MiniHiki
Tallenna

Tietosuojaseloste

MiniHiki — Tietosuojaseloste

Päivitetty viimeksi: 20.4.2026 Sovellus: MiniHiki (iOS, Android) Rekisterinpitäjä: [Yrityksen/henkilön nimi] Y-tunnus / henkilötunnus: [Täytä] Osoite: [Täytä] Yhteyshenkilö tietosuoja-asioissa: [Nimi] Sähköposti: [esim. privacy@minihiki.fi]

Huom: Tämä on luonnospohja — täytä kaikki hakasuluissa olevat kohdat ennen julkaisua. Jos myyt sovellusta yrityksenä, tarkistuta seloste juristilla tai DPO:lla.

1. Yleistä

MiniHiki on lasten liikuntamotivaatiosovellus, jossa valmentaja (yleensä vanhempi tai valmennustehtävässä toimiva aikuinen) suunnittelee lapsille päivittäisiä harjoituksia ja lapset suorittavat niitä omalla laitteellaan.

Tämä tietosuojaseloste kuvaa, mitä henkilötietoja keräämme, miten niitä käsittelemme ja mitä oikeuksia sinulla on. Sovellus on suunniteltu erityisesti alle 13-vuotiaiden lasten käyttöön, joten tietosuojakäytäntömme noudattavat EU:n yleistä tietosuoja-asetusta (GDPR), erityisesti Artikla 8 (lapsen suostumus) ja Artikla 12–22 (rekisteröidyn oikeudet).

Palvelun maantieteellinen saatavuus: Palvelu on tällä hetkellä saatavilla vain EU/ETA-alueella ja Yhdistyneessä kuningaskunnassa. Sovelluksen jakelu on rajattu näihin maihin sekä Apple App Storessa että Google Playssä, eikä sitä ole kohdennettu muiden maiden asukkaille.

2. Kenen tietoja käsittelemme ja miksi

2.1 Valmentaja (aikuinen)

  • Sähköpostiosoite ja salasana — sisäänkirjautumiseen (Firebase Authentication).
  • Joukkueen nimi — näytetään sovelluksen sisällä.

Oikeusperuste: sopimus (GDPR 6.1.b) — palvelun tarjoaminen edellyttää kirjautumista.

2.2 Lapsi (alle 18-vuotias)

  • Etunimi tai lempinimi (ei sukunimeä) — näkyy lapselle itselleen ja saman joukkueen valmentajalle.
  • Avatar-emoji — lapsi tai valmentaja valitsee.
  • Suoritukset ja tähdet — mitä harjoituksia lapsi on tehnyt ja milloin.
  • Pseudonyymi Firebase-tunniste (UID) — sisäinen käyttäjätunniste, jota käsitellään henkilötietona GDPR Recital 26:n mukaisesti (pseudonymisoitu tieto on edelleen henkilötietoa, ei anonyymia).

Emme kerää:

  • Lapsen sukunimeä
  • Lapsen tarkkaa syntymäaikaa
  • Kuvia tai videoita lapsesta (valmentaja voi lisätä kuvia harjoitusten ohjeisiin, mutta ne eivät ole henkilökuvia)
  • Sijaintitietoja
  • Yhteystietoja (puhelin, sähköposti)
  • Mitään mainos- tai analytiikkakehitykseen liittyvää dataa

Oikeusperuste: huoltajan suostumus (GDPR 6.1.a ja 8.1). Lasta ei voi lisätä joukkueeseen ilman huoltajan vahvistusta.

2.3 Huoltaja

  • Sähköpostiosoite — huoltajan vahvistuksen ja yhteydenpidon tarkoituksessa (kirjautumiskoodien lähetys, GDPR-pyynnöt).

Oikeusperuste: lakisääteinen velvoite (GDPR 6.1.c ja 8.2) ja sopimus (6.1.b).

