Splitly — Vieraiden tietosuojaseloste

Voimaantulopäivä: 19.5.2026

Viimeksi päivitetty: 18.5.2026

Versio: 1.0

1. Johdanto

Tämä tietosuojaseloste kuvaa, miten henkilötietoja käsitellään, kun käytät Splitlyn vierasnäkymää — verkkosovellusta, jonka avaat skannaamalla pöydässä olevan QR-koodin tai seuraamalla ravintolasta saamaasi linkkiä — laskun katseluun, laskun jakamiseen ja maksamiseen (”Vieraspalvelu”).

Vieraspalvelua tarjoaa Splitly Oy (Y-tunnus: 3622772-5), rekisteröity osoite Verkaranta 3 C 92, 20660 Lieto, Suomi (”Splitly”, ”me”, ”meidän”) teknologia-alustana sen ravintolan puolesta, jossa asioit (”Ravintola”).

Henkilötietoja käsitellään EU:n yleisen tietosuoja-asetuksen (GDPR, EU 2016/679) sekä Suomen tietosuojalain (1050/2018) mukaisesti.

2. Kuka on tietojesi rekisterinpitäjä?

• Laskun katselu, jakaminen, maksun tila ja Vieraspalvelussa annettu palaute — Ravintola, jossa asioit. Splitly käsittelee näitä tietoja henkilötietojen käsittelijänä Ravintolan puolesta.

• Korttimaksudata (kortin numero, voimassaoloaika, CVC, tunnistautuminen) — Maksupalveluntarjoaja (Viva Wallet tai Stripe Ravintolasta riippuen) itsenäisenä rekisterinpitäjänä. Splitly ei vastaanota eikä tallenna näitä tietoja.

• Splitly-alustan ylläpito (tietoturva, väärinkäytösten esto, tekniset lokit, palvelun kehitys) — Splitly rekisterinpitäjänä.

Jos haluat käyttää tietosuojaoikeuksiasi liittyen laskuun, maksuun tai palautteeseen, ota yhteyttä Ravintolaan. Splitly avustaa Ravintolaa pyynnön käsittelyssä. Splitlyn yhteystiedot alustatason tietoja varten löytyvät kohdasta 11.

3. Mitä tietoja käsittelemme

Pyrimme keräämään mahdollisimman vähän henkilötietoja. Vieraspalvelun voi useimmiten käyttää antamatta itsestäsi mitään henkilötietoja.

3.1 Aina kerättävät tiedot

• Anonyymi osallistujatunniste (tallennetaan paikallisesti laitteellesi) — Pitää kirjaa siitä, mitkä rivit ja maksut ovat sinun pöytäistunnon aikana.

• Pöydän tai sisääntulopisteen tunniste (QR-koodista tai linkistä) — Näyttää pöytäsi oikean laskun.

• Laskudata Ravintolan POS-järjestelmästä (rivit, määrät, hinnat, verot, summat) — Laskun näyttäminen ja jakaminen.

• Maksun metatiedot (summa, valuutta, maksutapa, tila, aikaleima, anonymisoitu maksuviite) — Maksun etenemisen näyttö ja täsmäytys Ravintolan kanssa.

• Tekniset tiedot (IP-osoite, selain, laite, kieli, aikaleimat, virhelokit) — Tietoturva, väärinkäytösten esto, vianetsintä, palvelun toimivuus.

3.2 Vapaaehtoisesti antamasi tiedot

• Nimi (vapaaehtoinen) — Jos annat sen maksuvaiheessa. Näytetään kuitissa ja Ravintolan henkilökunnan pöytänäkymässä.

• Sähköpostiosoite (vapaaehtoinen) — Jos annat sen maksuvaiheessa. Käytetään maksukuitin lähettämiseen.

• Tippi — Jos lisäät tipin. Käsitellään maksusi yhteydessä.

• Tähtiarvio, palauteteksti, tagit — Jos annat palautteen. Palaute jaetaan Ravintolan kanssa.

