ArenaIQ
GDPR & dataskydd
Så hanterar ArenaIQ personuppgifter för klubbar, sponsorer och användare av tjänsten.
Senast uppdaterad: juli 2026
1. Roller
Klubben (organisationen som använder ArenaIQ) är personuppgiftsansvarig för de personuppgifter som läggs in i tjänsten – t.ex. sponsorernas kontaktpersoner, avtal och aktiveringar. ArenaIQ är personuppgiftsbiträde och behandlar uppgifterna endast enligt klubbens instruktioner och detta dokument. För slutanvändare av arenaiq.se (t.ex. besökare som fyller i demoformuläret) är ArenaIQ personuppgiftsansvarig.
2. Vilka uppgifter behandlas
• Kontouppgifter för klubbens användare: namn, e-post, roll i organisationen. • Sponsordata som klubben laddar upp: företagsnamn, kontaktpersoner, avtalsvärden, aktiveringar, bilagor. • Fakturor och prenumerationsdata från Stripe. • Teknisk data: IP-adress, webbläsare, sessions-token och nödvändiga cookies. • Innehåll som skickas till AI-funktioner för att generera förslag (t.ex. förnyelsemejl, kontraktsutkast).
3. Var data lagras
All kunddata lagras i vår backend-databas inom EU. Filer (kontrakt, aktiveringsbevis, org-loggor och fakturor) sparas i privata storage-buckets och kan endast nås av inloggade användare i rätt organisation. Data krypteras i transit (HTTPS) och at rest hos vår leverantör.
4. Åtkomstkontroll
Data är strikt avgränsad per organisation genom Row Level Security direkt i databasen. En användare från en klubb kan tekniskt inte läsa data från en annan klubb, även om frontend skulle ha en bugg. Roller inom en organisation styr vem som ser fakturor, prenumerationsuppgifter och kan bjuda in nya användare. En superadmin-roll används enbart av ArenaIQ för support och underhåll.
5. Underbiträden (subprocessors)
Vi anlitar följande underbiträden för att kunna leverera tjänsten: • Supabase (EU) – databas, autentisering och fillagring. • Stripe (EU/USA) – betalning, prenumerationshantering och fakturor. Standardavtalsklausuler tillämpas. • Resend (EU/USA) – utgående e-post (inbjudningar, notiser, kvitton). Standardavtalsklausuler tillämpas. • Cloudflare (globalt) – CDN, DNS och säkerhetsskydd för arenaiq.se. • Lovable AI Gateway – AI-modellanrop för assistentfunktioner. • Firecrawl – webbanrikning när klubben söker efter nya sponsorprospekt. Aktuell lista över underbiträden meddelas kunden vid materiella ändringar.
6. AI-behandling och dataminimering
När klubben använder AI-funktioner (t.ex. Fråga AI, kontraktsgenerering, förnyelsemejl) skickas relevant text till Lovable AI Gateway. Innehållet används endast för att generera svaret till klubben och används inte för att träna externa AI-modeller. Sponsorers kontaktuppgifter (namn, e-post, telefon, adress) skickas ALDRIG till AI-modellerna. Företagsnamn, bransch och kategori skickas för att AI:n ska kunna producera meningsfulla svar, men den fysiska kontaktpersonens uppgifter mappas tillbaka först när svaret visas för användaren. Fritext (anteckningar, feedback, dokumentutdrag) scrubbas automatiskt så att e-postadresser, telefonnummer och personnummer ersätts med platshållare innan de skickas till modellen. Undantag: vid OCR/extraktion av uppladdade avtal och dokument skickas dokumentets fulla innehåll till AI-modellen – det är själva syftet med funktionen (att kunna läsa av texten). Klubben bör inte ladda upp dokument som innehåller uppgifter som inte ska bearbetas av AI. Om klubben inte vill att en viss uppgift skickas till AI ska den inte läggas in i AI-flödet.
7. Cookies
Vi använder endast strikt nödvändiga cookies (Cloudflare och sessionscookie för inloggning) utan att kräva samtycke. Inga cookies för analys eller marknadsföring sätts idag. Cookie-inställningar kan när som helst ändras via länken i sidfoten.
8. Registrerades rättigheter
Registrerade har rätt att begära tillgång till, rättelse eller radering av sina personuppgifter, samt att invända mot eller begära begränsning av behandlingen. Eftersom klubben är personuppgiftsansvarig för sponsordata ska registrerade i första hand vända sig till den klubb som lagt in uppgifterna. ArenaIQ hjälper klubben att uppfylla begäran inom rimlig tid. Klagomål kan lämnas till Integritetsskyddsmyndigheten (IMY).
9. Retention och radering
Data lagras så länge klubbens prenumeration är aktiv. När en organisation avslutar sitt konto raderas kunddata på begäran, senast inom 30 dagar. Fakturor och underliggande transaktionsdata kan behöva sparas längre för att uppfylla svensk bokföringslag (upp till 7 år).
10. Incidenthantering
Vid en personuppgiftsincident som påverkar en klubbs data meddelar ArenaIQ kunden utan onödigt dröjsmål, så att kunden hinner anmäla incidenten till IMY inom 72 timmar när så krävs. Vi delar tillgänglig information om orsak, omfattning och vidtagna åtgärder.
11. Personuppgiftsbiträdesavtal (DPA)
ArenaIQ:s standard-DPA enligt art. 28 GDPR ingår automatiskt som en del av Användarvillkoren – ingen separat signering krävs för att avtalet ska vara juridiskt giltigt. Fullständig avtalstext, inklusive säkerhetsåtgärder och lista över underbiträden, finns på /dpa. Om er upphandling eller interna policy kräver ett separat undertecknat exemplar, kontakta oss så skickar vi en signeringsklar version.
12. Kontakt
Frågor om dataskydd, DPA eller att utöva dina rättigheter? Boka en demo eller använd kontaktformuläret på startsidan så återkommer vi.