2.4 Tilaus- ja maksutiedot (valmentaja)

Jos valmentaja tekee maksullisen tilauksen sovelluksessa, maksun käsittelee kokonaisuudessaan Apple App Store (StoreKit 2) tai Google Play Billing. Emme koskaan näe emmekä käsittele:

  • Maksukortin numeroa, CVC-koodia tai pankkitunnuksia
  • Laskutusosoitetta tai nimeä
  • Muita maksuinstrumenttiin liittyviä tietoja

Saamme alustalta takaisin vain seuraavat tiedot:

  • Transaction ID / original transaction ID — pseudonyymi tunniste tilaukselle (ei henkilötieto itsessään, mutta yhdistettynä tiliisi)
  • Tuote-ID (esim. minihiki_monthly_1)
  • Tilauksen tila ja aikaleimat (aloitus, uusiutuminen, peruutus, päättyminen, grace period)
  • Ostopaikka-alue (esim. "FI" — maatieto, ei tarkka sijainti)
  • Allekirjoitetut kuitit (App Store server notifications / Google Play Developer Notifications)

Käytämme näitä tietoja:

  • Tilauksen voimassaolon tarkistamiseen (pääsy maksullisiin ominaisuuksiin)
  • Vero- ja kirjanpitovelvoitteiden täyttämiseen (EU-lainsäädäntö edellyttää kuittien säilyttämistä 6 vuotta)
  • Petostentorjuntaan ja kaksinkäyttöön puuttumiseen

Tietojen eriyttäminen tilin poiston jälkeen: Kun käyttäjä poistaa tilinsä, siirrämme kirjanpidon edellyttämät minimitiedot (maksun ajankohta, summa, ALV-maa, tuote-ID) erilliseen kirjanpitorekisteriin ilman viittausta käyttäjätunnisteeseen tai sähköpostiosoitteeseen. Tämän jälkeen transaktiotietoja ei voida enää kohtuullisin keinoin yhdistää yksittäiseen henkilöön. Varsinainen käyttäjätili ja siihen liittyvät tiedot poistetaan välittömästi (ks. kohta 6).

Oikeusperuste: sopimus (6.1.b) ja lakisääteinen velvoite (6.1.c — kirjanpito, arvonlisävero).

Maksukäsittelijöiden omat tietosuojakäytännöt:

  • Apple: https://www.apple.com/legal/privacy/
  • Google: https://policies.google.com/privacy

3. Huoltajan vahvistus (GDPR Artikla 8)

Ennen kuin alle 13-vuotiaan lapsen tiedot tallennetaan palveluun:

  1. Valmentaja lisää lapsen joukkueeseen ja syöttää huoltajan sähköpostin.
  2. Huoltajalle lähetetään sähköposti, jossa on linkki vahvistamiseen ja lapsen kirjautumiskoodit.
  3. Huoltaja klikkaa linkkiä ja vahvistaa suostumuksensa. Vasta tämän jälkeen lapsi voi kirjautua sovellukseen.
  4. Huoltaja voi milloin tahansa perua suostumuksensa klikkaamalla linkkiä samasta sähköpostista tai ottamalla yhteyttä osoitteeseen [privacy@…].

4. Tietojen säilytys ja sijainti

  • Sijainti: Kaikki tiedot tallennetaan Google Cloud Firestoreen ja Firebase Storageen, sijainti: eur3 (europe-west). Tiedot eivät poistu EU:n alueelta normaalissa käytössä.
  • Säilytysaika käyttäjädatalle: Tietoja säilytetään niin kauan kuin käyttäjä on aktiivinen. Jos käyttäjä ei ole kirjautunut 24 kuukauteen, tilit ja niihin liittyvät tiedot poistetaan automaattisesti.
  • Säilytysaika tilaus- ja maksutiedoille: Kuitit, laskut ja transaktiotiedot säilytetään 6 vuotta kirjanpitolain (1336/1997) edellyttämällä tavalla, tämän jälkeen ne poistetaan lopullisesti. Käyttäjätilin poiston yhteydessä kirjanpitotiedot eriytetään käyttäjätietoihin liittyvistä tunnisteista (ks. kohta 2.4) niin, ettei niitä voida enää kohtuullisin keinoin yhdistää yksittäiseen henkilöön. Varsinainen tili poistetaan välittömästi.
  • Säilytysaika markkinointilistalle: Sähköpostiosoite poistetaan markkinoinnin postituslistalta heti kun peruut tilauksen, viimeistään 7 päivän kuluessa.
  • Huoltajan pyynnöstä lapsen tiedot poistetaan välittömästi (ks. kohta 6).