• Suostumus julkisen arvostelualustan käyttöön (esim. Google) — Jos annat suostumuksen, sinulle avataan kyseisen alustan arvostelusivu.

• Anonyymin palautteen valinta — Jos valitset anonyymin palautteen, palaute annetaan ilman nimeä tai sähköpostia.

3.3 Korttimaksudata — Maksupalveluntarjoajan vastuulla

Maksaessasi sinut ohjataan Maksupalveluntarjoajan turvalliseen, PCI-DSS-yhteensopivaan kassaan. Korttinumerosi, voimassaoloaika, CVC ja tunnistautumistiedot menevät suoraan Maksupalveluntarjoajalle, eikä Splitly näe tai tallenna niitä missään vaiheessa. Splitly saa vain anonyymin tiedon onnistumisesta/epäonnistumisesta, summan ja tapahtumaviitteen.

4. Käsittelyn oikeusperusteet

Henkilötietoja käsitellään seuraavilla GDPR 6 art. 1 -kohdan mukaisilla perusteilla:

• Sopimuksen täyttäminen / sopimuksen tekoa edeltävät toimet (6(1)(b)) — Laskun näyttäminen, maksun käsittely, kuitin lähetys jos annat sähköpostin.

• Oikeutettu etu (6(1)(f)) — Tietoturva, väärinkäytösten esto, vianetsintä, väärinkäytöksien valvonta, palvelun luotettavuus ja aggregoitu analytiikka. Oikeutettua etua tasapainotetaan oikeuksiisi ja vapauksiisi nähden.

• Lakisääteinen velvoite (6(1)(c)) — Kirjanpito- ja verovelvoitteet (kirjanpitolaki 1336/1997).

• Suostumus (6(1)(a)) — Palautteen antaminen, siirtyminen ulkoiselle arvostelualustalle, nimen/sähköpostin antaminen.

Voit perua suostumuksen milloin tahansa. Peruuttaminen ei vaikuta ennen sitä tehdyn käsittelyn lainmukaisuuteen.

5. Korttitiedot ja Maksupalveluntarjoaja

Ravintola käyttää jotakin seuraavista Maksupalveluntarjoajista. Ne toimivat itsenäisinä rekisterinpitäjinä keräämälleen korttidatalle omien ehtojensa ja tietosuojaselosteidensa mukaisesti:

• Viva Wallet (Viva Payments S.A.) — Kreikka, EU. https://www.vivawallet.com

• Stripe (Stripe Technology Europe Ltd) — Irlanti, EU. https://stripe.com

Splitly ei säilytä korttisi täysnumeroa, CVC:tä eikä muita arkaluonteisia maksutietoja.

6. Alikäsittelijät

Vieraspalvelun tuottamiseksi Splitly käyttää seuraavia alikäsittelijöitä. He käsittelevät tietoja vain dokumentoitujen ohjeiden ja sopimusvelvoitteiden mukaisesti.

• Hetzner Online GmbH — Pilvipalvelut. Alustadata (salattuna levossa ja siirrossa). Sijainti: EU (Saksa / Suomi).

• UpCloud Ltd — Pilvipalvelut. Alustadata (salattuna levossa ja siirrossa). Sijainti: EU (Suomi).

• Brevo (Sendinblue) — Transaktiosähköpostit (esim. kuitit). Sähköposti, kuitin sisältö. Sijainti: EU (Ranska).

• Google Places API — Linkitys ulkoisiin ravintola-arvosteluihin. Google Place ID, arvostelu-URL. Sijainti: US (EU:n tietosuojaehdoilla).

• Viva Wallet — Maksunkäsittely (kun Ravintola käyttää Vivaa). Maksusumma, korttitiedot (Vivan suoraan keräämät). Sijainti: EU (Kreikka).

• Stripe — Maksunkäsittely (kun Ravintola käyttää Stripea). Maksusumma, korttitiedot (Stripen suoraan keräämät). Sijainti: EU (Irlanti).

• Solteq Oyj — POS-integraatio (laskudatan lähde). Laskurivit, summat, pöytätunnisteet. Sijainti: EU (Suomi).

