Features How It Works Contact
Legal

Privacy Policy

Last updated: June 2026

This policy applies to the KITCH mobile application (iOS and Android) and website.

Juridisk

Privatlivspolitik

Sidst opdateret: Juni 2026

Denne politik gælder for KITCH-mobilapplikationen (iOS og Android) og webstedet.

Table of Contents

  1. 1. Data Controller
  2. 2. Data We Collect
  3. 3. Camera & Photo Permissions
  4. 4. Legal Basis for Processing
  5. 5. How We Use Your Data
  6. 6. Data Sharing & Third Parties
  7. 7. Data Retention
  8. 8. International Data Transfers
  9. 9. Your Rights
  10. 10. Children's Privacy
  11. 11. Security
  12. 12. Changes to This Policy
  13. 13. Contact & Data Protection Officer

1. Data Controller

KITCH ("we", "our", or "us") is the data controller responsible for your personal data. We are a Danish company headquartered in Copenhagen, Denmark.

Contact: privacy@kitch.app
Data Protection Officer: dpo@kitch.app

This Privacy Policy explains how we collect, use, share, and protect personal data when you use our HACCP food-safety compliance platform — including the KITCH mobile application (iOS and Android) and website.

2. Data We Collect

We collect the following categories of personal data:

2.1 Account & Registration Data

  • Full name and email address (required to create an account)
  • User role within your organisation (Owner, Manager, or Worker)
  • Preferred language (English or Danish)
  • Account creation date and last login timestamp
  • Subscription status (free or premium)

2.2 Organisation & Business Data

  • Organisation name, industry type, and country
  • Legal registration number (CVR or equivalent)
  • Business email address and phone number
  • Location name, address, city, postal code, and timezone
  • Opening and closing times for each location
  • Organisation logo image (if uploaded)

2.3 Compliance & HACCP Records

These records are created as part of the core service — digitising mandatory HACCP documentation:

  • Compliance check results: numeric values (e.g. temperatures), boolean answers (yes/no), text entries, and photo evidence
  • Timestamps, check type, and the identity (user ID and role) of the person who performed each check
  • Deviation records: issue description, corrective action taken, acknowledgement by named user
  • Equipment records: name, type, serial number, installation date, calibration history
  • Maintenance logs: issue description, severity, reported-by, resolution status

Note on immutability: Compliance records are immutable once created. This is a legal requirement under HACCP (Hazard Analysis and Critical Control Points) and EU food safety law — not a KITCH-specific limitation. Records cannot be edited or deleted.

2.4 Device & Technical Data

  • Device identifier (generated on first launch, persisted locally)
  • Device model and operating system (e.g. "iPhone 14 Pro", "Samsung Galaxy S23")
  • App version and platform (iOS / Android)

2.5 Authentication Data

  • Email and password credentials (password is hashed by Supabase Auth — we never store plaintext passwords)
  • Worker PIN codes are stored only as cryptographic hashes (SHA-256 / bcrypt) — plaintext PINs are never retained
  • Session tokens are stored in encrypted device storage (iOS Keychain / Android Keystore via FlutterSecureStorage)

2.6 Push Notification Tokens

  • Firebase Cloud Messaging (FCM) device token — collected and stored for the purpose of delivering compliance reminders and alerts. Currently used for local notifications only; remote push notifications are planned for future releases.

2.7 Usage Data

  • Last session date and sync timestamps
  • Notification preferences (enabled/disabled, preferred notification time)

3. Camera & Photo Permissions

The KITCH app requests the following device permissions:

  • Camera: Used exclusively to photograph food safety evidence (e.g. temperature displays, corrective action documentation) when completing a compliance check. Photos are uploaded to our secure storage and attached to the relevant compliance record.
  • Photo Library: Used to select an existing image as compliance evidence or to upload an organisation logo.
  • Microphone: Declared in the app manifest as required by the platform's camera framework; not actively used for audio recording.

Photos captured through the app are stored in KITCH's Supabase Storage bucket ("compliance-photos" or "org-logos") and are never used for advertising, profiling, or any purpose other than the compliance record to which they are attached.

4. Legal Basis for Processing

We process personal data on the following legal grounds under GDPR Article 6:

  • Performance of contract (Art. 6(1)(b)): Processing necessary to provide the KITCH service — account management, storing compliance records, generating audit reports, and facilitating team management.
  • Legal obligation (Art. 6(1)(c)): HACCP documentation is a mandatory legal requirement under EU Regulation (EC) No 852/2004 on the hygiene of foodstuffs. Creating, storing, and making available immutable compliance records is required by law.
  • Legitimate interests (Art. 6(1)(f)): Maintaining service security, preventing fraud, improving platform reliability, and troubleshooting technical issues — in all cases balanced against and not overriding your rights and interests.

