Doolo

Doolo – Tietosuojaseloste

Voimassa alkaen: 20.4.2026

Päivitetty viimeksi: 20.4.2026

Rekisterinpitäjä: Keslem Oy

Y-tunnus: 2554341-5

Kotipaikka: Helsinki, Suomi

Yhteydenotot: sami.kyoperi@keslem.fi

Kieli: Suomi (englanninkielinen versio: /privacy)

1. Rekisterinpitäjä

Doolo-palvelussa (”Palvelu”) käsiteltävien henkilötietojen rekisterinpitäjä on:

Keslem Oy
Y-tunnus: 2554341-5
EUID: FIFPRO.2554341-5
LEI: 743700021711XG894Y38
Kotipaikka: Helsinki, Suomi
Postiosoite: Runkokatu 17 C 16, 33340 Tampere
Sähköposti: sami.kyoperi@keslem.fi
Verkkosivu: www.keslem.fi

Tässä tietosuojaselosteessa kuvataan, miten Keslem Oy (”Keslem”, ”me”) kerää, käyttää, säilyttää, luovuttaa ja suojaa henkilötietoja Palvelun yhteydessä. Henkilötietojen käsittelyyn sovelletaan EU:n yleistä tietosuoja-asetusta (2016/679, ”tietosuoja-asetus” tai ”GDPR”), tietosuojalakia (1050/2018) ja soveltuvin osin Kalifornian kuluttajansuojalakia (CCPA/CPRA).

2. Käsiteltävät henkilötietojen luokat

Käsittelemme Palvelun käyttäjistä seuraavia henkilötietojen luokkia:

Käyttäjätilitiedot:

  • sähköpostiosoite,
  • salasanan tiiviste (bcrypt, ei koskaan selvätekstinä),
  • nimi (vapaaehtoinen),
  • tilin luontihetki ja viimeisin kirjautumisaika.

Laskutus- ja maksutiedot:

  • Stripe-asiakastunnus (varsinaisia maksukorttitietoja ei tallenneta palvelimillemme, vaan niiden käsittelystä vastaa Stripe),
  • luottosaldo, krediittitapahtumat, ostetut ja käytetyt krediitit,
  • Stripe-maksutapahtumien tunnisteet, laskujen metatiedot, ostoaikaleimat,
  • annetut kuitit.

Tekniset tiedot:

  • IP-osoite,
  • fingerprintId (laitetunniste, jolla estämään ilmaisen kokeilun toistuva väärinkäyttö),
  • User-Agent -tiedot ja selainyksityiskohdat,
  • JWT-istuntotunnisteet (7 vrk voimassaoloaika),
  • palvelin-, sovellus- ja virhelokit.

Sisältötiedot (käyttäjän toimittamat tai Palvelussa luodut):

  • käyttäjän syöttämät URL-osoitteet (kloonaus-, muokkaus- tai sisällönhakutarkoitukseen),
  • kehotteet (prompts), ohjeet ja tekolyälychat-viestit,
  • luodut verkkosivut, komponentit ja niiden lähdekoodi,
  • käyttäjän lataamat tai kolmansien osapuolten tekolyälyjen avulla luodut kuvat ja videot,
  • omat verkkotunnukset ja niiden DNS-tiedot,
  • dynaamiset muutokset, integraatioasetukset (esim. Formspree-lomaketunnukset).

Käyttötelemetria:

  • API-kutsujen syöttö- ja vastaustokenit,
  • päätepisteiden kuormitustilastot,
  • krediittitapahtumien historia,
  • kustannusmetrit koostetussa muodossa.

Käyttäjän lataamassa tai kirjoittamassa sisällössä oleviin henkilötietoihin (esim. käyttäjän oman sivuston yhteystiedot) käsittelemme käyttäjän puolesta käsittelijänä, jolloin käyttäjä itse toimii rekisterinpitäjänä.