Maksupalveluntarjoajat ja POS-toimittaja on listattu läpinäkyvyyden vuoksi, vaikka Splitly ei siirrä niille vierasdataa — laskudata tulee POS:sta ja korttidata kulkee suoraan sinulta Maksupalveluntarjoajalle.

EU/ETA:n ulkopuolisten alikäsittelijöiden osalta siirrot on suojattu asianmukaisin varotoimin (ks. kohta 9).

7. Säilytysajat

Säilytämme henkilötietoja vain niin kauan kuin on tarpeellista edellä kuvattuihin tarkoituksiin.

• Aktiivinen istuntodata (laskun katselu, valitut rivit, jaot) — Istunnon loppuun tai vanhenemiseen (yleensä muutamia tunteja).

• Maksutapahtumat — 6 vuotta tilikauden päättymisestä (kirjanpitolaki).

• Kuittisähköpostit — Liitetään samalla säilytysajalla maksutapahtumaan.

• Palaute (arviot, arvostelut) — Ravintolan ja Splitlyn palvelusopimuksen voimassaolon ajan, sen jälkeen poistetaan tai anonymisoidaan.

• Palvelin- ja tietoturvalokit — 90 päivää.

• Salatut varmuuskopiot — 30 päivän kierto.

Näiden jaksojen jälkeen tiedot poistetaan tai anonymisoidaan peruuttamattomasti, ellei säilyttäminen ole lain edellyttämää.

8. Tietojen suojaaminen

Splitly soveltaa riskien mukaisia teknisiä ja organisatorisia suojatoimia, joihin kuuluvat:

• Salaus siirrossa — TLS 1.3 laitteesi, Splitlyn ja alikäsittelijöiden välillä.

• Salaus levossa — Arkaluonteinen data ja tunnukset salataan AES-256-GCM:llä.

• Tiukka pääsynhallinta — Roolipohjainen pääsy, arkaluonteisen datan käytön audit-lokitus.

• Monivaiheinen tunnistautuminen — Pakollinen hallintakäytössä.

• Verkko- ja infrastruktuurieristys — Tenant-eristys, verkkokäytännöt, suoja-asetukset toistuvia kirjautumisyrityksiä vastaan.

• Webhookien eheys — Saapuvat maksu- ja POS-webhookit todennetaan HMAC-SHA256:lla ja replay-suojauksella.

• Ei korttidatan säilytystä — Korttidata käsitellään suoraan Maksupalveluntarjoajan toimesta.

9. Kansainväliset tiedonsiirrot

Henkilötietoja käsitellään pääasiassa EU/ETA-alueella. Jotkin alikäsittelijät (kuten Google) voivat käsitellä rajatusti dataa Yhdysvalloissa. Tällaisissa siirroissa nojaamme:

• EU:n vakiosopimuslausekkeisiin (SCC), jotka Euroopan komissio on hyväksynyt.

• Täydentäviin teknisiin toimiin (salaus siirrossa ja levossa).

• Vastaanottajamaan oikeudellisen tilan arviointiin.

10. Oikeutesi

GDPR:n nojalla sinulla on seuraavat oikeudet:

• Tarkastusoikeus (15 art.) — Saada vahvistus ja kopio sinua koskevista tiedoista.

• Oikaisu (16 art.) — Korjata virheelliset tai puutteelliset tiedot.

• Poisto (17 art.) — Pyytää tietojesi poistamista (”oikeus tulla unohdetuksi”), lakisääteisten säilytysvelvoitteiden rajoissa.

• Käsittelyn rajoittaminen (18 art.) — Rajoittaa käsittelyä tietyissä tilanteissa.

• Siirrettävyys (20 art.) — Saada tietosi jäsennellyssä, koneluettavassa muodossa.

• Vastustaminen (21 art.) — Vastustaa oikeutettuun etuun perustuvaa käsittelyä.

• Suostumuksen peruuttaminen (7(3) art.) — Peruuttaa antamasi suostumus.

