Hoppa till innehåll

GDPR för restaurang — bordsbokning, allergier och lojalitetsprogram

Restauranger samlar in mer personuppgifter än de flesta inser: bordsbokningar, matallergier (känsliga uppgifter!), lojalitetsprogram och personaldata för säsongsanställda. Kontrollera er compliance.

Restauranger betraktar sig sällan som dataintensiva verksamheter — men verkligheten är en annan. En restaurang med bokningssystem, lojalitetsprogram, Instagram-närvaro och ett personalsystem för säsongsanställda hanterar personuppgifter om hundratals eller tusentals individer per år.

Det som gör restaurangbranschen GDPR-intressant är kombinationen av tre faktorer: matallergier (som juridiskt klassas som hälsodata under GDPR Art. 9 och är känsliga uppgifter med strikta behandlingskrav), direkt kundkontakt via bokningssystem (som kräver tydlig rättslig grund och lagringstider), och säsongsanställda med hög personalomsättning (som kräver snabb hantering av personuppgifter vid anställningens slut).

Lojalitetsprogram — stämpelkort digitalt, app-baserade poängsystem, Instagramrabatter — är direktmarknadsföring och kräver explicit samtycke för e-postmarknadsföring och korrekt hantering av kundprofiler. Många restauranger har samlat in e-postadresser via rabatterbjudanden utan att uppfylla GDPR:s krav på informerat samtycke.

En Northverify-skanning kontrollerar er webbplats mot de grundläggande digitala GDPR-kraven: cookie-hantering, integritetspolicy, säkerhetskonfiguration och kontaktformulärsdata. Dessa är startpunkten — den fulla compliance-bilden kräver också granskning av bokningssystem, marknadsföringspraktiker och HR-processer.

Kontrollera er compliance på några minuter

Kontrollera vilka cookies er webbplats sätter — gratis cookie-scanner

Kör gratis skanning

Bordsbokning och e-postkommunikation

Bordsbokningssystem — oavsett om det är en tredjepartstjänst (EatApp, Bookatable, Yelp Reservations, Table Agent) eller ett eget formulär — samlar in personuppgifter: namn, telefon, e-post, och antal gäster. Dessa uppgifter behandlas med stöd av avtal (Art. 6.1.b — nödvändigt för att hantera bokningen).

Nyckelfrågorna för GDPR-compliance i bokningssystemet:

  • Lagringstid: bokningsdata bör inte sparas längre än nödvändigt för bokningens ändamål plus eventuella reklamationer — vanligtvis 3–12 månader.
  • Tredjepartssystem: bokningssystemet är ett personuppgiftsbiträde och kräver ett PUB-avtal. Internationella bokningssystem (med datalagring utanför EU) kräver standardavtalsklausuler.
  • Bekräftelse-e-post: automatiska bokningsbekräftelser är inte marknadsföring och kräver inte samtycke. Däremot kräver eventuella marknadsföringsmeddelanden i anslutning till bekräftelsen aktiv opt-in.

Matallergier och GDPR Art. 9

Detta är det mest förbisedda GDPR-problemet i restaurangbranschen: matallergier klassas som hälsodata under GDPR Art. 9 — känsliga uppgifter med strikta behandlingskrav.

När en gäst uppger vid bordsbokning att de är allergiska mot nötter, laktos eller gluten, uppger de hälsoinformation. Restaurangen behandlar känsliga personuppgifter och måste ha explicit rättslig grund för denna behandling — vanligtvis explicit samtycke (Art. 9.2.a) eller nödvändig behandling för att tillgodose vitala intressen (Art. 9.2.c om livet är i fara).

I praktiken: om bokningsformuläret innehåller ett fält för "allergier eller specialkost", ska formuläret informera om att uppgifterna klassas som hälsoinformation, hur de behandlas, och ge alternativ till att uppge skriftlig allergiinformation om gästen föredrar att kommunicera muntligt vid ankomst.

Allergidatan ska raderas efter restaurangbesöket om det inte finns specifika skäl att behålla den (t.ex. återkommande gäst med eget kundkonto som aktivt valt att spara preferenser).

Lojalitetsprogram och direktmarknadsföring

Lojalitetsprogram — poängsystem, stamgästklubb, appbaserade rabatter — insamlar kunddata och är direkt kopplat till direktmarknadsföring. GDPR och Lagen om elektronisk kommunikation (LEK) ställer tydliga krav:

  • E-postmarknadsföring kräver explicit opt-in-samtycke
  • Samtycket ska vara fritt, specifikt, informerat och otvetydigt — "Stämpla ditt kort digitalt" är inte tillräcklig information för ett giltigt samtycke till marknadsföring
  • Kunden ska enkelt kunna avsluta prenumerationen (unsubscribe-länk i varje utskick)
  • Lagringstiden för kundprofiler som inte aktivt använts bör begränsas — 1–2 år utan aktivitet är en rimlig praxis

Rabatterbjudanden som kräver att kunden lämnar e-postadress är en form av "marknadsföring mot personuppgifter" som IMY granskat kritiskt. Om kunden inte kan ta del av erbjudandet utan att uppge e-post kan det tolkas som en form av cookie wall — villkorat samtycke som inte är fritt.

