Personuppgiftspolicy - Medley

Personuppgiftsansvarig 

De personuppgiftsansvariga, det vill säga de som ansvarar för att dina personuppgifter behandlas korrekt, är:

Medley AB 556609-1541, Sankt Eriksgatan 119, 113 43 Stockholm
Medley Utveckling AB 559053-7345, Sankt Eriksgatan 119, 113 43 Stockholm
Medley Holding AB 556653-2734, Sankt Eriksgatan 119, 113 43 Stockholm

Bolagen är gemensamt personuppgiftsansvariga för de behandlingar som utförs. 

När vi skriver “vi”, “vår”, “oss” eller “Medley” avser vi de gemensamt ansvariga bolagen i Medley-koncernen som listats ovan. När vi skriver “du”, “dina” eller “dig” avser vi dig som individ som är i kontakt med oss på olika sätt så som användare eller besökare. 

Den här policyn beskriver hur vi behandlar dina personuppgifter som besökare i vår verksamhet eller medlem/användare av våra tjänster. Vår policy för cookies hittar du här. Våra villkor kopplat till ditt medlemskap finns här. Policyn är indelad och du ser i respektive behandling om den är aktuell för dig och din relation till oss. 

Vi har anläggningar som vi själva driver och vi bedriver även verksamhet på uppdrag av kommuner. Vill du veta mer om det här eller har andra frågor om dataskydd kan kontakt tas med dataprotection@medley  eller via post Sankt Eriksgatan 119, 113 43 Stockholm

Dina rättigheter 

GDPR ger följande rättigheter som du har rätt att utöva och du kan göra detta genom att kontakta kundservice@medley.se eller prata med personalen på någon av våra anläggningar:

Du har även en rätt att lämna klagomål om du tycker att vi brister i vårt arbete med dataskydd, det gör du genom att kontakta tillsynsmyndigheten i Sverige, Integritetsskyddsmyndigheten (IMY) (www.imy.se). Vill du läsa mer om dina rättigheter finns också information hos IMY: De registrerades rättigheter | IMY

Automatiserat beslutsfattande och profilering 

Inom Medley förekommer inget automatiserat beslutsfattande eller profilering. 

Säkerhetsåtgärder

Vi säkerställer att dina personuppgifter skyddas genom tekniska och organisatoriska säkerhetsåtgärder som säkerställer att endast behöriga har tillgång till informationen. Vi har tekniska, administrativa och fysiska arbetssätt på plats för att skydda dina personuppgifter från oavsiktlig, olaglig eller obehörig förlust, åtkomst, röjande, ändring eller förstörande. Endast de som behöver behandla dina uppgifter relaterat till sin tjänst har åtkomst till dem. 

Behandling av personuppgifter

Som kund hos oss eller när du nyttjar någon av våra anläggningar, oavsett om den ägs av oss eller om vi bedriver den på uppdrag av annan part till exempel en kommun så behandlar vi dina personuppgifter. Nedan kan du läsa mer om hur behandlingen går till mer specifikt för den situation som gäller dig. För alla behandlingar vidtar vi tekniska och organisatoriska åtgärder, som angetts ovan, för att säkerställa att informationen skyddas tillräckligt och vi tecknar PUB-avtal med alla våra leverantörer, har du frågor om det här kontakta dataprotection@medley.se.

Med begreppen som används avser vi följande:

Användare: Personer med en profil som inte är medlemmar
Medlem: Personer med medlemskap 
Gäster: Personer som besöker anläggningar, kan också vara medlemmar eller användare
Anställd: Personer som är anställda inom koncernen
Allmänhet: Personer som inte har någon koppling till verksamheten

Generellt behandlar vi personuppgifter inom följande kategorier av uppgifter och registrerade och avser med begreppen följande: 

Grundläggande information: Förnamn, efternamn, adress, ålder, födelsedatum och anläggning (plats), bild
Kontaktinformation: Telefonnummer, mailadress 
Ekonomisk information: Autogironummer, transaktionsinformation, bankkontonummer, kortnummer, information relaterat till Swish
Lokaliseringsuppgifter: IP-adresser, platsdata, annan metadata
Hälsouppgifter: Sjukdomar, funktionshinder, vikt, uppgifter om specialkost 

