Integritetspolicy
Senast uppdaterad: 28 april 2026
Vem denna policy gäller
Denna policy beskriver hur vi behandlar personuppgifter om studioägare och administratörer som använder Class Booking-plattformen. Om du är slutkund (medlem, deltagare, klient) hos en studio som använder Class Booking, hänvisar vi till den studions egen integritetspolicy — studion är personuppgiftsansvarig för sina medlemmar.
1. Personuppgiftsansvarig
Class Booking är personuppgiftsansvarig för de personuppgifter vi samlar in om dig som användare av plattformen. ”Vi”, ”oss” och ”vår” avser den enhet som anges nedan.
Class Booking
Drivs av Nahbo ApS
Danmark
Danskt organisationsnummer (CVR): 45880583
E-post: [email protected]
Du kan när som helst kontakta oss med frågor om hur vi behandlar dina personuppgifter.
Vi har inte utsett ett dataskyddsombud (DSO), eftersom vår behandling inte uppfyller kriterierna i art. 37 GDPR. För dataskyddsrelaterade frågor kan du även nå vårt dataskyddsteam på [email protected] — vi svarar inom 30 dagar.
2. Vilka personuppgifter vi samlar in
2.1 Kontouppgifter (studioägare och administratörer)
När du skapar ett studiokonto på Class Booking samlar vi in:
- Administratörens namn och e-postadress
- Studions namn och kontaktuppgifter
- Organisationsnummer (valfritt, används för fakturering)
- Lösenord (krypterat lagrat med bcrypt — vi ser det aldrig i klartext)
- Telefonnummer (valfritt)
2.2 Betalningsuppgifter
För abonnemangsfakturering behandlar vi:
- Faktureringsadress
- Betalningshistorik och abonnemangsstatus
Viktigt: vi lagrar aldrig kortuppgifter. Alla kortbetalningar hanteras av Stripe, som är PCI DSS-certifierat. Vi tar endast emot en referens till transaktionen.
2.3 Tekniska uppgifter
När du använder plattformen samlar vi automatiskt in:
- IP-adress (för säkerhet och felsökning)
- Webbläsartyp och enhetsinformation
- Inloggningstider och aktivitetsstämplar
- Sidvisningar och funktionsanvändning
2.4 Uppgifter du laddar upp
- Logotyper och bilder för varumärkesprofil
- Webbplatsinnehåll (text, klassmallar)
- Juridiska dokument du skapar inom plattformen
2.5 Källor för uppgifter
Vi samlar främst in personuppgifter direkt från dig. I följande fall tar vi emot uppgifter från tredje part:
- Google OAuth: om du loggar in med Google tar vi emot ditt namn, din e-postadress och din profilbild från Google.
- Stripe: när du ansluter ett Stripe-konto för att ta emot betalningar från dina medlemmar tar vi emot grundläggande företagsuppgifter och onboarding-status.
3. Ändamål och rättslig grund för behandlingen
Vi behandlar endast personuppgifter där vi har en rättslig grund enligt art. 6 GDPR. Tabellen nedan sammanfattar ändamålen och motsvarande rättsliga grund:
| Ändamål | Rättslig grund (GDPR) |
|---|---|
| Tillhandahållande och drift av tjänsten | Fullgörande av avtal (art. 6.1 b GDPR) |
| Hantering av betalningar och utställande av fakturor | Fullgörande av avtal (art. 6.1 b GDPR) |
| Utskick av servicemeddelanden (driftavbrott, produktuppdateringar, säkerhet) | Fullgörande av avtal (art. 6.1 b GDPR) |
| Förbättring och utveckling av plattformen | Berättigat intresse (art. 6.1 f GDPR) |
| Förhindrande av bedrägeri och missbruk av plattformen | Berättigat intresse (art. 6.1 f GDPR) |
| Uppfyllande av lagstadgade bokföringsskyldigheter | Rättslig förpliktelse (art. 6.1 c GDPR) |
| Marknadsföringsmejl och nyhetsbrev | Samtycke (art. 6.1 a GDPR) |
3.1 Berättigat intresse — intresseavvägning
Där vi stödjer oss på berättigat intresse har vi vägt våra intressen mot dina rättigheter och friheter. Sammanfattningen nedan visar de viktigaste bedömningarna:
Förbättring och utveckling av plattformen
- Vårt intresse: säkerställa plattformens stabilitet, identifiera buggar och optimera användarupplevelsen.
- Behandlingens omfattning: aggregerad och anonymiserad användningsstatistik (sidvisningar, felloggar).
- Ur ditt perspektiv: minimal påverkan på integriteten eftersom uppgifterna är anonymiserade.
- Slutsats: behandlingen är nödvändig och proportionerlig.
