Siirry pääsisältöön

— Lailliset —

Tietosuojaseloste

Voimassa 15.7.2026 alkaen · EU:n yleinen tietosuoja-asetus (GDPR) 2016/679 · Tietosuojalaki (1050/2018)

1.Rekisterinpitäjä

Zansen Studio Oy
Y-tunnus: 3630838-1
Sompasaarenlaituri 10, 00540 Helsinki
Sähköposti: info@zansenstudio.com
Verkkosivu: zansenstudio.com

Rekisterinpitäjä päättää henkilötietojen käsittelyn tarkoituksista ja keinoista. Kaikki tietosuojaa koskevat yhteydenotot, pyynnöt ja oikeuksien käyttäminen tapahtuu yllä olevien yhteystietojen kautta.

2.Mitä tietoja käsittelemme

Käsittelemme seuraavia tietoja, jotka käyttäjä antaa tai jotka kertyvät palvelun käytön yhteydessä:

Tilitiedot

  • Sähköpostiosoite
  • Salasanan tiiviste (hash, ei selväkielinen salasana)
  • Käyttäjätunnus, koko nimi (vapaaehtoinen)
  • Avatar-kuva (vapaaehtoinen)
  • Tilin luontiaika ja viimeinen kirjautuminen

Yritystiedot (vapaaehtoiset, B2B-asiakkailla)

  • Yrityksen nimi
  • Y-tunnus tai vastaava yritystunnus
  • Postiosoite, postinumero, kaupunki, maa
  • Puhelinnumero

Palvelun käyttötiedot

  • Käyttäjän lataamat alkuperäiset valokuvat
  • Tekoälyllä viimeistellyt kuvat (palvelun tuotos)
  • Gallerioiden nimet ja luontiajat
  • Kuvien käsittelytapahtumien lokit
  • Kuukausittainen käyttömäärä ja kiintiöt
  • Vesileiman asetukset (logo, sijainti, läpinäkyvyys)

Tilaus- ja maksutiedot

  • Tilauksen tila (kokeilu / aktiivinen / peruutettu)
  • Tilausjakson päättymispäivä
  • Stripe-asiakastunniste ja tilaustunniste
  • Maksukortin tietoja emme käsittele itse — Stripe käsittelee ne erillisenä rekisterinpitäjänä

Teknistä tietoa

  • IP-osoite (lokit, väärinkäytösten estäminen)
  • Selaintyyppi ja käyttöjärjestelmä
  • Istuntoeväste (kirjautumisen ylläpito)

3.Käsittelyn tarkoitukset ja oikeusperusteet

Käsittelemme henkilötietoja seuraaviin tarkoituksiin ja seuraavien GDPR-perusteiden nojalla:

Palvelun tarjoaminen (käyttäjätili, kuvien käsittely, gallerioiden hallinta)Sopimus (GDPR 6.1.b)
Laskutus ja maksuliikenneSopimus (GDPR 6.1.b) + lakisääteinen velvoite, kirjanpitolaki (6.1.c)
Asiakaspalvelu, sähköpostiviestintä palvelustaSopimus (GDPR 6.1.b) + oikeutettu etu (6.1.f)
Palvelun kehittäminen ja virheidentunnistus (anonymisoidut käyttömetriikat)Oikeutettu etu (GDPR 6.1.f)
Markkinointiviestit (jos käyttäjä on antanut suostumuksen)Suostumus (GDPR 6.1.a) — peruutettavissa milloin tahansa
Lainvastaisten toimien estäminen, väärinkäytösten tutkintaOikeutettu etu (GDPR 6.1.f)
Lakisääteisten velvoitteiden täyttäminen (kirjanpito, viranomaispyynnöt)Lakisääteinen velvoite (GDPR 6.1.c)

4.Mistä saamme tietoja

Pääosa tiedoista saadaan suoraan käyttäjältä itseltään rekisteröitymisen ja palvelun käytön yhteydessä. Lisäksi:

  • Maksuliikenteeseen liittyvät vahvistukset saadaan Stripeltä (esim. maksun onnistuminen, tilauksen tila).
  • Tekniset lokitiedot kertyvät automaattisesti palvelimien käytön yhteydessä.

5.Kenelle tietoja luovutetaan

Emme myy emmekä vuokraa henkilötietoja kolmansille osapuolille. Käytämme tarkkaan valittuja palveluntarjoajia, jotka käsittelevät tietoja puolestamme tietojenkäsittelysopimuksen (DPA) nojalla:

Supabase Inc.

Tietokanta ja kuvien tallennus

Sijainti: EU (Frankfurt) · Tietoja ei siirretä EU:n ulkopuolelle

Vercel Inc.

Sovelluksen suoritus ja sisällönjakelu

Sijainti: EU + Yhdysvallat · EU:n ulkopuoliset siirrot perustuvat vakiosopimuslausekkeisiin (SCC)

Stripe Payments Europe Ltd.

