Privacy Policy

Last updated: 18 May 2026 · Effective date: 18 May 2026

1. Data Controller

The entity responsible for the processing of your personal data is:

  • Company: [LEGAL_NAME]
  • Business ID (Y-tunnus): [BUSINESS_ID]
  • Registered address: [ADDRESS], Finland
  • Email: [PRIVACY_EMAIL]
  • Service: Tour Tracker (tourtracker.me)

For matters concerning the protection of your personal data, you may contact us at the email above.

2. Scope

This Privacy Policy describes how we collect, use, store and protect personal data of (i) visitors to our website tourtracker.me, (ii) customers who subscribe to the Tour Tracker service, (iii) end-users of customer instances (guides, operators), and (iv) end-customers of our customers whose reservation data is processed through the platform.

The processing complies with Regulation (EU) 2016/679 (GDPR), the Finnish Data Protection Act 1050/2018 (Tietosuojalaki), and — where applicable — the UK GDPR and the California Consumer Privacy Act (CCPA/CPRA) for residents of those jurisdictions.

3. Categories of personal data we process

CategoryExamples
Identification & accountUsername, email, company name, hashed password
Contact & commercialName, email, phone, billing address, plan, payment status
Reservation data (processed on behalf of customers)End-customer name, email, phone, language, group size, booking reference, tour date/time
TechnicalIP address, browser, operating system, session identifiers, log timestamps
CommunicationsMessages sent through the contact form, support emails
Cookies & analyticsSee our Cookie Policy

We do not knowingly collect special categories of data (health, religion, biometrics, etc.) and we do not collect data from minors under 16.

4. Purposes and legal basis

PurposeLegal basis (Art. 6 GDPR)
Provide the Tour Tracker service, manage accounts, billing and supportPerformance of a contract — Art. 6(1)(b)
Comply with tax, accounting and other legal obligationsLegal obligation — Art. 6(1)(c)
Send service-related notifications (security, downtime, plan changes)Legitimate interest — Art. 6(1)(f)
Respond to contact-form enquiriesConsent — Art. 6(1)(a)
Send commercial communications and newslettersConsent — Art. 6(1)(a)
Analytics and improvement of the serviceConsent (opt-in cookies) — Art. 6(1)(a)
Prevent fraud, abuse, and ensure security of the platformLegitimate interest — Art. 6(1)(f)
Processing of end-customer reservation data on behalf of our customersProcessor role — Art. 28 GDPR; the customer is the controller

5. Data retention

  • Account data: retained while the subscription is active and for up to 12 months after termination, for support and reactivation purposes.
  • Billing and tax records: retained for 6 years as required by Finnish accounting law (Kirjanpitolaki 1336/1997).
  • Reservation data: retained for as long as the customer's instance is active; deleted within 30 days of the customer's deletion request or subscription termination, unless a longer retention is required by law.
  • Contact-form messages: retained for up to 24 months.
  • Server logs: retained for up to 12 months for security and troubleshooting.
  • Cookies: see our Cookie Policy.

6. Recipients and processors

We share data only with processors strictly necessary to operate the service, all bound by data processing agreements (Art. 28 GDPR):

  • Hosting: Hostinger International Ltd. (servers in the EU).
  • Payments: Stripe Payments Europe Ltd. — we never store card numbers.
  • Email delivery: SMTP provider configured by [LEGAL_NAME] for transactional emails.
  • AI processing of reservation emails — DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd., People's Republic of China): used to extract structured reservation data (date, time, group size, customer name and contact details, booking reference) from booking confirmation emails forwarded by our customers. We send only the email content strictly necessary for extraction and do not include unrelated personal data. We have configured the integration to disable the use of submitted data for model training where the provider offers such option.
  • AI realtime assistant — OpenAI, L.L.C. (United States): optionally used in the customer dashboard to assist operators with the product. Under the OpenAI API terms, data submitted through the API is not used to train OpenAI's models.
  • Public authorities when legally required (court order, tax authority, law enforcement).

An up-to-date list of subprocessors is available on request at [PRIVACY_EMAIL].

