Tietosuojaseloste
EU:n yleinen tietosuoja-asetus (GDPR) — artiklat 13 ja 14
Voimassa 12.3.2026 alkaen
1. Rekisterinpitäjä
Healtalyzer
Toiminimi / Y-tunnus: [täydennetään]
Postiosoite: [täydennetään]
Sähköposti: tuki@healtalyzer.com
2. Käsittelyn tarkoitus ja oikeusperuste
| Tarkoitus | Oikeusperuste (GDPR) |
|---|---|
| Käyttäjätilin luominen ja ylläpito | Sopimus (Art. 6(1)(b)) |
| Terveystietojen tallentaminen ja esittäminen | Nimenomainen suostumus (Art. 9(2)(a)) |
| Tekoälyanalyysi (Google Vertex AI) | Nimenomainen suostumus (Art. 9(2)(a)) |
| Puettavan teknologian datan synkronointi (Polar, Withings) | Nimenomainen suostumus (Art. 9(2)(a)) |
| Palvelun tekninen ylläpito ja tietoturva | Oikeutettu etu (Art. 6(1)(f)) |
3. Käsiteltävät henkilötiedot
3.1 Perustiedot
Sähköposti, näyttönimi, syntymävuosi, sukupuoli, pituus, henkilökohtaiset terveystavoitteet.
3.2 Terveystiedot (erityinen henkilötietoryhmä)
- Ateriat: ateriakuvat, AI-arviot (sokeri, kuitu, proteiini, rasva, kuitu/sokeri-suhde, safety score), raaka-aineet, sanallinen analyysi
- Virtsakokeet: Combur-10 liuskakuvat, 10 parametrin tulokset (glukoosi, ketonit, pH, proteiini, veri, nitriitti, leukosyytit, bilirubiini, urobilinogeni, ominaispaino)
- Elintoiminnot: verenpaine (systolinen/diastolinen), syke
- Laboratoriotulokset: labrakuvat/-PDF:t, tulokset (hemoglobiini, CRP, kolesteroli, triglyseridit, glukoosi, HbA1c, TSH, D-vitamiini, ferritiini, B12 ym.)
- Kehonmittaukset: paino, vyötärö, reisi, kaula, lihasmassa, rasvaprosentti, luumassa, vesipitoisuus, viskeraalinen rasva
- Treenit: laji, kesto, matka, kalorit, syketiedot, intensiteetti
- Havainnot: mieliala (1–5), energiataso (1–5), oireet, muistiinpanot
- Lääkärinlausunnot: lausuntotiedostot, AI-yhteenveto, löydökset
3.3 Puettavan teknologian tiedot
- Polar Flow: unipisteet, unen kesto, HRV, ANS-lataus, aktiivisuustaso, askeleet, kalorit, treenit, VO2max, leposyke, maksimisyke, paino
- Withings Health Mate: paino, rasvaprosentti, lihasmassa, luumassa, vesipitoisuus, viskeraalinen rasva, metabolinen ikä, vaskulaarinen ikä, verenpaine
3.4 Tekniset tiedot
IP-osoite (palvelinlokit), kirjautumistunnisteet, tekoälyn käyttöloki (funktio, malli, käytetyt tokenmäärät).
4. Tietojen siirrot kolmansille osapuolille
Henkilötietoja siirretään seuraaville kolmansille osapuolille palvelun toiminnan mahdollistamiseksi:
| Osapuoli | Siirrettävät tiedot | Sijainti |
|---|---|---|
| Google (Vertex AI) | Ateriakuvat, virtsaliuskakuvat, labratuloskuvat, lääkärinlausunnot, terveystietoyhteenvedot. Tiedot lähetetään pseudonymisoituina — AI-palvelulle välitetään vain etunimi (jos annettu), syntymävuosi, sukupuoli ja pituus, ei sähköpostia, käyttäjätunnistetta tai IP-osoitetta. Google ei käytä Vertex AI -palveluun lähetettyä dataa tekoälymallien kouluttamiseen tai kehittämiseen. | EU (europe-west4, Alankomaat) |
| Supabase Inc. | Kaikki tallennetut tiedot (tietokanta ja kuvatiedostot) | EU (Supabase EU -infrastruktuuri) |
| Polar Electro Oy | OAuth2-tunnistautuminen, urheiludata haetaan Polarilta | Suomi (EU) |
| Withings SA | OAuth2-tunnistautuminen, kehonkoostumus- ja verenpainetiedot haetaan Withingsiltä | Ranska (EU) |
| PostHog Inc. | Nimetön käyttöanalytiikka (sivukatselut, klikkaukset, käyttöpolut). Ei terveystietoja. | EU (PostHog EU Cloud) |
5. Kansainväliset tietojensiirrot
Kaikki henkilötiedot käsitellään ja säilytetään EU:n/ETA:n alueella. Supabase-tietokanta sijaitsee EU:ssa. AI-analyysi (Google Vertex AI) käsitellään EU:ssa (Alankomaat, europe-west4). Polar (Suomi) ja Withings (Ranska) sijaitsevat EU:n alueella. Tietoja ei siirretä EU:n/ETA:n ulkopuolelle.
