GDPR & tietosuoja
Versolix hallinnoi Dinoraa EU:n yleisen tietosuoja-asetuksen (GDPR, asetus 2016/679) mukaisesti. Tässä asiakirjassa kuvataan, miten GDPR-velvoitteet koskevat Dinora-alustaa.
Rekisterinpitäjän ja käsittelijän roolit
Ravintola rekisterinpitäjänä: Kukin Dinoraa käyttävä ravintola määrittää vieraiden varaustietojen (nimi, puhelin, sähköposti, päivämäärä, seurueen koko, muistiinpanot) käsittelyn tarkoituksen ja keinot. Ravintola on näiden tietojen rekisterinpitäjä ja on vastuussa lainmukaisen käsittelyperustteen varmistamisesta sekä vieraiden informoinnista tietojen käyttötavasta.
Versolix käsittelijänä: Versolix käsittelee vieraiden varaustietoja ravintolan puolesta ainoastaan Dinora-alustan toimittamiseksi — varausten tallentamiseen, vahvistus- ja muistutusviestien toimittamiseen sekä analytiikan tarjoamiseen. Versolix ei käytä vierastietoja mihinkään itsenäiseen tarkoitukseen.
Käsittelyn lainmukainen peruste
Vierastietoja käsitellään tyypillisesti GDPR:n artiklan 6(1)(b) (sopimuksen täyttäminen — varaus) ja artiklan 6(1)(f) (oikeutetut edut — ravintolan toiminnot ja viestintä) nojalla. Ravintolat vastaavat asianmukaisen lainmukaisen perusteen vahvistamisesta omaan käyttötarkoitukseensa.
Alakäsittelijät
Versolix käyttää seuraavia alakäsittelijöitä palvelun toimittamiseen. Kaikki ovat sidottuja GDPR-yhteensopiviin tietojenkäsittelysopimuksiin:
- Twilio Inc. — SMS-toimitus varausvahvistuksille ja -muistutuksille (Standard- ja Premium-paketit). Vieraiden puhelinnumerot välitetään Twiliolle yksinomaan viestien toimittamista varten eikä Twilio säilytä niitä toimituksen jälkeen.
- Sähköpostin toimituspalveluntarjoaja — ravintolan puolesta vieraille lähetettävät transaktionaaliset sähköpostivahvistukset ja -muistutukset.
- Pilvipalveluntarjoaja — Dinora-alustan isännöinti, tietokannan tallennus ja laskentaresurssit.
Turvatoimenpiteet
Dinora soveltaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi, mukaan lukien: salattu tiedonsiirto (HTTPS/TLS), hajautettu salasanojen tallennus, token-pohjainen todennus järjestelmänvalvojan pääsyä varten sekä nopeusrajoitukset luvattomien käyttöyritysten estämiseksi.
Rekisteröidyn oikeudet
GDPR:n nojalla henkilöillä on oikeus saada pääsy henkilötietoihinsa, korjata, poistaa, rajoittaa tai siirtää niitä. Vieraiden tulee ensisijaisesti osoittaa pyynnöt sille ravintolälle, joka on kerännyt heidän tietonsa. Ravintolat voivat tarkastella, päivittää ja poistaa vieraskertoja suoraan Dinoran hallintapaneelista. Silloin kun Versolixilla on suoria velvollisuuksia, pyynnöt voidaan lähettää osoitteeseen dinora@versolix.fi.
Tietojen säilytys
Vieraiden varaus- ja profiilitietoja säilytetään ravintolan aktiivisen tilauksen ajan. Tilin poistamisen yhteydessä henkilötiedot poistetaan tai anonymisoidaan kohtuullisessa ajassa. Ravintolat voivat viedä koko vieraskantansa hallintapaneelista milloin tahansa ennen tilin sulkemista.
Kansainväliset siirrot
Kun tietoja siirretään Euroopan talousalueen (ETA) ulkopuolelle — esimerkiksi Twilion infrastruktuuriin — siirrot toteutetaan asianmukaisten suojatoimien avulla, mukaan lukien GDPR:n V luvun edellyttämät vakiosopimuslausekkeet (SCC).
Tietomurtoilmoitus
Henkilötietovuodon tapahtuessa Versolix ilmoittaa asiasta asianomaisille ravintoloille ilman aiheetonta viivästystä ja tarvittaessa toimivaltaiselle valvontaviranomaiselle 72 tunnin kuluessa tietojen saamisesta.
Yhteystiedot
GDPR- ja tietosuojakyselyt: dinora@versolix.fi — Versolix, Suomi.
GDPR & Data Protection
Versolix operates Dinora in compliance with the EU General Data Protection Regulation (GDPR, Regulation 2016/679). This document describes how GDPR obligations apply to the Dinora platform.
Controller and processor roles
Restaurant as controller: Each restaurant using Dinora determines the purpose and means of processing guest booking data (name, phone, email, date, party size, notes). The restaurant is the data controller for this data and is responsible for ensuring a lawful basis for processing and for informing guests about how their data is used.
Versolix as processor: Versolix processes guest booking data on behalf of the restaurant solely for the purpose of delivering the Dinora platform — storing reservations, delivering confirmation and reminder messages, and providing analytics. Versolix does not use guest data for any independent purpose.
Lawful basis for processing
Guest data is typically processed under GDPR Article 6(1)(b) (performance of a contract — the reservation) and Article 6(1)(f) (legitimate interests — restaurant operations and communication). Restaurants are responsible for establishing the appropriate lawful basis for their own use.
Sub-processors
Versolix uses the following sub-processors to deliver the service. All are bound by GDPR-compliant data processing agreements:
- Twilio Inc. — SMS delivery for booking confirmations and reminders (Standard and Premium plans). Guest phone numbers are passed to Twilio solely for message delivery; Twilio does not retain them after delivery.
- Email delivery provider — transactional email confirmations and reminders sent to guests on behalf of the restaurant.
- Cloud provider — hosting, database storage, and compute resources for the Dinora platform.
Security measures
Dinora applies appropriate technical and organisational measures to protect personal data, including: encrypted data transfer (HTTPS/TLS); hashed password storage; token-based authentication for admin access; and rate-limiting to prevent unauthorised access attempts.
Data subject rights
Under the GDPR, individuals have the right to access, rectify, erase, restrict, or port their personal data. Guests should direct requests primarily to the restaurant that collected their data. Restaurants can view, update, and delete guest records directly from the Dinora dashboard. Where Versolix has direct obligations, requests can be sent to dinora@versolix.fi.
Data retention
Guest booking and profile data is retained for the duration of the restaurant's active subscription. Upon account deletion, personal data is erased or anonymised within a reasonable timeframe. Restaurants can export their full guest database from the dashboard at any time before account closure.
International transfers
Where data is transferred outside the European Economic Area (EEA) — for example to Twilio's infrastructure — transfers are made with appropriate safeguards, including Standard Contractual Clauses (SCCs) as required by Chapter V of the GDPR.
Breach notification
In the event of a personal data breach, Versolix will notify affected restaurants without undue delay and, where required, notify the competent supervisory authority within 72 hours of becoming aware.
Contact
GDPR and data protection enquiries: dinora@versolix.fi — Versolix, Finland.