Hoppa till innehåll
FitnessBooking
DA EN SV NO DE
GDPR 8 min läsning · 02. 05. 2026

GDPR för gym: vad du MÅSTE ha koll på

GDPR är inte bara ett juridiskt dokument. Det är konkreta krav på hur du hanterar medlemsdata.

Kortfattat

Gym hanterar mer personlig data än de flesta andra SMB:er — hälsouppgifter, bilder, betalningar. De fem sakerna du måste ha koll på: rättslig grund, lagring, samtycken, personuppgiftsbiträdesavtal och användarrättigheter.

Observera: den här artikeln är en praktisk introduktion, inte juridisk rådgivning. Få specifika bedömningar validerade av en jurist eller Datainspektionen.

Vad kräver GDPR av ett gym?

Fem områden måste vara på plats:

  • Rättslig grund för varje typ av data du behandlar
  • Tydliga lagringsperioder dokumenterade
  • Uttryckligt samtycke för marknadsföring och hälsouppgifter
  • Personuppgiftsbiträdesavtal med alla externa leverantörer
  • System för att hantera användarrättigheter (insyn, radering, export)

1. Vilken data behandlar du egentligen?

Börja med en datakartläggning. Skriv ner vilken data du samlar in, var den finns, vem som har tillgång och hur länge den lagras. Typiska kategorier på ett gym:

Vanliga personuppgifter (namn, adress, telefon, mejl). Hälsouppgifter om ni har skade-, allergi- eller hälsoformulär — det är en särskild kategori som kräver uttryckligt samtycke. Bilder från gymmet eller pass om de är identifierbara. Betalningsdata. Passagedata från passagekontrollsystem.

2. Vad är din rättsliga grund för att behandla den?

Varje typ av data måste ha en rättslig grund. De fyra mest relevanta för gym är:

Avtalsuppfyllelse: du får behandla data som behövs för att uppfylla avtalet — t.ex. betalning, bokning, passage.

Samtycke: krävs för marknadsföring, bilder du publicerar och särskilda kategorier som hälsa.

Berättigat intresse: kan täcka saker som säkerhet och bedrägeriförebyggande — men kräver en dokumenterad intresseavvägning.

Rättslig förpliktelse: bokföring, skatt, penningtvätt etc.

3. Hur länge får du lagra det?

Lagringsperioder måste vara konkreta och dokumenterade. Inte "tills vidare". Typiska exempel: bokföringsmaterial 7 år, vanliga medlemsdata efter avslut 6-12 månader (om inte andra regler kräver längre), marknadsföringssamtycken tills de återkallas.

Det viktiga är inte att perioden är rätt på tvärs av alla gym — det är att ni har tagit ställning och kan motivera valet.

4. Personuppgiftsbiträdesavtal

Varje gång en extern leverantör behandlar personuppgifter för din räkning — bokningssystem, mejlleverantör, betalningsgateway — ska det finnas ett personuppgiftsbiträdesavtal (PUB-avtal). Det är ett lagkrav, inte en formalitet.

Ett bra PUB-avtal beskriver konkret vilken data som behandlas, i vilket syfte, hur länge och vilka säkerhetsåtgärder som finns på plats.

5. Medlemmars rättigheter

Varje medlem har rätt till insyn, rättelse, radering, begränsning, dataportabilitet och invändning. Du måste kunna reagera på en sådan förfrågan inom 30 dagar.

I praktiken innebär det: du måste veta var data finns, du måste kunna hämta ut den i ett läsbart format och du måste kunna radera den utan att lämna kopior. Det är svårt om data är utspridd i kalkylblad, inkorgar och post-it-lappar. Det är trivialt om allt finns i ett system.

Nästa steg

Läs vår integritetspolicy som ett exempel på struktur. Eller boka en demo och se hur FitnessBooking gör det enklare att hantera rättigheter och lagring.

GDPR-compliant bokning från dag ett

Boka en demo och se hur FitnessBooking är byggt med GDPR i åtanke.

Boka demo Se funktioner

Relaterade artiklar

Bokningsprogramvara för fitness: hur du väljer
Guide

Bokningsprogramvara för fitness: hur du väljer

Läs artikel →
Från Excel till SaaS — migreringsguide
Migrering

Från Excel till SaaS — migreringsguide

Läs artikel →
7 KPI:er varje gym bör tracka
KPI

7 KPI:er varje gym bör tracka

Läs artikel →
Boka demo