En enda EU-medborgare på din kundlista räcker. I samma ögonblick en tysk turist bokar en klass på din studio i Austin, eller en nederländsk student anmäler sig till en kurs i London, gäller GDPR för de uppgifter du har om henne. Studion ligger inte i EU. Skyldigheten gör.
Det tog många studior utanför EU på sängen 2018. År 2026 är det svårare att bortse från. Schrems II tillämpas fullt ut, EU:s AI-förordning gäller för högrisksystem, och tillsynsmyndigheterna har publicerat tydlig vägledning om vad de förväntar sig av småföretag. Böter långt under det uppmärksammade taket på 4% av omsättningen drabbar studior med 200 medlemmar och ett Mailchimp-konto.
Det här är en praktisk genomgång för studior utanför EU som har även bara en handfull EU-kunder. Den ersätter inte juridisk rådgivning, men den tar upp det vi ser att studior gör fel.
När GDPR gäller för dig
Artikel 3 i GDPR har två extraterritoriella utlösande faktorer. Du omfattas om du erbjuder varor eller tjänster till personer i EU, eller om du övervakar deras beteende medan de befinner sig i EU. En studio i Toronto som driver en livestreamkurs och tar emot betalning i euro från en kund i Lyon erbjuder tjänster. En studio i Brooklyn med en bokningssida översatt till tyska och en domän som slutar på .de erbjuder tjänster. Cookies som spårar återkommande besökare från EU-IP-adresser räknas som övervakning.
En turist som kommer in från gatan, betalar kontant och aldrig registrerar sig omfattas inte. En turist som kommer in från gatan och ger dig sin e-postadress för en framtida klassbekräftelse gör det.
Testet handlar om avsikt och koppling, inte geografi. Om du gärna tar emot en bokning från någon som sitter i Berlin behandlar du EU-data och GDPR gäller.
Vad som ändrades 2025-2026
Schrems II tillämpas fullt ut
Att skicka personuppgifter till USA var tidigare enkelt under Privacy Shield. Det ramverket underkändes 2020. Ersättaren, EU-US Data Privacy Framework, täcker endast företag som har självcertifierat sig. Om ditt bokningssystem, din e-postleverantör eller din betalningsleverantör är baserad i USA och inte finns med på den listan behöver du Standardavtalsklausuler (Standard Contractual Clauses) samt en konsekvensbedömning av överföringen. Tillsynsmyndigheterna efterfrågar numera bedömningen vid namn under rutinkontroller.
EU:s AI-förordning kan gälla
Om du använder AI för att optimera scheman, förutsäga uteblivna besök eller automatiskt föreslå klasser baserat på medlemmarnas beteende klassificerar AI-förordningen detta som profilering med begränsad risk. Du behöver informera om det. Mindbodys smarta schemaläggning, Glofox prognos för kundbortfall (churn) och flera nyare verktyg faller inom denna kategori.
DPA-avtal är inte längre valfria
Varje leverantör som hanterar medlemsdata behöver ett undertecknat personuppgiftsbiträdesavtal (Data Processing Agreement, DPA). Betalningsleverantörer, e-postleverantörer, SMS-gateways, kalenderintegrationer. Stripe och Resend publicerar standard-DPA:er. Vissa mindre bokningssystem gör fortfarande inte det. Om du inte kan få ett DPA från en leverantör kan du inte lagligen använda den för EU-data.
Skyldigheterna som fångar studior på fel fot
Rättslig grund för behandling
Du behöver en specifik rättslig grund för varje ändamål. Att boka klassen är avtal. Att skicka kvittot är avtal. Att skicka nyhetsbrevet är samtycke. Att lagra betalningsuppgifter till nästa gång är samtycke. En enda kryssruta med "jag godkänner villkoren" täcker inte alla fyra.
Rätt till export inom 30 dagar
Om en medlem mejlar och ber om allt du har lagrat om henne har du 30 dagar på dig att leverera det i ett maskinläsbart format. JSON eller CSV går bra. PDF gör inte det. Exporten behöver innehålla bokningshistorik, betalningsmetadata, logg över marknadsföringssamtycke och eventuella fritextanteckningar som instruktören har lagt till.
Anmälan av personuppgiftsincident inom 72 timmar
Om din bokningsdatabas komprometteras eller din bärbara dator med medlemslistan blir stulen har du 72 timmar på dig att anmäla det till den relevanta tillsynsmyndigheten. För en studio utanför EU är det myndigheten i varje EU-land där berörda medlemmar bor. Du behöver också ett dokumenterat register över incidenter, även för händelser du väljer att inte anmäla.
En praktisk checklista
- Kartlägg varje plats där medlemsdata finns: bokningssystem, e-postverktyg, betalningsleverantör, bokföringsprogram, instruktörskalendrar, kalkylarket på receptionens bärbara dator.
- Skaffa ett undertecknat DPA från var och en av dessa leverantörer. Arkivera dem.
- Kontrollera var varje leverantör lagrar data. Om någon är baserad i USA och inte finns med på listan för Data Privacy Framework, ta fram Standardavtalsklausuler.
- Skriv om din integritetspolicy på ett enkelt språk. Ange den rättsliga grunden för varje ändamål.
- Inför en process för att hantera export-, raderings- och åtkomstbegäranden inom 30 dagar.
- Skriv en enkelsidig plan för hantering av personuppgiftsincidenter och lägg den någonstans där receptionen kan hitta den.
- Om du använder AI-funktioner för schemaläggning eller beteendeprediktion, lägg till en upplysning om det.
Så här hanterar Class Booking detta
Class Booking körs som standard på EU-infrastruktur. Medlemsdata lagras i Frankfurt, betalningar hanteras av Stripe under deras EU-enhet, och vi undertecknar ett DPA på varje plan, inklusive den kostnadsfria provperioden. Schrems II-konsekvensbedömningen av överföringen publiceras och uppdateras varje kvartal. Export- och raderingsfunktioner är inbyggda i adminpanelen: en medlemsförfrågan blir en åtgärd med två klick, inte ett 30-dagarsprojekt.
Om du driver en studio i Storbritannien, USA, Kanada eller Australien och har EU-medlemmar på din lista behöver du inte bygga om din tekniska stack. Du behöver veta var datan finns och vem som har undertecknat vad.