GDPR for yogastudioer utenfor EU, hva endret seg i 2026
Oppdatert 4 min lesing

GDPR for yogastudioer utenfor EU, hva endret seg i 2026

GDPR gjelder for enhver studio som behandler data om EU-borgere, uansett hvor studioet befinner seg. Her er hva studioer i Storbritannia, USA, Canada og Australia må ha på plass i 2026.

Én EU-borger på kundelisten din er nok. I det øyeblikket en tysk turist booker en time hos studioet ditt i Austin, eller en nederlandsk student melder seg på et kurs i London, gjelder GDPR for dataene du oppbevarer om henne. Studioet er ikke i EU. Forpliktelsen er det.

Dette tok mange studioer utenfor EU på sengen i 2018. I 2026 er det vanskeligere å overse. Schrems II håndheves fullt ut, EUs AI-forordning gjelder for høyrisikosystemer, og tilsynsmyndighetene har publisert klare retningslinjer for hva de forventer av små virksomheter. Bøter godt under det oppsiktsvekkende taket på 4 % av omsetningen rammer studioer med 200 medlemmer og en Mailchimp-konto.

Dette er en praktisk gjennomgang for studioer utenfor EU som har bare en håndfull EU-kunder. Den erstatter ikke juridisk rådgivning, men den dekker det vi ser at studioer gjør feil.

Når GDPR gjelder for deg

Artikkel 3 i GDPR har to ekstraterritoriale utløsningskriterier. Du omfattes hvis du tilbyr varer eller tjenester til personer i EU, eller hvis du overvåker atferden deres mens de befinner seg i EU. Et studio i Toronto som kjører et livestream-kurs og tar imot betaling i euro fra en kunde i Lyon, tilbyr tjenester. Et studio i Brooklyn med en bookingside oversatt til tysk og et domene som ender på .de, tilbyr tjenester. Informasjonskapsler som sporer tilbakevendende besøkende fra EU-IP-adresser, regnes som overvåking.

En turist som bare stikker innom, betaler kontant og aldri melder seg på, omfattes ikke. En turist som gir deg e-posten sin for en fremtidig timebekreftelse, gjør det.

Testen handler om hensikt og tilknytning, ikke geografi. Hvis du gjerne vil ta imot en booking fra noen som sitter i Berlin, behandler du EU-data, og GDPR gjelder.

Hva endret seg i 2025-2026

Schrems II håndheves fullt ut

Å sende personopplysninger til USA var tidligere enkelt under Privacy Shield. Det rammeverket ble kjent ugyldig i 2020. Erstatningen, EU-US Data Privacy Framework, dekker bare selskaper som har selvsertifisert seg. Hvis bookingsystemet, e-postleverandøren eller betalingsformidleren din er amerikansk og ikke står på den listen, trenger du Standard Contractual Clauses i tillegg til en overføringskonsekvensvurdering. Tilsynsmyndighetene ber nå spesifikt om denne vurderingen under rutinekontroller.

EUs AI-forordning kan gjelde

Hvis du bruker AI til å optimalisere timeplaner, forutsi uteblivelser eller automatisk foreslå timer basert på medlemmenes atferd, klassifiserer AI-forordningen dette som profilering med begrenset risiko. Du må opplyse om det. Mindbodys smarte timeplanlegging, Glofox' churn-prediksjon og flere nyere verktøy faller inn under denne kategorien.

Databehandleravtaler er ikke lenger valgfritt

Enhver leverandør som håndterer medlemsdata, trenger en signert databehandleravtale (DPA). Betalingsformidlere, e-postleverandører, SMS-tjenester, kalenderintegrasjoner. Stripe og Resend publiserer standard databehandleravtaler. Noen mindre bookingsystemer gjør fortsatt ikke det. Hvis du ikke kan få en databehandleravtale fra en leverandør, kan du ikke lovlig bruke dem til EU-data.


Pliktene som ofte overrumpler studioer

Behandlingsgrunnlag

Du trenger et spesifikt behandlingsgrunnlag for hvert formål. Å booke timen er kontrakt. Å sende kvitteringen er kontrakt. Å sende nyhetsbrevet er samtykke. Å lagre betalingsopplysninger til neste gang er samtykke. Én enkelt avkrysningsboks for «jeg godtar vilkårene» dekker ikke alle fire.

Rett til dataeksport innen 30 dager

Hvis et medlem sender en e-post og ber om alt du oppbevarer om henne, har du 30 dager på deg til å levere det i et maskinlesbart format. JSON eller CSV er greit. PDF er det ikke. Eksporten må inneholde bookinghistorikk, betalingsmetadata, logg over markedsføringssamtykke og eventuelle frittekstnotater instruktøren har lagt til.

Varsling om brudd innen 72 timer

Hvis bookingdatabasen din blir kompromittert eller bærbaren med medlemslisten blir stjålet, har du 72 timer på deg til å varsle den relevante tilsynsmyndigheten. For et studio utenfor EU er det tilsynsmyndigheten i ethvert EU-land der de berørte medlemmene bor. Du trenger også et dokumentert bruddregister, selv for hendelser du velger å ikke rapportere.

En praktisk sjekkliste

  • Kartlegg alle steder medlemsdata befinner seg: bookingsystem, e-postverktøy, betalingsformidler, regnskapsprogram, instruktørkalendere, regnearket på resepsjonens bærbare.
  • Innhent en signert databehandleravtale fra hver av disse leverandørene. Arkivér dem.
  • Sjekk hvor hver leverandør lagrer data. Hvis noen er amerikanske og ikke står på Data Privacy Framework-listen, utarbeid Standard Contractual Clauses.
  • Skriv om personvernerklæringen din i et enkelt språk. List opp behandlingsgrunnlaget per formål.
  • Etabler en prosess for å håndtere eksport, sletting og innsynsforespørsler innen 30 dager.
  • Skriv en beredskapsplan for brudd på én side, og legg den et sted resepsjonen finner den.
  • Hvis du bruker AI-funksjoner til timeplanlegging eller atferdsprediksjon, legg til en opplysning om det.

Slik håndterer Class Booking dette

Class Booking kjører som standard på EU-infrastruktur. Medlemsdata ligger i Frankfurt, betalinger behandles av Stripe under deres EU-enhet, og vi signerer en databehandleravtale på alle planer, inkludert gratis prøveperiode. Schrems II-overføringskonsekvensvurderingen er publisert og oppdateres hvert kvartal. Eksport- og slettefunksjoner er bygget inn i adminpanelet, en medlemsforespørsel blir en operasjon med to klikk, ikke et 30-dagers prosjekt.

Hvis du driver et studio i Storbritannia, USA, Canada eller Australia og har EU-medlemmer på listen din, trenger du ikke å bygge om hele systemet. Du trenger å vite hvor dataene ligger, og hvem som har signert hva.