Tietosuojaseloste

Päivitetty: 24.5.2026

Rekisterinpitäjä

Rekisterin nimi

Mahlamäen Kauneusstudion asiakasrekisteri.

Henkilötietojen käsittelyn tarkoitus ja peruste

Käsittelemme henkilötietojasi seuraaviin tarkoituksiin:

• Ennakkovaraus — kun varaat ensikäyntisi ennakkoon studiomahla.fi-sivuston kautta. Käsittelyperusteena on sopimuksen täytäntöönpano.
• Esitietolomake — kun täytät hoitoa edeltävän esitietolomakkeen (terveys­tiedot, kontraindikaatiot, suostumukset). Tiedot mahdollistavat hoitosi turvallisen toteuttamisen. Käsittelyperusteena on sopimuksen täytäntöönpano ja terveys­tietojen osalta nimenomainen suostumuksesi (GDPR art. 9.2.a).
• Ajanvaraus ja hoitojen toteuttaminen Timma-palvelun kautta sekä hoidon jälkeinen yhteydenpito. Käsittelyperusteena on sopimuksen täytäntöönpano.
• Asiakaspalvelu sähköpostitse ja puhelimitse. Käsittelyperusteena on oikeutettu etu.
• Lakisääteisten velvoitteiden täyttäminen, kuten kirjanpito. Käsittelyperusteena on lakisääteinen velvoite.

Käsiteltävät henkilötiedot

Käsittelemme seuraavia tietoja, jotka saamme suoraan sinulta:

• Nimi
• Sähköpostiosoite
• Puhelinnumero
• Varauksen ja hoidon tiedot
• Ennakkovarauksen yhteydessä lisäksi: maksukortin tunniste ja viimeiset 4 numeroa, korttityyppi sekä veloitukseen liittyvät metatiedot (käsittelijä: Stripe, ks. alla)
• Esitietolomakkeen yhteydessä lisäksi: ikä, hoidettava iho-ongelma, kontraindikaatiot (raskaus, lääkitykset, ihosairaudet jne.), allergiat, muut lääkitykset sekä antamasi suostumukset. Nämä ovat arkaluontoisia terveys­tietoja (GDPR erityinen henkilötietoryhmä) ja niitä käsitellään korotetulla varovaisuudella.
• Lomakkeen lähetyksen yhteydessä tallennetaan tekninen IP-osoite väärinkäytösten estämiseksi.

Emme tallenna täydellisiä korttitietoja palvelimillemme. Korttitiedot käsittelee ja säilyttää PCI DSS -sertifioitu maksupalveluntarjoaja Stripe (ks. alla).

Tietojen luovuttaminen ja tietojenkäsittelijät

Emme luovuta henkilötietojasi kolmansille osapuolille markkinointitarkoituksiin. Käytämme seuraavia tietojenkäsittelijöitä, joiden tehtävänä on käsitellä henkilötietoja meidän puolestamme:

• Supabase Inc. (EU-region, Frankfurt) — esitietolomakkeen terveys­tietojen ja yhteystietojen tallennus. Tiedot säilytetään EU-alueen Postgres-tietokannassa, salataan levossa (AES-256) ja siirron aikana (TLS). Pääsy on rajattu Row Level Security -käytäntöihin niin että vain valtuutettu henkilökunta voi lukea tallennettuja tietoja. Tietosuojaseloste: supabase.com/privacy
• Stripe Payments Europe, Ltd. (Irlanti) / Stripe Inc. (USA) — maksukorttien tallennus ja veloitukset. Stripe on PCI DSS Level 1 -sertifioitu maksupalveluntarjoaja. Tietoja voidaan siirtää EU:n ulkopuolelle Stripen Yhdysvaltain konserniyhtiöille; siirto perustuu EU–US Data Privacy Framework -järjestelyyn ja Euroopan komission hyväksymiin mallisopimuslausekkeisiin. Tietosuojaseloste: stripe.com/privacy
• Resend (USA) — kaikki transaktiosähköpostit: ennakkovarauksen vahvistus, peruutusvahvistus, studiolle lähetettävä ilmoitus uudesta esitietolomakkeesta sekä sisäiset GDPR-säilytysaikamuistutukset adminille. Sähköposteissa kulkee tarvittavat yhteystiedot ja asiakkaan nimi; arkaluontoisia terveystietoja ei välitetä sähköpostitse. Siirto Yhdysvaltoihin perustuu EU–US Data Privacy Framework -järjestelyyn ja mallisopimuslausekkeisiin. Tietosuojaseloste: resend.com/legal/privacy-policy
• Vercel Inc. (USA) — sivuston hostaus. Vercel käsittelee teknisiä lokitietoja (esim. IP-osoite, käyttäjäagentti) sivuston toiminnan ja tietoturvan varmistamiseksi. Tietosuojaseloste: vercel.com/legal/privacy-policy
• Timma (Timma Oy, Suomi) — ajanvarausjärjestelmä. Tietosuojaseloste: timma.fi

