Heppu AI

Tietosuojaseloste

Päivitetty 6/2025 (versio 1.1)

Tämä tietosuojaseloste ("Seloste") on EU:n yleisen tietosuoja-asetuksen (Euroopan Parlamentin ja Neuvoston asetus 679/2016 "GDPR") mukainen selvitys siitä, miten me Heppu AI Oy:ssä ("Rekisterinpitäjä", "me", "meidän" jne. ja jäljempänä esitetyn mukaisesti myös "Tietojenkäsittelijä") käsittelemme luonnollisten henkilöiden ("Rekisteröity") henkilötietoja ("Tiedot") ja mitkä ovat Rekisteröidyn oikeudet.

Seloste käsittää sekä sellaisten Tietojen käsittelyn, jotka me Rekisterinpitäjänä keräämme, että Tiedot, joiden käsittely perustuu meidän ja asiakasyritystemme ("Asiakas") väliseen tietojenkäsittelysopimukseen ("DPA"). Tietojenkäsittelysopimukseen perustuvissa käsittelytilanteissa Asiakkaamme toimii rekisterinpitäjänä ("Toimeksiantaja") ja me Tietojenkäsittelijänä.

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ

Heppu AI Oy (Y-tunnus 3517137-9)
Huopalahdentie 24, 00350 Helsinki

Henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa yhteydenottoihin vastaa:
Mika Jordanov
mika@heppu.ai

HENKILÖTIETOJEN KÄSITTELYN PERUSTE

Käsittelemme henkilötietoja ensisijaisesti Rekisteröidyn suostumuksella. Lisäksi käsittelemme henkilötietoja sopimusvelvoitteiden täyttämiseksi sekä Rekisterinpitäjän ja Toimeksiantajan oikeutettujen etujen nojalla. Oikeutettu etu on käsittelyperusteena silloin, kun käytämme Tietoja tavanomaiseen liiketoimintaan kuuluvien käsittelytarpeiden perusteella.

Sopimusvelvoitteen täyttämiseksi katsotaan myös meidän ja Toimeksiantajan välinen palvelusopimus ("Palvelusopimus"). Palvelusopimuksella sovitun palvelun toteuttamiseksi käsittelemme henkilötietoja joko Rekisterinpitäjänä tai Tietojenkäsittelijänä riippuen siitä, onko Rekisteröity Toimeksiantajan edustaja vai Toimeksiantajan asiakas tai potentiaalinen asiakas.

HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Käsittelemme henkilötietoja lainmukaisesti ja ainoastaan tässä Selosteessa esitettyä, nimenomaista tarkoitusta varten.

Henkilötietojen käsittely on tarpeellista

  • palveluidemme tarjoamiseksi ja markkinoimiseksi;
  • asiakassuhteen hoitamiseksi, mukaan lukien asiakasviestintä, markkinointi, laskutus;
  • Palvelusopimuksessa sovittujen palvelujen täyttämiseksi ja toteuttamiseksi;
  • verkkosivujen toiminnan mahdollistamiseksi;
  • Rekisterinpitäjän ja Toimeksiantajan oikeutettujen etujen toteuttamiseksi; ja
  • lakimääräisten velvoitteiden täyttämiseksi.

TIETOLÄHTEET

Keräämme Tietoja sekä automaattisesti että Rekisteröidyltä itseltään (mm. verkkosivujen lomakkeet, asiakasviestintä ja mainosevästeet). Meillä on oikeus tarkistaa ja täydentää Rekisteröidyltä saatuja tietoja julkisesti saatavilla olevista lähteistä, kuten Kaupparekisteristä.

Automaattinen tietojen kerääminen ja käsittely perustuu verkkosivujemme ja muiden sähköisten palveluidemme käyttöön.

Palvelusopimuksen ja DPA:n nojalla saamme Tiedot Toimeksiantajalta. Toimeksiantaja vastaa siitä, mitä tietoja meille luovutetaan ja mihin niitä käytetään.