6. Tietojen säilytys ja suojaus
- Tiedot tallennetaan Supabase PostgreSQL -tietokantaan rivitason suojauksella (RLS) — jokainen käyttäjä näkee vain omat tietonsa.
- Kuvat tallennetaan Supabase Storageen.
- Kaikki tietoliikenne on salattua (TLS/HTTPS).
- Salasanat tallennetaan hajautettuna (bcrypt).
- Tekoälyn käyttöloki (ei terveystietoja) säilytetään palvelun käytön seurantaa varten.
7. Tietojen säilytysaika
Henkilötietoja säilytetään niin kauan kuin käyttäjätili on aktiivinen. Käyttäjä voi pyytää tietojensa poistamista milloin tahansa. Tilin poistamisen yhteydessä kaikki aktiivinen data poistetaan tietokannasta välittömästi (CASCADE-poisto). Automaattiset varmuuskopiot, joissa poistettu data voi vielä esiintyä, poistuvat viimeistään 30 päivän kuluessa. Palvelinlokit säilytetään enintään 90 päivää.
8. Rekisteröidyn oikeudet
EU:n yleisen tietosuoja-asetuksen mukaan sinulla on seuraavat oikeudet:
- Tarkastusoikeus — Oikeus saada tietää, mitä tietoja sinusta käsitellään.
- Oikaisuoikeus — Oikeus korjata virheellisiä tietoja.
- Poisto-oikeus — Oikeus pyytää tietojesi poistamista ("oikeus tulla unohdetuksi").
- Käsittelyn rajoittaminen — Oikeus rajoittaa tietojesi käsittelyä tietyissä tilanteissa.
- Siirto-oikeus — Oikeus saada tietosi koneellisesti luettavassa muodossa (Excel-vienti Profiili-sivulta).
- Vastustamisoikeus — Oikeus vastustaa tietojesi käsittelyä.
- Suostumuksen peruuttaminen — Voit peruuttaa suostumuksesi milloin tahansa, mutta se ei vaikuta peruuttamista edeltävän käsittelyn lainmukaisuuteen.
Käytä oikeuksiasi ottamalla yhteyttä: tuki@healtalyzer.com
9. Automaattinen päätöksenteko
Palvelu käyttää tekoälyä (Google Vertex AI) terveystietojen analysointiin. Tekoälyanalyysi on luonteeltaan informatiivinen ja viitteellinen. Palvelussa ei tehdä automaattista päätöksentekoa, jolla olisi oikeudellisia tai vastaavia merkittäviä vaikutuksia käyttäjään (GDPR Art. 22).
10. Evästeet ja seurantateknologiat
Kirjautumistiedot (auth token) tallennetaan selaimen localStorageen istunnonhallintaa varten.
Palvelu käyttää PostHog-analytiikkaa (PostHog Inc.) palvelun käytön tilastointiin ja kehittämiseen. PostHog kerää nimettömästi tietoja sivujen katseluista, klikkauksista ja käyttöpolusta. Analytiikkadata käsitellään EU:ssa (PostHog EU Cloud). PostHog ei käytä evästeitä eikä kerää terveystietoja — analytiikka kohdistuu ainoastaan käyttöliittymän toimintaan. Oikeusperuste: oikeutettu etu (Art. 6(1)(f)) palvelun laadun ja käytettävyyden parantamiseksi.
11. Valvontaviranomainen
Mikäli koet, että henkilötietojesi käsittely on lainvastaista, sinulla on oikeus tehdä valitus valvontaviranomaiselle:
Tietosuojavaltuutetun toimisto
Verkkosivut: tietosuoja.fi
Sähköposti: tietosuoja@om.fi
12. Selosteen muutokset
Tätä tietosuojaselostetta voidaan päivittää. Olennaisista muutoksista ilmoitetaan sähköpostilla tai sovelluksen sisäisellä ilmoituksella. Ajantasainen versio on aina saatavilla tällä sivulla.
Kysymyksiä tietosuojasta? Ota yhteyttä: tuki@healtalyzer.com