Integritetspolicy

Senast uppdaterad: 28 april 2026

Vem denna policy gäller

Denna policy beskriver hur vi behandlar personuppgifter om studioägare och administratörer som använder Class Booking-plattformen. Om du är slutkund (medlem, deltagare, klient) hos en studio som använder Class Booking, hänvisar vi till den studions egen integritetspolicy — studion är personuppgiftsansvarig för sina medlemmar.

1. Personuppgiftsansvarig

Class Booking är personuppgiftsansvarig för de personuppgifter vi samlar in om dig som användare av plattformen. ”Vi”, ”oss” och ”vår” avser den enhet som anges nedan.

Class Booking

Drivs av Nahbo ApS

Danmark

Danskt organisationsnummer (CVR): 45880583

E-post: [email protected]

Du kan när som helst kontakta oss med frågor om hur vi behandlar dina personuppgifter.

Vi har inte utsett ett dataskyddsombud (DSO), eftersom vår behandling inte uppfyller kriterierna i art. 37 GDPR. För dataskyddsrelaterade frågor kan du även nå vårt dataskyddsteam på [email protected] — vi svarar inom 30 dagar.

2. Vilka personuppgifter vi samlar in

2.1 Kontouppgifter (studioägare och administratörer)

När du skapar ett studiokonto på Class Booking samlar vi in:

  • Administratörens namn och e-postadress
  • Studions namn och kontaktuppgifter
  • Organisationsnummer (valfritt, används för fakturering)
  • Lösenord (krypterat lagrat med bcrypt — vi ser det aldrig i klartext)
  • Telefonnummer (valfritt)

2.2 Betalningsuppgifter

För abonnemangsfakturering behandlar vi:

  • Faktureringsadress
  • Betalningshistorik och abonnemangsstatus

Viktigt: vi lagrar aldrig kortuppgifter. Alla kortbetalningar hanteras av Stripe, som är PCI DSS-certifierat. Vi tar endast emot en referens till transaktionen.

2.3 Tekniska uppgifter

När du använder plattformen samlar vi automatiskt in:

  • IP-adress (för säkerhet och felsökning)
  • Webbläsartyp och enhetsinformation
  • Inloggningstider och aktivitetsstämplar
  • Sidvisningar och funktionsanvändning

2.4 Uppgifter du laddar upp

  • Logotyper och bilder för varumärkesprofil
  • Webbplatsinnehåll (text, klassmallar)
  • Juridiska dokument du skapar inom plattformen

2.5 Källor för uppgifter

Vi samlar främst in personuppgifter direkt från dig. I följande fall tar vi emot uppgifter från tredje part:

  • Google OAuth: om du loggar in med Google tar vi emot ditt namn, din e-postadress och din profilbild från Google.
  • Stripe: när du ansluter ett Stripe-konto för att ta emot betalningar från dina medlemmar tar vi emot grundläggande företagsuppgifter och onboarding-status.

3. Ändamål och rättslig grund för behandlingen

Vi behandlar endast personuppgifter där vi har en rättslig grund enligt art. 6 GDPR. Tabellen nedan sammanfattar ändamålen och motsvarande rättsliga grund:

ÄndamålRättslig grund (GDPR)
Tillhandahållande och drift av tjänstenFullgörande av avtal (art. 6.1 b GDPR)
Hantering av betalningar och utställande av fakturorFullgörande av avtal (art. 6.1 b GDPR)
Utskick av servicemeddelanden (driftavbrott, produktuppdateringar, säkerhet)Fullgörande av avtal (art. 6.1 b GDPR)
Förbättring och utveckling av plattformenBerättigat intresse (art. 6.1 f GDPR)
Förhindrande av bedrägeri och missbruk av plattformenBerättigat intresse (art. 6.1 f GDPR)
Uppfyllande av lagstadgade bokföringsskyldigheterRättslig förpliktelse (art. 6.1 c GDPR)
Marknadsföringsmejl och nyhetsbrevSamtycke (art. 6.1 a GDPR)

3.1 Berättigat intresse — intresseavvägning

Där vi stödjer oss på berättigat intresse har vi vägt våra intressen mot dina rättigheter och friheter. Sammanfattningen nedan visar de viktigaste bedömningarna:

Förbättring och utveckling av plattformen

  • Vårt intresse: säkerställa plattformens stabilitet, identifiera buggar och optimera användarupplevelsen.
  • Behandlingens omfattning: aggregerad och anonymiserad användningsstatistik (sidvisningar, felloggar).
  • Ur ditt perspektiv: minimal påverkan på integriteten eftersom uppgifterna är anonymiserade.
  • Slutsats: behandlingen är nödvändig och proportionerlig.

