Juridik
GDPR & dataskydd
Senast uppdaterad: januari 2026
SaaLongs är byggt med dataskydd i grunden. Salonger som använder plattformen är självständiga personuppgiftsansvariga för sina kunders data. SaaLongs AB agerar som personuppgiftsbiträde och hanterar data endast på uppdrag av salongen.
Rollfördelning enligt GDPR
| Roll | Part | Ansvar |
|---|---|---|
| Personuppgiftsansvarig | Salongen (du) | Bestämmer ändamål och medel för behandling av kunddata |
| Personuppgiftsbiträde | SaaLongs AB | Behandlar data på salongens uppdrag, enligt biträdesavtal |
| Underbiträden | Hetzner (hosting), Twilio (SMS), Stripe (betalning) | Teknisk infrastruktur inom EU/GDPR-ramverk |
Personuppgiftsbiträdesavtal (DPA)
Ett personuppgiftsbiträdesavtal gäller automatiskt mellan SaaLongs AB och alla registrerade salonger. Avtalet uppfyller kraven i GDPR art. 28. Du kan begära en undertecknad kopia via [email protected].
Tekniska skyddsåtgärder
- Kryptering i transit — all kommunikation sker via TLS 1.3
- Kryptering i vila — databaser och fillagring är krypterade (AES-256)
- Dataavskärmning — varje salongs data är strikt separerat via Row Level Security (RLS) i PostgreSQL
- Åtkomstkontroll — personal ser enbart den egna salongens data, aldrig andras
- Loggning — alla kritiska händelser loggas med tidsstämpel för revisionsspår
- Backuper — dagliga krypterade säkerhetskopior lagras i 30 dagar
Dataöverföring utanför EU
All data lagras inom EU (Hetzner, Frankfurt). SMS-utskick går via Twilio (USA) men inget meddelande innehåller mer än nödvändig bokningsinformation. Twilio är certifierat enligt EU-US Data Privacy Framework.
Dina rättigheter som registrerad
- Rätt till tillgång — begär en kopia av dina uppgifter
- Rätt till rättelse — begär korrigering av felaktiga uppgifter
- Rätt till radering — begär att dina uppgifter tas bort ("rätten att bli glömd")
- Rätt till dataportabilitet — begär dina uppgifter i maskinläsbart format
- Rätt att invända — invända mot behandling baserad på berättigat intresse
Skicka förfrågningar till [email protected]. Vi svarar inom 30 dagar.
Incidenthantering
Vid en personuppgiftsincident notifieras berörda salonger inom 72 timmar. Om incidenten medför hög risk för registrerade individer anmäls den till Integritetsskyddsmyndigheten (IMY).
Kontakt & klagomål
Dataskyddsansvarig: [email protected]
Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).