GDPR ja tietosuoja
Inzwa on rakennettu eurooppalaisia kauppiaita varten ja ottaa tietosuojan vakavasti. Tällä sivulla selitetään roolimme GDPR:n mukaisesti, käsittelyn oikeusperusteet, oikeutesi sekä käyttämämme tekniset ja organisatoriset suojatoimet.
Kaksi rooliamme GDPR:n mukaisesti
Inzwa toimii kahdessa eri roolissa riippuen siitä, mitä tietoja käsitellään. Toimimme rekisterinpitäjänä inzwa.co-sivuston kävijöiden henkilötietojen (yhteydenottolomakkeen tiedot) sekä kauppiastilin haltijoiden tietojen (sähköposti, nimi, kaupan tiedot) osalta. Toimimme henkilötietojen käsittelijänä ostajien vuorovaikutustietojen osalta, joita kerätään kauppiaan verkkosivustolle upotetun Inzwa-widgetin kautta. Jälkimmäisessä roolissa kauppias on ostajatietojen rekisterinpitäjä, ja Inzwa käsittelee tietoja tiukasti kauppiaan puolesta ja ohjeiden mukaisesti.
Käsittelyn oikeusperusteet
Nojaamme seuraaviin GDPR:n 6 artiklan mukaisiin oikeusperusteisiin. Kauppiastilitiedot käsitellään sopimuksen täyttämisen perusteella (6 artiklan 1 kohdan b alakohta): tarvitsemme tilisi ja kauppasi tiedot palvelun toimittamiseksi. Ostajien istunto- ja analytiikkatiedot käsitellään kauppiaan oikeutetun edun perusteella (6 artiklan 1 kohdan f alakohta): kauppiaalla on oikeutettu etu ymmärtää kauppaansa kohdistuva kysyntä, ja Inzwa käsittelee ostajatietoja tähän tarkoitukseen kauppiaan puolesta. Markkinoinnin yhteydenottolomakkeella toimitetut tiedot käsitellään suostumuksen perusteella (6 artiklan 1 kohdan a alakohta).
Tietojen minimointi ja anonymisointi
Sovellamme tiukkaa tietojen minimointia ostajatietoihin. Jokainen ostajan istunto tunnistetaan vain anonyymillä UUID-tunnisteella, jota ei koskaan yhdistetä Shopify-asiakastunnukseen, nimeen, sähköpostiin tai mihinkään todelliseen henkilöllisyyteen. Ennen kuin tekoäly käsittelee transkriptiota, järjestelmä poistaa automaattisesti sähköpostiosoitteet ja puhelinnumerot hahmontunnistuksella. Tekoälymallit saavat ainoastaan anonymisoidun tekstin. Ostajan vapaaehtoisesti toimittamat yhteystiedot tallennetaan erilliseen osioon eikä niitä koskaan välitetä tekoälymalleille.
Äänidata ja Deepgram
Kun ostaja käyttää äänivuorovaikutusominaisuutta, äänivirta siirtyy suoraan ostajan selaimesta Deepgramin infrastruktuuriin, joka muuntaa sen tekstiksi. Inzwan palvelimet eivät koskaan vastaanota eivätkä tallenna raakaa ääntä. Deepgram käsittelee äänidataa tietojenkäsittelysopimuksen mukaisesti, johon sisältyvät kansainvälisiä tiedonsiirtoja koskevat EU:n vakiosopimuslausekkeet. Tuloksena saatu tekstitranskriptio käsitellään kuten tekstikeskustelut: PII poistetaan ennen tekoälyanalyysiä.
Tietojen sijainti ja kansainväliset siirrot
Kaikki Inzwan hallinnoimat kauppias- ja istuntotiedot tallennetaan Google Cloud Firestoreen EU:n alueella (europe-west1, Belgia). Äänenkäsittely tapahtuu Deepgramissa Yhdysvalloissa; tiedonsiirto perustuu EU:n vakiosopimuslausekkeisiin. Brevo on ranskalainen GDPR:n alainen yhtiö. Cloudflare käsittelee bottitorjuntapyyntöjä maailmanlaajuisesti, mutta ei vastaanota eikä tallenna keskustelu- tai henkilötietojasi. Kaikki EU:n ulkopuoliset siirrot perustuvat asianmukaisiin GDPR-suojatoimiin.