7. International data transfers

Some of our subprocessors are established outside the European Economic Area (EEA):

  • United States — OpenAI (AI realtime assistant). Transfers are made under the EU Standard Contractual Clauses (Commission Decision 2021/914) and, where applicable, the EU–US Data Privacy Framework.
  • People's Republic of China — DeepSeek (AI parsing of reservation emails). China is not covered by an adequacy decision of the European Commission. The transfer is based on the EU Standard Contractual Clauses, supplemented by technical and organisational measures: TLS in transit, strict data minimisation (only the booking-email content is sent, not the rest of your account data), and a Transfer Impact Assessment carried out by us. You have the right to obtain a copy of these safeguards by writing to [PRIVACY_EMAIL]. If you do not wish your booking-email content to be processed by DeepSeek, contact us and we will assess alternative processing.

Additional technical and organisational measures applied to international transfers include encryption in transit (HTTPS/TLS), encryption at rest where supported by the recipient, pseudonymisation where possible, access controls, and contractual restrictions on further sub-processing.

8. Your rights

Under the GDPR you have the following rights:

  • Access — obtain confirmation and a copy of your data.
  • Rectification — correct inaccurate or incomplete data.
  • Erasure (“right to be forgotten”) — delete your data when no longer necessary.
  • Restriction of processing.
  • Portability — receive your data in a structured, machine-readable format.
  • Objection to processing based on legitimate interest or for direct marketing.
  • Withdraw consent at any time, without affecting the lawfulness of prior processing.
  • Not be subject to automated decisions with significant effects.

To exercise these rights, write to [PRIVACY_EMAIL] with proof of identity. We will respond within one month.

If you believe your rights have been infringed, you may lodge a complaint with the Finnish Data Protection Ombudsman (Tietosuojavaltuutetun toimisto, tietosuoja.fi) or with the supervisory authority of your country of residence. UK residents may contact the Information Commissioner's Office (ico.org.uk).

California residents (CCPA/CPRA): you additionally have the right to know what personal information is collected, to delete it, to opt out of any “sale” or “sharing” (we do not sell personal information), and to non-discrimination for exercising these rights.

9. Security measures

We apply technical and organisational measures appropriate to the risk, including: HTTPS/TLS encryption, password hashing, access controls, session management, server-side validation, daily backups, isolated customer instances, and least-privilege access for staff. No system is 100% secure; we will notify affected users and the competent authority within 72 hours in the event of a personal data breach that poses a risk to rights and freedoms.

10. Children

The service is not directed to persons under 16. We do not knowingly collect data from minors. If you become aware that a minor has provided personal data, please contact us so we can delete it.

11. AI processing and automated decisions

Tour Tracker uses AI models (see Section 6) to extract structured reservation data — date, time, group size, customer name and contact details — from booking-confirmation emails that the customer forwards or whose inbox the customer connects. This processing does not produce legal effects or similarly significant effects on data subjects within the meaning of Article 22 GDPR: the extracted output is always reviewable and editable by the customer's staff, and no contractual, pricing or eligibility decision is made automatically based on it.

12. Changes to this policy

We may update this Privacy Policy to reflect changes in the service or in applicable law. The “Last updated” date at the top of this page will reflect the most recent revision. Material changes will be notified by email or through a prominent notice in the service.

For any question about this Privacy Policy, please contact [PRIVACY_EMAIL].

Política de Privacidad

Última actualización: 18 de mayo de 2026 · Fecha de entrada en vigor: 18 de mayo de 2026

1. Responsable del tratamiento

La entidad responsable del tratamiento de tus datos personales es:

  • Empresa: [LEGAL_NAME]
  • Identificador fiscal (Y-tunnus): [BUSINESS_ID]
  • Domicilio: [ADDRESS], Finlandia
  • Email: [PRIVACY_EMAIL]
  • Servicio: Tour Tracker (tourtracker.me)

Para cualquier cuestión relativa a la protección de tus datos personales, puedes contactarnos en la dirección anterior.

2. Ámbito de aplicación

Esta Política de Privacidad describe cómo recopilamos, utilizamos, almacenamos y protegemos los datos personales de (i) visitantes del sitio web tourtracker.me, (ii) clientes suscritos al servicio Tour Tracker, (iii) usuarios finales de las instancias de clientes (guías, operadores) y (iv) clientes finales de nuestros clientes cuyos datos de reserva se tratan a través de la plataforma.

