Sportlio← Tillbaka till startsidan

Integritetspolicy

Senast uppdaterad: 8 april 2026 · Gäller från: 8 april 2026

1. Personuppgiftsansvarig

RNSTRM Solutions AB, org.nr 559578-0536, Stjärngatan 37, 195 58 Märsta, är personuppgiftsansvarig för den behandling av personuppgifter som sker inom Sportlio-plattformen.

Föreningar och förbund som använder Sportlio är separata personuppgiftsansvariga för den data de samlar in om sina egna medlemmar. RNSTRM Solutions AB är i dessa fall personuppgiftsbiträde och behandlar data på föreningens uppdrag i enlighet med ett personuppgiftsbiträdesavtal (PUB-avtal).

Kontakt i dataskyddsfrågor: privacy@sportlio.se

2. Vilka uppgifter samlar vi in?

Vi behandlar följande kategorier av personuppgifter:

  • Kontouppgifter: Förnamn, efternamn, e-postadress, lösenord (krypterat), profilbild.
  • Kontaktuppgifter: Telefonnummer, postadress, stad, postnummer.
  • Identitetsuppgifter: Personnummer (lagras krypterat och behandlas enbart när det krävs för licenshantering, IdrottOnline-synkronisering eller annan sportadministration med tydlig motivering).
  • Barnspecifika uppgifter: Vid spelaranmälan för minderåriga: barnets personnummer (krypterat), hälsouppgifter såsom allergier och dietbehov (Art. 9 GDPR), nödkontaktinformation. Dessa uppgifter behandlas enbart med uttryckligt samtycke från vårdnadshavare.
  • Rolluppgifter: Tränare, ledare, domare, spelare samt deras roller och anknytning till föreningar och lag.
  • Aktivitetsdata: Närvaro, kallelser, matchresultat, statistik, licenstyp och status.
  • Betalningsuppgifter: Belopp, valuta, transaktionsstatus och transaktionsdatum. Kortnummer och bankkontouppgifter lagras aldrig hos oss utan hanteras av vår betalningsleverantör (Stripe).
  • Tekniska uppgifter: IP-adress (i auditlogg, gallras efter 12 månader), sessionskakor, enhetstyp och webbläsarversion.

3. Ändamål och rättslig grund

ÄndamålRättslig grund
Tillhandahålla plattformen (konto, inloggning, lag)Fullgörande av avtal (Art. 6.1 b)
Administration av tävlingar, licenser och LOK-bidragFullgörande av avtal / Berättigat intresse (Art. 6.1 b/f)
Skicka notifikationer och nyhetsbrev relaterade till föreningenBerättigat intresse (Art. 6.1 f)
Behandling av barns personnummer för licenshanteringTydlig motivering enl. Dataskyddslagen 3 kap. 10 §
Hälsouppgifter (allergier) vid läger-/loganmälanUttryckligt samtycke (Art. 6.1 a + Art. 9.2 a)
Fakturering och betalningFullgörande av avtal (Art. 6.1 b)
Auditlogg för säkerhet och efterlevnadBerättigat intresse / Rättslig förpliktelse (Art. 6.1 c/f)
Förbättra och felsöka tjänstenBerättigat intresse (Art. 6.1 f)

4. Lagringstider

  • Kontoupgifter: Till kontot avslutas eller användaren begär radering.
  • Transaktionshistorik: 7 år (bokföringslagen).
  • Auditlogg (IP-adress, åtgärder): 12 månader från registrering.
  • Inaktiva konton: Automatisk anonymisering efter 36 månaders inaktivitet (planerat).
  • Spelaranmälningshandlingar: Till anmälan bearbetats och spelaren registrerats (eller ansökan avvisats), dock längst 24 månader.
  • Personnummer (barn): Raderas senast när spelaren fyller 18 år om det inte längre behövs, dock aldrig längre än kontots livslängd.

5. Mottagare av personuppgifter

Vi delar personuppgifter med följande kategorier av mottagare:

  • Stripe, Inc.: Betalningshantering. Behandlar betalkortsuppgifter separat under eget ansvar.
  • Cloud-infrastrukturleverantör: Serverdrift (EU-baserad). Personuppgiftsbiträdesavtal finns.
  • E-postleverantör: Utskick av transaktionsmejl. Personuppgiftsbiträdesavtal finns.
  • IdrottOnline / RF: Om föreningen aktiverat IdrottOnline-integration synkas licens- och deltagardata med Riksidrottsförbundets system.
  • Myndigheter: Om vi är rättsligt skyldiga att lämna ut uppgifter.