Alikäsittelijät
Käytämme seuraavia alikäsittelijöitä: Google Firebase ja Firestore tiedontallennukseen ja todennukseen (EU, europe-west1); Google Vertex AI ja Gemini Flash tekoälyanalyysiin PII-puhdistetuilla transkriptioilla (Google LLC, Yhdysvallat, vakiosopimuslausekkeet); Deepgram äänen muuntamiseen tekstiksi (Deepgram Inc, Yhdysvallat, vakiosopimuslausekkeet); Brevo kauppiaille lähetettäviin transaktionaalisiin sähköposteihin (Sendinblue SAS, Ranska, GDPR); Cloudflare Turnstile bottitorjuntaan (Cloudflare Inc, Yhdysvallat, vakiosopimuslausekkeet). Jokainen alikäsittelijä on sitoutunut tietojenkäsittelysopimukseen.
Shopifyn GDPR-vaatimustenmukaisuuswebhookit
Shopify-sovelluksena Inzwa toteuttaa kaikki kolme pakollista GDPR-vaatimustenmukaisuuswebhookia. Customers/data_request-webhookin osalta vahvistamme, että Inzwaan ei tallenneta asiakkaaseen yhdistettävissä olevia henkilötietoja, koska istunnot käyttävät anonyymiä UUID-tunnistetta. Customers/redact-webhookin osalta toimenpiteitä ei tarvita samasta syystä. Shop/redact-webhook laukeaa 48 tuntia sovelluksen poistamisen jälkeen, jolloin poistamme pysyvästi kaikki kauppiaaseen liittyvät tiedot: istunnot, aikomukset, liidit, katalogin, kokoelmat ja konfiguraation.
Tietojenkäsittelysopimukset
Kauppiaat, jotka tarvitsevat GDPR:n 28 artiklan mukaisen muodollisen tietojenkäsittelysopimuksen, voivat pyytää sellaisen osoitteesta hi@inzwa.co. Sopimuksessa määritellään käsittelyn kohde, kesto, luonne ja tarkoitus; käsiteltävien henkilötietojen tyypit ja rekisteröityjen kategoriat; sekä kauppiaan (rekisterinpitäjä) ja Inzwan (käsittelijä) velvoitteet ja oikeudet. Meillä on tietojenkäsittelysopimukset kaikkien edellä mainittujen alikäsittelijöiden kanssa.
Tekniset ja organisatoriset suojatoimet
Toteutamme seuraavat suojatoimet: kaikki tietoliikenne salataan TLS 1.2:lla tai uudemmalla; Google Cloud Firestoreen tallennettu data on oletuksena salattu; tuotantojärjestelmiin on pääsy vain valtuutetuilla henkilöillä; kaikissa julkisissa rajapinnoissa on pyyntörajoitus ja Cloudflare Turnstile -bottitorjunta; CORS-alkuperän sallimislista varmistaa, että widget voi lähettää dataa vain kauppiaan valtuutetuista verkkotunnuksista; Shopifyn webhookit varmennetaan HMAC-allekirjoituksella; ja ostajien PII tallennetaan erilliseen, osastoituun tietokantaosioon, erillään analytiikkatiedoista.
Rekisteröidyn oikeudet ja yhteystiedot
Kauppiastilin haltijoilla on oikeus tarkastella, korjata, poistaa tai viedä henkilötietojaan; vastustaa käsittelyä tai pyytää sen rajoittamista; sekä peruuttaa suostumus silloin kun käsittely perustuu siihen. Ota yhteyttä osoitteeseen hi@inzwa.co näiden oikeuksien käyttämiseksi. Ostajat: koska istunnot käyttävät anonyymiä UUID-tunnistetta, Inzwa ei voi tunnistaa yksittäistä ostajaa istuntotiedoista. Ostajien oikeuksiin liittyvät pyynnöt tulee ohjata kauppiaalle, joka on rekisterinpitäjä. Sinulla on myös oikeus tehdä valitus Tietosuojavaltuutetulle osoitteessa tietosuoja.fi tai asuinmaasi valvontaviranomaiselle EU:n alueella.
Last updated: May 2026. For questions, contact hi@inzwa.co