El tratamiento cumple con el Reglamento (UE) 2016/679 (RGPD), la Ley de Protección de Datos finlandesa 1050/2018 (Tietosuojalaki) y, cuando proceda, el UK GDPR y la California Consumer Privacy Act (CCPA/CPRA) para residentes en dichas jurisdicciones.

3. Categorías de datos personales tratados

CategoríaEjemplos
Identificación y cuentaNombre de usuario, email, nombre de empresa, contraseña cifrada
Contacto y comercialesNombre, email, teléfono, dirección de facturación, plan, estado de pago
Datos de reservas (tratados por cuenta de los clientes)Nombre del cliente final, email, teléfono, idioma, tamaño del grupo, referencia de reserva, fecha y hora del tour
TécnicosDirección IP, navegador, sistema operativo, identificadores de sesión, marcas de tiempo de logs
ComunicacionesMensajes enviados por el formulario de contacto, emails de soporte
Cookies y analíticaVer nuestra Política de Cookies

No recopilamos conscientemente categorías especiales de datos (salud, religión, biometría, etc.) y no recogemos datos de menores de 16 años.

4. Finalidades y base jurídica

FinalidadBase jurídica (art. 6 RGPD)
Prestar el servicio Tour Tracker, gestionar cuentas, facturación y soporteEjecución de un contrato — art. 6.1.b
Cumplir obligaciones fiscales, contables y otras obligaciones legalesObligación legal — art. 6.1.c
Enviar notificaciones operativas (seguridad, caídas, cambios de plan)Interés legítimo — art. 6.1.f
Responder a consultas del formulario de contactoConsentimiento — art. 6.1.a
Envío de comunicaciones comerciales y newsletterConsentimiento — art. 6.1.a
Analítica y mejora del servicioConsentimiento (cookies opt-in) — art. 6.1.a
Prevenir fraude, abuso y garantizar la seguridadInterés legítimo — art. 6.1.f
Tratamiento de datos de reservas de clientes finales por cuenta de nuestros clientesEncargado del tratamiento — art. 28 RGPD; el cliente es el responsable

5. Plazos de conservación

  • Datos de cuenta: se conservan mientras la suscripción esté activa y hasta 12 meses después de la baja, con fines de soporte y reactivación.
  • Facturación y registros fiscales: se conservan 6 años conforme a la ley contable finlandesa (Kirjanpitolaki 1336/1997).
  • Datos de reservas: se conservan mientras la instancia del cliente esté activa; se eliminan en un plazo de 30 días desde la solicitud de borrado del cliente o la baja del servicio, salvo obligación legal de conservación.
  • Mensajes del formulario de contacto: hasta 24 meses.
  • Logs de servidor: hasta 12 meses por seguridad y diagnóstico.
  • Cookies: ver Política de Cookies.

6. Destinatarios y encargados del tratamiento

Solo compartimos datos con encargados estrictamente necesarios para operar el servicio, todos vinculados por contratos de tratamiento (art. 28 RGPD):

  • Hosting: Hostinger International Ltd. (servidores en la UE).
  • Pagos: Stripe Payments Europe Ltd. — nunca almacenamos números de tarjeta.
  • Envío de correo: proveedor SMTP configurado por [LEGAL_NAME] para correos transaccionales.
  • Procesamiento de IA para emails de reserva — DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd., República Popular China): se utiliza para extraer datos estructurados de reserva (fecha, hora, tamaño del grupo, nombre y datos de contacto del cliente, referencia de reserva) de los correos de confirmación reenviados por nuestros clientes. Solo enviamos el contenido del correo estrictamente necesario para la extracción y no incluimos datos personales no relacionados. Hemos configurado la integración para desactivar el uso de los datos enviados para entrenar modelos, cuando el proveedor ofrece esa opción.
  • Asistente de IA en tiempo real — OpenAI, L.L.C. (Estados Unidos): opcionalmente utilizado en el panel del cliente para asistir a los operadores con el producto. Conforme a los términos de la API de OpenAI, los datos enviados a través de la API no se utilizan para entrenar sus modelos.
  • Autoridades públicas cuando lo exija la ley (orden judicial, autoridad tributaria, fuerzas de seguridad).