KÄSITELTÄVÄT HENKILÖTIEDOT

Käsittelemme asiakassuhteen hoitamiseksi ja siihen liittyvien velvoitteiden täyttämiseksi tarpeellisia henkilötietoja, joita ovat:

  • Yksilöinti- ja yhteystiedot (mm. nimi, puhelinnumero, postiosoite, syntymäaika tai henkilötunnus, sähköposti sekä asiakasyritykseen liittyvät tiedot, myös yksityisen elinkeinonharjoittajan tiedot);
  • Sähköiseen suoramarkkinointiin liittyvät Tiedot (mm. tilaustiedot, suostumukset ja kiellot);
  • Verkkosivujen kävijäseurantaan liittyvät tiedot (mm. IP-osoitteet ja käyttäytyminen verkkosivuilla);
  • Asiakkaan vapaaehtoisesti antamat tiedot, kuten asiakaspalautteet;

Palvelusopimuksen ja DPA:n nojalla käsiteltävät henkilötiedot voivat edellä mainittujen lisäksi sisältää seuraavia Tietoja:

  • rekisteröitävän omaisuuden tiedot (esim. auton rekisterinumero, kiinteistön tiedot)

HENKILÖTIETOJEN LUOVUTTAMINEN JA SIIRROT KOLMANSILLE

Tietoja ei säännönmukaisesti luovuteta ulkopuolisille. Tietoja (kuten asiakaspalautteet) voidaan kuitenkin julkaista siten kuin on asiakkaan kanssa sovittu.

Tietoja voidaan luovuttaa kumppaneillemme, sikäli kuin se on välttämätöntä sopimuksen täytäntöönpanemiseksi tai meidän tai Toimeksiantajan oikeutetun edun nojalla. Tällöin kumppanimme käsittelevät Tietoja rekisterinpitäjän lukuun.

Palvelumme mahdollistamiseksi käytämme alikäsittelijöitä. Käyttäessämme alikäsittelijöitä vastaamme siitä, että myös alikäsittelijät toimivat Toimeksiantajan ohjeiden mukaisesti.

Saatamme siirtää Tietoja seuraavissa tarkoituksissa:

  • AI-palvelun toteuttamiseksi: listan käyttämistämme alikäsittelijöistä löydät osoitteesta https://heppu.ai/gdpr
  • kumppaneillemme, jotka toimivat Tietojen käsittelijöinä omien palveluidensa tarjoamiseksi (esim. kirjanpito, tietojärjestelmät, pankki, vakuutusyhtiö);
  • rekisteröidyn suostumuksella osapuolille, joita suostumus koskee; sekä
  • viranomaisille tai oikeudelisille neuvonantajille tilanteissa, joissa luovuttaminen on välttämätöntä lain tai oikeutetun etumme nojalla.

HENKILÖTIETOJEN SIIRTÄMINEN KOLMANSIIN MAIHIN

Palvelumme mahdollistamiseksi käytämme ulkopuolisia palveluntarjoajia, jotka voivat sijaita EU:n ja Euroopan talousalueen ulkopuolella. Olemme varmistuneet siitä, että palveluntarjoajat noudattavat GDPR:n säännöksiä.

HENKILÖTIETOJEN SUOJAUS

Tiedot on suojattu käyttäen asianmukaisia teknisiä ja organisatorisia suojatoimia. Kaikki henkilötietoja käsittelevät henkilöt ovat sitoutuneet pitämään Rekisteröityjen Tiedot salassa ja käsittelemään niitä ainoastaan tämän Selosteen mukaisessa tarkoituksessa.

HENKILÖTIETOJEN SÄILYTYSAIKA

Rekisterinpitäjänä säilytämme Tietoja niin kauan kuin niitä tarvitaan siihen tarkoitukseen, jota varten ne on kerätty. Palvelusopimusta varten kerätyt tiedot poistetaan vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana Palvelusopimus päättyi, ellei lainsäädännöstä muuta johdu.