5. Tietojen luovutukset kolmansille osapuolille

Käytämme seuraavia alihankkijoita tietojen käsittelyyn:

| Palvelu | Käyttötarkoitus | Sijainti | Tietosuojakäytäntö | |---|---|---|---| | Google Firebase (Auth, Firestore, Cloud Functions, FCM) | Tunnistautuminen, datan tallennus, push-viestit | EU (europe-west) | https://firebase.google.com/support/privacy | | Apple iCloud / APNs | iOS push-viestit | EU/USA | https://www.apple.com/legal/privacy/ | | Google Play Services | Android push-viestit | EU | https://policies.google.com/privacy | | [Email-palvelu, esim. SendGrid/Resend] | Huoltajan vahvistusviestit, salasanan palautus, valmentajien tiedoteviestit | [Täytä] | [Linkki] | | Apple App Store (StoreKit 2) | Tilausmaksujen käsittely iOS-laitteille | Irlanti (Apple Europe) | https://www.apple.com/legal/privacy/ | | Google Play Billing | Tilausmaksujen käsittely Android-laitteille | Irlanti (Google Ireland) | https://policies.google.com/privacy |

Emme myy tai vuokraa henkilötietoja kolmansille osapuolille. Emme käytä kolmannen osapuolen mainosverkostoja, analytiikkapalveluita tai SDK:ita lapsen datan osalta.

5.1 Tietojen kansainväliset siirrot

Vaikka palvelimet ja data sijaitsevat EU-alueella (europe-west), osa käyttämistämme alihankkijoista (Google LLC, Apple Inc.) on yhdysvaltalaisia emoyhtiöitä, ja niiden henkilöstöllä voi olla teknisiä pääsyoikeuksia dataan huollon tai tukipyyntöjen yhteydessä. Tällainen pääsy tulkitaan GDPR:n mukaan tietojen siirroksi kolmanteen maahan.

Suojaamme siirrot seuraavilla mekanismeilla:

  • EU-U.S. Data Privacy Framework (DPF) — Google LLC ja Apple Inc. ovat molemmat DPF-sertifioituja yrityksiä (Euroopan komission riittävyyspäätös 10.7.2023, C(2023) 4745).
  • Euroopan komission vakiosopimuslausekkeet (Standard Contractual Clauses, SCC, 2021/914) — sovelletaan täydentävänä suojakeinona kaikkiin alihankkijoihin, joilla on USA- tai muita EU:n ulkopuolisia pääsyoikeuksia.
  • Tekniset suojatoimet — kaikki data salataan levossa (AES-256) ja siirrossa (TLS 1.2+), mikä pienentää kolmannen maan viranomaisen pääsyriskiä.

Emme siirrä henkilötietoja maihin, joille Euroopan komissio ei ole antanut riittävyyspäätöstä tai joiden osalta SCC-lausekkeet eivät ole voimassa.

6. Rekisteröidyn oikeudet

Sinulla (tai huoltajalla alle 13-vuotiaan puolesta) on seuraavat oikeudet:

  • Pääsy tietoihin — pyytää kopio kaikista sinusta tai lapsestasi tallennetuista tiedoista.
  • Oikaisu — korjata virheelliset tiedot.
  • Poisto ("oikeus tulla unohdetuksi") — sovelluksessa valmentaja voi poistaa oman tilinsä ja kaikki joukkueensa tiedot napista "Asetukset → Poista tili". Tilin lukitus ja tietojen pääasiallinen poisto aktiivisesta tietokannasta tapahtuu välittömästi napin painalluksesta (Apple App Store Guideline 5.1.1(v) mukaisesti). Huoltaja voi pyytää lapsen tietojen poistoa joko valmentajalta suoraan tai ottamalla yhteyttä osoitteeseen [privacy@minihiki.fi].
    • Välitön: Firebase Auth -tunnukset, käyttäjäprofiili, lapsen tiedot, suoritukset, joukkueet ja niihin liittyvät dokumentit poistetaan sekunneissa.
    • Enintään 30 päivää: Googlen ja Applen järjestelmätason varmuuskopiot ylikirjoitetaan normaalin kierron myötä.
    • 6 vuotta (pseudonymisoituna): kirjanpidon edellyttämät transaktiotiedot (ks. kohta 2.4 ja 4) — eriytettyinä siten, ettei niitä voida enää yhdistää henkilöön.
  • Suostumuksen peruuttaminen — ks. kohta 3.
  • Tietojen siirrettävyys — pyytää tiedot koneluettavassa muodossa.
  • Valitus — voit tehdä valituksen oman asuinmaasi tietosuojavalvontaviranomaiselle, jos epäilet tietosuojaloukkausta:
    • Suomi ja muu EU/ETA-alue: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi (tai oman maasi vastaava viranomainen)
    • Yhdistynyt kuningaskunta (UK GDPR): Information Commissioner's Office (ICO), https://ico.org.uk

