Tietosuojakäytäntö

Henkilötietojen rekisterinpitäjä on Grata Oy, Suomen lain mukainen yhtiö, kotipaikka Helsinki, Finland, Y-tunnus 0756383-4 (ALV-tunnus EU FI07563834), tavolameet.com-alustan operaattori.

GDPR:n mukaisia oikeuksia käytetään tai mistä tahansa tietojenkäsittelyä koskevasta kysymyksestä otetaan yhteyttä rekisterinpitäjään kirjoittamalla osoitteeseen privacy@tavolameet.com.

Alustan kanssa tapahtuvasta vuorovaikutuksesta riippuen TavolaMeet käsittelee seuraavia tietoluokkia:

• Rekisteröintitiedot: etunimi, sukunimi, sähköposti, salasana (salattu bcryptillä), rooli (Guest/Host/Admin), mieluinen kieli.
• Profiilitiedot: profiilikuva, toiminta-alueen kaupunki, kuvaus, yhteystiedot.
• Maksutiedot: käsitellään kokonaisuudessaan Stripe Payments Europe Ltd:n toimesta. TavolaMeet ei tallenna korttitietoja. Tallentaa ainoastaan Stripe-tunnisteet (customer ID, charge ID).
• Hostin lisätiedot: tapahtumien pitopaikan osoite, ALV-tunnus (Ravintola-Hostille), Stripe Connect -käyttöönottotiedot, Stripe Identity -henkilöllisyyden tarkistus.
• Luotu sisältö: tapahtumakuvaukset, ruoka- ja paikkakuvat, arvostelut, ilmoitukset.
• Tekniset tiedot: IP-osoite, user-agent, kirjautumisten aikaleimat, turvallisuuslokit, ehtojen hyväksynnät oikeudellisine todisteineen (versio + IP + UA).

3.1Sopimuksen täyttäminen (GDPR art. 6.1.b): käyttäjätilin hallinta, varaukset, maksut, transaktioviestit (vahvistukset, kuitit, muistutukset).

3.2Lakisääteinen velvoite (GDPR art. 6.1.c): laskujen ja verotusraporttien säilyttäminen (10 vuotta), GDPR-suostumusten audit trail, maksujen KYC ja rahanpesun ehkäisy.

3.3Oikeutettu etu (GDPR art. 6.1.f): petosten ehkäisy, Alustan turvallisuus, valvonta ilmoitusjärjestelmän kautta, sisäiset koostetut tilastot.

Tiedot voidaan luovuttaa seuraaville tahoille, jotka on nimetty käsittelijöiksi GDPR:n art. 28 mukaisesti:

• Stripe Payments Europe Ltd. (Irlanti) — maksujen käsittely, Hostin KYC, henkilöllisyyden tarkistus.
• Resend, Inc. (Yhdysvallat) — transaktiosähköpostien lähetys. Siirto Standard Contractual Clauses -sopimusehdoin.
• Cloudflare, Inc. (Yhdysvallat) — valokuvien ja staattisten objektien hosting (R2). Siirto Standard Contractual Clauses -sopimusehdoin.
• Hostinger International Ltd. (Kypros) — sovelluksen ja PostgreSQL-tietokannan hosting.
• Oikeus- ja poliisiviranomaiset — ainoastaan virallisen oikeudellisen pyynnön perusteella.

• Tilitiedot: tilin koko keston ajan, lisäksi 12 kuukautta poistamisen jälkeen turvallisuussyistä.
• Varaus- ja laskutustiedot: 10 vuotta (Italian siviili- ja verotuksellinen velvoite).
• Turvallisuuslokit ja suostumusten audit trail: 5 vuotta.
• Arvostelut ja julkinen sisältö: pysyvät näkyvillä myös tilin poistamisen jälkeen anonymisoidussa muodossa.

Rekisteröity voi milloin tahansa käyttää GDPR:n artiklojen 15-22 mukaisia oikeuksiaan kirjoittamalla osoitteeseen privacy@tavolameet.com:

• oikeus saada pääsy omiin tietoihin;
• oikeus oikaisuun;
• oikeus tietojen poistamiseen (oikeus tulla unohdetuksi) lakisääteisten säilytysvelvoitteiden sallimissa rajoissa;
• oikeus käsittelyn rajoittamiseen;
• oikeus siirtää tiedot järjestelmästä toiseen;
• vastustamisoikeus;
• oikeus tehdä valitus valvontaviranomaiselle: Suomessa tietosuojavaltuutetulle (tietosuoja.fi) tai Italian tietosuojaviranomaiselle Garante per la protezione dei dati personali (garanteprivacy.it).

Jotkin palveluntarjoajat (Stripe Identity USA, Resend, Cloudflare) toimivat Euroopan talousalueen ulkopuolella. Siirrot tapahtuvat Euroopan komission hyväksymien Standard Contractual Clauses -sopimusehtojen pohjalta (päätös 2021/914).

TavolaMeet soveltaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä: salasanojen salauksen bcryptillä, HTTPS:n TLS 1.3:lla kaikkialla, tietokannan verkkoeristyksen, SSH-avaimella tapahtuvat pääsyt, hallinnollisten kirjautumisten lokituksen sekä päivittäiset varmuuskopiot.

Tätä tietosuojaselostetta voidaan päivittää milloin tahansa; olennaisista muutoksista ilmoitetaan sähköpostitse 15 päivän etukäteisilmoituksella.