Laki tai muu sääntely voi edellyttää pidempää säilytysaikaa (esimerkiksi kirjanpitolain 1336/1007 mukaiset säilytysajat).

Toimiessamme Tietojenkäsittelijänä käsittelemme tietoja Toimeksiantajan ohjeiden mukaisesti Toimeksiantajan järjestelmässä tai Toimeksiantajan järjestelmiin integroituen. Toimeksiantaja säilyttää tietoja oman käytäntönsä mukaisesti.

PROFILOINTI JA AUTOMAATTINEN PÄÄTÖKSENTEKO

Tietoja ei käytetä profilointiin tai muuhun automaattiseen päätöksentekoon.

Profiloinnilla tarkoitetaan Tietojen automaattista käsittelyä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia.

REKISTERÖIDYN OIKEUDET

GDPR:n mukaan Rekisteröidyllä on:

Oikeus saada pääsy Tietoihin:

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia Tietoja, ja jos käsitellään, oikeus saada kopio Tiedoistaan;

Oikeus Tietojen oikaisemiseen:

Rekisteröidyllä on oikeus pyytää, että häntä koskevat epätarkat ja virheelliset Tiedot korjataan. Rekisteröidyllä on myös oikeus saada puutteelliset Tiedot täydennettyä toimittamalla tarvittavat lisätiedot;

Oikeus Tietojen poistamiseen:

Rekisteröidyllä on oikeus pyytää itseään koskevien Tietojen poistamista, jos

  • Tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty; tai
  • Tietoja on käsitelty lainvastaisesti.

Oikeus käsittelyn rajoittamiseen:

Rekisteröidyllä on oikeus rajoittaa itseään koskevien Tietojen käsittelyä, jos

  • Rekisteröity kiistää Tietojensa paikkansapitävyyden;
  • käsittely on lainvastaista, ja Rekisteröity vastustaa Tietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista; tai
  • Rekisterinpitäjä ei enää tarvitse Tietoja käsittelyn alkuperäisiin tarkoituksiin, mutta Rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Oikeus siirtää Tiedot järjestelmästä toiseen:

Rekisteröidyllä on oikeus saada häntä koskevat ja hänen itse toimittamansa Tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää kyseiset Tiedot toiselle rekisterinpitäjälle.

Oikeus tehdä valitus valvontaviranomaiselle:

Henkilötietoasioiden kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä toimiva tietosuojavaltuutetun toimisto. Rekisteröidyllä on oikeus saattaa Tietojaan koskeva asia valvontaviranomaisen käsiteltäväksi, mikäli Rekisteröity katsoo Tietojen käsittelyn olevan lain vastaista.

Rekisterinpitäjä vastaa Rekisteröidyn oikeuksia koskevaan pyyntöön kuukauden sisällä pyynnön vastaanottamisesta. Erityisistä syistä vastausaikaa voidaan jatkaa enintään kahdella kuukaudella.

Rekisterinpitäjällä ei ole velvollisuutta toteuttaa Rekisteröidyn vaatimia toimenpiteitä. Tällöin ilmoitamme Rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa kieltäytymisen syyt.

TIETOSUOJAKÄYTÄNTÖJEN JA TIETOSUOJASELOSTEEN MUUTTAMINEN

Kehitämme toimintaamme jatkuvasti, jonka vuoksi saatamme ajoittain muuttaa ja päivittää tietosuojakäytäntöjämme. Muutokset voivat perustua myös lainsäädännön muuttumiseen.

Mikäli muutokset sisältävät uusia tarkoituksia Tietojen käsittelylle tai muuten muutamme Selostetta merkittävästi, tiedotamme muutoksista sivuillamme ja tarvittaessa pyydämme suostumuksen. Selosteen viimeisen päivitysajankohdan voit tarkistaa sivun ylälaidasta.