Tämä tietosuojaseloste ("Seloste") on EU:n yleisen tietosuoja-asetuksen (Euroopan Parlamentin ja Neuvoston asetus 679/2016 "GDPR") mukainen selvitys siitä, miten me Heppu AI Oy:ssä ("Rekisterinpitäjä", "me", "meidän" jne. ja jäljempänä esitetyn mukaisesti myös "Tietojenkäsittelijä") käsittelemme luonnollisten henkilöiden ("Rekisteröity") henkilötietoja ("Tiedot") ja mitkä ovat Rekisteröidyn oikeudet.
Seloste käsittää sekä sellaisten Tietojen käsittelyn, jotka me Rekisterinpitäjänä keräämme, että Tiedot, joiden käsittely perustuu meidän ja asiakasyritystemme ("Asiakas") väliseen tietojenkäsittelysopimukseen ("DPA"). Tietojenkäsittelysopimukseen perustuvissa käsittelytilanteissa Asiakkaamme toimii rekisterinpitäjänä ("Toimeksiantaja") ja me Tietojenkäsittelijänä.
REKISTERINPITÄJÄ JA YHTEYSHENKILÖ
Heppu AI Oy (Y-tunnus 3517137-9)
Huopalahdentie 24, 00350 Helsinki
Henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa yhteydenottoihin vastaa:
Mika Jordanov
mika@heppu.ai
HENKILÖTIETOJEN KÄSITTELYN PERUSTE
Käsittelemme henkilötietoja ensisijaisesti Rekisteröidyn suostumuksella. Lisäksi käsittelemme henkilötietoja sopimusvelvoitteiden täyttämiseksi sekä Rekisterinpitäjän ja Toimeksiantajan oikeutettujen etujen nojalla. Oikeutettu etu on käsittelyperusteena silloin, kun käytämme Tietoja tavanomaiseen liiketoimintaan kuuluvien käsittelytarpeiden perusteella.
Sopimusvelvoitteen täyttämiseksi katsotaan myös meidän ja Toimeksiantajan välinen palvelusopimus ("Palvelusopimus"). Palvelusopimuksella sovitun palvelun toteuttamiseksi käsittelemme henkilötietoja joko Rekisterinpitäjänä tai Tietojenkäsittelijänä riippuen siitä, onko Rekisteröity Toimeksiantajan edustaja vai Toimeksiantajan asiakas tai potentiaalinen asiakas.
HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Käsittelemme henkilötietoja lainmukaisesti ja ainoastaan tässä Selosteessa esitettyä, nimenomaista tarkoitusta varten.
Henkilötietojen käsittely on tarpeellista
- palveluidemme tarjoamiseksi ja markkinoimiseksi;
- asiakassuhteen hoitamiseksi, mukaan lukien asiakasviestintä, markkinointi, laskutus;
- Palvelusopimuksessa sovittujen palvelujen täyttämiseksi ja toteuttamiseksi;
- verkkosivujen toiminnan mahdollistamiseksi;
- Rekisterinpitäjän ja Toimeksiantajan oikeutettujen etujen toteuttamiseksi; ja
- lakimääräisten velvoitteiden täyttämiseksi.
TIETOLÄHTEET
Keräämme Tietoja sekä automaattisesti että Rekisteröidyltä itseltään (mm. verkkosivujen lomakkeet ja asiakasviestintä). Meillä on oikeus tarkistaa ja täydentää Rekisteröidyltä saatuja tietoja julkisesti saatavilla olevista lähteistä, kuten Kaupparekisteristä.
Automaattinen tietojen kerääminen ja käsittely perustuu verkkosivujemme ja muiden sähköisten palveluidemme käyttöön.
Palvelusopimuksen ja DPA:n nojalla saamme Tiedot Toimeksiantajalta. Toimeksiantaja vastaa siitä, mitä tietoja meille luovutetaan ja mihin niitä käytetään.
EVÄSTEET JA VERKKOSIVUN SEURANTATEKNIIKAT
Verkkosivuillamme on käytössä seuraavat palvelut ja evästeet. Kävijämittauksemme (Plausible) ei käytä evästeitä eikä tallenna henkilötietoja, joten se ei edellytä suostumusta. Mainonnan mittaamiseen käytämme Google Adsin ja LinkedInin evästeitä, jotka otamme käyttöön vain suostumuksellasi. Voit hyväksyä tai hylätä markkinointievästeet sivun evästeilmoituksesta. Jos hyväksyt markkinointievästeet, jaamme Google Ireland Limitedille lomakkeella antamasi sähköpostiosoitteen ja puhelinnumeron tiivistettynä (hashattuna) konversioiden kohdistamista varten (laajennetut konversiot). Vastaavasti jaamme LinkedIn Ireland Unlimited Companylle lomakkeella antamasi sähköpostiosoitteen tiivistettynä (hashattuna) mainonnan kohdentamista ja mittaamista varten (tehostettu täsmäytys).