• Automaattinen päätöksenteko (22 art.) — Splitly ei tee sinua koskevia oikeudellisesti merkittäviä päätöksiä pelkästään automaattisesti.

Miten käytät oikeuksiasi:

• Tiedoissa, joiden rekisterinpitäjä on Ravintola (lasku, maksu, palaute): ota yhteyttä Ravintolaan. Splitly avustaa käsittelijänä.

• Tiedoissa, joiden rekisterinpitäjä on Splitly (alustatason tekniset ja tietoturvatiedot): ota yhteyttä support@splitly.fi.

Käsittelemme valideja pyyntöjä yhden (1) kuukauden kuluessa (GDPR 12(3) art.). Monimutkaisissa tai useissa pyynnöissä määräaikaa voidaan jatkaa korkeintaan kahdella kuukaudella ilmoituksen mukaisesti.

Valitusoikeus

Sinulla on oikeus tehdä valitus EU/ETA-asuinmaasi, työpaikkasi tai väitetyn rikkomuksen tapahtumapaikan valvontaviranomaiselle. Suomessa:

Tietosuojavaltuutetun toimisto

Lintulahdenkuja 4, 00530 Helsinki

Sähköposti: tietosuoja@om.fi

Puhelin: 029 566 6700

Verkko: https://tietosuoja.fi

11. Evästeet ja paikallinen tallennustila

Vieraspalvelu on suunniteltu käyttämään mahdollisimman vähän selaintallennusta:

• participantId (selaimen paikallistallennus) — Välttämätön. Tunnistaa jakosi ja maksusi pöytäistunnon aikana ilman kirjautumista. Säilyy kunnes tyhjennät selaintallennuksen tai istunto päättyy.

• Istunto-/tilakeksit (Maksupalveluntarjoajan kassan käyttämät) — Välttämätön. Maksun loppuunsaattaminen Maksupalveluntarjoajan sivuilla. Maksupalveluntarjoajan asettama ja hallinnoima.

Vieraspalvelu ei käytä kolmannen osapuolen analytiikkaa, mainontaa eikä ristikkäissivuston seurantaa.

12. Lapset

Vieraspalvelu on tarkoitettu aikuisten käyttöön. Emme tietoisesti kerää alaikäisten tietoja. Jos olet alle 18-vuotias, käytä Vieraspalvelua vain huoltajan myötävaikutuksella.

13. Tietoturvaloukkauksesta ilmoittaminen

Jos vierasdataan kohdistuu tietoturvaloukkaus, Splitly:

• Ilmoittaa Ravintolalle (rekisterinpitäjä) ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa tiedon saamisesta GDPR 33 art. mukaisesti.

• Avustaa Ravintolaa ilmoituksessa valvontaviranomaiselle ja tarvittaessa asianosaisille vieraille.

Loukkauksissa, joissa Splitly on rekisterinpitäjä, Splitly ilmoittaa valvontaviranomaiselle ja tarvittaessa suoraan asianosaisille henkilöille.

14. Tämän selosteen muutokset

Voimme päivittää tätä tietosuojaselostetta ajoittain Vieraspalvelun, alikäsittelijöiden tai lainsäädännön muutosten vuoksi. Voimassa oleva versio on aina saatavilla Vieraspalvelussa tai Splitlyn verkkosivuilla, ja ”Viimeksi päivitetty” -päiväys päivitetään. Olennaisista muutoksista pyrimme tiedottamaan kohtuullisin tavoin.

15. Yhteystiedot

Tietosuojayhteyshenkilö (Splitly, alustatason tiedot):

Splitly Oy

Verkaranta 3 C 92, 20660 Lieto, Suomi

Sähköposti: support@splitly.fi

Yleiset yhteydenotot:

Sähköposti: support@splitly.fi

Verkko: https://splitly.fi

Laskuun, maksuun tai palautteeseen liittyen: Ota yhteyttä Ravintolaan, jossa käytit Vieraspalvelua.

Valvontaviranomainen:

Tietosuojavaltuutetun toimisto

Lintulahdenkuja 4, 00530 Helsinki

Verkko: https://tietosuoja.fi