5. How We Use Your Data

We use the data we collect to:

  • Create and manage your account and organisation
  • Deliver the KITCH compliance platform, including offline-first check recording and background sync
  • Generate inspection-ready audit reports and PDF exports
  • Send compliance reminder notifications (local and, in future, push notifications)
  • Facilitate team management — invitation emails via Resend, worker PIN setup
  • Enforce role-based access control (owners, managers, workers see only the data appropriate to their role)
  • Maintain service security and investigate potential misuse
  • Improve platform reliability and fix bugs
  • Respond to support requests and enquiries

We do not use your data for advertising, profiling, or sale to third parties.

6. Data Sharing & Third Parties

We share data only with the following sub-processor, under a Data Processing Agreement:

  • Supabase, Inc. — our backend platform provider. Supabase hosts our PostgreSQL database, authentication service, serverless edge functions, and file storage. Data is stored within the European Union. Supabase's privacy policy: supabase.com/privacy.
  • Resend — used to send transactional emails (team invitations). Only the recipient's email address is shared for this purpose.

We do not sell, rent, or share your personal data with advertisers, analytics companies, data brokers, or any other third parties beyond those listed above.

We may disclose data if required by law, court order, or competent regulatory authority (e.g. Datatilsynet).

7. Data Retention

  • Compliance records (HACCP logs, deviations, calibrations): Retained for a minimum of 3 years from the date of creation, in accordance with Danish and EU food safety legislation. These records are immutable and cannot be deleted prior to this retention period.
  • Account and profile data: Retained for as long as your account is active. Upon account deletion, personal data is removed within 30 days, except where retention is required by law (e.g. the 3-year HACCP retention obligation).
  • Device tokens and session data: Removed when you sign out or delete the app.
  • Photos (compliance evidence): Retained for the same period as the compliance record to which they are attached.

8. International Data Transfers

Your data is stored and processed within the European Union. Supabase's infrastructure used by KITCH is hosted in EU data centres. We do not transfer personal data to countries outside the EU/EEA.

9. Your Rights

Under GDPR (Articles 15–22), you have the following rights regarding your personal data:

  • Right of access (Art. 15): You may request a copy of the personal data we hold about you.
  • Right to rectification (Art. 16): You may request correction of inaccurate personal data.
  • Right to erasure (Art. 17): You may request deletion of your personal data. Note: compliance records (HACCP logs) cannot be erased before the legally mandated retention period expires, as required by EU food safety law.
  • Right to restriction of processing (Art. 18): You may request that we limit how we process your data in certain circumstances.
  • Right to data portability (Art. 20): You may request your data in a structured, machine-readable format.
  • Right to object (Art. 21): You may object to processing based on legitimate interests.
  • Right to withdraw consent: Where processing is based on consent, you may withdraw it at any time without affecting the lawfulness of prior processing.

To exercise any of these rights, email us at privacy@kitch.app. We will respond within 30 days.

You also have the right to lodge a complaint with the Danish Data Protection Authority: Datatilsynet, Borgergade 28, 5th floor, 1300 Copenhagen K, Denmark. Tel: +45 33 19 32 00.

10. Children's Privacy

KITCH is a professional B2B compliance platform intended exclusively for use by food-service businesses and their employees. The service is not directed at children under the age of 16. We do not knowingly collect personal data from anyone under 16. If you believe a child under 16 has provided us with personal data, please contact us at privacy@kitch.app and we will promptly delete it.

11. Security

We implement appropriate technical and organisational security measures including:

  • All data transmitted between the app and our servers is encrypted using TLS (HTTPS)
  • Data at rest is encrypted in Supabase's managed infrastructure
  • Row-Level Security (RLS) policies on our database ensure users can only access data belonging to their own organisation
  • Worker PINs are stored as cryptographic hashes only — never in plaintext
  • Session tokens are stored in the device's secure enclave (iOS Keychain / Android Keystore)
  • We apply the principle of least privilege — each user role has access only to the data required for their function

In the event of a personal data breach, we will notify the relevant supervisory authority (Datatilsynet) within 72 hours and affected individuals without undue delay, as required by GDPR Article 33–34.

12. Changes to This Policy

We may update this Privacy Policy from time to time. When we make material changes, we will notify you by updating the "Last updated" date at the top of this page and, where appropriate, by sending a notification through the app or by email. Your continued use of KITCH after the effective date of the revised policy constitutes your acceptance of the changes.

