Juridik

GDPR & dataskydd

Senast uppdaterad: januari 2026

SaaLongs är byggt med dataskydd i grunden. Salonger som använder plattformen är självständiga personuppgiftsansvariga för sina kunders data. SaaLongs AB agerar som personuppgiftsbiträde och hanterar data endast på uppdrag av salongen.

Rollfördelning enligt GDPR

RollPartAnsvar
PersonuppgiftsansvarigSalongen (du)Bestämmer ändamål och medel för behandling av kunddata
PersonuppgiftsbiträdeSaaLongs ABBehandlar data på salongens uppdrag, enligt biträdesavtal
UnderbiträdenHetzner (hosting), Twilio (SMS), Stripe (betalning)Teknisk infrastruktur inom EU/GDPR-ramverk

Personuppgiftsbiträdesavtal (DPA)

Ett personuppgiftsbiträdesavtal gäller automatiskt mellan SaaLongs AB och alla registrerade salonger. Avtalet uppfyller kraven i GDPR art. 28. Du kan begära en undertecknad kopia via [email protected].

Tekniska skyddsåtgärder

  • Kryptering i transit — all kommunikation sker via TLS 1.3
  • Kryptering i vila — databaser och fillagring är krypterade (AES-256)
  • Dataavskärmning — varje salongs data är strikt separerat via Row Level Security (RLS) i PostgreSQL
  • Åtkomstkontroll — personal ser enbart den egna salongens data, aldrig andras
  • Loggning — alla kritiska händelser loggas med tidsstämpel för revisionsspår
  • Backuper — dagliga krypterade säkerhetskopior lagras i 30 dagar

Dataöverföring utanför EU

All data lagras inom EU (Hetzner, Frankfurt). SMS-utskick går via Twilio (USA) men inget meddelande innehåller mer än nödvändig bokningsinformation. Twilio är certifierat enligt EU-US Data Privacy Framework.

Dina rättigheter som registrerad

  • Rätt till tillgång — begär en kopia av dina uppgifter
  • Rätt till rättelse — begär korrigering av felaktiga uppgifter
  • Rätt till radering — begär att dina uppgifter tas bort ("rätten att bli glömd")
  • Rätt till dataportabilitet — begär dina uppgifter i maskinläsbart format
  • Rätt att invända — invända mot behandling baserad på berättigat intresse

Skicka förfrågningar till [email protected]. Vi svarar inom 30 dagar.

Incidenthantering

Vid en personuppgiftsincident notifieras berörda salonger inom 72 timmar. Om incidenten medför hög risk för registrerade individer anmäls den till Integritetsskyddsmyndigheten (IMY).

Kontakt & klagomål

Dataskyddsansvarig: [email protected]

Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).