Tietosuojaseloste
EU:n yleisen tietosuoja-asetuksen (2016/679) 13 ja 14 artiklan mukainen informointi. Päivitetty 1.6.2026 · Versio 1.1.
1. Rekisterinpitäjä
Kasvuvoima Oy (jäljempänä "Rekisterinpitäjä")
Y-tunnus: 3623793-1
Osoite: Iltatähdentie 5 K 39, 00740 Helsinki, Suomi
Sähköposti: info@kasvuvoima.fi
Verotyokalut.fi on Kasvuvoima Oy:n tuottama palvelu.
Tietosuojaan liittyvät tiedustelut: info@kasvuvoima.fi. Rekisterinpitäjällä ei ole velvollisuutta nimetä tietosuojavastaavaa (GDPR 37 art.), mutta kaikki tiedustelut ohjataan yllä olevaan osoitteeseen.
2. Käsiteltävät henkilötiedot
| Tietoryhmä | Sisältö | Lähde |
|---|---|---|
| Tilaustiedot | Nimi, sähköposti, mahdollinen Y-tunnus, laskutusosoite, ostettu tuote | Tilauslomake |
| Maksutiedot | Maksun tila, maksutapa, transaktiotunniste (ei korttitietoja) | Stripe / Paytrail |
| Yhteystiedot | Nimi, sähköposti, yrityksen tiedot, viestin sisältö | B2B-lomake |
| Chat-viestit | Kysymys ja vastaus kyseisessä istunnossa | Assistentti (katso kohta 4) |
| Tekniset lokit | IP-osoite, käyttöajankohta, virheilmoitukset | Palvelin |
| Analytiikka | Anonymisoitu käyttö — ei evästeitä, ei IP:tä tallennusmuodossa | Plausible |
3. Käsittelyn tarkoitukset ja oikeusperusteet (GDPR 6 art.)
- Tilauksen toimittaminen — sopimuksen täyttäminen (6(1)(b)).
- Laskutus ja kirjanpito — lakisääteinen velvoite (6(1)(c), kirjanpitolaki 1336/1997).
- Asiakastuki ja reklamaatiot — sopimuksen täyttäminen (6(1)(b)).
- Chat-assistentin käyttö — oikeutettu etu (6(1)(f)) palvelun tuottamiseksi; käyttö on vapaaehtoista ja peruttavissa.
- Palvelun kehittäminen ja väärinkäytösten estäminen — oikeutettu etu (6(1)(f)).
- Suoramarkkinointi — suostumus (6(1)(a)); ei lähetetä ilman erillistä suostumusta.
4. Säilytysajat
- Tilaus- ja maksutiedot: 6 vuotta tilikauden päättymisestä (kirjanpitolaki 2:10 §).
- Yhteydenottolomake: 12 kuukautta vastauksen jälkeen.
- Palvelinlokit: 30 vuorokautta.
- Chat-viestit: ei tallenneta palvelimillemme. Yksittäinen viesti siirtyy OpenAI:n kielimalliin vastauksen tuottamista varten; OpenAI ei käytä ELI:n ja Irlannin yksikön kautta kulkevia API-viestejä mallin koulutukseen (OpenAI Business Terms). Viestit säilyvät paikallisesti käyttäjän selaimessa (localStorage) kunnes käyttäjä painaa "Uusi keskustelu".
- Markkinointisuostumus: kunnes peruutetaan + 3 kuukautta todisteluun.
5. Tietojen käsittelijät (GDPR 28 art.)
| Käsittelijä | Tarkoitus | Sijainti |
|---|---|---|
| Stripe Payments Europe, Ltd. | Korttimaksut, laskutus | EU (Irlanti) |
| Vercel Inc. | Sivuston tarjoilu | EU-pisteet; emo USA |
| Cloudflare, Inc. | Tiedostojen jakelu | Globaali; emo USA |
| Resend, Inc. | Tilausvahvistukset | USA |
| OpenAI Ireland Ltd. | Chat-kielimalli | Irlanti; laskenta osin USA |
| Plausible Insights OÜ | Anonymisoitu analytiikka | Saksa |
6. Siirrot EU/ETA-alueen ulkopuolelle
Osa käsittelijöistä (Stripe, Vercel, Cloudflare, Resend, OpenAI) voi käsitellä tietoja Yhdysvalloissa. Siirrot perustuvat EU–Yhdysvallat Data Privacy Framework -riittävyyspäätökseen (2023/1795) tai EU:n vakiosopimuslausekkeisiin (2021/914) lisätoimenpiteiden kanssa. Pyynnöstä toimitamme siirtoperusteet ja DPA-sopimukset.