Nämä oikeudet perustuvat EU:n yleiseen tietosuoja-asetukseen (GDPR) ja vastaavasti Yhdistyneessä kuningaskunnassa Data Protection Act 2018 / UK GDPR -säädöksiin. Oikeudet ovat sisällöltään käytännössä identtiset molemmilla alueilla.

Yhteydenotot: [privacy@minihiki.fi]. Vastaamme 30 päivän kuluessa.

7. Tietoturva

  • Kaikki data salataan levossa (Google Cloud) ja siirrossa (TLS 1.2+).
  • Firebase-käyttöoikeussäännöt rajoittavat datan lukuun vain saman joukkueen jäseniin — muut käyttäjät eivät voi lukea joukkueen tietoja.
  • Valmentajan salasana tallennetaan Firebase Authentication -palveluun, emme näe sitä emmekä pysty palauttamaan sitä.
  • Lapsen kirjautuminen tapahtuu joukkuekoodilla (6 merkkiä) + omalla koodilla (4 merkkiä) — ei salasanaa eikä sähköpostia lapsen osalta. Koodit generoidaan satunnaisesti ja toimitetaan huoltajalle sähköpostitse huoltajan vahvistuksen yhteydessä (ks. kohta 3).
  • Koodien mitätöinti: Jos koodit joutuvat vääriin käsiin tai huoltaja epäilee väärinkäyttöä, valmentaja voi vaihtaa tai mitätöidä koodit milloin tahansa sovelluksen joukkueenhallinnasta. Vanhat koodit lakkaavat toimimasta välittömästi. Huoltaja voi pyytää koodien vaihtoa valmentajalta tai osoitteesta [privacy@minihiki.fi].

8. Ilmoitukset ja viestit

8.1 Push-ilmoitukset

Sovellus voi lähettää push-ilmoituksia (harjoitusmuistutuksia, valmentajan viestejä) laitteellesi jos olet sallinut ne. Voit estää ne milloin tahansa laitteen asetuksista.

8.2 Toiminnalliset sähköpostit (kaikille käyttäjille)

Lähetämme sähköpostia toiminnallisista syistä ilman erillistä markkinoinnin suostumusta. Näihin kuuluvat:

  • Huoltajan vahvistuspyynnöt ja kirjautumiskoodit
  • Salasanan palautukset
  • Tärkeät tilimuutokset (esim. salasanan vaihto, sähköpostin muutos)
  • GDPR-pyyntöjen vastaukset
  • Tilaukseen liittyvät ilmoitukset (esim. uusiutumisen epäonnistuminen, maksu hylätty, tilauksen päättyminen)
  • Mahdolliset tietoturvailmoitukset

Oikeusperuste: sopimus (GDPR 6.1.b) ja oikeutettu etu (6.1.f).

8.3 Tiedotteet ja uutiskirjeet (vain valmentajille, opt-in)

Lähetämme valmentajille sähköpostitse:

  • Tiedotteita uusista ominaisuuksista ja päivityksistä
  • Käyttövinkkejä ja ohjeistusta
  • Tärkeimpiä tuoteuutisia

Nämä viestit lähetetään vain valmentajakäyttäjille, jotka ovat nimenomaisesti antaneet suostumuksensa tähän viestintään (opt-in). Emme lähetä tiedotteita huoltajille emmekä lapsille. Emme lähetä mainoksia kolmansien osapuolten tuotteista tai myy sähköpostiosoitelistoja.

