Tietojenkäsittelysopimus (DPA)
Viimeksi päivitetty: 07.07.2026
Tämä tietojenkäsittelysopimus (“DPA”) on osa IiroMan OÜ:n (“Taimli” tai “käsittelijä”) ja Taimlia käyttävän salongin tai yrityksen (“salonki” tai “rekisterinpitäjä”) välisiä palveluehtoja.
Tällä DPA:lla varmistetaan EU:n yleisen tietosuoja-asetuksen (GDPR) noudattaminen kaikkien niiden henkilötietojen osalta, joita Taimli käsittelee salongin puolesta.
1. Määritelmät
“Rekisterinpitäjä”
Salonki, joka määrittelee asiakkaidensa henkilötietojen käsittelyn tarkoitukset ja keinot.
“Käsittelijä”
Taimli (IiroMan OÜ), joka käsittelee henkilötietoja salongin puolesta.
“Henkilötiedot”
Kaikki tunnistettavissa olevaan henkilöön liittyvät tiedot.
“Palvelut”
Taimli-varausalusta ja siihen liittyvät ominaisuudet Salonille.
“Alikäsittelijät”
Kolmannen osapuolen palveluntarjoajat, joita Taimli käyttää palvelun tuottamiseen.
2. Aihe ja kesto
Taimli käsittelee henkilötietoja yksinomaan varauksen, aikataulun, viestinnän ja alustan niihin liittyvien ominaisuuksien tarjoamiseksi.
Tämä DPA on voimassa niin kauan kuin salonki käyttää Taimlia.
Selvyyden vuoksi tämä tietosuojalausunto kattaa henkilötiedot, joita Taimli käsittelee Salongin puolesta Käsittelijänä. Se ei sääntele käsittelyä, jota Taimli suorittaa itsenäisenä rekisterinpitäjänä oman tilinsä hallinnan, laskutuksen, turvallisuuden, väärinkäytösten ehkäisyn, Taimlin ohjaamien sivujen yksityisyyttä suojaavan analytiikan tai PostHog EU -tuoteanalytiikan todistetussa salonkihallintaliittymässä.
3. Käsittelyn luonne ja tarkoitus
Taimli käsittelee henkilötietoja:
- Asiakasvarausten hallinta
- Sähköposti- ja tekstiviestivahvistusten ja muistutusten lähettäminen
- Asiakkaiden jonotuslista-asetusten tallentaminen ja jonotuslista-ilmoitussähköpostien lähettäminen, kun vastaavat tapaamisajat tulevat saataville
- Salongin aikataulujen näyttäminen
- Varaushistorian tallentaminen (kunnes salonki poistaa sen)
- Valinnainen viestintä salonilta asiakkaille
- Salon sisäisten muistiinpanojen ja valinnaisten hoidon edistymistä koskevien kuvien tallentaminen, jos salonki päättää käyttää näitä ominaisuuksia
- Asiakastietojen turvallinen isännöinti salongitoimintoja varten
Jos Salon tai valtuutettu työntekijä sallii sen, Taimli voi myös synkronoida varaukset kyseisen työntekijän Google-kalenteriin valinnaisena integrointiominaisuudena.
Taimli ei käsittele salongin asiakastietoja omiin tarkoituksiinsa.
4. Henkilötietojen tyypit ja rekisteröidyt
4.1 Rekisteröidyt
- Salongin asiakkaat
- Salongin henkilökunta (valinnainen)
4.2 Tietotyypit
- Nimi
- Sähköpostiosoite
- Puhelinnumero
- Ajanvaraustiedot
- Odotuslistan asetukset, kuten pyydetyt palvelut, ensisijaiset päivämäärät ja aikavälit, työntekijän mieltymykset ja ilmoitushistoria
- Valinnaiset muistiinpanot
- Valinnaiset hoidon etenemiskuvat liitettynä salongin sisäisiin muistiinpanoihin, jos ne ovat käytössä ja kampaamo käyttää niitä
Valinnaiset hoidon edistymistä kuvaavat kuvat voivat sisältää terveystietoja tai muita erityisiä henkilötietoja. Salonin vastuulla on päättää, kerätäänkö tällaisia valokuvia ja dokumentoida sovellettava GDPR artiklan 6 laillinen perusta ja tarvittaessa GDPR artiklan 9 ehto erityisluokan tietojen käsittelylle.