| Palvelu tai eväste | Tarjoaja | Tarkoitus | Voimassaolo | Oikeusperuste |
|---|---|---|---|---|
| Plausible Analytics | Plausible Insights OÜ (Viro, EU) | Kävijämäärien mittaus. Ei käytä evästeitä, ei tallenna IP-osoitetta eikä muita henkilötietoja. | Ei evästettä | Oikeutettu etu |
| Google Ads (_gcl_*-evästeet) | Google Ireland Limited (Irlanti, EU; siirrot Yhdysvaltoihin EU–US-tietosuojakehyksen nojalla) | Mainonnan tehon ja konversioiden mittaaminen sekä uudelleenmarkkinointi. Otetaan käyttöön vain suostumuksella; ilman suostumusta mittaus on evästeetöntä ja anonyymiä (Consent Mode). | Enintään 90 vrk | Suostumus |
| LinkedIn Insight Tag (mm. UserMatchHistory, bcookie, lidc, li_sugr) | LinkedIn Ireland Unlimited Company (Irlanti, EU; siirrot Yhdysvaltoihin EU–US-tietosuojakehyksen nojalla) | Mainonnan kohdentaminen ja konversioiden mittaaminen LinkedInissä sekä uudelleenmarkkinointi. Ladataan vain suostumuksella. | Enintään 12 kk | Suostumus |
| Cloudflare Turnstile | Cloudflare, Inc. (Yhdysvallat, EU–US-tietosuojakehys) | Suojaa sivuston lomakkeet boteilta ja väärinkäytöltä. | Istunnon ajan | Oikeutettu etu (tietoturva) |
| Heppu-chatwidget | Heppu AI Oy | Mahdollistaa chat-keskustelun sivulla. Käsittelee vain keskustelussa annettuja tietoja. | Istunnon ajan | Oikeutettu etu (palvelun toiminta) |
| heppu_hero_variant (eväste) | Heppu AI Oy | Pitää etusivun sisältöversion samana käyntien välillä. Sisältää vain versiotunnisteen, ei yksilöivää tunnistetta. | 90 vrk | Oikeutettu etu |
KÄSITELTÄVÄT HENKILÖTIEDOT
Käsittelemme asiakassuhteen hoitamiseksi ja siihen liittyvien velvoitteiden täyttämiseksi tarpeellisia henkilötietoja, joita ovat:
- Yksilöinti- ja yhteystiedot (mm. nimi, puhelinnumero, postiosoite, syntymäaika tai henkilötunnus, sähköposti sekä asiakasyritykseen liittyvät tiedot, myös yksityisen elinkeinonharjoittajan tiedot);
- Sähköiseen suoramarkkinointiin liittyvät Tiedot (mm. tilaustiedot, suostumukset ja kiellot);
- Verkkosivujen kävijäseurantaan liittyvät tiedot (mm. IP-osoitteet ja käyttäytyminen verkkosivuilla);
- Asiakkaan vapaaehtoisesti antamat tiedot, kuten asiakaspalautteet;
Palvelusopimuksen ja DPA:n nojalla käsiteltävät henkilötiedot voivat edellä mainittujen lisäksi sisältää seuraavia Tietoja:
- rekisteröitävän omaisuuden tiedot (esim. auton rekisterinumero, kiinteistön tiedot)
HENKILÖTIETOJEN LUOVUTTAMINEN JA SIIRROT KOLMANSILLE
Tietoja ei säännönmukaisesti luovuteta ulkopuolisille. Tietoja (kuten asiakaspalautteet) voidaan kuitenkin julkaista siten kuin on asiakkaan kanssa sovittu.
Tietoja voidaan luovuttaa kumppaneillemme, sikäli kuin se on välttämätöntä sopimuksen täytäntöönpanemiseksi tai meidän tai Toimeksiantajan oikeutetun edun nojalla. Tällöin kumppanimme käsittelevät Tietoja rekisterinpitäjän lukuun.
Palvelumme mahdollistamiseksi käytämme alikäsittelijöitä. Käyttäessämme alikäsittelijöitä vastaamme siitä, että myös alikäsittelijät toimivat Toimeksiantajan ohjeiden mukaisesti.
Saatamme siirtää Tietoja seuraavissa tarkoituksissa:
- AI-palvelun toteuttamiseksi: listan käyttämistämme alikäsittelijöistä löydät osoitteesta https://heppu.ai/gdpr
- kumppaneillemme, jotka toimivat Tietojen käsittelijöinä omien palveluidensa tarjoamiseksi (esim. kirjanpito, tietojärjestelmät, pankki, vakuutusyhtiö);
- rekisteröidyn suostumuksella osapuolille, joita suostumus koskee; sekä
- viranomaisille tai oikeudelisille neuvonantajille tilanteissa, joissa luovuttaminen on välttämätöntä lain tai oikeutetun etumme nojalla.