Tietojen säilytysaika

Henkilötietoja säilytetään asiakassuhteen voimassaolon ajan ja sen jälkeen lainsäädännön edellyttämän ajan (esim. kirjanpitolaki edellyttää tositteiden säilytystä kuusi vuotta). Tarpeettomiksi käyneet tiedot poistetaan tai anonymisoidaan.

Ennakkovarauksen tiedot: Jos peruutat ennakkovarauksen, asiakkaaseen liitetty korttitieto poistetaan välittömästi Stripen järjestelmästä. Tilausta ja peruutusta koskeva yhteenveto säilyy Stripen Customer-objektissa kirjanpitolain edellyttämän ajan.

Esitietolomakkeen tiedot: Hoitoa edeltävän esitietolomakkeen terveystiedot säilytetään enintään kaksi vuotta viimeisestä hoitokäynnistä tai muusta yhteydenotosta. Jokaisen käynnin yhteydessä tietueen aikaleima päivittyy, jolloin säilytysaika alkaa juosta uudestaan. Järjestelmämme tarkistaa kuukausittain automaattisesti vanhentuneet tietueet ja lähettää studiolle muistutuksen tietojen poistamisesta. Voit pyytää tietojesi poistamista milloin tahansa lähettämällä sähköpostia osoitteeseen asiakaspalvelu@studiomahla.fi — vastaamme 30 päivän kuluessa.

Korttitietojen käsittely

Maksukortin numero, voimassaoloaika ja turvakoodi syötetään suoraan Stripen tarjoamaan Stripe Elements -maksulomakkeeseen, jolloin täydet korttitiedot eivät kulje meidän palvelimemme kautta eikä niitä tallenneta meidän rekisteriin. Saamme Stripeltä ainoastaan tunnisteen (PaymentMethod ID) ja tiedon kortin tyypistä ja viimeisistä neljästä numerosta tunnistustarkoituksessa.

Tietoturva

Suojaamme henkilötietojasi monikerroksisesti:

• Sivusto käyttää HTTPS-salausta, joka on pakotettu päälle myös selaintasolla (HSTS).
• Arkaluontoiset terveystiedot tallennetaan salatusti EU-alueen palvelimille (Supabase, Frankfurt). Tietokannassa on Row Level Security -käytäntö, joka estää tietojen lukemisen sivuston julkisesta osasta.
• Maksukorttitietojen käsittely tapahtuu PCI DSS -standardin mukaisesti Stripen toimesta — täydet korttitiedot eivät kulje palvelimemme kautta.
• Hallintapaneelimme on suojattu kaksivaiheisella tunnistautumisella (salasana + Authenticator-sovelluksen koodi). Kirjautumisyritysten määrää on rajoitettu.
• Henkilötietoihin pääsyä on rajoitettu vain niille, jotka tarvitsevat niitä työtehtävissään.

Evästeet

Sivusto käyttää välttämättömiä evästeitä toimintansa varmistamiseen. Tämän lisäksi maksu- ja korttitietojen käsittely Stripe Elementsillä asettaa Stripen evästeitä petostentorjuntaa varten. Emme käytä seuranta- tai markkinointievästeitä.

Rekisteröidyn oikeudet

Sinulla on oikeus:

• tarkastaa, mitä henkilötietoja sinusta on tallennettu
• pyytää virheellisten tietojen oikaisua
• pyytää tietojesi poistoa (oikeus tulla unohdetuksi)
• rajoittaa tai vastustaa tietojesi käsittelyä
• peruuttaa antamasi suostumus
• siirtää tietosi toiseen palveluun
• tehdä valitus tietosuojavaltuutetulle, jos koet käsittelyn olevan lainvastaista

Ennakkovarauksen peruuttaminen: voit peruuttaa ennakkovarauksesi koska tahansa varausvahvistus­sähköpostissa olevan linkin kautta. Tämä irrottaa maksukortin asiakastilistäsi välittömästi.

Muissa asioissa ota yhteyttä: asiakaspalvelu@studiomahla.fi

Valvontaviranomainen

Sinulla on oikeus tehdä valitus tietosuojavaltuutetulle, jos katsot meidän käsittelevän henkilötietojasi lainvastaisesti. Tietosuojavaltuutetun toimisto: tietosuoja.fi