3. Käsittelyn oikeusperusteet (GDPR 6 artikla)

Käsittelemme henkilötietoja seuraavilla oikeusperusteilla:

  • Sopimuksen täytäntöönpano (6(1)(b) art.): käyttäjätilin luominen ja ylläpito, Palvelun tarjoaminen, maksujen käsittely, luotujen sivustojen toimittaminen, julkaisu- ja vientiominaisuudet.
  • Oikeutettu etu (6(1)(f) art.): petosten ja väärinkäytösten esto (ml. ilmaisen kokeilun väärinkäytön esto fingerprintId:n avulla), tietoturva, palvelun parantaminen, sisäinen analytiikka, oikeusvaateiden puolustaminen. Oikeutetun edun käytön perustana on punninta, jossa etua verrataan käyttäjän oikeuksiin ja vapauksiin.
  • Suostumus (6(1)(a) art.): ei-välttämättömät evästeet ja analytiikka, mahdollinen suoramarkkinointi ja muut vapaaehtoisina tarjottavat, nimenomaisesti suostumusta vaativat ominaisuudet. Suostumus voidaan peruuttaa milloin tahansa.
  • Lakisääteinen velvoite (6(1)(c) art.): kirjanpito- ja verolainsäädännön (kirjanpitolaki 1336/1997) mukaiset säilytysvelvoitteet sekä viranomaisten laillisiin pyyntöihin vastaaminen.

4. Käsittelyn tarkoitukset

Käsittelemme henkilötietoja seuraaviin tarkoituksiin:

  • käyttäjätilien rekisteröinti, tunnistaminen ja hallinta,
  • verkkosivujen luonti, muokkaus, julkaisu ja vienti tekolyälyputkien avulla (Inspiration-, Edit-, Build- ja Brand-tilat),
  • tekolyälykuvien ja -videoiden tuottaminen ja tallennus pilvitallennukseen,
  • maksujen käsittely, laskutus, krediittien ostaminen ja hyvitykset,
  • käyttörajoitusten valvonta ja kokeilurajojen kiertojen esto,
  • asiakaspalvelu ja kysymyksiin vastaaminen,
  • palvelun valvonta, tietoturvan ylläpito ja huolto,
  • petosten, väärinkäytön tai laittoman toiminnan havaitseminen ja estäminen,
  • lakisääteisten ja kirjanpidollisten velvoitteiden noudattaminen,
  • palvelun kehittäminen ja koostetut analytiikat,
  • tapahtumasähköpostien lähettäminen (esim. kuitit, salasananpalautus, palveluilmoitukset),
  • oikeusvaateiden laatiminen tai puolustaminen.

5. Henkilötietojen käsittelijät ja vastaanottajat

Palvelun tuottamiseen käytetään seuraavia alihankkijoita ja palveluntarjoajia. Kukin niistä käsittelee henkilötietoja vain kirjallisten ohjeidemme ja GDPR 28 artiklan edellyttämien tietojenkäsittelysopimusten mukaisesti.

  • Anthropic PBC (Yhdysvallat) — tekolyälymallit (Claude). Käsittelee kehotteet, viittaukset ladattuihin sisältöihin ja generoinnin tulokset.
  • OpenAI, L.L.C. (Yhdysvallat) — tekolyälymallit (Sora-videogenerointi). Käsittelee kehotteet ja videogenerointien tulokset.
  • Replicate, Inc. (Yhdysvallat) — tekolyälymallit (Imagen-4-kuvagenerointi). Käsittelee kehotteet ja generoitujen kuvien URL-osoitteet.
  • Amazon Web Services EMEA SARL / AWS S3 (eu-north-1, Ruotsi) — objektitallennus käyttäjän tiedostoille, kuvakaappauksille ja luoduille sivustoille.
  • MongoDB, Inc. / MongoDB Atlas (EU-alue) — tietokantapalvelu käyttäjätileille, sivustoille, kuville, brandbookeille ja laskutustapahtumille.
  • Cloudflare, Inc. (Yhdysvallat / globaali reunaverkko) — julkaistujen sivustojen hostaus, CDN ja DNS.
  • Stripe Payments Europe, Ltd. (Irlanti) ja Stripe, Inc. (Yhdysvallat) — maksujen välitys, tilausten hallinta, laskutus.
  • Salesforce, Inc. / Heroku (Yhdysvallat) — Doolon backendin sovellusalusta.
  • ApiFlash (10 BITS SAS, Ranska) — verkkosivujen kuvakaappauspalvelu, jota käytetään kloonauksen yhteydessä.
  • Resend, Inc. (Yhdysvallat) — tapahtumasähköpostien lähetys (kuitit, salasananpalautukset, julkaistujen sivujen rele-sähköposti).

