Tietosuojakäytäntö

Unesi ovat henkilökohtaisia. Käsittelemme niitä huolella.

Versio 2.2 — 10. heinäkuuta 2026

1. Keitä olemme

Dreamalizing on Elk River Holding B.V. -yrityksen palvelu, kotipaikka Alankomaat (Kauppakamari 78040787). Olemme henkilötietojen rekisterinpitäjä yleisen tietosuoja-asetuksen (GDPR) mukaan.

Sähköposti: privacy@dreamalizing.com

2. Mikä on Dreamalizing

Dreamalizing on Jungin syvyyspsykologiasta inspiroitunut unien tutkimissovellus. Kirjoitat unen tai käytät laitteen sanelua, vastaat henkilökohtaisiin kysymyksiin ja saat pohdinnan. Dreamalizing ei ole terapiaa eikä tarjoa lääketieteellisiä tai psykiatrisia neuvoja.

3. Mitä tietoja keräämme

Tiedot, jotka itse annat

  • Sähköpostiosoite — rekisteröitymisen yhteydessä
  • Unitekstit — kirjoitettu tai syötetty laitteen sanelulla; Dreamalizing ei tallenna äänitallennetta
  • Istuntovastaukset — vastauksesi tutkimuskysymyksiin
  • Profiilitiedot (vapaaehtoinen) — etunimi, syntymäaika, sukupuoli, maa, aikavyöhyke
  • Palaute — istuntojen arviot ja kommentit

Automaattisesti kerättävät tiedot

  • IP-osoite — kirjautuessa ja virheraporteissa
  • User-agent — selaintyyppi ja laite (virheraportit ja istuntotiedot)
  • Käyttötapahtumat — esim. "istunto aloitettu", "vienti pyydetty" (ei sisältötietoja)
  • Tekniset virheet — virhekoodit ja stack tracet, ei koskaan unisisältöjä

Tiedot, joita EMME kerää

  • Sijaintitiedot (GPS)
  • Yhteystietoluettelot tai osoitekirja
  • Valokuvat, tiedostot tai kameran käyttöoikeus
  • Mainostunnisteet
  • Talous- tai maksutiedot

4. Miten ja miksi käsittelemme tietojasi

a) Sopimuksen täytäntöönpano (Art. 6(1)(b) GDPR)

  • Tilisi luominen ja hallinta
  • Unitekstien käsittely analyysiä varten
  • Istuntokysymysten ja yhteenvetojen tuottaminen
  • Tietojen vienti pyynnöstäsi

b) Suostumus (Art. 6(1)(a) GDPR)

  • Toistuvien motiivien seuranta (kuvioiden tunnistus unien välillä)
  • Markkinointiviestintä sähköpostitse
  • Jakaminen ihmisvalmentajan kanssa (tuleva ominaisuus)

Voit peruuttaa suostumuksen milloin tahansa profiiliasetuksista. Peruuttaminen ei vaikuta jo suoritettuun käsittelyyn.

c) Oikeutettu etu (Art. 6(1)(f) GDPR)

  • Turvallisuusvalvonta ja petosten ehkäisy (IP-loki, tilin lukitus epäonnistuneiden yritysten jälkeen)
  • Vianmääritys ja palvelun kehittäminen
  • Anonyymit käyttötilastot

5. Erityiset henkilötietojen ryhmät

Unisisältö voi sisältää tietoa terveydestäsi, tunteistasi tai psyykkisestä tilastasi. Tämä voi olla erityisten henkilötietoryhmien tietoa GDPR Art. 9 mukaan. Käsittelyn oikeusperusta on nimenomainen suostumuksesi (Art. 9(2)(a) GDPR), jonka annat tilin luonnin ja unien tallennuksen yhteydessä.

6. Unitietojesi tekoälykäsittely

Unitekstisi käsitellään omalla kielimallillamme Euroopan unionissa sijaitsevilla palvelimilla. Tietosi tallennetaan salattuina, eikä unitekstiäsi lähetetä ulkopuolisille tekoälypalveluille.

Suojatoimet

  • Unisisältöä ei lähetetä ulkoisille tekoälytoimittajille käsiteltäväksi
  • Tekstin korjaus, kysymykset ja analyysi käyttävät omaa kielimalliamme Euroopan unionissa sijaitsevilla palvelimilla.
  • Unisisältöä ei käytetä kolmansien osapuolten mallien kouluttamiseen
  • Jos paikallinen malli ei ole käytettävissä, unisisällölle ei ole pilvivarareittiä

7. Jakaminen kolmansien osapuolten kanssa

Emme koskaan myy tietojasi. Tietoja jaetaan vain seuraaville:

OsapuoliTarkoitusTiedot
Google AnalyticsSivustokäyntien tilastot (vain markkinointisivu)Anonymisoidut käyntitiedot, evästeet
SMTP-postipalvelin (itse isännöity)Sähköpostien toimitusSähköpostiosoite, vahvistuslinkit

Emme jaa mitään unisisältöä mainostajille, markkinoijille tai muille kaupallisille osapuolille.

8. Turvallisuus

Otamme unitietojesi turvallisuuden erittäin vakavasti.

Salaus

  • Unitekstit, istuntovastaukset, sitaatit ja muistiinpanot tallennetaan salattuna AES-256-GCM -salauksella (Galois/Counter Mode)
  • Jokaisella käyttäjällä on oma salausavain (envelope encryption HKDF-SHA256:lla)
  • Salasanat tiivistetään Argon2id (memory-hard, 64 MB) -algoritmilla

Todennus

  • JWT-tokenit allekirjoitettu RS256:lla (RSA-SHA256), voimassa 15 minuuttia
  • Refresh-tokenit kierron havainnoinnilla: käytetyn tokenin uudelleenkäyttö mitätöi kaikki sen istunnon tokenit
  • Tili lukitaan 5 epäonnistuneen kirjautumisyrityksen jälkeen (15 minuuttia)

Infrastruktuuri

  • Tuotanto-API, tietokanta ja oma kielimallimme toimivat Euroopan unionissa sijaitsevilla palvelimilla.
  • Itse isännöity PostgreSQL-tietokanta (ei kolmannen osapuolen pilvitietokantapalvelua)
  • Tekniset lokit puhdistetaan automaattisesti: unisisältö, sähköpostit ja tokenit poistetaan

9. Säilytysajat

TiedotAika
UnisisältöRajoittamaton — säilytetään niin kauan kuin tili on olemassa
TilitiedotPoistopyyntöön asti
Pehmeästi poistetut tiedotYksittäin pehmeästi poistettujen unien automaattista poistomääräaikaa ei ole tällä hetkellä osoitettu
Salausavaimet expungen jälkeenPoistetaan välittömästi
Käyttölokit30 päivää
Todennustapahtumat90 päivää
AI-käyttömittarit (token-määrät)90 päivää
Virheraportit30 päivää
Auditointijälki1 vuosi
Varmuuskopiot poiston jälkeenToimivaa tuotantovarmuuskopiota ei ole tällä hetkellä osoitettu; siksi emme lupaa varmuuskopioiden säilytystä tai palautusta

10. Oikeutesi GDPR:n mukaan

Tarkastusoikeus (Art. 15)

Pyydä, mitä tietoja meillä on sinusta. Saatavilla vientitoiminnolla sovelluksessa.

Oikeus oikaisuun (Art. 16)

Korjaa virheelliset tiedot profiilistasi sovelluksessa.

Oikeus poistamiseen (Art. 17)

  • Poista yksittäinen uni: poistaa sen näkyvästä arkistosta; tälle pehmeälle poistolle ei ole osoitettu automaattista poistomääräaikaa
  • Poista tili: vahvistuksen jälkeen tili poistetaan heti ja pysyvästi; profiili, unet, istunnot, muut henkilötiedot ja salausavaimet poistetaan
  • Ei palautusaikaa: vahvistettua tilin poistoa ei voi perua. Nykyinen varmuuskopiotilanne on yllä olevassa taulukossa

Oikeus tietojen siirrettävyyteen (Art. 20)

Lataa kaikki tietosi ZIP-tiedostona (JSON-muoto) vientitoiminnolla. Sisältää: unitekstit (avattuna), istuntokysymykset ja -vastaukset, motiivit, profiilitiedot ja suostumushistorian.