Oikeusperuste: suostumus (GDPR 6.1.a ja Suomen sähköisen viestinnän palveluista annettu laki 917/2014 § 200). Suoramarkkinointi luonnolliselle henkilölle sähköpostitse edellyttää ennakkosuostumusta.

Suostumuksen antaminen ja peruuttaminen:

  • Suostumus kysytään erillisellä valintaruudulla rekisteröitymisen yhteydessä (oletus: ei valittu) tai sovelluksen asetuksissa.
  • Suostumuksen voi peruuttaa milloin tahansa yhtä helposti kuin se annettiin (GDPR 7.3):
    • Sovelluksen Asetukset → Sähköpostiviestinnän asetukset -kytkimestä
    • Jokaisen tiedoteviestin lopussa olevasta yksi-klikillä -poistumislinkistä ("Peru tilaus" / "Unsubscribe")
    • Ottamalla yhteyttä [privacy@minihiki.fi]
  • Peruutus käsitellään välittömästi ja sähköpostiosoite poistetaan markkinoinnin postituslistalta viimeistään 7 päivän kuluessa.
  • Toiminnallisia sähköposteja (kohta 8.2) et voi estää niin kauan kuin sinulla on aktiivinen tili — nämä ovat välttämättömiä palvelun toiminnalle eivätkä perustu markkinointisuostumukseen.

9. Evästeet ja seurantatekniikat

Sovellus ei käytä evästeitä (ei ole web-sovellus). Firebase käyttää laitekohtaisia pseudonyymejä tunnisteita (Firebase Installation ID, FCM-token) ilmoitusten toimitukseen. Nämä tunnisteet ovat henkilötietoa GDPR Recital 26:n mukaisesti (pseudonyymi tunniste, joka voidaan yhdistää käyttäjätiliin), mutta niitä ei käytetä ristiinseurantaan eri sovellusten tai verkkosivustojen välillä eikä mainostarkoituksiin.

10. Alaikäiset ja Apple/Google Play -vaatimukset

Sovellus on merkitty iOS- ja Google Play -kauppaan lasten käyttöön -kategoriaan:

  • Apple App Store: Age Rating [4+/9+, täytä oikea arvo]; Kids Category
  • Google Play: Designed for Families -ohjelmassa

Noudatamme:

  • Apple Kids Category Guidelines
  • Google Play Families Policy
  • EU GDPR Artikla 8 (lapsen suostumus tietoyhteiskunnan palveluissa)
  • UK GDPR / Age Appropriate Design Code (ICO)

COPPA (Yhdysvallat): Palvelua ei ole kohdennettu Yhdysvaltain asukkaille, eikä se ole saatavilla Yhdysvaltain App Store- tai Google Play -kaupassa (ks. kohta 1 jakelualueen rajaus). Tämän vuoksi Yhdysvaltain Children's Online Privacy Protection Act (COPPA) ei sovellu palveluun. Jos jakelualue myöhemmin laajennetaan Yhdysvaltoihin, tietosuojaseloste ja lapsen tietojen käsittelykäytännöt päivitetään COPPA-vaatimusten mukaisiksi ennen julkaisua.

11. Muutokset selosteeseen

Jos muutamme selostetta merkittävästi, ilmoitamme siitä sovelluksessa ja sähköpostitse valmentajille. Vähämerkityksiset päivitykset tehdään päivittämällä "Päivitetty viimeksi" -päivämäärää tämän dokumentin alkuun.

12. Yhteystiedot

Tietosuoja-asiat ja GDPR-pyynnöt: [privacy@minihiki.fi]

Tekninen tuki: [support@minihiki.fi]

Postiosoite: [Täytä — Suomen postiosoite vaaditaan EU-rekisterinpitäjällä]

Valvontaviranomainen: Tietosuojavaltuutetun toimisto Lintulahdenkuja 4, 00530 Helsinki https://tietosuoja.fi

Takaisin etusivulle