Hantering av medlemskap och profil

Ändamål och behandlade personuppgifter

När du vill nyttja någon av våra anläggningar genom att teckna medlemskap samlar vi in uppgifter från dig för att skapa användarprofilen. Informationen lagras sedan i våra system och vi behandlar även uppgifter om ändringar som sker t ex byte av anläggning eller adress. I och med detta behandlar vi följande kategorier av uppgifter:

Grundläggande information 
Kontaktinformation 
Personnummer 
Ekonomisk information
Uppgifter om barn kan förekomma i begränsad omfattning och då endast namn  

Rättslig grund: Berättigat intresse, administrera ditt medlemskap

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Utöver våra anställda i Medley som arbetar med hanteringen av konton tar vår leverantör av hemsidan samt vårt system BRP Systems AB del av uppgifterna.

Överföring till tredjeland: Ingen överföring till tredjeland sker  


Hantera autogiromedlemskap 

Ändamål och behandlade personuppgifter

Om du som medlem väljer att betala ditt medlemskap genom autogiro kommer vi lagra och behandla autogiromedgivanden som du ger till oss för att automatiskt kunna hantera betalningarna och förnya medlemskap. De kategorier av uppgifter som då behandlas är följande:

Rättslig grund: Fullgörande avtal i enlighet med avtalsvillkor 

Bevarande tid: En (1) månad

Mottagare av personuppgifter: Utöver våra anställda inom Medley som arbetar med hanteringen av konton tar vår leverantör BRP Systems AB emot uppgifterna.

Överföring till tredjeland: Ingen överföring till tredjeland sker  

Hantering av betalning 

Ändamål och behandlade personuppgifter

I samband med att du tecknar medlemskap hos oss eller besöker oss för engångsbesök och betalar för det hanterar vi de uppgifter du lämnar till oss vid betalning. Vi behandlar även din köphistorik, de inbetalningar som görs till oss och eventuella återbetalningar till dig i samband med det behandlas följande uppgifter:

Rättslig grund: Fullgörande av avtal

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser 

Mottagare av personuppgifter: Anställda inom Medley som arbetar med ekonomi samt vår leverantör BRP Systems AB.

Överföring till tredjeland: Ingen överföring till tredjeland sker  

Statistik

Ändamål och behandlade personuppgifter

När du nyttjar våra anläggningar genom att besöka dem, inkluderat betala för besöken, behandlar vi statistik av olika slag om hur användare och medlemmar nyttjar anläggningarna. Vi loggar och analyserar köphistorik, träningshistorik och statistik över besök på anläggningar som in- och utpasseringar. Detta gör vi för att kunna följa upp vår verksamhet samt bedriva den i enlighet med de villkor som finns i avtalet mellan dig som kund och oss.  I samband med det här behandlas följande uppgifter om dig som dels kommer från dig som besöker oss, dels uppgifter som genereras i våra system såsom historik:

Rättslig grund: Berättigat intresse, uppfylla avtalskrav från uppdragsgivare och för uppföljning av verksamheten

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Anställda i Medley samt leverantör av system BRP Systems AB. 

Överföring till tredjeland: Ingen överföring till tredjeland sker  

Bokning av träningspass

Ändamål och behandlade personuppgifter

Om du nyttjar en anläggning som erbjuder bokningsbara träningspass behandlar vi dina personuppgifter när du bokar ett pass genom vår hemsida eller app för att möjliggöra bokning av pass i enlighet med villkoren i ditt avtal. Uppgifterna är de du angivit i samband med att du tecknade ditt medlemskap och kommer därmed från dig. Vi behandlar även uppgifter som generera i våra system så som uppföljning av statistiken över medlemmars tidigare bokade träningspass. Därmed behandlar vi också statistik om missade träningspass då du enligt villkoren blir blockerad från att boka nya pass i 10 dagar eller får betala 100 kronor för att häva spärren. I samband med det behandlas följande kategorier av information om dig:

Rättslig grund: Fullgörande av avtal 

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Anställda i Medley samt leverantör av system BRP Systems AB. 