Personaldata och säsongsanställda

Restaurangbranschen har hög personalomsättning och många säsongsanställda. Ur GDPR-perspektiv kräver det:

  • Tydlig process för radering av personaldata vid anställningens slut (lönerelaterade uppgifter sparas 7 år per bokföringslag, men personalfiler utöver detta ska raderas)
  • Information till nyanställda om behandling av deras personuppgifter (GDPR Art. 13-information)
  • Begränsad åtkomst till personalsystemet — inte all personal behöver ha tillgång till löneinformation för kollegor

Schemaläggningssystem (Planday, Quinyx, Personalkollen) är personuppgiftsbiträden som hanterar personaldata. Dessa system kräver PUB-avtal.

Sociala medier och kundfotografier

Många restauranger publicerar gästfotografier på Instagram och Facebook. Fotografier som visar identifierbara gäster utan deras samtycke är personuppgiftsbehandling. Publiceringen kräver rättslig grund — vanligtvis samtycke.

Ett vanligt missförstånd: om en gäst taggar restaurangen på Instagram och restaurangen delar posten, behandlar restaurangen gästens personuppgifter i marknadsföringssyfte. Sätt en policy: be alltid om muntligt eller skriftligt samtycke innan ni delar gästfotografier i marknadsföringen.

Google-recensionsinbjudningar som skickas via e-post är direktmarknadsföring och faller under soft opt-in-reglerna. Recension-e-post till kunder som aldrig köpt och inte opt-inat är olaglig marknadsföring.

Bokningssystem, lojalitetsprogram och personaldata i restaurangbranschen

Restaurangbranschen samlar personuppgifter i tre separata flöden som var och ett kräver en tydlig GDPR-strategi: gästbokningar med kontaktuppgifter, lojalitetsprogram med köphistorik, och personaldata inklusive schema och löner.

Bokningssystem som Bokabord, OpenTable och SevenRooms är personuppgiftsbiträden. Uppgifter som samlas in vid bokning – namn, telefon, e-post och eventuella allergier (känsliga uppgifter per artikel 9) – ska inte sparas längre än nödvändigt. Allergier och kostpreferenser är känsliga uppgifter och kräver uttryckligt samtycke för lagring utöver det aktuella besöket.

Lojalitetsprogram som kopplar inköp till en identifierbara person skapar kundprofiler som GDPR artikel 22 om profilering kan bli tillämplig på om de används för automatiserade marknadsföringsbeslut. Kunden ska informeras tydligt om hur lojalitetsprogramdata används, hur länge profilen sparas och hur den kan raderas.

Kassasystem med CRM-integration (Square, Lightspeed, Trivec) delar transaktionsdata med bokföringen och eventuellt marknadsföringsplattformar. Varje integrationsled kräver DPA eller SCC om data lämnar EU. Betalkortsnummer ska aldrig lagras i restaurangens egna system – detta hanteras av PCI DSS-certifierade betalprocessorer.

Personal i restaurangbranschen har ofta oregelbundna arbetstider och timmar som registreras digitalt. Schemaläggningssystem (Avy, Planday) är biträden och kräver DPA. Lönespecifikationer innehåller personnummer och lönebelopp och ska lagras krypterat med åtkomstkontroll begränsad till HR/ekonomi.

Kameraövervakning i restaurangen är vanlig för säkerhet men kräver GDPR-efterlevnad: skyltning vid ingångarna, lagringstid max 72 timmar om inget incident, och DPA med kameratjänstleverantören. IMY publicerade 2023 en vägledning om kameraövervakning som klargör att ansiktsigenkänning i realtid kräver uttryckligt samtycke och är sällsynt tillåten för privata aktörer. Recensionsplattformar (Google Reviews, Tripadvisor) kan innehålla personuppgifter om gäster. Restaurangen är inte personuppgiftsansvarig för plattformens data, men om restaurangen svarar på recensioner och nämner personuppgifter (namn, besöksdetaljer) uppstår ett eget behandlingsansvar. Hantering av matallergier och specialkoster i bokningssystemet kräver samtycke per besök snarare än ett permanent kundkort med allergidata. Rutinen ska dokumenteras i byråns GDPR-policy och personalen utbildas i att inte spara allergiinformation längre än nödvändigt för det aktuella besöket.

IMY-precedent

Lojalitetsprogram och GDPR — IMY:s riktlinjer för restaurang och detaljhandel

IMY har i vägledningar och tillsynsärenden 2024–2026 granskat lojalitetsprogram inom restaurang och detaljhandel. Kritiken fokuserar på tre brister: samtycke som inte är fritt (kopplade till rabatter), otillräcklig information om ändamålet vid insamling av e-postadress, och avsaknad av enkel avregistreringsfunktion. Restauranger med app-baserade lojalitetsprogram uppmanas granska samtyckes-flödet mot IMY:s riktlinjer.

Alla IMY-beslut

Guide: cookie banner och GDPR-krav 2026

IMY:s fullständiga krav på cookie-banners för webbplatser. Gäller alla branscher inklusive restaurang och mat & dryck.

Läs guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →