DATASKYDD
Integritetspolicy
Senast uppdaterad: 22 februari 2026
GDPR-notering: Denna policy följer EU:s dataskyddsförordning (GDPR, förordning 2016/679) och svensk lag (Lag 2018:218). Du har rätt att begära tillgång till, rättelse av eller radering av dina personuppgifter. Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (IMY).
1. Vilken data vi samlar in
1.1 Kontouppgifter
När du skapar ett konto hos oss samlar vi in:
- Namn (för- och efternamn)
- E-postadress
- Telefonnummer (valfritt)
- Adress (om du gör ett köp)
- Lösenord (lagras krypterat, vi kan aldrig se ditt lösenord i klartext)
Rättslig grund: Fullgörande av avtal (GDPR Art. 6(1)(b)) — uppgifterna behövs för att kunna tillhandahålla tjänsten.
1.2 Köpuppgifter
När du köper biljetter eller bokar lektioner sparar vi orderhistorik, belopp, betalmetod och faktureringsadress.
Rättslig grund: Rättslig förpliktelse (GDPR Art. 6(1)(c)) — Bokföringslagen (1999:1078) kräver att vi sparar underlag i 7 år.
Notera: Vi lagrar aldrig kreditkortsnummer. Betalningar hanteras av vår betalningsleverantör (Swish).
1.3 Tekniska uppgifter
- IP-adress — sparas vid inloggning för säkerhetsändamål
- Sessionscookies — nödvändiga för att hålla dig inloggad (se avsnitt 6)
Rättslig grund: Berättigat intresse (GDPR Art. 6(1)(f)) — säkerhet och bedrägeribekämpning.
1.4 Marknadsföringsdata
Om du prenumererar på vårt nyhetsbrev eller en arrangörs utskick samlar vi in e-postadress, namn, samtyckesstatus och leveransstatistik.
Rättslig grund: Samtycke (GDPR Art. 6(1)(a)) — du måste aktivt bekräfta prenumerationen (dubbel opt-in). Du kan när som helst avregistrera dig via länken i varje utskick.
2. Hur vi använder din data
| Ändamål | Data som används | Rättslig grund |
|---|---|---|
| Tillhandahålla tjänsten | Namn, e-post, adress | Avtal, Art. 6(1)(b) |
| Orderhantering | Köpuppgifter | Avtal + Bokföringslagen |
| Marknadsföring | E-post, namn | Samtycke, Art. 6(1)(a) |
| Transaktionsmail | E-post | Avtal, Art. 6(1)(b) |
| Säkerhet | IP-adress, sessionsdata | Berättigat intresse, Art. 6(1)(f) |
| Leveransstatistik | E-post, leveranshändelser | Berättigat intresse, Art. 6(1)(f) |
2.1 Samtycke och marknadsföring
Vi använder dubbel opt-in för all marknadsföring. Du måste begära prenumeration och sedan bekräfta via en länk i e-postmeddelandet vi skickar.
Du kan avregistrera dig när som helst via avregistreringslänken i varje utskick, ettklicksavregistrering i din e-postklient (Gmail, Apple Mail etc.), eller genom att kontakta oss direkt.
Om du markerar ett meddelande som skräppost avregistreras du automatiskt och ditt samtycke dras tillbaka omedelbart.
3. Hur vi lagrar och skyddar din data
3.1 Var data lagras
All data lagras på servrar inom EU/EES. Vi överför inga personuppgifter till länder utanför EU utan adekvata skyddsåtgärder.
3.2 Säkerhetsåtgärder
- Kryptering i transit — all trafik skyddas med HTTPS (TLS) och HSTS
- Lösenordskryptering — lösenord lagras som kryptografiska hashvärden med individuell saltning
- Åtkomstkontroll — rollbaserad behörighetsstyrning med separata rättigheter för varje funktion
- Leverantörsisolering — varje arrangör kan bara se sina egna kontakter och beställningar
- PII-maskering — e-postadresser i systemloggar maskeras automatiskt
- Sessionshantering — säkra cookies med HttpOnly, Secure och SameSite-attribut
- CSRF-skydd — alla formulär skyddas mot cross-site request forgery
3.3 Hur länge vi sparar din data
| Datatyp | Lagringstid | Anledning |
|---|---|---|
| Kontouppgifter | Tills du raderar kontot, eller 36 mån efter senaste aktivitet | Avtal / berättigat intresse |
| Orderhistorik | 7 år | Bokföringslagen (1999:1078) |
| E-postinnehåll (utskick) | 30 dagar efter skickat | Felsökning, sedan raderas |
| E-postleveransstatistik | 2 år (730 dagar) | Leveransanalys, sedan raderas |
| Samtyckeshistorik | Lagras permanent | Bevisbörda, GDPR Art. 7(1) |
| Applikationsloggar | 30 dagar | Automatisk radering |
| Inaktiva konton | 36 månader utan aktivitet | Kontot anonymiseras automatiskt |
4. När vi delar din data
Vi säljer aldrig dina personuppgifter. Vi delar data med följande kategorier av mottagare:
4.1 Underleverantörer (personuppgiftsbiträden)
| Leverantör | Syfte | Data | Plats |
|---|---|---|---|
| Brevo (Sendinblue) | E-postleverans | E-post, namn | EU (Frankrike) |
| BunnyCDN | Bildleverans (CDN) | IP-adresser | EU |
| Swish | Betalning | Telefonnummer, belopp | Sverige |
Alla underleverantörer är bundna av personuppgiftsbiträdesavtal (Art. 28 GDPR) och får bara behandla data enligt våra instruktioner.
4.2 Arrangörer (leverantörer)
Om du köper en biljett eller bokar en lektion delar vi ditt namn och din e-postadress med arrangören för att de ska kunna tillhandahålla tjänsten. Varje arrangör är personuppgiftsansvarig för sin egen kundrelation med dig.
4.3 Myndigheter
Vi kan lämna ut personuppgifter om vi är skyldiga enligt lag, domstolsbeslut eller myndighetsbeslut.
5. Dina rättigheter
Enligt GDPR (kapitel III) har du följande rättigheter. Vi besvarar alla förfrågningar inom 30 dagar.
| Rättighet | GDPR | Hur du utövar den |
|---|---|---|
| Tillgång — få veta vilka uppgifter vi har om dig | Art. 15 | Kontakta oss via e-post |
| Rättelse — korrigera felaktiga uppgifter | Art. 16 | Redigera i din profil eller kontakta oss |
| Radering — begär att vi raderar dina uppgifter | Art. 17 | Kontakta oss via e-post |
| Begränsning — begär att vi begränsar behandlingen | Art. 18 | Kontakta oss via e-post |
| Dataportabilitet — få dina uppgifter i maskinläsbart format | Art. 20 | Kontakta oss via e-post |
| Invändning — invända mot behandling | Art. 21 | Kontakta oss eller avregistrera i utskick |
5.1 Radering — vad som händer
När du begär radering:
- Ditt namn och e-post anonymiseras
- Adresser, varukorgar, nyhetsbrevsprenumerationer och externa inloggningar raderas
- Orderhistorik behålls i anonymiserad form i 7 år (Bokföringslagen)
- Samtyckeshistorik behålls som bevis på att vi hade lagligt stöd (GDPR Art. 7(1))
5.2 Klagomål
Du har alltid rätt att lämna klagomål till tillsynsmyndigheten:
Integritetsskyddsmyndigheten (IMY)
E-post: imy@imy.se
Webb: www.imy.se
6. Cookies och spårning
7. Kontakta oss
Om du har frågor om hur vi behandlar dina personuppgifter eller vill utöva dina rättigheter:
Stageboxx AB
E-post: privacy@stageboxx.com
Webb: www.stageboxx.com
Vi besvarar alla dataskyddsförfrågningar inom 30 dagar i enlighet med GDPR Art. 12(3).