Voimme käyttää myöhemmin myös muita alihankkijoita. Ajantasaisen luettelon saa pyydettäessä sähköpostilla sami.kyoperi@keslem.fi.

Emme myy henkilötietoja. Emme myöskään luovuta henkilötietoja kolmansille osapuolille heidän omaa markkinointiaan varten.

6. Tietojen siirrot EU/ETA:n ulkopuolelle

Osa alihankkijoistamme sijaitsee Euroopan talousalueen (”ETA”) ulkopuolella, erityisesti Yhdysvalloissa. Kun henkilötietoja siirretään ETA-alueen ulkopuolelle, tukeudumme seuraaviin suojatoimiin:

  • Euroopan komission hyväksymät vakiosopimuslausekkeet (SCC) (päätös 2021/914),
  • EU–Yhdysvallat -tietosuojakehys (Data Privacy Framework) silloin, kun vastaanottaja on siihen sertifioitu,
  • tarvittaessa täydentävät tekniset ja organisatoriset toimet,
  • käyttäjän nimenomainen suostumus tai sopimusperusta GDPR 49 artiklan mukaisesti soveltuvin osin.

Voit pyytää meiltä jäljennöksen tietystä siirrosta sovelletuista suojatoimista.

7. Säilytysajat

Säilytämme henkilötietoja vain niin pitkään kuin se on tarpeen edellä mainittuihin tarkoituksiin.

  • Käyttäjätilitiedot: aktiivisen tilin ajan ja 30 vuorokautta sen poistamisen jälkeen (palautusta ja tapahtumien sulkemista varten). Tämän jälkeen tili poistetaan pysyvästi, ellei laki edellytä muuta.
  • Laskutus- ja kirjanpitoaineisto: 6 vuotta sen kalenterivuoden päättymisestä, jonka aikana tapahtuma syntyi (kirjanpitolaki).
  • Sivustot ja käyttäjäsisältö: kunnes käyttäjä poistaa ne tai enintään 67 päivää maksullisen tilauksen päättymisen jälkeen (kolmivaiheinen poisto: varoitus – keskeytys – pysyvä poisto).
  • Kokeilun fingerprintId: 12 kuukautta, väärinkäytön estämiseksi.
  • Sovellus- ja tietoturvalokit: 30 päivää.
  • Asiakastuen viestit: enintään 24 kuukautta keskustelun päättymisen jälkeen.
  • Claude API -kehotteiden ja tulosten lokin metatiedot: enintään 30 päivää (pidempi vain riidan ratkaisua varten).

Säilytysajan päätyttyä henkilötiedot poistetaan tai anonymisoidaan.

8. Rekisteröidyn oikeudet (GDPR 15–22 artiklat)

Sinulla on seuraavat oikeudet:

  • Tarkastusoikeus (15 art.) — saada vahvistus siitä, käsittelemmekö sinua koskevia tietoja, ja saada niistä jäljennös.
  • Oikeus tietojen oikaisemiseen (16 art.) — saada virheelliset tai puutteelliset tiedot korjatuiksi.
  • Oikeus tietojen poistamiseen (17 art., ”oikeus tulla unohdetuksi”) — saada tietosi poistetuksi laissa säädetyin edellytyksin.
  • Oikeus käsittelyn rajoittamiseen (18 art.) — rajoittaa tietojen käsittelyä tietyissä tilanteissa.
  • Oikeus siirtää tiedot järjestelmästä toiseen (20 art.) — saada toimittamasi tiedot jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa muodossa.
  • Vastustamisoikeus (21 art.) — vastustaa oikeutetun edun perusteella tapahtuvaa käsittelyä, mukaan lukien profilointia.
  • Oikeus olla joutumatta pelkästään automaattiseen päätöksentekoon perustuvan päätöksen kohteeksi (22 art.) — Palvelussa ei tehdä automaattisia päätöksiä, joilla olisi oikeusvaikutuksia tai merkittävästi vastaavia vaikutuksia.
  • Oikeus peruuttaa suostumus — kun käsittely perustuu suostumukseen, voit peruuttaa sen milloin tahansa. Peruutus ei vaikuta sitä edeltävän käsittelyn laillisuuteen.