Överföring till tredjeland: Ingen överföring till tredjeland sker  

Nyhetsbrev och kommunikation

Ändamål och behandlade personuppgifter

Om du som användare eller medlem väljer att prenumerera på våra nyhetsbrev för att få information och marknadsföring om vår verksamhet behandlas följande uppgifter som vi får av dig:

Rättslig grund: Samtycke. Du kan återkalla ditt samtycke till nyhetsbrevet genom att trycka på unsubscribe i det digitala nyhetsbrevet, säga till i receptionen på en anläggning eller maila kundservice

Bevarande tid: Ett (1) år efter sista transaktion eller tills samtycke återkallas

Mottagare av personuppgifter: Leverantörer av system BRP Systems AB, MailChimp och Google samt anställda som arbetar med marknadsföring i Medley.

Överföring till tredjeland: MailChimp hostas i USA överföring baserat på adekvansbeslut EU-US Data Privacy Framework, vid arbete i Googles tjänster kan överföring ske till USA baserat på adekvansbeslut EU-US DPF, för BRP Systems AB sker det inte.

Kommunikationsutskick 

Ändamål och behandlade personuppgifter

Vi kommunicerar med våra användare och medlemmar genom kommunikationsutskick med information, till exempel anläggningsspecifik information som om något är avstängd eller förändringar i någon form. I samband med det behandlas följande uppgifter som vi får av dig:

Rättslig grund: Berättigat intresse, kommunicera relevant information relaterad till medlemskapet

Bevarande tid: Ett (1) år efter sista transaktion

Mottagare av personuppgifter: Leverantörer av system BRP Systems AB, MailChimp och Google samt anställda som arbetar med marknadsföring i Medley.

Överföring till tredjeland: MailChimp hostas i USA överföring baserat på adekvansbeslut EU-US Data Privacy Framework, vid arbete i Googles tjänster kan överföring ske till USA baserat på adekvansbeslut EU-US DPF, för BRP Systems AB sker det inte.

Inkassoärende

Ändamål och behandlade personuppgifter

I vissa fall, om du inte betalar, skickas din uteblivna betalning vidare till inkasso. I det fallet lämnar vi över uppgifter om dig till inkassobolaget baserat på villkoren i ditt avtal, uppgifterna kommer från dig samt att vi informerar om att du inte betalat oss och de uppgifterna kommer då från oss på Medley. Inkassobolaget är personuppgiftsansvarig för sin behandling. I samband med det behandlas följande uppgifter:

Rättslig grund: Fullgörande av avtal 

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Collectia AB som blir personuppgiftsansvarig efter mottagandet av uppgifterna, anställda i Medley Holding AB som arbetar med ekonomirelaterade frågor.

Överföring till tredjeland: Ingen överföring till tredjeland sker  

Medlemskapshantering

Ändamål och behandlade personuppgifter

Om du skulle bryta mot våra medlemsvillkor kan du som användare bli avstängd från att nyttja våra anläggningar. I samband med det så skapas en markering på din profil och vi behandlar vi följande uppgifter till dig som dels kommer från dig dels från personal på våra anläggningar om anledningen till avstängningen: 

Rättslig grund: Berättigat intresse, säkerställa att vi har trygga verksamheter

Bevarande tid: Om du blivit avstängd sparas informationen tills vidare.

Mottagare av personuppgifter: Personal i Medley samt leverantör av system BRP Systems AB.

Överföring till tredjelandsöverföring: Ingen tredjelandsöverföring sker

Signering för barn

Ändamål och behandlade personuppgifter

Om ett barn som är under 12 besöker en anläggning kan du som vårdnadshavare behöva skriva under ett avtal med våra säkerhetsregler för att bekräfta att du tagit del av dem, i samband med det behandlas följande uppgifter som kommer från dig som vårdnadshavare:

Rättslig grund: Samtycke

Bevarande tid: Ett (1) år efter signering av avtalet

Mottagare av personuppgifter: Personal i Medley samt Leverantör av system BRP Systems AB.

