Tietosuojakaytanto
Viimeksi paivitetty: 2026.04.08.
1. Rekisterinpitaja
Rekisterinpitaja on Magenta Team Korlátolt Felelősségű Társaság (kotipaikka: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Unkari; yrityksen rekisteroinumero: 13-09-226488; verotunnus: 26142366-2-13; edustaja: Adrian Olajos, toimitusjohtaja; sahkoposti: legal@bellora.net). Rekisterinpitaja ei ole nimennyt tietosuojavastaavaa (DPO), koska sen toiminta ei kuulu GDPR 37 mukaisiin pakollisiin nimittamistapauksiin. Tietosuojaa koskevissa kysymyksissa Rekisterinpitajaan voi ottaa yhteytta osoitteessa legal@bellora.net.
2. Kasiteltavien tietojen laajuus
Palvelun kayton aikana kasittelemme seuraavia tietoja:
- Henkilotiedot: nimi, sahkopostiosoite, puhelinnumero, profiilikuva
- Salongin tiedot: salongin nimi, osoite, aukioloajat, valokuvat, kuvaus
- Varaustiedot: ajanvaraukset, palvelut, henkilokunta, peruutustiedot
- Maksutiedot: Stripe-tapahtumatunnisteet, maksusummat, valuutta (emme tallenna luottokorttitietoja)
- Viestintatiedot: sahkoposti- ja SMS-ilmoitukset, push-ilmoitukset, ilmoitusasetukset
- Tekniset tiedot: IP-osoite, selaintyyppi, laitetiedot, evaste-tunnisteet
- Vastaanottolomaketiedot: vastaukset salongin maarittamiin kyselyihin (jotka voivat sisaltaa terveystietoja)
3. Tietojen kasittelyn tarkoitus ja oikeusperuste
Kutakin kasittelytarkoitusta koskevat seuraavat oikeusperusteet:
- Tilinhalinta ja todennus: sopimuksen tayttaminen (GDPR Art. 6(1)(b)) -- nimi, sahkoposti, salasanan tiiviste, profiilikuva
- Ajanvarausten halinta: sopimuksen tayttaminen (GDPR Art. 6(1)(b)) -- varaustiedot, palvelu, aika, henkilokunta
- Maksujen kasittely (Stripe): sopimuksen tayttaminen (GDPR Art. 6(1)(b)) -- tapahtumatunnus, summa, valuutta
- Ilmoitusten lahettaminen (sahkoposti, SMS, push): oikeutettu etu (GDPR Art. 6(1)(f)) tapahtumailmoituksille; suostumus (GDPR Art. 6(1)(a)) markkinointi-ilmoituksille
- Laskutus ja kirjanpito: lakisaaateinen velvoite (GDPR Art. 6(1)(c)) -- laskutustiedot, tapahtumat
- Virheiden seuranta ja jarjestelmasuojaus (Sentry): oikeutettu etu (GDPR Art. 6(1)(f)) -- tekniset tiedot, IP-osoite, virheraportit
- Evasteet (analytiikka): suostumus (GDPR Art. 6(1)(a)) -- evaste-tunnisteet, kayttotilastot
- Vastaanottolomaketiedot: suostumus (GDPR Art. 6(1)(a)); terveystiedoille nimenomainen suostumus (GDPR Art. 9(2)(a))
4. Tietojen sailytysajat
Kutakin tietotyyppia koskevat seuraavat sailytysajat:
- Tilitiedot (profiili, asetukset): sailytetaan tilin poistoon asti, minka jalkeen pysyvasti poistetaan 30 paivan kuluessa poistopyynosta
- Varaustiedot: 2 vuotta varauspaivasta (vero- ja kirjanpitotarkoituksiin), minka jalkeen anonymisoidaan
- Maksutapahtumat: 8 vuotta (Unkarin kirjanpitolain (laki C vuodelta 2000) mukaisesti)
- SMS-tapahtumalogit: 1 vuosi
- Tarkastuslogit: 90 paivaa
- Sentry-virhetiedot: 90 paivaa
- Evastesuostumus: 1 vuosi
- Ilmoitusasetusten muutokset (suostumuksen tarkastusloki): 3 vuotta
5. Alikasittelijat
Palvelun toimintaa varten kaytamme seuraavia alikasittelijoita:
- Stripe (Stripe, Inc., San Francisco, USA) -- maksujen kasittely, tapahtumatietojen halinta
- Twilio (Twilio Inc., San Francisco, USA) -- SMS-ilmoitusten toimitus, puhelinnumeroiden kasittely
- Resend (Resend, Inc., San Francisco, USA) -- sahkoposti-ilmoitusten toimitus, sahkopostiosoitteiden kasittely
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Saksa) -- palvelininfrastruktuuri, kaikkien alustatietojen tallennus (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) -- DNS-halinta, CDN, IP-osoitteiden kasittely
- Sentry (Functional Software, Inc., San Francisco, USA) -- virheiden seuranta, teknisten tietojen kasittely
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Unkari) -- laskutus, laskutustietojen kasittely
6. Kansainvaliset tiedonsiirrot
Jotkut alikasittelijoistamme (Stripe, Twilio, Resend, Sentry, Cloudflare) kasittelevat tietoja Yhdysvalloissa. Nama palveluntarjoajat ovat sertifioituja EU-US Data Privacy Framework (DPF) -kehyksen mukaisesti, joka varmistaa henkilotietojen riittavan suojan Euroopan komission riittavyyspaatoksen perusteella. Kun EU-US DPF ei ole sovellettavissa, Standard Contractual Clauses (SCCs) toimivat siirron oikeusperusteena. Hetzner ja Szamlazz.hu kasittelevat tietoja yksinomaan Euroopan unionin alueella.
7. Rekisteroityjen oikeudet
GDPR:n mukaan sinulla on seuraavat oikeudet: oikeus saada paasy tietoihin (voit pyytaa kopion tiedoistasi); oikeus oikaisyun (virheellisten tietojen korjaaminen); oikeus poistoon (voit pyytaa tietojesi poistamista); oikeus kasittelyn rajoittamiseen; oikeus tietojen siirrettavyyteen (voit pyytaa tietojasi konekielisessa muodossa); oikeus vastustaa (oikeutettuun etuun perustuvaa kasittelya). Suostumukseen perustuvassa kasittelyssa suostumuksen voi peruuttaa milloin tahansa vaikuttamatta ennen peruutusta suoritetun kasittelyn laillisuuteen. Oikeuksiesi kayttamiseksi ota meihin yhteytta osoitteessa legal@bellora.net. Palvelu ei kayta automatisoitua paatoksentekoa eika profilointia.
8. Tietoturva
Varmistamme tietoturvan teknisin ja organisatorisin toimenpitein. Tiedot siirretaan salattujen kanavien kautta ja sailytetaan suojatuilla palvelimilla. Maksujen kasittelyn hoitaa Stripe, PCI DSS Level 1 -sertifioitu maksupalveluntarjoaja -- korkein turvallisuusstandardi maksualalla. Bellora ei tallenna, kasittele tai siirra luottokorttitietoja. Korttitiedot kasittelee suoraan Stripen salatut jarjestelmat.
9. Valvontaviranomainen
Jos katsot, etta henkilotietojesi kasittely rikkoo GDPR:n saannoksia, sinulla on oikeus tehda valitus valvontaviranomaiselle. Unkarissa toimivaltainen valvontaviranomainen on: Nemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH), osoite: 1055 Budapest, Falk Miksa utca 9-11., sahkoposti: ugyfelszolgalat@naih.hu, puhelin: +36 1 391 1400, verkkosivu: www.naih.hu.