13. Contact & Data Protection Officer

For any questions, requests, or concerns regarding this Privacy Policy or our data practices, please contact:

General privacy enquiries: privacy@kitch.app
Data Protection Officer: dpo@kitch.app
General enquiries: hello@kitch.app
Address: KITCH, Copenhagen, Denmark

Indholdsfortegnelse

  1. 1. Dataansvarlig
  2. 2. Data vi indsamler
  3. 3. Kamera- og fototilladelser
  4. 4. Retsgrundlag for behandling
  5. 5. Hvordan vi bruger dine data
  6. 6. Datadeling og tredjeparter
  7. 7. Opbevaring af data
  8. 8. Internationale dataoverførsler
  9. 9. Dine rettigheder
  10. 10. Børns privatlivsbeskyttelse
  11. 11. Sikkerhed
  12. 12. Ændringer af denne politik
  13. 13. Kontakt og databeskyttelsesrådgiver

1. Dataansvarlig

KITCH ("vi", "vores" eller "os") er den dataansvarlige for dine personoplysninger. Vi er en dansk virksomhed med hjemsted i København, Danmark.

Kontakt: privacy@kitch.app
Databeskyttelsesrådgiver (DPO): dpo@kitch.app

Denne privatlivspolitik beskriver, hvordan vi indsamler, anvender, deler og beskytter personoplysninger, når du bruger vores HACCP-overholdelsesplatform — herunder KITCH-mobilapplikationen (iOS og Android) og webstedet.

2. Data vi indsamler

Vi indsamler følgende kategorier af personoplysninger:

2.1 Konto- og registreringsdata

  • Fulde navn og e-mailadresse (påkrævet for at oprette en konto)
  • Brugerrolle i din organisation (Ejer, Leder eller Medarbejder)
  • Foretrukket sprog (engelsk eller dansk)
  • Dato for kontooprettelse og tidsstempel for seneste login
  • Abonnementsstatus (gratis eller premium)

2.2 Organisations- og virksomhedsdata

  • Organisationsnavn, branchetype og land
  • CVR-nummer eller tilsvarende registreringsnummer
  • Virksomhedens e-mailadresse og telefonnummer
  • Lokationsnavn, adresse, by, postnummer og tidszone
  • Åbnings- og lukketider for hver lokation
  • Organisationslogo (hvis uploadet)

2.3 Overholdelsesdata og HACCP-optegnelser

Disse optegnelser skabes som en del af kernetjenesten — digitalisering af lovpligtig HACCP-dokumentation:

  • Resultater af overholdelsestjek: numeriske værdier (f.eks. temperaturer), boolean-svar (ja/nej), tekstindtastninger og fotodokumentation
  • Tidsstempler, tjektype og identiteten (bruger-ID og rolle) på den person, der udførte hvert tjek
  • Afvigelsesoptegnelser: beskrivelse af problem, gennemført korrigerende handling, bekræftelse fra navngivet bruger
  • Udstyrsoptegnelser: navn, type, serienummer, installationsdato, kalibreringshistorik
  • Vedligeholdelseslogge: problembeskrivelse, alvorlighed, indberettet af, løsningsstatus

Bemærkning om uforanderlighed: Overholdelsesoptegnelser er uforanderlige, når de er oprettet. Dette er et lovkrav under HACCP (Hazard Analysis and Critical Control Points) og EU's fødevaresikkerhedslovgivning — ikke en KITCH-specifik begrænsning. Optegnelser kan ikke redigeres eller slettes.

2.4 Enheds- og tekniske data

  • Enheds-ID (genereret ved første start, gemt lokalt på enheden)
  • Enhedsmodel og operativsystem (f.eks. "iPhone 14 Pro", "Samsung Galaxy S23")
  • App-version og platform (iOS / Android)

2.5 Autentificeringsdata

  • E-mail- og adgangskodeoplysninger (adgangskoden er krypteret af Supabase Auth — vi gemmer aldrig adgangskoder i klartekst)
  • Medarbejder-PIN-koder gemmes udelukkende som kryptografiske hash-værdier (SHA-256 / bcrypt) — klartekst-PIN'er bevares aldrig
  • Sessionstoken er gemt i krypteret enhedslager (iOS Keychain / Android Keystore via FlutterSecureStorage)

2.6 Push-notifikationstokens

  • Firebase Cloud Messaging (FCM) enheds-token — indsamles og gemmes med henblik på at sende påmindelser og advarsler om overholdelse. Anvendes i øjeblikket kun til lokale notifikationer; fjernpush-notifikationer er planlagt til fremtidige versioner.