Förhindrande av bedrägeri och missbruk

  • Vårt intresse: skydda plattformen och dess användare mot missbruk, intrång och bedrägeri.
  • Behandlingens omfattning: IP-adresser, inloggningsstämplar, misslyckade inloggningsförsök.
  • Ur ditt perspektiv: skydd mot obehörig åtkomst till ditt konto.
  • Slutsats: behandlingen ligger i både vårt och ditt intresse.

Du har rätt att invända mot behandling som grundas på berättigat intresse enligt art. 21 GDPR. Kontakta oss på [email protected].

4. Lagringstider

UppgiftstypLagringstid
KontouppgifterSå länge kontot är aktivt, plus 30 dagar efter avslutande
Fakturor och betalningsregister5 år (danska bokföringslagen — lagstadgat krav för fakturor)
Inloggningshistorik12 månader
Tekniska loggar90 dagar
AI-assistentkonversationer (admin-chatt)30 dagar
Säkerhetskopior30 dagar efter radering

5. Delning av uppgifter med tredje part

Vi delar endast dina uppgifter med betrodda tredje parter där det är nödvändigt för att leverera tjänsten. Var och en av dessa är anlitad genom ett skriftligt personuppgiftsbiträdesavtal enligt art. 28 GDPR.

5.1 Underbiträden

LeverantörÄndamålPlats
Hetzner Online GmbHServerhotell och säkerhetskopiorTyskland (EU)
Stripe, Inc.Abonnemangsfakturering (din betalning till Class Booking)USA (EU-US Data Privacy Framework)
Resend, Inc.Leverans av transaktionsmejlEU
Europeisk SMS-gateway-leverantörUtskick av SMS-aviseringar (när aktiverat)EU
Pusher (Sinch Communications)Realtidskommunikation (livechatt)EU / Storbritannien
The Rocket Science Group LLC (Mailchimp)Synkronisering av nyhetsbrevslista (valfritt)USA (EU-US Data Privacy Framework)
Anthropic PBCAI-assistent för adminhjälp i produkten (Claude API)USA (standardavtalsklausuler + EU-US Data Privacy Framework)

5.2 Internationella överföringar

Vissa av våra underbiträden (till exempel Stripe och Anthropic) kan överföra personuppgifter till USA. Sådana överföringar sker med stöd av en eller flera av följande skyddsåtgärder enligt kapitel V GDPR:

  • Ett beslut om adekvat skyddsnivå från Europeiska kommissionen (för närvarande EU-US Data Privacy Framework för deltagande amerikanska mottagare), eller
  • Europeiska kommissionens standardavtalsklausuler (SCC), kompletterade vid behov med ytterligare tekniska och organisatoriska åtgärder.

Du kan begära en kopia av tillämpliga skyddsåtgärder genom att mejla [email protected].

5.3 Vi säljer aldrig dina uppgifter

Vi säljer, hyr ut eller röjer aldrig dina personuppgifter till tredje part för deras egna marknadsföringssyften.

5.4 AI-assistent (Class Booking Assistant)

Inne i adminpanelen erbjuder vi en AI-assistent som kan svara på frågor om hur systemet används. När en administratör skickar ett meddelande till assistenten vidarebefordras meddelandet till Anthropic PBC (leverantör av Claude API), som genererar ett svar. Rättslig grund: berättigat intresse (art. 6.1 f GDPR) — för att tillhandahålla produktsupport.

  • Anthropic använder inte dina meddelanden för att träna sina modeller (kommersiellt API, enligt Anthropics kommersiella villkor).
  • Vi loggar konversationerna i 30 dagar för felsökning och kvalitetssäkring. Därefter raderas de automatiskt.
  • Class Bookings plattformsadministratörer kan få åtkomst till loggarna inom samma 30-dagarsfönster.
  • Undvik att ange känsliga personuppgifter (personnummer, hälsouppgifter, ekonomiska uppgifter) i konversationen — assistenten behöver dem inte för att hjälpa dig med produktfunktionerna.

6. Dina rättigheter som registrerad

Enligt GDPR (art. 15-22) har du följande rättigheter:

Rätt till tillgång (art. 15)

Du kan fråga oss vilka personuppgifter vi behandlar om dig och få en kopia.

Rätt till rättelse (art. 16)

Du kan få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.

Rätt till radering (art. 17 — ”rätten att bli bortglömd”)

I vissa fall kan du få dina personuppgifter raderade. Notera att denna rätt inte är absolut — lagstadgade bokföringsskyldigheter kan exempelvis kräva att vi sparar vissa fakturauppgifter i 5 år.

Rätt till begränsning (art. 18)

I vissa fall kan du få behandlingen av dina uppgifter begränsad.

Rätt till dataportabilitet (art. 20)

Du kan få ut dina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och överföra dem till en annan personuppgiftsansvarig.

