— Lailliset —
Tietosuojaseloste
Voimassa 15.7.2026 alkaen · EU:n yleinen tietosuoja-asetus (GDPR) 2016/679 · Tietosuojalaki (1050/2018)
1.Rekisterinpitäjä
Zansen Studio Oy
Y-tunnus: 3630838-1
Sompasaarenlaituri 10, 00540 Helsinki
Sähköposti: info@zansenstudio.com
Verkkosivu: zansenstudio.com
Rekisterinpitäjä päättää henkilötietojen käsittelyn tarkoituksista ja keinoista. Kaikki tietosuojaa koskevat yhteydenotot, pyynnöt ja oikeuksien käyttäminen tapahtuu yllä olevien yhteystietojen kautta.
2.Mitä tietoja käsittelemme
Käsittelemme seuraavia tietoja, jotka käyttäjä antaa tai jotka kertyvät palvelun käytön yhteydessä:
Tilitiedot
- Sähköpostiosoite
- Salasanan tiiviste (hash, ei selväkielinen salasana)
- Käyttäjätunnus, koko nimi (vapaaehtoinen)
- Avatar-kuva (vapaaehtoinen)
- Tilin luontiaika ja viimeinen kirjautuminen
Yritystiedot (vapaaehtoiset, B2B-asiakkailla)
- Yrityksen nimi
- Y-tunnus tai vastaava yritystunnus
- Postiosoite, postinumero, kaupunki, maa
- Puhelinnumero
Palvelun käyttötiedot
- Käyttäjän lataamat alkuperäiset valokuvat
- Tekoälyllä viimeistellyt kuvat (palvelun tuotos)
- Gallerioiden nimet ja luontiajat
- Kuvien käsittelytapahtumien lokit
- Kuukausittainen käyttömäärä ja kiintiöt
- Vesileiman asetukset (logo, sijainti, läpinäkyvyys)
Tilaus- ja maksutiedot
- Tilauksen tila (kokeilu / aktiivinen / peruutettu)
- Tilausjakson päättymispäivä
- Stripe-asiakastunniste ja tilaustunniste
- Maksukortin tietoja emme käsittele itse — Stripe käsittelee ne erillisenä rekisterinpitäjänä
Teknistä tietoa
- IP-osoite (lokit, väärinkäytösten estäminen)
- Selaintyyppi ja käyttöjärjestelmä
- Istuntoeväste (kirjautumisen ylläpito)
3.Käsittelyn tarkoitukset ja oikeusperusteet
Käsittelemme henkilötietoja seuraaviin tarkoituksiin ja seuraavien GDPR-perusteiden nojalla:
4.Mistä saamme tietoja
Pääosa tiedoista saadaan suoraan käyttäjältä itseltään rekisteröitymisen ja palvelun käytön yhteydessä. Lisäksi:
- Maksuliikenteeseen liittyvät vahvistukset saadaan Stripeltä (esim. maksun onnistuminen, tilauksen tila).
- Tekniset lokitiedot kertyvät automaattisesti palvelimien käytön yhteydessä.
5.Kenelle tietoja luovutetaan
Emme myy emmekä vuokraa henkilötietoja kolmansille osapuolille. Käytämme tarkkaan valittuja palveluntarjoajia, jotka käsittelevät tietoja puolestamme tietojenkäsittelysopimuksen (DPA) nojalla:
Supabase Inc.
Tietokanta ja kuvien tallennus
Sijainti: EU (Frankfurt) · Tietoja ei siirretä EU:n ulkopuolelle
Vercel Inc.
Sovelluksen suoritus ja sisällönjakelu
Sijainti: EU + Yhdysvallat · EU:n ulkopuoliset siirrot perustuvat vakiosopimuslausekkeisiin (SCC)
Stripe Payments Europe Ltd.
Maksuliikenne ja tilausten hallinta
Sijainti: Irlanti (EU) + Yhdysvallat · SCC + Stripe Adequacy Decisionin mukaiset suojaukset
OpenAI Ireland Ltd.
Tekoälypohjainen kuvankäsittely
Sijainti: Irlanti (EU) — käsittely Yhdysvalloissa · SCC. OpenAI ei käytä API:n kautta lähetettyjä kuvia mallin koulutukseen, mutta voi säilyttää niitä enintään 30 päivää väärinkäytösten seurantaa varten.