Överföring till tredjelandsöverföring: Ingen tredjelandsöverföring sker

Bokning av simskola 

Ändamål och behandlade personuppgifter

I våra verksamheter bedrivs simskola, när du som användare eller medlem bokar det för dig eller ditt barn behandlas följande typer av personuppgifter om dig som du själv får ange vid bokning: 

Rättslig grund: Fullgörande av avtal 

Bevarande tid: Ett (1) år efter sista transaktion anonymiseras dina personuppgifter därefter bevaras kvarvarande ekonomiskt underlag i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Anställda i Medley Holding AB, leverantör av system BRP Systems AB

Överföring till tredjeland: Ingen överföring till tredjeland sker

Träning med hälsoapplikation

Ändamål och behandlade personuppgifter

På flera av våra gym finns möjlighet att frivilligt skapa ett konto i TechnoGyms tjänst MyWellness. Efter att kontot skapats kan du koppla upp dig mot våra träningsmaskiner för att t ex justera inställningar eller följa din träning genom att använda tjänsten.  Medley tillhandahåller denna möjlighet men TechnoGym är personuppgiftsansvariga för sin del medan vi på Medley är personuppgiftsansvarig för den information som delas med oss. De uppgifter som behandlas kommer från dig själv men kan också genereras i tjänsten och är följande:

Rättslig grund: Fullgörande av avtal

Bevarande tid: Uppgifterna kommer till oss genom TechnoGyms tjänst MyWellness, därmed bevaras uppgifterna så länge de finns kvar i MyWellness och du väljer att fortsätta dela de med oss. Vi tar inte ut uppgifterna från MyWellness. Du kan justera dina inställningar och sluta dela uppgifter med oss. Uppgifterna i ExorLive bevaras under tiden du tränar med personlig tränare eller fysioterapeut.

Mottagare av personuppgifter: När du skapar ett konto i MyWellness och använder delas och behandlas uppgifterna av Technogym Sweden AB i enlighet med deras villkor och integritetspolicy som finns här. Technogym Sweden AB kan i sin tur dela de uppgifter som behandlas om dig med oss. Beroende på inställningar i tjänsten kan du även välja att dela med tredje parter, läs därför igenom villkoren noggrant och gör aktiva val. 

Överföring av uppgifter till tredjeland: Som standard nej, om uppgifter överförs vidtas skyddsåtgärder. Har du frågor kontakta dataprotection@medley.se

Träning med personlig tränare och fysioterapeut

Ändamål och behandlade personuppgifter

Som medlem eller gäst i våra anläggningar kan du anlita en personlig tränare eller fysioterapeut. Om du gör det så använder dessa systemet Exorlive för att skapa och meddela träningsprogram som mailas till din e-postadress, Exorlive behandlar därmed endast din e-post och den information som träningsprogrammet kan ge om fysiska besvär. Uppgifterna kommer från dig samt från personlig tränare eller fysioterapeut i form av bedömningen de gör av din hälsa. Uppgifter kan även genereras i tjänsten MyWellness som du, om du tränar på våra anläggningar med en personlig tränare eller fysioterapeut har möjlighet att koppla upp dig mot. Behandlingar relaterade till MyWellness som beskrivits ovan under “Träning med hälsoapplikation”. I samband med att du tränar med en personlig tränare eller fysioterapeut behandlas därmed följande uppgifter:

Rättslig grund: Fullgörande av avtal

Bevarande tid: Uppgifterna kommer till oss genom TechnoGyms tjänst MyWellness, därmed bevaras uppgifterna så länge de finns kvar i MyWellness och du väljer att fortsätta dela de med oss. Vi tar inte ut uppgifterna från MyWellness. Du kan justera dina inställningar och sluta dela uppgifter med oss. Uppgifterna i ExorLive behandlas under tiden du tränar med personlig tränare eller fysioterapeut.

Mottagare av personuppgifter: Leverantör av tjänsten Exorlive (Exorlive A/S) kan ta del av din epost, Technogym Sweden AB om tjänsten MyWellness används (se Technogyms personuppgiftspolicy för information om deras behandling) samt anställda i Medley. 

Överföring av uppgifter till tredjeland: För Exorlive nej, för MyWellness som standard nej, om uppgifter överförs vidtas skyddsåtgärder. Har du frågor kontakta dataprotection@medley.se

Hälsostatus

Ändamål och behandlade personuppgifter

Som gäst eller medlem hos oss erbjuds du en hälsokontroll som ger dig en hälsostatus och möjlighet till kroppsfettmätning. Det är frivilligt och uppgifterna kommer från dig samt genereras i tjänsterna som används för att få resultatet på kroppsfettmätningen eller hälsokontrollen. I samband med det behandlar vi följande uppgifter:

Mottagare av personuppgifter: Leverantör av tjänsterna som används vilket är Technogym Sweden AB och anställda i Medley tar del av administrationen runt ditt medlemskap samt eventuella uppgifter som du väljer att dela med dina anläggningar.