Oikeus käsittelyn rajoittamiseen (Art. 18)

Ota yhteyttä: privacy@dreamalizing.com.

Vastustamisoikeus (Art. 21)

Voit vastustaa oikeutettuun etuun perustuvaa käsittelyä. Ota yhteyttä: privacy@dreamalizing.com.

Suostumuksen peruuttaminen (Art. 7)

Voit peruuttaa suostumuksen milloin tahansa profiiliasetuksista (äänitallennus, motiiviseuranta, markkinointisähköpostit). Peruuttaminen ei vaikuta jo suoritettuun käsittelyyn.

11. Evästeet ja paikallinen tallennus

Evästeet

Dreamalizing-sovellus ei aseta HTTP-evästeitä. Markkinointisivusto (dreamalizing.com) käyttää Google Analyticsia, joka asettaa Googlen vakiomuotoiset evästeet. Voit hylätä ne selaimen asetuksista.

Paikallinen tallennus laitteellasi

  • Todennustokenit — SecureStore (iOS/Android) tai localStorage (web)
  • Käyttäjäprofiilin välimuisti — nopeampaa näyttöä varten
  • Markkinointilähde (UTM-parametrit) — saadaksesi tietää, mistä kanavasta tulit

12. Lapset

Dreamalizing on tarkoitettu vähintään 13-vuotiaille. Emme tietoisesti kerää alle 13-vuotiaiden tietoja. Jos huomaat, että alle 13-vuotias on luonut tilin, ota yhteyttä: privacy@dreamalizing.com, niin voimme poistaa tilin.

Käyttäjille 13–16 voi olla vaadittu vanhempien tai huoltajien suostumus asuinmaan mukaan (Art. 8 GDPR). Suomessa ikäraja on 13 vuotta.

13. Inkognitotila

Dreamalizing tarjoaa inkognitotilan. Kun tallennat unen inkognitotilassa:

  • Unta ei liitetä motiivijärjestelmään
  • Untta ei sisällytetä kuviontunnistukseen

Itse uniteksti tallennetaan salattuna, jotta voit löytää sen uudelleen, mutta voit poistaa sen milloin tahansa.

14. Kansainvälinen tiedonsiirto

Tili- ja unetiedot tallennetaan Euroopan unionissa sijaitseville palvelimille. Tekoälykäsittely unisisällölle tapahtuu myös Euroopan unionissa sijaitsevilla palvelimilla; näiden palvelimien välillä unisisältö kulkee yksityisen yhteyden kautta.

Markkinointisivusto käyttää Google Analyticsia (USA). Sovellettavissa ovat EU:n vakiosopimuslausekkeet (SCC). Tämä koskee vain anonymisoituja käyntitilastoja, ei koskaan unisisältöä tai henkilötietoja.

15. Tämän käytännön muutokset

Saatamme päivittää tätä tietosuojakäytäntöä. Olennaisista muutoksista ilmoitamme sähköpostitse tai sovelluksessa. Voimassa oleva versio on aina saatavilla osoitteessa dreamalizing.com/fi/privacy.

16. Tietoturvaloukkaukset

Jos tapahtuu tietoturvaloukkaus, joka muodostaa riskin oikeuksillesi ja vapauksillesi, ilmoitamme siitä 72 tunnin kuluessa Alankomaiden tietosuojaviranomaiselle. Jos loukkaus aiheuttaa korkean riskin sinulle henkilökohtaisesti, ilmoitamme siitä myös sinulle suoraan.

17. Yhteystiedot ja valitukset

Tietosuojakysymykset, pyynnöt tai valitukset:

Sinulla on oikeus tehdä valitus Autoriteit Persoonsgegevens -viranomaiselle tai EU-jäsenmaasi valvontaviranomaiselle (Suomessa: Tietosuojavaltuutettu).