Förhindrande av bedrägeri och missbruk
- Vårt intresse: skydda plattformen och dess användare mot missbruk, intrång och bedrägeri.
- Behandlingens omfattning: IP-adresser, inloggningsstämplar, misslyckade inloggningsförsök.
- Ur ditt perspektiv: skydd mot obehörig åtkomst till ditt konto.
- Slutsats: behandlingen ligger i både vårt och ditt intresse.
Du har rätt att invända mot behandling som grundas på berättigat intresse enligt art. 21 GDPR. Kontakta oss på [email protected].
4. Lagringstider
| Uppgiftstyp | Lagringstid |
|---|---|
| Kontouppgifter | Så länge kontot är aktivt, plus 30 dagar efter avslutande |
| Fakturor och betalningsregister | 5 år (danska bokföringslagen — lagstadgat krav för fakturor) |
| Inloggningshistorik | 12 månader |
| Tekniska loggar | 90 dagar |
| AI-assistentkonversationer (admin-chatt) | 30 dagar |
| Säkerhetskopior | 30 dagar efter radering |
5. Delning av uppgifter med tredje part
Vi delar endast dina uppgifter med betrodda tredje parter där det är nödvändigt för att leverera tjänsten. Var och en av dessa är anlitad genom ett skriftligt personuppgiftsbiträdesavtal enligt art. 28 GDPR.
5.1 Underbiträden
| Leverantör | Ändamål | Plats |
|---|---|---|
| Hetzner Online GmbH | Serverhotell och säkerhetskopior | Tyskland (EU) |
| Stripe, Inc. | Abonnemangsfakturering (din betalning till Class Booking) | USA (EU-US Data Privacy Framework) |
| Resend, Inc. | Leverans av transaktionsmejl | EU |
| Europeisk SMS-gateway-leverantör | Utskick av SMS-aviseringar (när aktiverat) | EU |
| Pusher (Sinch Communications) | Realtidskommunikation (livechatt) | EU / Storbritannien |
| The Rocket Science Group LLC (Mailchimp) | Synkronisering av nyhetsbrevslista (valfritt) | USA (EU-US Data Privacy Framework) |
| Anthropic PBC | AI-assistent för adminhjälp i produkten (Claude API) | USA (standardavtalsklausuler + EU-US Data Privacy Framework) |
5.2 Internationella överföringar
Vissa av våra underbiträden (till exempel Stripe och Anthropic) kan överföra personuppgifter till USA. Sådana överföringar sker med stöd av en eller flera av följande skyddsåtgärder enligt kapitel V GDPR:
- Ett beslut om adekvat skyddsnivå från Europeiska kommissionen (för närvarande EU-US Data Privacy Framework för deltagande amerikanska mottagare), eller
- Europeiska kommissionens standardavtalsklausuler (SCC), kompletterade vid behov med ytterligare tekniska och organisatoriska åtgärder.
Du kan begära en kopia av tillämpliga skyddsåtgärder genom att mejla [email protected].
5.3 Vi säljer aldrig dina uppgifter
Vi säljer, hyr ut eller röjer aldrig dina personuppgifter till tredje part för deras egna marknadsföringssyften.
5.4 AI-assistent (Class Booking Assistant)
Inne i adminpanelen erbjuder vi en AI-assistent som kan svara på frågor om hur systemet används. När en administratör skickar ett meddelande till assistenten vidarebefordras meddelandet till Anthropic PBC (leverantör av Claude API), som genererar ett svar. Rättslig grund: berättigat intresse (art. 6.1 f GDPR) — för att tillhandahålla produktsupport.
- Anthropic använder inte dina meddelanden för att träna sina modeller (kommersiellt API, enligt Anthropics kommersiella villkor).
- Vi loggar konversationerna i 30 dagar för felsökning och kvalitetssäkring. Därefter raderas de automatiskt.
- Class Bookings plattformsadministratörer kan få åtkomst till loggarna inom samma 30-dagarsfönster.
- Undvik att ange känsliga personuppgifter (personnummer, hälsouppgifter, ekonomiska uppgifter) i konversationen — assistenten behöver dem inte för att hjälpa dig med produktfunktionerna.
6. Dina rättigheter som registrerad
Enligt GDPR (art. 15-22) har du följande rättigheter:
Rätt till tillgång (art. 15)
Du kan fråga oss vilka personuppgifter vi behandlar om dig och få en kopia.
Rätt till rättelse (art. 16)
Du kan få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.
Rätt till radering (art. 17 — ”rätten att bli bortglömd”)
I vissa fall kan du få dina personuppgifter raderade. Notera att denna rätt inte är absolut — lagstadgade bokföringsskyldigheter kan exempelvis kräva att vi sparar vissa fakturauppgifter i 5 år.
Rätt till begränsning (art. 18)
I vissa fall kan du få behandlingen av dina uppgifter begränsad.