Maksuliikenne ja tilausten hallinta

Sijainti: Irlanti (EU) + Yhdysvallat · SCC + Stripe Adequacy Decisionin mukaiset suojaukset

OpenAI Ireland Ltd.

Tekoälypohjainen kuvankäsittely

Sijainti: Irlanti (EU) — käsittely Yhdysvalloissa · SCC. OpenAI ei käytä API:n kautta lähetettyjä kuvia mallin koulutukseen, mutta voi säilyttää niitä enintään 30 päivää väärinkäytösten seurantaa varten.

Inngest Inc.

Taustatyöjonon ohjaus (ei käsittele kuvasisältöä)

Sijainti: Yhdysvallat · SCC, käsittelee vain metatietoa (tunnisteet, tilat)

Resend, Inc.

Tapahtumapohjaiset sähköpostit

Sijainti: Yhdysvallat · SCC, käsittelee vain sähköpostiosoitteen ja viestin sisällön

Cloudflare, Inc.

DNS- ja verkkoinfrastruktuuri (zansenstudio.com)

Sijainti: Maailmanlaajuinen verkko · SCC + Data Processing Addendum

Functional Software, Inc. (Sentry)

Virheidenseuranta — vastaanottaa tiedon palvelussa tapahtuneista ohjelmistovirheistä (stack trace, polku, selaintyyppi, käyttäjätunniste). Ei kerää kuvia tai muuta palvelun sisältöä.

Sijainti: EU + Yhdysvallat · SCC. Tietoja säilytetään 30 päivää ja poistetaan automaattisesti.

Lisäksi tietoja voidaan luovuttaa viranomaisille lain niin edellyttäessä.

6.Tietojen siirto EU:n ulkopuolelle

Osa käsittelijöistämme sijaitsee Yhdysvalloissa. Siirrot perustuvat tällöin Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCC, 2021/914) sekä käsittelijöiden teknisiin ja organisatorisiin suojauksiin (mm. salaus levossa ja siirrossa, pääsynvalvonta, tietoturvaloukkausten ilmoitusvelvollisuus).

Pyrimme aktiivisesti pitämään käyttäjien lataamat valokuvat EU:n alueella (Supabase Frankfurt). OpenAI-kutsut tapahtuvat kuitenkin sopimuskumppanin infrastruktuurissa, jossa yksittäistä kuvaa käsitellään väliaikaisesti — emme tallenna kuvaa OpenAI:n palvelimille pysyvästi.

7.Säilytysajat

Pääperiaate: käyttäjän kuvat ja galleriat säilyvät niin kauan kuin käyttäjällä on pääsy palveluun. Kun käyttäjätili poistetaan tai pääsy päättyy, käyttäjän aineisto poistetaan järjestelmistä.

Käyttäjätili ja tilitiedotTilin elinajan + 30 päivää poiston tai irtisanomisen jälkeen (turvamarginaali tahattomien poistojen varalle)
Alkuperäiset ladatut kuvatSama kuin käyttäjän pääsy galleriaan — säilyvät niin kauan kuin käyttäjätili on olemassa
Käsitellyt (viimeistellyt) kuvatSama kuin käyttäjän pääsy galleriaan — säilyvät niin kauan kuin käyttäjätili on olemassa
Tilaus- ja maksutiedot6 vuotta tilikauden päättymisestä (kirjanpitolaki 2:10) — laskutusrivit säilyvät vaikka tili poistettaisiin aiemmin
Tekniset lokit, IP-osoitteetEnintään 12 kuukautta
Asiakaspalveluviestit2 vuotta viimeisestä yhteydestä

Käyttäjä voi poistaa yksittäisen gallerian tai koko tilinsä milloin tahansa palvelun asetuksista. Tilin poiston jälkeen tiedot poistetaan 30 päivän kuluessa lukuun ottamatta tilaus- ja maksuhistoriaa, jonka säilytys perustuu kirjanpitolakiin.

8.Rekisteröidyn oikeudet

EU:n yleisen tietosuoja-asetuksen mukaan sinulla on seuraavat oikeudet:

Tarkastusoikeus (GDPR 15)

Oikeus saada tietää, mitä henkilötietoja sinusta käsitellään ja saada niistä jäljennös.

Oikaisuoikeus (GDPR 16)

Oikeus pyytää virheellisten tai puutteellisten tietojen korjaamista. Käytännössä voit muokata useimpia tietoja itse profiilisi asetuksissa.

Poisto-oikeus (GDPR 17)

Oikeus pyytää tietojesi poistoa, kun käsittelyn perustetta ei enää ole. Voit poistaa tilisi itse profiilin asetuksista — pyyntö käsitellään 30 päivän kuluessa.

Käsittelyn rajoitusoikeus (GDPR 18)

Oikeus pyytää käsittelyn rajoittamista esim. tietojen oikeellisuuden selvittämisen ajaksi.

Siirto-oikeus (GDPR 20)

Oikeus saada antamasi tiedot koneluettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle, kun käsittely perustuu sopimukseen tai suostumukseen.