9. Oikeuksien käyttäminen

Voit käyttää oikeuksiasi olemalla meihin yhteydessä osoitteeseen sami.kyoperi@keslem.fi. Vastaamme 30 päivän kuluessa pyynnön saapumisesta GDPR 12(3) artiklan mukaisesti. Monimutkaisissa tapauksissa vastausaikaa voidaan jatkaa kahdella kuukaudella, jolloin ilmoitamme tästä alkuperäisen 30 päivän kuluessa.

Voimme pyytää lisätietoja henkilöllisyytesi varmistamiseksi ennen pyynnön käsittelyä. Oikeuksien käyttäminen on lahtokohtaisesti maksutonta, mutta ilmeisen perusteettomista tai kohtuuttomista pyynnöistä voimme periyä kohtuullisen maksun tai kieltäytyä pyynnön toteuttamisesta.

10. Oikeus tehdä valitus valvontaviranomaiselle

Jos katsot, että henkilötietojesi käsittely rikkoo tietosuoja-asetusta, sinulla on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä EU:n jäsenvaltiossa, jossa asuinpaikkasi, työpaikkasi tai väitetty rikkomus sijaitsee.

Suomessa valvontaviranomainen on:

Tietosuojavaltuutetun toimisto
Postiosoite: PL 800, 00531 Helsinki
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Puhelin: 029 566 6700 (vaihde)
Sähköposti: tietosuoja@om.fi
Verkkosivu: https://tietosuoja.fi

11. Tietoturvan varmistaminen

Käytämme asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi:

  • salasanat tallennetaan ainoastaan bcrypt-tiivisteenä (ei koskaan selvätekstinä),
  • JWT-pohjainen tunnistus umpeutuvine tokeneineen,
  • kaikki liikenne Palveluun ja sieltä pois on HTTPS/TLS-salattua,
  • arkaluonteisten salaisuuksien salaus AES-256-CBC:llä,
  • ympäristömuuttujiin perustuva salaisuuksien hallinta; salaisuuksia ei tallenneta versionhallintaan,
  • roolipohjainen pääsy, joka on rajattu vain työtehtaviensa osalta tarpeellisille henkilöille,
  • tuotantoympäristön lokitus, valvonta ja hälytykset,
  • säännölliset varmuuskopiot hallituine säilytysaikoineen,
  • alihankkijoiden tietoturva-arvioinnit,
  • käyttäjäsyötteiden sanitointi ja ei-ASCII-metatietojen automaattinen riisuminen tarvittaessa.

12. Tietoturvaloukkauksesta ilmoittaminen

Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille, ilmoitamme siitä toimivaltaiselle valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta GDPR 33 artiklan mukaisesti.

Jos loukkaus todennäköisesti aiheuttaa korkean riskin, ilmoitamme siitä ilman aiheetonta viivytystä myös asianomaisille rekisteröidyille (GDPR 34 art.).

13. Ikäraja

Palvelu on tarkoitettu 16 vuotta täyttäneille. Jos olet alle 16-vuotias, voit käyttää Palvelua vain huoltajan todennettavalla suostumuksella, jolloin huoltaja vastaa palvelun käytöstä.

Emme kerää tietoisesti alle 16-vuotiaiden henkilötietoja ilman tällaista suostumusta. Jos havaitsemme keränneemme tällaisia tietoja, poistamme ne.

14. Automaattinen päätöksenteko

Palvelussa käytetään tekolyälyä verkkosivujen, kuvien ja videoiden luomiseen ja muokkaamiseen. Tällaiset tekolyälyn tuotokset eivät ole GDPR 22 artiklassa tarkoitettuja päätöksiä, joilla olisi oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia käyttäjään.

Käyttäjä voi aina tarkastella, muokata, hylätä tai generoida uudelleen tuotetun sisällön ennen julkaisua.

15. Evästeet

Palvelu käyttää välttämättömiä evästeitä (esim. tunnistautumiseen ja istunnonhallintaan) sekä suostumuksen perusteella mahdollisesti rajattua analytiikkaa.