Inngest Inc.
Taustatyöjonon ohjaus (ei käsittele kuvasisältöä)
Sijainti: Yhdysvallat · SCC, käsittelee vain metatietoa (tunnisteet, tilat)
Resend, Inc.
Tapahtumapohjaiset sähköpostit
Sijainti: Yhdysvallat · SCC, käsittelee vain sähköpostiosoitteen ja viestin sisällön
Cloudflare, Inc.
DNS- ja verkkoinfrastruktuuri (zansenstudio.com)
Sijainti: Maailmanlaajuinen verkko · SCC + Data Processing Addendum
Functional Software, Inc. (Sentry)
Virheidenseuranta — vastaanottaa tiedon palvelussa tapahtuneista ohjelmistovirheistä (stack trace, polku, selaintyyppi, käyttäjätunniste). Ei kerää kuvia tai muuta palvelun sisältöä.
Sijainti: EU + Yhdysvallat · SCC. Tietoja säilytetään 30 päivää ja poistetaan automaattisesti.
Lisäksi tietoja voidaan luovuttaa viranomaisille lain niin edellyttäessä.
6.Tietojen siirto EU:n ulkopuolelle
Osa käsittelijöistämme sijaitsee Yhdysvalloissa. Siirrot perustuvat tällöin Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCC, 2021/914) sekä käsittelijöiden teknisiin ja organisatorisiin suojauksiin (mm. salaus levossa ja siirrossa, pääsynvalvonta, tietoturvaloukkausten ilmoitusvelvollisuus).
Pyrimme aktiivisesti pitämään käyttäjien lataamat valokuvat EU:n alueella (Supabase Frankfurt). OpenAI-kutsut tapahtuvat kuitenkin sopimuskumppanin infrastruktuurissa, jossa yksittäistä kuvaa käsitellään väliaikaisesti — emme tallenna kuvaa OpenAI:n palvelimille pysyvästi.
7.Säilytysajat
Pääperiaate: käyttäjän kuvat ja galleriat säilyvät niin kauan kuin käyttäjällä on pääsy palveluun. Kun käyttäjätili poistetaan tai pääsy päättyy, käyttäjän aineisto poistetaan järjestelmistä.
Käyttäjä voi poistaa yksittäisen gallerian tai koko tilinsä milloin tahansa palvelun asetuksista. Tilin poiston jälkeen tiedot poistetaan 30 päivän kuluessa lukuun ottamatta tilaus- ja maksuhistoriaa, jonka säilytys perustuu kirjanpitolakiin.
8.Rekisteröidyn oikeudet
EU:n yleisen tietosuoja-asetuksen mukaan sinulla on seuraavat oikeudet:
Tarkastusoikeus (GDPR 15)
Oikeus saada tietää, mitä henkilötietoja sinusta käsitellään ja saada niistä jäljennös.
Oikaisuoikeus (GDPR 16)
Oikeus pyytää virheellisten tai puutteellisten tietojen korjaamista. Käytännössä voit muokata useimpia tietoja itse profiilisi asetuksissa.
Poisto-oikeus (GDPR 17)
Oikeus pyytää tietojesi poistoa, kun käsittelyn perustetta ei enää ole. Voit poistaa tilisi itse profiilin asetuksista — pyyntö käsitellään 30 päivän kuluessa.
Käsittelyn rajoitusoikeus (GDPR 18)
Oikeus pyytää käsittelyn rajoittamista esim. tietojen oikeellisuuden selvittämisen ajaksi.
Siirto-oikeus (GDPR 20)
Oikeus saada antamasi tiedot koneluettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle, kun käsittely perustuu sopimukseen tai suostumukseen.
Vastustamisoikeus (GDPR 21)
Oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä erityiseen tilanteeseen liittyvistä syistä.
Suostumuksen peruuttaminen (GDPR 7)
Voit peruuttaa suostumukseesi perustuvan käsittelyn (esim. markkinoinnin) milloin tahansa. Peruuttaminen ei vaikuta aiempaan käsittelyyn.
Valitusoikeus valvontaviranomaiselle (GDPR 77)
Sinulla on oikeus tehdä valitus Tietosuojavaltuutetun toimistolle, mikäli katsot käsittelymme rikkovan tietosuojalainsäädäntöä.