2.7 Brugsdata

  • Dato for seneste session og synkroniseringstidsstempler
  • Notifikationspræferencer (aktiveret/deaktiveret, foretrukket notifikationstidspunkt)

3. Kamera- og fototilladelser

KITCH-appen anmoder om følgende enhedstilladelser:

  • Kamera: Anvendes udelukkende til at fotografere fødevaresikkerhedsbevis (f.eks. temperaturdisplay, dokumentation af korrigerende handlinger) ved gennemførelse af et overholdelsestjek. Fotos uploades til vores sikre lager og knyttes til den relevante overholdelsesoptegnelse.
  • Fotobibliotek: Anvendes til at vælge et eksisterende billede som overholdelsesbevis eller til at uploade et organisationslogo.
  • Mikrofon: Erklæret i appmanifestet som krævet af platformens kameraramme; bruges ikke aktivt til lydoptagelse.

Fotos, der tages gennem appen, gemmes i KITCHs Supabase Storage-bucket ("compliance-photos" eller "org-logos") og bruges aldrig til reklame, profilering eller andre formål end den overholdelsesoptegnelse, de er tilknyttet.

4. Retsgrundlag for behandling

Vi behandler personoplysninger på følgende retsgrundlag i henhold til GDPR artikel 6:

  • Opfyldelse af kontrakt (art. 6(1)(b)): Behandling, der er nødvendig for at levere KITCH-tjenesten — kontoadministration, opbevaring af overholdelsesoptegnelser, generering af revisionsrapporter og facilitering af teamadministration.
  • Retlig forpligtelse (art. 6(1)(c)): HACCP-dokumentation er et lovpligtigt krav i henhold til EU-forordning (EF) nr. 852/2004 om fødevarehygiejne. Oprettelse, opbevaring og tilgængeliggørelse af uforanderlige overholdelsesoptegnelser er lovpligtigt.
  • Legitime interesser (art. 6(1)(f)): Vedligeholdelse af tjenestesikkerhed, forebyggelse af svindel, forbedring af platformens pålidelighed og fejlfinding — i alle tilfælde afvejet mod og ikke tilsidesættende dine rettigheder og interesser.

5. Hvordan vi bruger dine data

Vi bruger de data, vi indsamler, til at:

  • Oprette og administrere din konto og organisation
  • Levere KITCH-overholdelsesplatformen, herunder offline-tjekregistrering og baggrundssynkronisering
  • Generere inspektionsklare revisionsrapporter og PDF-eksporter
  • Sende påmindelser om overholdelsesnotifikationer (lokale og, i fremtiden, push-notifikationer)
  • Facilitere teamadministration — invitationsemails via Resend, opsætning af medarbejder-PIN
  • Håndhæve rollebaseret adgangskontrol (ejere, ledere, medarbejdere ser kun data, der er relevant for deres rolle)
  • Opretholde tjenestesikkerhed og undersøge potentielt misbrug
  • Forbedre platformens pålidelighed og rette fejl
  • Besvare supportanmodninger og henvendelser

Vi bruger ikke dine data til reklame, profilering eller salg til tredjeparter.

6. Datadeling og tredjeparter

Vi deler data udelukkende med følgende underdatabehandler under en databehandleraftale:

  • Supabase, Inc. — vores backend-platformsudbyder. Supabase hoster vores PostgreSQL-database, autentificeringssystem, serverløse edge-funktioner og fillager. Data opbevares inden for EU. Supabases privatlivspolitik: supabase.com/privacy.
  • Resend — bruges til at sende transaktionelle e-mails (teaminvitationer). Kun modtagerens e-mailadresse deles til dette formål.

Vi sælger, udlejer eller deler ikke dine personoplysninger med annoncører, analysevirksomheder, datamæglere eller andre tredjeparter ud over de ovenfor nævnte.

Vi kan videregive data, hvis dette kræves ved lov, retskendelse eller af en kompetent tilsynsmyndighed (f.eks. Datatilsynet).