Kun valinnainen Google-kalenterin integrointi on käytössä, synkronoituja tapahtumia varten siirretyt tiedot voivat sisältää myös:
- varauspäivä ja -aika
- palveluiden nimet
- salongin sijainti
- Taimli-hallintalinkki, joka sisältää varaustunnuksen
Taimli ei kerää IP-osoitteita tai laitteen sormenjälkiä.
5. Käsittelijän velvollisuudet (Taimli)
Taimli suostuu:
- Käsittele henkilötietoja vain Salonin dokumentoitujen ohjeiden mukaan.
- Älä käytä asiakastietoja mainontaan, analytiikkaan, koulutusmalleihin tai mihinkään asiaan liittymättömään tarkoitukseen.
- Ylläpidä asianmukaisia teknisiä ja organisatorisia turvatoimenpiteitä.
- Varmista, että henkilökunnalla, jolla on pääsy tietoihin, on luottamuksellisuusvelvoitteita.
- Auttaa Salonia GDPR-rekisteröityjen pyyntöjen täyttämisessä.
- Ilmoita Salonille ilman aiheetonta viivytystä kaikista henkilötietojen tietoturvaloukkauksista.
- Tarjoa itsepalveluvientiä tuotteessa saatavilla oleville vientikelpoisille salongitiedoille.
- Poista kaikki salongitiedot tilin poistamisen yhteydessä palveluntarjoajan varmuuskopiointijaksojen mukaisesti.
- Anna saataville kaikki GDPR-vaatimustenmukaisuuden osoittamiseksi tarvittavat tiedot.
6. Rekisterinpitäjän velvollisuudet (salonki)
Salonki hyväksyy:
- Kerää asiakastietoja laillisesti ja tiedottaa asiakkaille, että Taimli käsittelee heidän tietojaan.
- Käytä Taimlia vain laillisiin liiketoimintatarkoituksiin.
- Käsittele kaikki asiakkaiden GDPR-pyynnöt Taimlin tuella.
- Määrittää oman laillisen perusteensa käsittelylle (tyypillisesti sopimuksen täyttäminen tavallisille varaustiedoille).
- Määritä ja dokumentoi sovellettava GDPR artiklan 9 ehto ennen kuin käytät Taimlia hoidon edistymistä koskevien kuvien tai muiden erityisluokkaan kuuluvien henkilötietojen tallentamiseen.
- Varmista, että asiakkaille annetut yhteystiedot ovat oikein.
7. Alikäsittelijät
Taimli käyttää GDPR-yhteensopivia aliprosessoreja, jotka ovat välttämättömiä palvelun toimittamisessa:
- Stripe — maksun käsittely
- Hetzner & Servinga — VPS-isännöinti (EU)
- PlanetScale — hallittu PostgreSQL-tietokanta (EU-alue)
- Cloudflare – DNS, tietoturva ja sisällön toimitus (SCC:t saattavat olla voimassa)
- Cloudflare R2 – mediatallennus (EU-alue)
- Cloudflare Turnstile – bottisuojaus varaussivuilla (ei evästeitä, minimaalinen tietojenkäsittely)
- Mailgun — tapahtumasähköposti (EU-alue)
- Prelude — SMS-toimitus varausvahvistuksiin ja muistutuksiin
Kun Taimlin ohjaamia sivuja mitataan käyttämällä tietosuojaystävällistä verkkosivuston analytiikkaa, Taimli voi käyttää myös:
- Plausible — evästeetön verkkosivustoanalytiikka
- PostHog EU — tuoteanalytiikka vain todennettuun salonkihallintaliittymään
Taimli varmistaa, että kaikki alikäsittelijät antavat asianmukaiset tietosuojatakuut.
Salonki valtuuttaa Taimlin käyttämään näitä alikäsittelijöitä.
7.1 Rekisterinpitäjän valitsemat valinnaiset kolmannen osapuolen integraatiot
Jos Salonki tai valtuutettu työntekijä ottaa käyttöön valinnaisen Google-kalenterin integroinnin, Taimli siirtää asiaankuuluvat varaustiedot ja yhteyden metatiedot Googlelle vain integroinnin mahdollistamiseksi.
Tämä siirto tapahtuu vain Ohjaimen käskystä integroinnin käyttöönoton ja käytön kautta. Tässä ominaisuudessa Google toimii kolmannen osapuolen palveluna, jonka Rekisterinpitäjä valitsee Rekisterinpitäjän omaan käyttöön.
8. Kansainväliset siirrot
Taimli tallentaa ja käsittelee tietoja pääasiassa EU:n sisällä.