Una lista actualizada de subencargados está disponible bajo solicitud en [PRIVACY_EMAIL].

7. Transferencias internacionales

Algunos de nuestros subencargados están establecidos fuera del Espacio Económico Europeo (EEE):

  • Estados Unidos — OpenAI (asistente de IA en tiempo real). Las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo de la UE (Decisión 2021/914) y, cuando proceda, del EU–US Data Privacy Framework.
  • República Popular China — DeepSeek (análisis con IA de los correos de reserva). China no cuenta con una decisión de adecuación de la Comisión Europea. La transferencia se basa en las Cláusulas Contractuales Tipo de la UE, complementadas con medidas técnicas y organizativas: TLS en tránsito, minimización estricta de datos (solo se envía el contenido del correo de reserva, no el resto de los datos de tu cuenta) y una Evaluación de Impacto de Transferencia realizada por nosotros. Tienes derecho a obtener copia de estas garantías escribiendo a [PRIVACY_EMAIL]. Si no deseas que el contenido de tus correos de reserva sea procesado por DeepSeek, contáctanos y evaluaremos un tratamiento alternativo.

Las medidas técnicas y organizativas adicionales aplicadas a las transferencias internacionales incluyen cifrado en tránsito (HTTPS/TLS), cifrado en reposo cuando lo admita el destinatario, seudonimización cuando sea posible, controles de acceso y restricciones contractuales sobre la subcontratación.

8. Tus derechos

Conforme al RGPD tienes los siguientes derechos:

  • Acceso — obtener confirmación y una copia de tus datos.
  • Rectificación — corregir datos inexactos o incompletos.
  • Supresión (“derecho al olvido”) — eliminar tus datos cuando ya no sean necesarios.
  • Limitación del tratamiento.
  • Portabilidad — recibir tus datos en formato estructurado y legible por máquina.
  • Oposición al tratamiento basado en interés legítimo o a la mercadotecnia directa.
  • Retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.
  • No ser sometido a decisiones automatizadas con efectos significativos.

Para ejercer estos derechos, escribe a [PRIVACY_EMAIL] acreditando tu identidad. Responderemos en el plazo de un mes.

Si consideras que tus derechos han sido vulnerados, puedes presentar una reclamación ante la Autoridad de Protección de Datos de Finlandia (Tietosuojavaltuutetun toimisto, tietosuoja.fi) o ante la autoridad de control de tu país de residencia. En España la autoridad competente es la AEPD (aepd.es).

Residentes en California (CCPA/CPRA): tienen además derecho a conocer qué información personal se recopila, a eliminarla, a oponerse a cualquier “venta” o “intercambio” (no vendemos información personal) y a la no discriminación por el ejercicio de estos derechos.

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas al riesgo: cifrado HTTPS/TLS, hashing de contraseñas, control de accesos, gestión de sesiones, validación en servidor, copias de seguridad diarias, instancias aisladas por cliente y acceso de mínimo privilegio para el personal. Ningún sistema es 100% seguro; notificaremos a los usuarios afectados y a la autoridad competente en el plazo de 72 horas en caso de violación de datos personales que suponga un riesgo para los derechos y libertades.

10. Menores

El servicio no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si tienes conocimiento de que un menor ha proporcionado datos personales, contáctanos para eliminarlos.

11. Procesamiento con IA y decisiones automatizadas

Tour Tracker utiliza modelos de IA (ver sección 6) para extraer datos estructurados de reservas — fecha, hora, tamaño del grupo, nombre y datos de contacto del cliente — de los correos de confirmación que el cliente reenvía o cuya bandeja de entrada conecta. Este tratamiento no produce efectos jurídicos ni efectos significativos similares sobre los interesados en el sentido del art. 22 RGPD: el resultado extraído es siempre revisable y editable por el personal del cliente, y no se toma ninguna decisión contractual, de precios o de elegibilidad de manera automatizada basada en él.

12. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en el servicio o en la normativa aplicable. La fecha de “Última actualización” al inicio de esta página reflejará la última revisión. Los cambios sustanciales se notificarán por email o mediante un aviso destacado en el servicio.

Para cualquier pregunta sobre esta Política de Privacidad, contacta con [PRIVACY_EMAIL].