Oikeudellinen
Tietosuojaseloste
Viimeksi päivitetty: 18.7.2026
Tämä tietosuojaseloste on osa palvelun sopimusta ja täydentää käyttöehtoja. Seloste kuvaa, miten Tilaajavastuupaketti.fi käsittelee henkilötietoja GDPR:n mukaisesti.
1. Rekisterinpitäjä
Jyri Puhakka (toiminimi Krasis)
Y-tunnus: 3338223-6
Postiosoite: Kontiontie 9 B 12, 02110 Espoo
Sähköposti: hello@tilaajavastuupaketti.fi
Rekisterinpitäjä vastaa henkilötietojen käsittelystä EU:n yleisen tietosuoja-asetuksen (GDPR 2016/679) ja Suomen tietosuojalain (1050/2018) mukaisesti. Tietosuoja-asioissa ota yhteyttä yllä mainittuun sähköpostiosoitteeseen.
2. Kerättävät henkilötiedot
Palvelu käsittelee seuraavia tietoja:
- Kirjautumistiedot: Sähköpostiosoite, nimi ja Googlen pysyvä käyttäjätunniste (OAuth
sub-tunniste, jota käytetään tilin yksilöintiin kirjautumisten välillä) Google-kirjautumisen kautta (mikäli käytetty). - Maksutiedot: Stripe-maksunvälittäjä käsittelee maksutapahtuman. Emme itse näe emmekä tallenna maksukorttinumeroita — saamme ainoastaan maksun ID:n ja tapahtuman tilan.
- Käyttötiedot: Raportin luontiaika, käsitelty Y-tunnus ja maksun viitetunnus.
- Liitedokumentit: Käyttäjän lataamat alkuperäiset tiedostot (verotodistukset, vakuutustodistukset jne.) käsitellään ainoastaan selaimessa eikä niitä lähetetä palvelimelle eikä tallenneta tietokantaan. Tiedostoista koostettu PDF-raportti sen sijaan lähetetään sähköpostiin Resend-palvelun kautta (ks. alla).
- Sähköpostiviestit ja PDF-kooste: Maksun jälkeen generoitu PDF-kooste lähetetään automaattisesti käyttäjän sähköpostiosoitteeseen. Tätä varten kooste siirretään rekisterinpitäjän palvelun kautta Resend Inc. -sähköpostipalveluun, joka toimii rekisterinpitäjän lukuun tietojenkäsittelijänä (GDPR 28 art.). Resend käsittelee koosteen välityksen ajan ja tallentaa metatiedot (vastaanottaja, lähetysaika, toimitustila) omien käytäntöjensä mukaisesti. Käyttäjä hyväksyy koosteen välityksen Resendin tietojenkäsittelyehtojen mukaisesti. Alkuperäisiä liitetiedostoja ei tallenneta rekisterinpitäjän palvelimille.
3. Käyttötarkoitukset ja oikeusperusteet
Henkilötietoja käytetään ainoastaan seuraaviin tarkoituksiin. Jokaisen tarkoituksen kohdalla on mainittu GDPR:n mukainen käsittelyn oikeusperuste.
Palvelun tuottaminen ja raportin toimittaminen
Käyttäjäprofiilin ylläpito, PDF-koosteen generointi ja toimitus sähköpostiin.
Oikeusperuste: Sopimuksen täytäntöönpano (GDPR art. 6(1)(b))
Maksutapahtumat ja kirjanpito
Maksun todentaminen, ostokuitin toimittaminen ja kirjanpitovelvoitteen täyttäminen (kirjanpitolaki 7 v.).
Oikeusperuste: Lakisääteinen velvoite (GDPR art. 6(1)(c))
Tekninen kehitys, virheiden korjaus ja tietoturva
Anonymisoitu käyttödata palvelun laadun parantamiseen ja tietoturvan ylläpitoon.
Oikeusperuste: Oikeutettu etu (GDPR art. 6(1)(f)) — intressi: palvelun luotettavuus ja tietoturva
Tietoja ei käytetä markkinointiin, profilointiin eikä myydä kolmansille osapuolille.
4. Dokumenttien käsittely selaimessa
Käyttäjän lataamat alkuperäiset tiedostot (verotodistukset, vakuutustodistukset jne.) käsitellään täysin selaimessa JavaScript-koodilla. Tiedostot yhdistetään PDF-raporttiin selaimen muistissa. Alkuperäiset tiedostot eivät siirry palvelimelle eivätkä tallennu tietokantaan, ja ne poistuvat selaimen muistista raportin lataamisen jälkeen automaattisesti.
Selaimessa koostettu PDF-raportti lähetetään sen sijaan käyttäjän sähköpostiin Resend-palvelun kautta. Tältä osin data poistuu käyttäjän laitteelta ja siirtyy kolmannen osapuolen käsiteltäväksi rekisterinpitäjän lukuun — tarkemmin kuvattu kohdassa 2 (Sähköpostiviestit ja PDF-kooste) sekä kohdassa 5 (Resend Inc.).
Palvelu pyytää käyttäjää merkitsemään liitteet ohjauksellisessa tarkoituksessa: tarkoituksena on varmistaa, että käyttäjä hankkii ja tallentaa tarvittavat dokumentit itse ennen selvityksen lähettämistä eteenpäin.