Vastustamisoikeus (GDPR 21)

Oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä erityiseen tilanteeseen liittyvistä syistä.

Suostumuksen peruuttaminen (GDPR 7)

Voit peruuttaa suostumukseesi perustuvan käsittelyn (esim. markkinoinnin) milloin tahansa. Peruuttaminen ei vaikuta aiempaan käsittelyyn.

Valitusoikeus valvontaviranomaiselle (GDPR 77)

Sinulla on oikeus tehdä valitus Tietosuojavaltuutetun toimistolle, mikäli katsot käsittelymme rikkovan tietosuojalainsäädäntöä.

Oikeuksiesi käyttäminen: lähetä pyyntö osoitteeseen info@zansenstudio.com. Vastaamme pyyntöösi viimeistään 30 päivän kuluessa. Saatamme pyytää lisätietoja henkilöllisyytesi varmistamiseksi.

Tietosuojavaltuutetun toimisto: tietosuoja.fi

9.Evästeet ja sähköpostien seuranta

Evästeet selaimessa

Käytämme palvelussa ainoastaan toiminnalle välttämättömiä evästeitä:

  • Istuntoeväste — kirjautumisen ylläpito. Säilyy istunnon ajan.
  • Supabase auth -eväste — tunnistautumiseen käytettävä token. Säilyy enintään 7 päivää viimeisestä kirjautumisesta.
  • CSRF-suojaus — lomakkeiden turvallinen käsittely.

Emme käytä analytiikka- tai markkinointievästeitä ilman erillistä suostumustasi. Mikäli tämä muuttuu, päivitämme tietosuojaselosteen ja pyydämme uudet suostumukset.

Sähköpostiviestien seuranta

Käytämme sähköpostipalvelussamme (Resend) seuraavia tilastollisia mittareita:

  • Avausseuranta — pieni läpinäkyvä kuva viestin sisällössä lähettää meille tiedon, kun viesti avataan. Apple Mail Privacy Protection ja vastaavat ominaisuudet voivat näyttää avauksia, joita ei todellisuudessa tapahtunut.
  • Klikkausseuranta — viesteissä olevat linkit kulkevat Resendin uudelleenohjauksen kautta, jonka kautta lasketaan klikkien määrät.

Tietoja käytetään palvelun viestinnän kehittämiseen (esimerkiksi mitä otsikoita ja sisältöjä on luettu eniten). Yksittäisten henkilöiden seurantatietoja ei luovuteta kolmansille osapuolille mainontaan.

Oikeusperuste: oikeutettu etu (GDPR 6.1.f) transaktioemailien osalta; suostumus (6.1.a) markkinointiviestien osalta — suostumus annetaan kun käyttäjä rekisteröityy palveluun tai liittyy odotuslistalle.

10.Tietoturva

Toteutamme asianmukaiset tekniset ja organisatoriset suojatoimet henkilötietojen suojaamiseksi:

  • Tietoliikenne salataan (TLS 1.2+) selaimen ja palvelimen välillä.
  • Tietokannan tietuekohtaiset käyttöoikeudet (Row Level Security) — käyttäjä näkee vain omat tietonsa.
  • Salasanat säilytetään kryptografisesti tiivistettyinä, eivät koskaan selväkielisinä.
  • Maksukortin tietoja ei säilytetä omilla palvelimillamme.
  • Pääsy hallintaoikeuksin rajoitettu henkilöstöön, joka tarvitsee pääsyä tehtäviensä hoitamiseksi.
  • Tietoturvaloukkauksesta ilmoitamme valvontaviranomaiselle 72 tunnin kuluessa ja vahingoittuneille rekisteröidyille, mikäli loukkaus aiheuttaa korkean riskin.

11.Automaattinen päätöksenteko ja profilointi

Käytämme OpenAI:n tekoälypohjaista kuvankäsittelymallia kuvien käsittelyyn, mikä on käyttäjän nimenomaisesti pyytämä toimenpide. Emme tee henkilötietoihin perustuvia automaattisia päätöksiä, joilla olisi merkittäviä oikeudellisia tai vastaavia vaikutuksia käyttäjään (GDPR 22).

12.Tietosuojaselosteen muuttaminen

Päivitämme tätä selostetta tarvittaessa lainsäädännön muutosten, palveluvalikoiman muutosten tai uusien käsittelijöiden käyttöönoton yhteydessä. Olennaisista muutoksista ilmoitamme käyttäjille sähköpostitse vähintään 30 päivää ennen muutoksen voimaantuloa. Viimeisin päivityspäivä näkyy tämän sivun yläosassa.

Tämä on tietosuojaselosteen ensimmäinen luonnos. Lopullinen versio tarkistetaan tietosuojaan erikoistuneen juristin toimesta ennen palvelun laajempaa julkaisua. Mikäli sinulla on kysyttävää tai huomioita, otathan yhteyttä info@zansenstudio.com.