Bevarande tid: Uppgifterna kommer till oss genom TechnoGyms tjänst MyWellness, därmed bevaras uppgifterna så länge de finns kvar i MyWellness och du väljer att fortsätta dela de med oss. Vi tar inte ut uppgifterna från MyWellness. Du kan justera dina inställningar och sluta dela uppgifter med oss.

Rättslig grund: Fullgörande av avtal 

Överföring av uppgifter till tredjeland: Som standard nej, om uppgifter överförs vidtas skyddsåtgärder. Har du frågor kontakta dataprotection@medley.se 

Kontakt med kundtjänst

Ändamål och behandlade personuppgifter

När du som användare, medlem eller allmänhet har kontakt med vår kundtjänst i olika frågor behandlar vi personuppgifter om det som kommer från dig, beroende på syftet med kontakten kan olika uppgifter behandlas, ändamålet är att tillhandahålla kundtjänst och möjliggöra för registrerade att få svar på frågor och problem följande: 

Rättslig förpliktelse: Berättigat intresse, tillhandahålla och förbättra tjänsten

Bevarande tid: 1 år efter att ditt ärende avslutats

Mottagare av personuppgifter: Medley Holding AB, leverantörer av tjänsterna vi använder behandlar också dina uppgifter BRP Systems AB och Google, 

Överföring av personuppgifter till tredjeland: Vid arbete i Googles tjänster kan överföring ske till USA baserat på adekvansbeslut EU-US DPF, för BRP Systems AB inte.

Rekrytering 

Ändamål och behandlade personuppgifter

Om du söker jobb hos oss behandlas följande personuppgifter om dig som kandidat som du lämnar till oss när du skickar in ditt CV genom en av våra annonser. 

Rättslig grund: Berättigat intresse, säkerställa att lämplig kandidat rekryteras 

Bevarande tid: Ett (1) år efter avslutad rekrytering 

Mottagare av personuppgifter: Personal i Medley Holding AB som arbetar med rekrytering samt leverantör av tjänsten Teamtailor. 

Överföring till tredjeland: Ingen överföring till tredjeland sker

Incidenter

Ändamål och behandlade personuppgifter

Om det sker en incident på någon av våra anläggningar rapporteras detta för att uppfylla krav på säkerhet. En av våra anställda skickar in rapporten genom systemet QuickSearch med information om vad incidenten innebär och beroende på vad som hänt kan det finnas information om dig som medlem eller gäst i form av information om skador eller hälsotillstånd. Uppgifterna kommer från dig eller de individer som iakttagit incidenten och lämnar information om den. De personuppgifter vi kan behandla i samband med det här är följande:

Rättslig grund: Berättigat intresse

Bevarande tid: Underlaget bevaras

Mottagare av personuppgifter: Medarbetare som arbetar med säkerheten i Medley Holding AB samt leverantör av tjänsten QuickSearch Sweden AB.

Överföring till tredjeland: Ingen överföring till tredjeland sker
Badkalas 

Ändamål och behandlade personuppgifter

På flera av våra anläggningar erbjuder vi möjligheten för dig att boka badkalas åt ditt barn. I samband med att du bokar badkalas och att vi sedan genomför kalaset genom att, beroende på anläggning, tillhandahålla en kalasvärd, servera mat, glass eller fika behandlar vi följande uppgifter som du ger oss i samband med bokningen eller kontakt inför kalaset:

Rättslig grund: Fullgörande av avtal 

Bevarande tid: Underlag relaterat till betalningen bevaras i sju (7) år pga. bokföringsrättsliga förpliktelser

Mottagare av personuppgifter: Medley, Google som leverantör till tjänsterna vi arbetar i

Överföring av personuppgifter till tredjeland: Vid arbete i Googles tjänster kan överföring ske till USA baserat på adekvansbeslut EU-US DPF

Ändring av personuppgiftspolicyn

Om vi ändrar vår policy informeras du genom vår hemsida och vi har versionshistorik. Om vi gör större ändringar underrättar vi dig genom tillgängliga kanaler som e-post, hemsidan eller sociala medier beroende på vad din relation till oss är. Du hittar alltid den senaste versionen av vår policy här på vår hemsida. 

Senast uppdaterad 2025-03-25.