Tietosuijaseloste

Päivitetty 9.9.2025

Rekisterin ylläpitäjä

Nimi: XRoc Gaming Oy
Osoite: Haukantie 5 LH 2
04320 Tuusula
Y-tunnus: 3192295-6

Yhteyshenkilö

Nimi: Jere Seppä
E-mail: Asiakaspalvelu(at)xroc.gg

Kenen tietoja keräämme

  • Osallistujat, jotka osallistuvat esim. harrastusryhmiin, leireille tai kerhoihin.
  • Huoltajat, jotka tekevät ilmoittautumisen tai toimivat yhteyshenkilöinä.
  • Asiakkaat, jotka varaavat ja tilaavat palveluita (esim. synttärit, lan-viikonloput, yritystapahtumat)
  • Verkkosivujen kävijät. (evästeet ja analytiikka)

Mitä tietoja käsittelemme

  • Asiakas/tilaaja: nimi, yhteystiedot (sähköposti, puhelin), laskutus- ja maksutiedot, tapahtumaan liittyvät erityistoiveet (esim. aikataulut, ohjelma, tarjoilu).
  • Osallistuja: nimi, syntymävuosi/ikäryhmä/syntymäaika, ryhmä, mahdolliset lisätiedot toiminnan järjestämiseksi (esim. osaamistaso).
  • Huoltaja: nimi, sähköposti, puhelinnumero, suhde osallistujaan, laskutus- ja maksutiedot.
  • Koulut ja kirjastot: Oppilastunnukset kuuluvat kuntien järjestelmiin. XRoc Gaming Oy ei tallenna eikä käsittele näitä tunnuksia, vaan vastaa ainoastaan laitteiden teknisestä käytöstä ja siitä, että kirjautuminen päättyy käytön jälkeen.
  • Valokuvat ja videot tapahtumista vain erillisellä suostumuksella.
  • Mahdolliset terveystiedot (esim. allergiat) vain, jos se on välttämätöntä turvallisuuden varmistamiseksi, rajatulla pääsyllä.
  • Tekniset tiedot: IP-osoite, laitetiedot, selaintiedot, evästeet ja käyttödata.

Käsittelyn tarkoitukset ja oikeusperusteet

  • Ilmoittautumiset ja harrastusryhmien järjestäminen → sopimus (GDPR 6.1.b).
  • Laskutus ja kirjanpito → lakisääteinen velvoite (GDPR 6.1.c).
  • Yhteydenpito huoltajiin ja turvallisuusjärjestelyt → sopimus ja oikeutettu etu (GDPR 6.1.b/f).
  • Tapahtumavarauksen käsittely, sopimuksen toteuttaminen ja maksaminen → sopimus (GDPR 6.1.b).
  • Toiminta kouluilla ja kirjastoilla: Kun järjestämme toimintaa kuntien tiloissa (esim. kouluilla ja kirjastoilla) yrityksen laitteilla, osallistujat kirjautuvat koneille omilla koulutunnuksillaan. Käytön jälkeen tunnukset kirjataan aina ulos. XRoc Gaming Oy ei kerää, käsittele tai tallenna näitä tunnuksia. Oikeusperusteena on koulun tai kirjaston kanssa tehtävä yhteistyö yleistä etua koskevan tehtävän toteuttamiseksi (GDPR 6(1)(e)) sekä tarvittaessa sopimus (GDPR 6(1)(b)).
  • Vapaiden vuorojen kävijäseuranta ja raportointi nuorisopalveluille → yleinen etu (GDPR 6(1)(e)), Nuorisolaki 7 §. Kävijälistaa ei säilytetä avoimesti muiden selattavana; se on henkilökunnan hallussa.
  • Asiakaspalvelu ja yhteydenpito tapahtumien järjestämiseksi → sopimus ja oikeutettu etu (GDPR 6.1.b/f).
  • Suoramarkkinointi omista palveluista asiakkaille → oikeutettu etu (asiakassuhteessa) tai suostumus (uudet yhteystiedot).
  • Suoramarkkinointi omista vastaavista palveluista:
    asiakassuhteessa → oikeutettu etu + mahdollisuus kieltää,
    muille → suostumus (GDPR 6.1.a).
  • Valokuva- ja videomateriaali markkinointiin → suostumus (peruutettavissa milloin tahansa).
  • Evästeet ja analytiikka → suostumus (ei-välttämättömät evästeet).