Rätt till dataportabilitet (art. 20)
Du kan få ut dina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och överföra dem till en annan personuppgiftsansvarig.
Rätt att invända (art. 21)
Du kan invända mot behandling som grundas på berättigat intresse, inklusive profilering.
Rätt att återkalla samtycke
Där behandlingen baseras på samtycke kan du återkalla det när som helst. Återkallandet påverkar inte lagligheten av behandling som utförts innan återkallandet.
För att utöva någon av dessa rättigheter, kontakta oss på [email protected]. Vi svarar inom 30 dagar. Utövandet av dina rättigheter är kostnadsfritt om inte begäran är uppenbart ogrundad eller orimlig.
7. Cookies och spårning
7.1 Strikt nödvändiga cookies
Vi använder följande strikt nödvändiga cookies, som inte kräver samtycke enligt ePrivacy-direktivet:
- Sessionscookie: håller dig inloggad.
- CSRF-token: skyddar mot cross-site request forgery.
- Språkinställning: kommer ihåg ditt valda språk.
7.2 Analyscookies (kräver samtycke)
Vi använder Google Analytics för att förstå hur plattformen används. Dessa cookies sätts först efter att du har gett samtycke via cookiebannern.
7.3 Marknadsföringscookies (kräver samtycke)
Vi använder Google Ads för att mäta effektiviteten av vår annonsering. Dessa cookies sätts endast med ditt samtycke.
Se vår cookiepolicy för en fullständig lista över de cookies vi använder.
8. Säkerhet
Vi tar datasäkerhet på allvar och har infört följande tekniska och organisatoriska åtgärder:
- Kryptering under överföring: all trafik krypteras med TLS 1.3.
- Kryptering vid lagring: känsliga uppgifter krypteras vid lagring.
- Lösenordshashning: bcrypt med tillräcklig kostnadsfaktor.
- Åtkomstkontroll: rollbaserad åtkomstkontroll och fullständiga revisionsloggar.
- Rate limiting: skydd mot brute force-attacker och överbelastningsattacker.
- SQL-injektionsskydd: parametriserade frågor via Prisma ORM.
- XSS-skydd: sanering av indata och en strikt Content Security Policy.
- Patchhantering: regelbundna säkerhetsuppdateringar av alla beroenden och basbilder.
- Säkerhetskopior: dagliga automatiska säkerhetskopior med krypterad lagring.
9. Personuppgiftsincidenter
Vid en personuppgiftsincident som sannolikt medför en risk för dina rättigheter och friheter underrättar vi behörig tillsynsmyndighet inom 72 timmar och informerar berörda användare utan onödigt dröjsmål, i enlighet med art. 33 och 34 GDPR.
10. Barns uppgifter
Class Booking-plattformen riktar sig till företag och är inte avsedd för barn under 18 år. Vi samlar inte medvetet in personuppgifter från barn. Om du får kännedom om att ett barn har lämnat personuppgifter till oss, kontakta oss så raderar vi dem.
11. Automatiserat beslutsfattande och profilering
Class Booking fattar inga automatiserade beslut som har rättsliga eller liknande betydande följder för dig, inklusive profilering enligt art. 22 GDPR.
Vi använder grundläggande analys för att förstå hur plattformen används (till exempel vilka funktioner som används mest), men det används aldrig för att fatta beslut om enskilda användare.
12. Ändringar av denna policy
Vi uppdaterar denna integritetspolicy vid behov. Vid väsentliga ändringar meddelar vi dig via e-post minst 14 dagar innan ändringen träder i kraft. Senaste uppdateringsdatum visas högst upp på denna sida.
13. Så lämnar du in ett klagomål
Om du anser att vi behandlar dina personuppgifter olagligt har du rätt att lämna in ett klagomål till en tillsynsmyndighet. Eftersom Nahbo ApS är etablerat i Danmark är danska Datatilsynet vår ledande tillsynsmyndighet. Boende i EU/EES kan även lämna in klagomål till tillsynsmyndigheten i det land där de bor eller arbetar.
Datatilsynet (Danmarks dataskyddsmyndighet)
Carl Jacobsens Vej 35
2500 Valby, Danmark
Telefon: +45 33 19 32 00
E-post: [email protected]
En förteckning över alla nationella dataskyddsmyndigheter i EU/EES finns hos Europeiska dataskyddsstyrelsen på edpb.europa.eu.
14. Kontakt
Har du frågor om denna integritetspolicy eller om hur vi behandlar dina personuppgifter?
Class Booking
Drivs av Nahbo ApS
Danmark
CVR: 45880583
Integritetsfrågor: [email protected]
Dataskydd (DSO-brevlåda): [email protected]
Allmän support: [email protected]
Webb: class-booking.com