Andmetöötlusleping (DPA)

Viimati värskendatud: 07.07.2026

Käesolev andmetöötlusleping („DPA“) moodustab osa IiroMan OÜ („Taimli“ või „volitatud töötleja“) ja Taimlit kasutava salongi või ettevõtte („Salong“ või „vastutav töötleja“) vahelistest teenusetingimustest.

Käesolev DPA tagab vastavuse EL-i isikuandmete kaitse üldmäärusele (GDPR) kõikidele isikuandmetele, mida Taimli Salongi nimel töötleb.


1. Mõisted

„Vastutav töötleja“
Salong, mis määrab kindlaks oma klientide isikuandmete töötlemise eesmärgid ja vahendid.

„Volitatud töötleja“
Taimli (IiroMan OÜ), kes töötleb isikuandmeid Salongi nimel.

„Isikuandmed”
Mis tahes teave, mis on seotud tuvastatava isikuga.

“Teenused”
Salongile pakutav Taimli broneerimisplatvorm ja sellega seotud funktsioonid.

„Alamtöötlejad”
Taimli poolt teenuse toetamiseks kaasatud kolmandatest osapooltest pakkujad.


2. Teema ja kestus

Taimli töötleb isikuandmeid ainult broneerimise, ajastamise, suhtluse ja platvormi seotud funktsioonide pakkumise eesmärgil.

See DPA kehtib seni, kuni Salong kasutab Taimlit.

Selguse huvides hõlmab käesolev andmekaitseseadus isikuandmeid, mida Taimli töötlejana töötleb salongi nimel. See ei reguleeri töötlemist, mida Taimli iseseisva vastutava töötlejana teostab oma konto haldamise, arveldamise, turvalisuse, kuritarvitamise ennetamise, Taimli kontrollitud lehtede privaatsussõbraliku analüüsi ega PostHog EU tooteanalüüsi jaoks autentitud salongi administraatoriliideses.


3. Töötlemise olemus ja eesmärk

Taimli töötleb isikuandmeid:

  • Klientide broneeringute haldamine
  • Meili- ja SMS-kinnituste ja meeldetuletuste saatmine
  • Klientide ootenimekirja eelistuste salvestamine ja ootenimekirja teavitusmeilide saatmine, kui vastavad kohtumisajad muutuvad kättesaadavaks
  • Salongi ajakavade kuvamine
  • broneeringute ajaloo salvestamine (kuni salong kustutab)
  • Valikuline side salongist klientideni
  • Salvestage salongisisesed märkmed ja valikulised ravi edenemise fotod, kui salong otsustab neid funktsioone kasutada
  • Kliendiandmete turvaline hostimine salongitoimingute jaoks

Kui salong või volitatud töötaja on selle lubanud, võib Taimli valikulise integreerimisfunktsioonina sünkroonida Google’i kalendrisse vastava töötaja broneeringud.

Taimli ei töötle salongi klientide andmeid oma eesmärkidel.


4. Isikuandmete liigid ja andmesubjektid

4.1 Andmesubjektid

  • Salongi kliendid
  • salongi töötajad (valikuline)

4.2 Andmetüübid

  • Nimi
  • E-posti aadress
  • Telefoninumber
  • Kohtumise üksikasjad
  • ootenimekirja eelistused, nagu taotletud teenused, eelistatud kuupäevad ja ajavahemikud, töötajate eelistused ja teavituste ajalugu
  • valikulised märkmed
  • Valikulised ravi edenemise fotod, mis on lisatud salongi sisemistele märkmetele, kui see on lubatud ja salongis seda kasutatakse

Valikulised ravi edenemise fotod võivad sisaldada terviseteavet või muid erikategooria isikuandmeid. Salong vastutab selliste fotode kogumise otsustamise ja GDPR artikli 6 kohase seadusliku aluse ja vajaduse korral GDPR artikli 9 tingimuse dokumenteerimise eest erikategooria andmete töötlemiseks.

Kui valikuline Google’i kalendri integreerimine on lubatud, võivad sünkroonitud sündmuste jaoks edastatavad andmed hõlmata ka järgmist.