7. Opbevaring af data

  • Overholdelsesoptegnelser (HACCP-logge, afvigelser, kalibreringer): Opbevares i minimum 3 år fra oprettelsesdatoen i overensstemmelse med dansk og EU's fødevaresikkerhedslovgivning. Disse optegnelser er uforanderlige og kan ikke slettes inden denne opbevaringsperiode.
  • Konto- og profildata: Opbevares, så længe din konto er aktiv. Ved kontosletning fjernes personoplysninger inden for 30 dage, medmindre opbevaring er lovpåkrævet (f.eks. den 3-årige HACCP-opbevaringsforpligtelse).
  • Enheds-tokens og sessionsdata: Fjernes, når du logger ud eller sletter appen.
  • Fotos (overholdelsesbevis): Opbevares i samme periode som den overholdelsesoptegnelse, de er tilknyttet.

8. Internationale dataoverførsler

Dine data opbevares og behandles inden for EU. Supabases infrastruktur, som anvendes af KITCH, er hostet i EU-datacentre. Vi overfører ikke personoplysninger til lande uden for EU/EØS.

9. Dine rettigheder

I henhold til GDPR (artikel 15–22) har du følgende rettigheder vedrørende dine personoplysninger:

  • Ret til indsigt (art. 15): Du kan anmode om en kopi af de personoplysninger, vi opbevarer om dig.
  • Ret til berigtigelse (art. 16): Du kan anmode om rettelse af unøjagtige personoplysninger.
  • Ret til sletning (art. 17): Du kan anmode om sletning af dine personoplysninger. Bemærk: Overholdelsesoptegnelser (HACCP-logge) kan ikke slettes inden den lovpligtige opbevaringsperiode udløber, da dette er krævet af EU's fødevaresikkerhedslovgivning.
  • Ret til begrænsning af behandling (art. 18): Du kan anmode om, at vi begrænser behandlingen af dine data i visse situationer.
  • Ret til dataportabilitet (art. 20): Du kan anmode om dine data i et struktureret, maskinlæsbart format.
  • Ret til indsigelse (art. 21): Du kan gøre indsigelse mod behandling baseret på legitime interesser.
  • Ret til at trække samtykke tilbage: Hvor behandlingen er baseret på samtykke, kan du til enhver tid trække det tilbage uden at påvirke lovligheden af tidligere behandling.

For at udøve dine rettigheder kan du sende en e-mail til privacy@kitch.app. Vi svarer inden for 30 dage.

Du har også ret til at indgive en klage til Datatilsynet: Datatilsynet, Borgergade 28, 5. sal, 1300 København K, Danmark. Tlf.: +45 33 19 32 00.

10. Børns privatlivsbeskyttelse

KITCH er en professionel B2B-overholdelsesplatform, der udelukkende er beregnet til brug af fødevarevirksomheder og deres medarbejdere. Tjenesten er ikke rettet mod børn under 16 år. Vi indsamler ikke bevidst personoplysninger fra nogen under 16 år. Hvis du mener, at et barn under 16 år har givet os personoplysninger, bedes du kontakte os på privacy@kitch.app, og vi vil straks slette dem.

11. Sikkerhed

Vi implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder:

  • Alle data, der transmitteres mellem appen og vores servere, er krypteret med TLS (HTTPS)
  • Data i hvile er krypteret i Supabases administrerede infrastruktur
  • Row-Level Security (RLS)-politikker på vores database sikrer, at brugere kun kan tilgå data, der tilhører deres egen organisation
  • Medarbejder-PIN'er gemmes udelukkende som kryptografiske hash-værdier — aldrig i klartekst
  • Sessionstoken er gemt i enhedens sikre lager (iOS Keychain / Android Keystore)
  • Vi anvender princippet om mindste privilegium — hver brugerrolle har kun adgang til de data, der er nødvendige for deres funktion

I tilfælde af et brud på persondatasikkerheden vil vi underrette den relevante tilsynsmyndighed (Datatilsynet) inden for 72 timer og berørte personer uden unødig forsinkelse, som krævet af GDPR artikel 33–34.

12. Ændringer af denne politik

Vi kan med jævne mellemrum opdatere denne privatlivspolitik. Når vi foretager væsentlige ændringer, vil vi underrette dig ved at opdatere datoen "Sidst opdateret" øverst på denne side og, hvor det er relevant, ved at sende en notifikation via appen eller pr. e-mail. Din fortsatte brug af KITCH efter den nye politiks ikrafttrædelsesdato udgør din accept af ændringerne.

13. Kontakt og databeskyttelsesrådgiver

For spørgsmål, anmodninger eller bekymringer vedrørende denne privatlivspolitik eller vores datapraksis bedes du kontakte:

Generelle privatlivshenvendelser: privacy@kitch.app
Databeskyttelsesrådgiver (DPO): dpo@kitch.app
Generelle henvendelser: hello@kitch.app
Adresse: KITCH, København, Danmark