhandahåller standardtexter för detta).
5. Personuppgiftsbiträdesavtal (DPA)
Genom att acceptera dessa Villkor ingår du även det Personuppgiftsbiträdesavtal som bifogas i Bilaga A. I relationen mellan dig och dina gäster:
- Du (restaurangen) är Personuppgiftsansvarig (Data Controller)
- Vi (InsightsHub) är Personuppgiftsbiträde (Data Processor)
6. Acceptabel användning
Du förbinder dig att inte:
- Använda Tjänsten för olaglig verksamhet
- Försöka få obehörig åtkomst till andra kunders data
- Använda automatiserade system för att skapa konton (bottar, spam)
- Återförsälja eller vidareupplåta Tjänsten utan vårt skriftliga medgivande
7. Tillgänglighet och support
- Vi strävar efter hög tillgänglighet men garanterar ingen specifik uptime.
- Support sker via e-post: support@popcornfeedback.com
- Vi förbehåller oss rätten att utföra planerat underhåll med rimlig förvarning.
- Ingen part är ansvarig för försening eller underlåtenhet orsakad av omständigheter utanför rimlig kontroll (force majeure), såsom naturkatastrofer, krig, pandemi, myndighetsbeslutt, eller störningar i allmänna kommunikationssystem.
8. Ansvarsbegränsning
- Vårt totala ansvar gentemot dig är begränsat till det belopp du betalat för Tjänsten under de senaste 12 månaderna (för BAS-kunder: 0 kr).
- Vi ansvarar inte för indirekta skador, utebliven vinst eller förlust av data utöver vad som följer av tvingande lag.
9. Uppsägning
- Du kan när som helst avsluta ditt konto via HQ Settings eller genom att kontakta oss.
- Vi kan stänga av konton (status: SUSPENDED) vid misstänkt missbruk eller brott mot dessa Villkor.
- Vid uppsägning: Kunddata raderas inom 30 dagar. Aggregerad, anonymiserad data behålls.
10. Ändringar av villkoren
- Vi kan uppdatera dessa Villkor. Väsentliga ändringar meddelas via e-post minst 30 dagar i förväg.
- Fortsatt användning efter ändring innebär godkännande av de nya Villkoren.
11. Tillämplig lag och tvistlösning
- Dessa Villkor regleras av norsk lag.
- Tvister som inte kan lösas i samförstånd avgörs av norsk domstol med Oslo tingrett som första instans.
12. Kontakt
InsightsHub
E-post: support@popcornfeedback.com
Personuppgiftsfrågor: privacy@popcornfeedback.com
Bilaga A — Personuppgiftsbiträdesavtal
Enligt GDPR Art. 28 · Version 1.2 · Gäller från 2026-05-21
1. Parter
- Personuppgiftsansvarig ("den Ansvarige"): Kunden (restaurangen/verksamheten som använder Popcorn)
- Personuppgiftsbiträde ("Biträdet"): InsightsHub, Norge
2. Bakgrund
Detta avtal reglerar Biträdets behandling av personuppgifter på den Ansvariges vägnar i samband med Popcorn-tjänsten, i enlighet med GDPR Art. 28.
3. Behandlingens art och syfte
| Aspekt | Beskrivning |
|---|
| Syfte | Insamling, lagring och strukturering av gästfeedback via QR-baserade formulär |
| Behandlingens art | Automatiserad insamling, lagring, aggregering, visning i dashboard |
| Varaktighet | Så länge tjänsteavtalet gäller + 30 dagar efter uppsägning (se sektion 7b) |
4. Kategorier av registrerade
- Restaurangens gäster (feedbacklämnare)
- Restaurangägare och personal (kontoinnehavare)
5. Typer av personuppgifter
| Kategori | Uppgifter |
|---|
| Gästfeedback | Betyg, flervalssvar, fritextsvar (kan potentiellt innehålla personuppgifter) |
| Teknisk data | IP-adress (temporärt), enhetstyp, språkinställning |
| Kontodata | Namn, e-post, verksamhetsuppgifter |
6. Biträdets skyldigheter
Biträdet ska:
- Endast behandla personuppgifter enligt den Ansvariges dokumenterade instruktioner och dessa Villkor.
- Säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig tystnadsplikt.
- Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt Art. 32, inklusive kryptering i transit (TLS) och at rest, rollbaserad åtkomstkontroll, regelbunden säkerhetsgranskning och incidenthanteringsrutiner.
- Inte anlita underbiträden utan den Ansvariges godkännande. Godkända underbiträden listas i Integritetspolicyn. Biträdet meddelar ändringar av underbiträden med 30 dagars förvarning. Den Ansvarige kan invända — om invändningen inte kan tillgodoses har den Ansvarige rätt att säga upp avtalet.
- Bistå den Ansvarige med att fullgöra sina skyldigheter gällande registrerades rättigheter (Art. 15-22).
- Utan onödigt dröjsmål (inom 48 timmar) underrätta den Ansvarige om personuppgiftsincidenter.
- Bistå den Ansvarige med konsekvensbedömningar (DPIA) om relevant.
- Vid avtalets upphörande, återlämna eller radera all persondata (enligt den Ansvariges val) inom 30 dagar och bekräfta återlämnandet/raderingen skriftligen på begäran (Art. 28(3)(g)).
- Tillhandahålla den Ansvarige den information som krävs för att visa att skyldigheterna i Art. 28 uppfylls, samt möjliggöra och bidra till revisioner.
- Omedelbart informera den Ansvarige om en instruktion enligt Biträdets uppfattning strider mot GDPR eller annan tillämplig dataskyddslagstiftning (Art. 28(3)).
7. Godkända underbiträden
| Underbiträde | Syfte | Plats |
|---|
| Railway | Webbhosting, databas (PostgreSQL) | EU (Amsterdam) |
| Cloudflare R2 | Fillagring (bilduppladdning) | EU |
| Resend | Transaktionell e-post | EU/US |
| Google (Places API) | Restaurangsökning | EU/US |
| Upstash | Redis (sessioner, rate limiting) | EU |
| Sentry | Felspårning, prestandaövervakning (PII rensas) | EU/US |
| Anthropic (Claude) | AI-assistent för insikter (Copilot). SCC tillämpas per Anthropics Commercial Terms. | US |
| Self-hosted AI (Ollama) | Plattformsintern AI för analys och diagnostik — ingen extern dataöverföring | EU (Railway, europe-west4) |
Biträdet säkerställer att alla underbiträden är bundna av avtal med minst motsvarande skyddsnivå.
7b. Datalagring och radering
| Datatyp | Lagringstid | Raderingsmetod |
|---|
| Kontodata (venue-PII) | Avtalets varaktighet + 30 dagar | Soft-delete omedelbart, permanent radering efter 30 dagars återställningsfönster |
| Gästfeedback (responses) | Behålls som anonymiserad plattformsdata | FK-kopplingar till raderade venues nollställs; svarsinnehåll bevaras anonymt |
| Revisionslogg (raderingsloggar) | 3 år | Rensas automatiskt efter 3 år |
| AI-interaktionsloggar (CopilotLog) | 90 dagar | Rensas automatiskt efter 90 dagar |
| Krypterade säkerhetskopior | 30 dagar rullande | Skrivs över enligt rotationsschema |
| E-postspärrlista | Tillsvidare | Behålls för att förhindra utskick till raderade konton |
Vid kontoradering tas personuppgifter bort från livesystemen omedelbart. Krypterade kopior kan finnas kvar i säkerhetskopior i upp till 30 dagar innan de skrivs över.
8. Internationella överföringar
Personuppgifter lagras primärt inom EU (Railway, europe-west4, Amsterdam, NL). I de fall underbiträden behandlar data utanför EU/EES — specifikt Anthropic (US-inference, SCC per Commercial Terms) och Resend (US-routing) — säkerställs adekvat skyddsnivå genom EU:s standardavtalsklausuler (SCCs) enligt genomförandebeslut (EU) 2021/914.