Vi säljer aldrig personuppgifter till tredje part.

6. Överföring utanför EU/EES

All behandling av personuppgifter sker inom EU/EES. Om en underleverantör undantagsvis behandlar data utanför EU/EES säkerställer vi att lämpliga skyddsåtgärder finns (t.ex. EU:s standardavtalsklausuler).

7. Dina rättigheter

Som registrerad har du följande rättigheter enligt GDPR:

  • Rätt till tillgång (Art. 15): Du kan begära en kopia av all persondata vi behandlar om dig. Tillgängligt under Inställningar → Dataintegritet & GDPR.
  • Rätt till rättelse (Art. 16): Du kan korrigera felaktiga eller ofullständiga uppgifter i din profil.
  • Rätten att bli glömd (Art. 17): Du kan begära att din persondata anonymiseras. Statistik och historik bevaras men kopplingen till dig tas bort. Tillgängligt under Inställningar → Dataintegritet & GDPR.
  • Rätt till begränsning (Art. 18): Du kan under vissa omständigheter begära att behandlingen begränsas medan ett klagomål utreds. Kontakta privacy@sportlio.se.
  • Rätt till dataportabilitet (Art. 20): Du kan ladda ner din persondata i maskinläsbart format (JSON). Tillgängligt under Inställningar → Dataintegritet & GDPR.
  • Rätt att göra invändningar (Art. 21): Du kan invända mot behandling som grundas på berättigat intresse. Kontakta privacy@sportlio.se.
  • Rätt att återkalla samtycke: Om behandlingen grundas på samtycke kan du när som helst återkalla det utan att det påverkar lagligheten av behandlingen dessförinnan.

Du har också rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm.

8. Barns personuppgifter

För behandling av personuppgifter om barn under 13 år krävs samtycke från vårdnadshavare. Barn mellan 13–15 år kan i vissa fall lämna samtycke själva för informationssamhällstjänster (Dataskyddslagen 2 kap. 4 §).

Personnummer för minderåriga lagras krypterat och används enbart när det är klart motiverat (t.ex. för licenshantering hos RF/specialförbund). Hälsouppgifter som allergier behandlas enbart med uttryckligt samtycke från vårdnadshavare och raderas när behovet upphör.

Föreningar som registrerar barn är ansvariga för att inhämta nödvändiga samtycken från vårdnadshavare i enlighet med tillämplig lag.

9. Säkerhet

Vi vidtar tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust eller ändring:

  • Kryptering i transit (TLS 1.2+) för all kommunikation.
  • Kryptering i vila för känsliga fält: personnummer krypteras med AES-256-GCM.
  • Lösenord lagras hashade med bcrypt (kostnadsfaktor 12).
  • JWT-token innehåller inte e-postadress eller annan PII.
  • Rollbaserad åtkomstkontroll: all data begränsas till relevant organisation.
  • Auditlogg för alla känsliga åtgärder.
  • Rutiner för hantering av personuppgiftsincidenter enligt GDPR Art. 33.

10. Kakor (cookies)

Sportlio använder enbart tekniskt nödvändiga sessionskakor för att hålla dig inloggad. Vi använder inga spårnings- eller marknadsföringskakor.

  • sportlio-session: Sessionskaka som håller dig inloggad. Max-ålder: 7 dagar, SameSite=Strict.
  • sportlio-roles: Sessionsrollskaka som lagrar din roll för routing i webbläsaren. Max-ålder: 7 dagar, SameSite=Strict. Innehåller ingen PII.

Dessa kakor är nödvändiga för tjänstens funktion och kräver inte ditt samtycke (undantaget i ePrivacy-direktivet Art. 5.3).

11. Kontakt

Vid frågor om hur vi behandlar dina personuppgifter, eller för att utöva dina rättigheter, kontakta oss på:

RNSTRM Solutions AB

Org.nr: 559578-0536

Stjärngatan 37, 195 58 Märsta

E-post: privacy@sportlio.se

Vi svarar på förfrågningar om dataskyddsrättigheter inom 30 dagar (GDPR Art. 12).