Jotkut palveluntarjoajat (esim. Cloudflare) voivat siirtää rajoitettuja tietoja EU:n ulkopuolelle.
Tällaiset siirrot suojataan käyttämällä:
- Standard Contractual Clauses (SCC)
- Sopimuksen mukaiset ja tekniset lisätakuut
Taimli pyrkii käyttämään EU-pohjaista käsittelyä aina kun mahdollista.
9. Turvatoimenpiteet
Taimli käyttää alan standardien mukaisia tietoturvakäytäntöjä, mukaan lukien:
- HTTPS-salaus siirrossa
- Salaus lepotilassa, jos palveluntarjoajat tukevat
- Kulunvalvonta ja todennus
- Salasanan hajautus (Argon2 tulevia salasanaominaisuuksia varten; taikalinkki toistaiseksi)
- Isännöintipalveluntarjoajien hallinnoimat tietokannan varmuuskopiot
- Säännölliset korjaukset ja tietoturvapäivitykset
10. Tietojen säilyttäminen ja poistaminen
Vähimmäissäilytyskäytäntö (rekisterinpitäjän tarpeisiin)
- Asiakastiedot säilytetään vain Salon tilin ollessa aktiivinen.
- Tilin poistamisen yhteydessä kaikki henkilötiedot poistetaan välittömästi tuotantojärjestelmistä.
- Palveluntarjoajien (esim. PlanetScale) varmuuskopiointi säilyy 30–90 päivää, minkä jälkeen se tyhjennetään automaattisesti.
- Taimli ei tee ylimääräisiä sisäisiä varmuuskopioita tuotantotiedoista.
Salonki voi poistaa asiakastietoja milloin tahansa käyttöliittymän kautta tai pyynnöstä.
Ennen tilin poistamista Salonki voi viedä saatavilla olevia salongitietoja Taimlin itsepalveluvientityökalujen kautta. Taimli ei veloita vakioviennistä poistumismaksua ja pyrkii kohtuullisin toimenpitein auttaakseen Salonia ymmärtämään vietyjä tiedostoja tarvittaessa.
11. Rikkomusilmoitus
Vahvistetusta henkilötietoturvaloukkauksesta Taimli ilmoittaa Salonille ilman aiheetonta viivytystä ja antaa kaikki tarvittavat tiedot GDPR-artiklojen 33–34 noudattamiseksi.
12. Apu rekisteröidyn pyyntöjen kanssa
Taimli tukee Salonia käsittelyssä:
- Pääsypyynnöt
- Oikaisu
- Poisto
- Vienti ja siirrettävyys
- Vastalause- tai rajoituspyynnöt
Salon asiakkaiden pyynnöt tulee tehdä salongin aloitteesta.
13. Todentaminen ja tarkastukset
Taimli toimittaa Salonin kirjallisesta pyynnöstä kaikki kohtuudella tarpeelliset tiedot tämän tietosuojalausekkeen noudattamisen osoittamiseksi, mukaan lukien kuvauksen asiaankuuluvista turvatoimista ja luettelon alikäsittelijöistä.
Salonin varmistusoikeudet rajoittuvat tällaisten asiakirjojen tarkistamiseen.
Paikan päällä tehtäviä auditointeja, tarkastuksia tai pääsyä Taimlin infrastruktuuriin, järjestelmiin tai isännöintiympäristöihin ei sallita.
Jos Salon GDPR-yhteensopivuus edellyttää lisätietoja, Taimli pyrkii kohtuullisin keinoin vastaamaan tällaisiin pyyntöihin.
14. Päättäminen
Salonin Taimli-tilin päättyessä:
- Kaikki henkilötiedot poistetaan aktiivisista järjestelmistä
- Varmuuskopiotiedot tyhjennetään automaattisesti palveluntarjoajan säilytysjaksojen mukaan
- Taimli ei säilytä henkilötiedoista kopioita lakisääteisten velvoitteiden lisäksi
15. Sovellettava laki
Tätä tietosuojasopimusta säätelevät Viron lait.
Riidat ratkaistaan yksinomaan Tallinnan tuomioistuimissa, Virossa.
16. Koko sopimus
Tämä tietosuojasopimus on osa käyttöehtoja.
Mikäli Ehtojen ja tämän tietosuojan välillä on ristiriita, tietosuoja-asioissa DPA on ensisijainen.
IiroMan OÜ (Taimli)
Sähköposti: [email protected]