Rätt att invända (art. 21)

Du kan invända mot behandling som grundas på berättigat intresse, inklusive profilering.

Rätt att återkalla samtycke

Där behandlingen baseras på samtycke kan du återkalla det när som helst. Återkallandet påverkar inte lagligheten av behandling som utförts innan återkallandet.

För att utöva någon av dessa rättigheter, kontakta oss på [email protected]. Vi svarar inom 30 dagar. Utövandet av dina rättigheter är kostnadsfritt om inte begäran är uppenbart ogrundad eller orimlig.

7. Cookies och spårning

7.1 Strikt nödvändiga cookies

Vi använder följande strikt nödvändiga cookies, som inte kräver samtycke enligt ePrivacy-direktivet:

  • Sessionscookie: håller dig inloggad.
  • CSRF-token: skyddar mot cross-site request forgery.
  • Språkinställning: kommer ihåg ditt valda språk.

7.2 Analyscookies (kräver samtycke)

Vi använder Google Analytics för att förstå hur plattformen används. Dessa cookies sätts först efter att du har gett samtycke via cookiebannern.

7.3 Marknadsföringscookies (kräver samtycke)

Vi använder Google Ads för att mäta effektiviteten av vår annonsering. Dessa cookies sätts endast med ditt samtycke.

Se vår cookiepolicy för en fullständig lista över de cookies vi använder.

8. Säkerhet

Vi tar datasäkerhet på allvar och har infört följande tekniska och organisatoriska åtgärder:

  • Kryptering under överföring: all trafik krypteras med TLS 1.3.
  • Kryptering vid lagring: känsliga uppgifter krypteras vid lagring.
  • Lösenordshashning: bcrypt med tillräcklig kostnadsfaktor.
  • Åtkomstkontroll: rollbaserad åtkomstkontroll och fullständiga revisionsloggar.
  • Rate limiting: skydd mot brute force-attacker och överbelastningsattacker.
  • SQL-injektionsskydd: parametriserade frågor via Prisma ORM.
  • XSS-skydd: sanering av indata och en strikt Content Security Policy.
  • Patchhantering: regelbundna säkerhetsuppdateringar av alla beroenden och basbilder.
  • Säkerhetskopior: dagliga automatiska säkerhetskopior med krypterad lagring.

9. Personuppgiftsincidenter

Vid en personuppgiftsincident som sannolikt medför en risk för dina rättigheter och friheter underrättar vi behörig tillsynsmyndighet inom 72 timmar och informerar berörda användare utan onödigt dröjsmål, i enlighet med art. 33 och 34 GDPR.

10. Barns uppgifter

Class Booking-plattformen riktar sig till företag och är inte avsedd för barn under 18 år. Vi samlar inte medvetet in personuppgifter från barn. Om du får kännedom om att ett barn har lämnat personuppgifter till oss, kontakta oss så raderar vi dem.

11. Automatiserat beslutsfattande och profilering

Class Booking fattar inga automatiserade beslut som har rättsliga eller liknande betydande följder för dig, inklusive profilering enligt art. 22 GDPR.

Vi använder grundläggande analys för att förstå hur plattformen används (till exempel vilka funktioner som används mest), men det används aldrig för att fatta beslut om enskilda användare.

12. Ändringar av denna policy

Vi uppdaterar denna integritetspolicy vid behov. Vid väsentliga ändringar meddelar vi dig via e-post minst 14 dagar innan ändringen träder i kraft. Senaste uppdateringsdatum visas högst upp på denna sida.

13. Så lämnar du in ett klagomål

Om du anser att vi behandlar dina personuppgifter olagligt har du rätt att lämna in ett klagomål till en tillsynsmyndighet. Eftersom Nahbo ApS är etablerat i Danmark är danska Datatilsynet vår ledande tillsynsmyndighet. Boende i EU/EES kan även lämna in klagomål till tillsynsmyndigheten i det land där de bor eller arbetar.

Datatilsynet (Danmarks dataskyddsmyndighet)

Carl Jacobsens Vej 35

2500 Valby, Danmark

Telefon: +45 33 19 32 00

E-post: [email protected]

Webb: www.datatilsynet.dk/english

En förteckning över alla nationella dataskyddsmyndigheter i EU/EES finns hos Europeiska dataskyddsstyrelsen på edpb.europa.eu.

14. Kontakt

Har du frågor om denna integritetspolicy eller om hur vi behandlar dina personuppgifter?

Class Booking

Drivs av Nahbo ApS

Danmark

CVR: 45880583

Integritetsfrågor: [email protected]

Dataskydd (DSO-brevlåda): [email protected]

Allmän support: [email protected]

Webb: class-booking.com

Integritetspolicy — Class Booking