HENKILÖTIETOJEN SIIRTÄMINEN KOLMANSIIN MAIHIN
Palvelumme mahdollistamiseksi käytämme ulkopuolisia palveluntarjoajia, jotka voivat sijaita EU:n ja Euroopan talousalueen ulkopuolella. Olemme varmistuneet siitä, että palveluntarjoajat noudattavat GDPR:n säännöksiä.
HENKILÖTIETOJEN SUOJAUS
Tiedot on suojattu käyttäen asianmukaisia teknisiä ja organisatorisia suojatoimia. Kaikki henkilötietoja käsittelevät henkilöt ovat sitoutuneet pitämään Rekisteröityjen Tiedot salassa ja käsittelemään niitä ainoastaan tämän Selosteen mukaisessa tarkoituksessa.
HENKILÖTIETOJEN SÄILYTYSAIKA
Rekisterinpitäjänä säilytämme Tietoja niin kauan kuin niitä tarvitaan siihen tarkoitukseen, jota varten ne on kerätty. Palvelusopimusta varten kerätyt tiedot poistetaan vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana Palvelusopimus päättyi, ellei lainsäädännöstä muuta johdu.
Laki tai muu sääntely voi edellyttää pidempää säilytysaikaa (esimerkiksi kirjanpitolain 1336/1007 mukaiset säilytysajat).
Toimiessamme Tietojenkäsittelijänä käsittelemme tietoja Toimeksiantajan ohjeiden mukaisesti Toimeksiantajan järjestelmässä tai Toimeksiantajan järjestelmiin integroituen. Toimeksiantaja säilyttää tietoja oman käytäntönsä mukaisesti.
PROFILOINTI JA AUTOMAATTINEN PÄÄTÖKSENTEKO
Tietoja ei käytetä profilointiin tai muuhun automaattiseen päätöksentekoon.
Profiloinnilla tarkoitetaan Tietojen automaattista käsittelyä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia.
REKISTERÖIDYN OIKEUDET
GDPR:n mukaan Rekisteröidyllä on:
Oikeus saada pääsy Tietoihin:
Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia Tietoja, ja jos käsitellään, oikeus saada kopio Tiedoistaan;
Oikeus Tietojen oikaisemiseen:
Rekisteröidyllä on oikeus pyytää, että häntä koskevat epätarkat ja virheelliset Tiedot korjataan. Rekisteröidyllä on myös oikeus saada puutteelliset Tiedot täydennettyä toimittamalla tarvittavat lisätiedot;
Oikeus Tietojen poistamiseen:
Rekisteröidyllä on oikeus pyytää itseään koskevien Tietojen poistamista, jos
- Tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty; tai
- Tietoja on käsitelty lainvastaisesti.
Oikeus käsittelyn rajoittamiseen:
Rekisteröidyllä on oikeus rajoittaa itseään koskevien Tietojen käsittelyä, jos
- Rekisteröity kiistää Tietojensa paikkansapitävyyden;
- käsittely on lainvastaista, ja Rekisteröity vastustaa Tietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista; tai
- Rekisterinpitäjä ei enää tarvitse Tietoja käsittelyn alkuperäisiin tarkoituksiin, mutta Rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Oikeus siirtää Tiedot järjestelmästä toiseen:
Rekisteröidyllä on oikeus saada häntä koskevat ja hänen itse toimittamansa Tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää kyseiset Tiedot toiselle rekisterinpitäjälle.
Oikeus tehdä valitus valvontaviranomaiselle:
Henkilötietoasioiden kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä toimiva tietosuojavaltuutetun toimisto. Rekisteröidyllä on oikeus saattaa Tietojaan koskeva asia valvontaviranomaisen käsiteltäväksi, mikäli Rekisteröity katsoo Tietojen käsittelyn olevan lain vastaista.
Rekisterinpitäjä vastaa Rekisteröidyn oikeuksia koskevaan pyyntöön kuukauden sisällä pyynnön vastaanottamisesta. Erityisistä syistä vastausaikaa voidaan jatkaa enintään kahdella kuukaudella.
Rekisterinpitäjällä ei ole velvollisuutta toteuttaa Rekisteröidyn vaatimia toimenpiteitä. Tällöin ilmoitamme Rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa kieltäytymisen syyt.
TIETOSUOJAKÄYTÄNTÖJEN JA TIETOSUOJASELOSTEEN MUUTTAMINEN
Kehitämme toimintaamme jatkuvasti, jonka vuoksi saatamme ajoittain muuttaa ja päivittää tietosuojakäytäntöjämme. Muutokset voivat perustua myös lainsäädännön muuttumiseen.
Mikäli muutokset sisältävät uusia tarkoituksia Tietojen käsittelylle tai muuten muutamme Selostetta merkittävästi, tiedotamme muutoksista sivuillamme ja tarvittaessa pyydämme suostumuksen. Selosteen viimeisen päivitysajankohdan voit tarkistaa sivun ylälaidasta.