7. Rekisteröidyn oikeudet (GDPR 15–22 art.)
Kaikki pyynnöt: info@kasvuvoima.fi — vastaus kuukauden sisällä. Henkilöllisyys varmennetaan ennen tietojen luovutusta.
| Oikeus | Mitä tarkoittaa | Rajoitukset |
|---|---|---|
| Tarkastusoikeus (15 art.) | Saat kopion sinusta tallennetuista tiedoista | — |
| Oikeus oikaisuun (16 art.) | Virheelliset tai puutteelliset tiedot korjataan | — |
| Oikeus poistamiseen (17 art.) | Tietosi poistetaan pyynnöstä | Kirjanpitolain säilytysvelvoite (6 v) voi estää osittaisen poiston |
| Käsittelyn rajoittaminen (18 art.) | Voit pyytää käsittelyn rajoittamista riitatilanteessa | — |
| Siirto-oikeus (20 art.) | Saat tietosi koneluettavassa muodossa (JSON/CSV) | Koskee vain suostumukseen tai sopimukseen perustuvaa käsittelyä |
| Vastustamisoikeus (21 art.) | Voit vastustaa oikeutettuun etuun perustuvaa käsittelyä | Käsittely lopetetaan ellei pakottavaa syytä ole |
| Suostumuksen peruuttaminen | Markkinointisuostumus peruutettavissa milloin tahansa | Ei vaikuta ennen peruutusta tehtyyn käsittelyyn |
8. Tietoturvaloukkaukset
Havaituista tietoturvaloukkauksia käsitellään seuraavasti:
- Havaitseminen: Palvelin- ja sovelluslokit tarkistetaan automaattisesti; epätavalliset kirjautumiset tai tietovuodot käynnistävät hälytyksen.
- Arviointi: Loukkauksen vakavuus arvioidaan välittömästi — vaikuttaako se henkilötietoihin ja onko riski rekisteröityjen oikeuksille korkea.
- Viranomaisilmoitus: Jos loukkaus todennäköisesti aiheuttaa riskin, ilmoitus Tietosuojavaltuutetulle 72 tunnin kuluessa (GDPR 33 art.).
- Rekisteröityjen ilmoitus: Jos riski on korkea, rekisteröidyille ilmoitetaan viipymättä selkeällä kielellä (GDPR 34 art.).
- Dokumentointi: Kaikki loukkaukset dokumentoidaan sisäisesti riippumatta ilmoitusvelvollisuudesta.
Epäillystä tietoturvaloukkauksesta ilmoita: info@kasvuvoima.fi
9. Tietoturva
TLS 1.2+ -salaus. Pääsy vähimmän oikeuksien periaatteella. Maksu- tai korttitiedot eivät kulje palvelimiemme kautta; ne siirtyvät suoraan PCI-DSS Level 1 -sertifioituihin maksupalveluihin.
10. Oikeus tehdä valitus valvontaviranomaiselle (GDPR 77 art.)
Sinulla on oikeus tehdä valitus henkilötietojesi käsittelystä toimivaltaiselle valvontaviranomaiselle, erityisesti siinä EU:n jäsenvaltiossa, jossa vakinainen asuinpaikkasi tai työpaikkasi sijaitsee taikka jossa väitetty GDPR-rikkominen on tapahtunut.
Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
Puh: 029 566 6700
Sähköposti: tietosuoja@om.fi
tietosuoja.fi
Suosittelemme ottamaan ensin yhteyttä meihin (info@kasvuvoima.fi) — pyrimme ratkaisemaan kaikki tietosuojakysymykset suoraan ja nopeasti.
11. Muutokset tähän selosteeseen
Olennaiset muutokset ilmoitetaan sivustolla vähintään 14 vuorokautta ennen voimaantuloa.