Lisätietoja käytetyistä evästeistä, niiden tarkoituksista, voimassaoloajoista ja hallinnasta on evästeselosteessa.

16. Kalifornian tietosuojaoikeudet (CCPA/CPRA)

Tämä osio koskee Kalifornian osavaltiossa Yhdysvalloissa asuvia ja täydentää muita osia tästä tietosuojaselosteesta.

Viimeisen 12 kuukauden aikana kerätyt henkilötietojen luokat (Cal. Civ. Code § 1798.140 mukaiset):

  • tunnisteet (sähköposti, IP-osoite, tilitunniste),
  • asiakastiedot (nimi, Stripen kautta välitetyt laskutustiedot),
  • kaupalliset tiedot (ostohistoria, krediittisaldo),
  • verkkotoiminta (lokitiedot, User-Agent, fingerprintId),
  • edellä mainituista johdetut johtopäätökset palvelun yksilöimistä ja väärinkäytön estoa varten,
  • käyttäjän toimittama sisältö (kehotteet, URL:t, ladatut mediat).

Lähteet: suoraan käyttäjältä, automaattisesti käyttäjän laitteelta ja alihankkijoiltamme (esim. Stripe).

Kaupalliset tarkoitukset: kuten tämän selosteen osissa 3 ja 4 on kuvattu.

Henkilötietojen myynti tai jakaminen: emme myy emmekä jaa henkilötietoja CCPA/CPRA:n tarkoittamalla tavalla ristikkaiskonteksteihin liittyvään käyttäytymismainontaan.

Arkaluonteinen henkilötieto: emme käytä tai luovuta arkaluonteisia henkilötietoja sellaisiin tarkoituksiin, jotka ylittäisivät Cal. Civ. Code § 1798.121 sallimat tarkoitukset.

Kalifornian asukkaan oikeudet:

  • oikeus saada tiedon kerattyjen tietojen luokista ja konkreettisista sisällöistä,
  • oikeus pyytää tietojen poistamista (poikkeuksin),
  • oikeus korjata virheellisiä tietoja,
  • oikeus kieltää henkilötietojen myynti tai jakaminen (emme myy tai jaa, mutta pyynnön voi silti lähettää),
  • oikeus rajoittaa arkaluonteisten henkilötietojen käyttöä ja luovutusta,
  • oikeus olla joutumatta syrjityksi oikeuksien käytön vuoksi.

Oikeuksien käyttäminen: lähetä sähköposti osoitteeseen sami.kyoperi@keslem.fi otsikolla ”California Privacy Request”. Voit lähettää samalla osoitteella myös ”Do Not Sell or Share My Personal Information” -pyynnön. Varmistamme henkilöllisyyden tiliisi liitetyn sähköpostin tai vastaavan tavan avulla.

Valtuutetut edustajat: voit valtuuttaa edustajan lähettämään pyynnön puolestasi. Edustajalla on oltava allekirjoitettu kirjallinen valtuutuksesi, ja voimme edellyttää sinulta oman henkilöllisyytesi varmistamista suoraan ennen pyynnön toteuttamista.

Säilytys: katso tietoluokkakohtaiset säilytysajat tämän selosteen osasta 7.

17. Muutokset tähän tietosuojaselosteeseen

Voimme päivittää tätä tietosuojaselostetta aika ajoin. Merkittävistä muutoksista ilmoitamme vähintään 30 päivää ennen niiden voimaantuloa Palvelussa tai käyttäjätiliin liitettyyn sähköpostiosoitteeseen. Vähäisemmät muutokset (esim. täsmentämistä tai kirjoitusvirheitä koskevat) voivat tulla voimaan välittömästi julkaisun yhteydessä.

Versiohistorian ja aikaisemmat voimaantulopäivämäärät saa pyynnöstä.

18. Yhteystiedot

Tätä tietosuojaselostetta tai henkilötietojesi käsittelyä koskevissa kysymyksissä voit ottaa yhteyttä:

Keslem Oy
Tietosuoja / Data Protection
Sähköposti: sami.kyoperi@keslem.fi
Postiosoite: Runkokatu 17 C 16, 33340 Tampere

Käyttöehdot · Evästeseloste · Privacy Policy (English)