  • broneerimise kuupäev ja kellaaeg
  • teenuste nimed
  • salongi asukoht
  • Taimli haldamise link, mis sisaldab broneeringu identifikaatorit

Taimli ei kogu IP-aadresse ega seadme sõrmejälgi.


5. Töötleja kohustused (Taimli)

Taimli nõustub:

  1. Töötle isikuandmeid ainult Salongi dokumenteeritud juhiste alusel.
  2. Ärge kasutage kliendiandmeid reklaamimiseks, analüütikaks, koolitusmudeliteks või muudel eesmärkidel.
  3. Säilitada asjakohased tehnilised ja organisatsioonilised turvameetmed.
  4. Tagada, et andmetele juurdepääsu omavatel töötajatel on konfidentsiaalsuskohustus.
  5. Abistada Salongi GDPR-i andmesubjekti taotluste täitmisel.
  6. Teatage Salongile põhjendamatu viivituseta igast isikuandmetega seotud rikkumisest.
  7. Pakkuge tootes saadaolevate eksporditavate salongiandmete iseteeninduse eksporti.
  8. Kustutage kõik salongi andmed pärast konto kustutamist vastavalt teenusepakkuja varundustsüklitele.
  9. Tehke kättesaadavaks kogu teave, mis on vajalik GDPR-i järgimise tõendamiseks.

6. Vastutava töötleja kohustused (salong)

Salong nõustub:

  1. Koguma kliendiandmeid seaduslikult ja teavitama kliente, et Taimli töötleb nende andmeid.
  2. Kasutage Taimlit ainult legitiimsetel ärilistel eesmärkidel.
  3. Käsitlege Taimli toel kõiki klientide GDPR-i taotlusi.
  4. Määrake töötlemiseks oma seaduslik alus (tavaliselt tavaliste broneerimisandmete puhul lepingu täitmine).
  5. Enne Taimli kasutamist ravi edenemise fotode või muude erikategooria isikuandmete salvestamiseks määrake kindlaks ja dokumenteerige kohaldatav GDPR artikli 9 tingimus.
  6. Veenduge, et klientidele antud kontaktteave oleks täpne.

7. Alamtöötlejad

Taimli kasutab teenuse osutamiseks vajalikke GDPR-iga kooskõlas tegutsevaid alamtöötlejaid:

  • Stripe — maksete töötlemine
  • Hetzner & Servinga – VPS-i hostimine (EL)
  • PlanetScale – hallatav PostgreSQL-i andmebaas (EL-i piirkond)
  • Cloudflare – DNS, turvalisus ja sisu edastamine (kehtida võivad SCC-d)
  • Cloudflare R2 – meediumisalvestus (EL-i piirkond)
  • Cloudflare Turnstile – robotite kaitse broneerimislehtedel (küpsised puuduvad, andmetöötlus minimaalne)
  • Mailgun — tehingumeil (EL-i piirkond)
  • Prelude — SMS-i kohaletoimetamine broneeringu kinnituste ja meeldetuletuste jaoks

Kui Taimli kontrollitud lehti mõõdetakse privaatsussõbraliku veebisaidi analüüsi abil, võib Taimli kasutada ka:

  • Plausible – küpsisteta veebisaidi analüüs
  • PostHog EU – tooteanalüüs ainult autentitud salongiadministraatori liidese jaoks

Taimli tagab, et kõik alltöötlejad annavad asjakohased andmekaitsegarantiid.

Salong volitab Taimlit neid alamtöötlejaid kasutama.

7.1 Vastutava töötleja valitud kolmandate isikute integratsioonid

Kui salong või volitatud töötaja lubab valikulise Google’i kalendri integreerimise, edastab Taimli asjakohased broneerimisandmed ja ühenduse metaandmed Google’ile ainult selle integreerimise tagamiseks.

See ülekanne toimub ainult kontrolleri juhiste alusel integratsiooni lubamise ja kasutamise kaudu. Selle funktsiooni puhul toimib Google kolmanda osapoole teenusena, mille vastutav töötleja valib vastutava töötleja enda tarbeks.