Oikeuksiesi käyttäminen: lähetä pyyntö osoitteeseen info@zansenstudio.com. Vastaamme pyyntöösi viimeistään 30 päivän kuluessa. Saatamme pyytää lisätietoja henkilöllisyytesi varmistamiseksi.
Tietosuojavaltuutetun toimisto: tietosuoja.fi
9.Evästeet ja sähköpostien seuranta
Evästeet selaimessa
Käytämme palvelussa ainoastaan toiminnalle välttämättömiä evästeitä:
- Istuntoeväste — kirjautumisen ylläpito. Säilyy istunnon ajan.
- Supabase auth -eväste — tunnistautumiseen käytettävä token. Säilyy enintään 7 päivää viimeisestä kirjautumisesta.
- CSRF-suojaus — lomakkeiden turvallinen käsittely.
Emme käytä analytiikka- tai markkinointievästeitä ilman erillistä suostumustasi. Mikäli tämä muuttuu, päivitämme tietosuojaselosteen ja pyydämme uudet suostumukset.
Sähköpostiviestien seuranta
Käytämme sähköpostipalvelussamme (Resend) seuraavia tilastollisia mittareita:
- Avausseuranta — pieni läpinäkyvä kuva viestin sisällössä lähettää meille tiedon, kun viesti avataan. Apple Mail Privacy Protection ja vastaavat ominaisuudet voivat näyttää avauksia, joita ei todellisuudessa tapahtunut.
- Klikkausseuranta — viesteissä olevat linkit kulkevat Resendin uudelleenohjauksen kautta, jonka kautta lasketaan klikkien määrät.
Tietoja käytetään palvelun viestinnän kehittämiseen (esimerkiksi mitä otsikoita ja sisältöjä on luettu eniten). Yksittäisten henkilöiden seurantatietoja ei luovuteta kolmansille osapuolille mainontaan.
Oikeusperuste: oikeutettu etu (GDPR 6.1.f) transaktioemailien osalta; suostumus (6.1.a) markkinointiviestien osalta — suostumus annetaan kun käyttäjä rekisteröityy palveluun tai liittyy odotuslistalle.
10.Tietoturva
Toteutamme asianmukaiset tekniset ja organisatoriset suojatoimet henkilötietojen suojaamiseksi:
- Tietoliikenne salataan (TLS 1.2+) selaimen ja palvelimen välillä.
- Tietokannan tietuekohtaiset käyttöoikeudet (Row Level Security) — käyttäjä näkee vain omat tietonsa.
- Salasanat säilytetään kryptografisesti tiivistettyinä, eivät koskaan selväkielisinä.
- Maksukortin tietoja ei säilytetä omilla palvelimillamme.
- Pääsy hallintaoikeuksin rajoitettu henkilöstöön, joka tarvitsee pääsyä tehtäviensä hoitamiseksi.
- Tietoturvaloukkauksesta ilmoitamme valvontaviranomaiselle 72 tunnin kuluessa ja vahingoittuneille rekisteröidyille, mikäli loukkaus aiheuttaa korkean riskin.
11.Automaattinen päätöksenteko ja profilointi
Käytämme OpenAI:n tekoälypohjaista kuvankäsittelymallia kuvien käsittelyyn, mikä on käyttäjän nimenomaisesti pyytämä toimenpide. Emme tee henkilötietoihin perustuvia automaattisia päätöksiä, joilla olisi merkittäviä oikeudellisia tai vastaavia vaikutuksia käyttäjään (GDPR 22).
12.Tietosuojaselosteen muuttaminen
Päivitämme tätä selostetta tarvittaessa lainsäädännön muutosten, palveluvalikoiman muutosten tai uusien käsittelijöiden käyttöönoton yhteydessä. Olennaisista muutoksista ilmoitamme käyttäjille sähköpostitse vähintään 30 päivää ennen muutoksen voimaantuloa. Viimeisin päivityspäivä näkyy tämän sivun yläosassa.
Tämä on tietosuojaselosteen ensimmäinen luonnos. Lopullinen versio tarkistetaan tietosuojaan erikoistuneen juristin toimesta ennen palvelun laajempaa julkaisua. Mikäli sinulla on kysyttävää tai huomioita, otathan yhteyttä info@zansenstudio.com.