5. Tietojen luovuttaminen ja siirrot ETA-alueen ulkopuolelle
Luovutamme tietoja ainoastaan seuraaville alihankkijoille palvelun tuottamiseksi:
Stripe Inc. ETA-alueen ulkopuolelle siirto
Maksunvälitys. Stripe käsittelee maksutapahtuman tiedot, joihin voi sisältyä nimi ja sähköpostiosoite. Stripe toimii osin Yhdysvalloissa. Siirto tapahtuu EU-U.S. Data Privacy Frameworkin (DPF) ja/tai EU:n komission hyväksymien vakiosopimuslausekkeiden (SCC) nojalla.
stripe.com/fi/privacy
Supabase Inc.
Tietokannan isännöinti. Tallentaa kirjautumistiedot (sähköposti, nimi), raporttitunnisteet ja maksuviitteet. Palvelimet sijaitsevat EU-alueella (Frankfurt).
Google LLC ETA-alueen ulkopuolelle siirto
OAuth-kirjautuminen. Google vastaanottaa kirjautumisen yhteydessä tunnistetiedot. Google toimii osin Yhdysvalloissa; siirto tapahtuu vakiosopimuslausekkeiden (SCC) nojalla.
Resend Inc. ETA-alueen ulkopuolelle siirto
Sähköpostinvälitys. Resend käsittelee ja välittää PDF-koosteen liitteenä käyttäjän sähköpostiosoitteeseen. Resend tallentaa metatiedot (vastaanottaja, lähetysaika, toimitustila) omien lokikäytäntöjensä mukaisesti. Resend toimii osin Yhdysvalloissa; siirto tapahtuu vakiosopimuslausekkeiden (SCC) nojalla.
resend.com/legal/privacy-policy
Muille tahoille ei luovuteta tietoja ilman lakisääteistä velvoitetta tai nimenomaista suostumusta.
6. Säilytysajat
- Käyttäjäprofiili: Niin kauan kuin tili on aktiivinen. Tili katsotaan passiiviseksi, jos kirjautumisia ei ole 24 kuukauden aikaan — passiiviset tilit poistetaan ilman erillistä ilmoitusta. Tili voidaan poistaa myös käyttäjän pyynnöstä tai palvelun lopettuessa.
- Maksutapahtumatiedot: 7 vuotta (kirjanpitolain vaatimus).
- Käyttölokit: Enintään 90 päivää.
- Liitedokumentit: Ei tallenneta — käsitellään vain käyttäjän selaimessa.
7. Rekisteröidyn oikeudet (GDPR)
EU:n tietosuoja-asetuksen mukaan sinulla on oikeus:
- Tarkastusoikeus (15 art.) — saada tieto itseäsi koskevista tiedoista.
- Oikaisupyyntö (16 art.) — korjata virheelliset tiedot.
- Poisto-oikeus (17 art.) — pyytää tietojen poistamista ("oikeus tulla unohdetuksi"), ellei lakisääteinen velvoite estä.
- Käsittelyn rajoittamisoikeus (18 art.) — pyytää henkilötietojesi käsittelyn rajoittamista tietyissä tilanteissa, esimerkiksi tietojen oikeellisuuden tarkistamisen ajaksi.
- Siirto-oikeus (20 art.) — saada tiedot koneluettavassa muodossa.
- Vastustamisoikeus (21 art.) — vastustaa tiettyä tietojen käsittelyä.
Palvelu ei tee automaattista päätöksentekoa eikä profilointia, jolla olisi sinuun oikeudellisia tai vastaavia merkittäviä vaikutuksia (GDPR 22 art.).
Palvelun käsittely ei tällä hetkellä perustu suostumukseen (GDPR 6 art. 1 kohta a). Mikäli tämä muuttuu, tiedotamme asiasta ja sinulla on oikeus peruuttaa suostumus milloin tahansa (7 art. 3 kohta) ilman, että se vaikuttaa ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
Pyyntöihin vastataan 30 päivän kuluessa. Ota yhteyttä: hello@tilaajavastuupaketti.fi
Sinulla on myös oikeus tehdä valitus tietosuojavaltuutetulle: tietosuoja.fi
8. Tietoturva
Kaikki liikenne palvelun ja selaimen välillä on salattu HTTPS-protokollalla. Tietokanta on suojattu käyttöoikeustasoin ja sijaitsee EU-alueella. Maksuliikenne kulkee PCI-DSS-sertifioidun Stripen kautta emmekä koske maksukorttitietoihin.
9. Evästeet
Käytämme ainoastaan välttämättömiä istuntoevästeitä kirjautumistilan ylläpitämiseen. Emme käytä analytiikka-, mainos- tai seurantaevästeitä. Evästeisiin ei tarvita erillistä suostumusta, koska ne ovat teknisesti välttämättömiä palvelun toiminnalle.
10. Käytännön muutokset
Päivitämme tätä käytäntöä tarvittaessa. Oleellisista muutoksista ilmoitamme palvelussa. Jatkamalla palvelun käyttöä hyväksyt tietosuojakäytännön.
Tämä tietosuojaseloste on laadittu EU:n yleisen tietosuoja-asetuksen (GDPR 2016/679) ja Suomen tietosuojalain (1050/2018) mukaisesti.