8. Rahvusvahelised ülekanded

Taimli salvestab ja töötleb andmeid peamiselt EL-is.

Mõned pakkujad (nt Cloudflare) võivad edastada piiratud andmeid väljaspool EL-i.
Sellised edastused on kaitstud kasutades:

  • Lepingu tüüptingimused (SCC)
  • Täiendavad lepingulised ja tehnilised tagatised

Taimli eesmärk on kasutada igal võimalusel ELi-põhist töötlemist.


9. Turvameetmed

Taimli kasutab tööstusharu standardseid turvatavasid, sealhulgas:

  • HTTPS-i krüptimine edastamisel
  • Krüpteerimine puhkeolekus, kui pakkujad seda toetavad
  • Juurdepääsu kontroll ja autentimine
  • Parooli räsimine (Argon2 tulevaste paroolifunktsioonide jaoks; maagiline link praegu)
  • Andmebaasi varukoopiad, mida haldavad hostiteenuse pakkujad
  • Regulaarsed paigad ja turvavärskendused

10. Andmete säilitamine ja kustutamine

Minimaalse säilitamise põhimõtted

  • Kliendiandmeid säilitatakse ainult seni, kuni Salongi konto on aktiivne.
  • Konto kustutamisel kustutatakse tootmissüsteemidest koheselt kõik isikuandmed.
  • Pakkujate (nt PlanetScale) varukoopia säilitamine kestab 30–90 päeva, seejärel kustutatakse see automaatselt.
  • Taimli ei pea tootmisandmetest täiendavaid sisemisi varukoopiaid.

Salong võib kliendiandmeid igal ajal liidese kaudu või nõudmisel kustutada.

Enne konto kustutamist võib Salong olemasolevaid salongiandmeid eksportida Taimli iseteeninduslike eksporditööriistade kaudu. Taimli ei võta tavaekspordi eest väljumistasu ja teeb mõistlikke jõupingutusi, et aidata Salongil vajadusel eksporditud faile mõista.


11. Rikkumisteade

Kinnitatud isikuandmetega seotud rikkumise korral teavitab Taimli salongi põhjuse viivituseta ja annab kogu vajaliku teabe GDPR artiklite 33–34 järgimiseks.


12. Abi andmesubjekti taotlustega

Taimli toetab Salongi käsitlemisel:

  • Juurdepääsutaotlused
  • Parandus
  • Kustutamine
  • Eksport ja teisaldatavus
  • Vastuväidete või piirangute taotlused

Salongi klientide soovid peavad olema Salongi algatatud.


13. Kontrollimine ja auditid

Salongi kirjaliku taotluse korral esitab Taimli kogu teabe, mis on mõistlikult vajalik, et tõendada vastavust käesolevale DPA-le, sealhulgas asjakohaste turvameetmete kirjelduse ja alltöötlejate nimekirja.

Salongi kontrollimisõigused piirduvad selliste dokumentide ülevaatamisega.
Kohapealsed auditid, ülevaatused ega juurdepääs Taimli infrastruktuurile, süsteemidele ega hostimiskeskkondadele pole lubatud.

Kui Salongi GDPR-i järgimiseks on vaja lisateavet, teeb Taimli sellistele taotlustele vastamiseks mõistlikke jõupingutusi.


14. Lõpetamine

Salongi Taimli konto lõpetamisel:

  • Kõik isikuandmed kustutatakse aktiivsetest süsteemidest
  • Varundatud andmed kustutatakse automaatselt vastavalt teenusepakkuja säilitustsüklitele
  • Taimli ei säilita isikuandmete koopiaid väljaspool nõutud seadusest tulenevaid kohustusi

15. Kehtiv seadus

Seda DPA-d reguleerivad Eesti seadused.
Vaidlused lahendatakse eranditult Tallinna kohtutes.


16. Kogu leping

See DPA on osa teenusetingimustest.
Tingimuste ja käesoleva DPA vahelise vastuolu korral on andmekaitseküsimustes ülimuslik DPA.


IiroMan OÜ (Taimli)
E-post: [email protected]