Huom! Suomessa tietoyhteiskunnan palveluiden suostumusikä on 13 vuotta. Alle 13-vuotiaiden osalta pyydämme aina huoltajan suostumuksen. Lisäksi tietokoneiden kirjautumissovelluksen käyttö ja tilin luonti alle 13-vuotiaille edellyttää huoltajan suostumusta (GDPR 8 artikla, Tietosuojalaki 5 §).
Suostumus dokumentoidaan ja sen voi peruuttaa milloin tahansa.

Vastaanottajat ja henkilötietojen käsittelijät

Tietoja käsittelevät vain ne tahot, joille se on tehtävien hoitamiseksi välttämätöntä. Näitä ovat mm:

  • Chargebee (Ilmoittautumis- ja laskutusjärjestelmä)
  • Stripe Payments Europe ltd. (Maksupalvelu)
  • Ilmoittautumis- ja maksupalveluiden tarjoajat.
  • Sähköpostipalvelu ja pilvitallennus.
  • IT-ylläpito ja tekninen tuki.
  • Verkkosivuanalytiikka (esim. Google Analytics 4, IP-anonymisointi käytössä).
  • Tarvittaessa tilojen ylläpitäjät ja yhteistyökunnat (esim. osallistujalistat turvallisuutta varten).

Kaikkien käsittelijöiden kanssa on tehty GDPR:n edellyttämät sopimukset.

Kansainväliset tietojen siirrot

Jos henkilötietoja siirretään EU/ETA-alueen ulkopuolelle (esim. yhdysvaltalaisiin pilvipalveluihin), siirrot tehdään EU–US Data Privacy Framework -päätöksen nojalla tai EU:n vakiosopimuslausekkeiden ja lisäsuojatoimien avulla.

Säilytysajat

  • Ilmoittautumis- ja osallistumistiedot: enintään 24kk viimeisestä osallistumiskerrasta, ellei lakisääteinen velvoite (kirjanpito 6–10 v) edellytä pidempää. Koulunjälkeisten harrastusten ja maksuttomien pelivuorojen alle 13v osallistujatiedot hävitetään 12kk välein.
  • Huoltajan yhteystiedot: yllä mainitun ajan tai kunnes vastustat suoramarkkinointia.
  • Valokuvat ja videot: kunnes suostumus perutaan tai enintään 5 vuotta.
  • Eväste- ja analytiikkadata: selaimen asetuksen ja consentin mukaisesti (GA4 2–26 kk).

Rekisteröidyn oikeudet

Sinulla on oikeus:

  • saada pääsy tietoihisi ja saada niistä kopio
  • pyytää oikaisua tai poistamista
  • rajoittaa käsittelyä
  • vastustaa käsittelyä
  • peruuttaa suostumus
  • siirtää tiedot järjestelmästä toiseen.

Voit käyttää oikeuksiasi ottamalla yhteyttä rekisterinpitäjään (yhteystiedot yllä).

Lisäksi sinulla on oikeus tehdä valitus valvontaviranomaiselle:
Tietosuojavaltuutetun toimisto, PL 800, 00531 Helsinki, tietosuoja@om.fi

Tietojen lähteet

Tiedot saadaan pääosin osallistujilta ja huoltajilta ilmoittautumisen ja toiminnan yhteydessä sekä palvelun käytöstä (evästeet, analytiikka).

Automatisoitu päätöksenteko ja profilointi

Emme tee automatisoituja yksittäispäätöksiä. Profilointia käytetään ainoastaan anonyymisti toiminnan kehittämiseen.

Tietojen suojaus

Käytämme teknisiä ja organisatorisia suojatoimia, kuten salattuja yhteyksiä, pääsynhallintaa ja lokitusta, jotta henkilötiedot pysyvät turvassa.

Evästeet

Sivustomme käyttää välttämättömiä evästeitä sekä suostumuksella analytiikka- ja markkinointievästeitä. Voit hallita evästeitä selaimesi asetuksista tai evästebannerin kautta.