// LAINSÄÄDÄNTÖ · GDPR & TIETOSUOJALAKI 1050/2018
Tietosuojaseloste.
Tämä seloste kuvaa, miten JPSTech Solutions -toiminimi (telakoi.fi) käsittelee henkilötietoja palvelun ylläpidossa, yhteydenpidossa ja markkinoinnissa. Seloste täyttää EU:n yleisen tietosuoja-asetuksen (GDPR) 13–14 artiklat sekä Tietosuojalain 1050/2018 vaatimukset.
Tee tietosuojapyyntö.
Käytä tämän painikkeen takaa avautuvaa pohjaa GDPR-oikeuksiesi käyttämiseen — pääsy, oikaisu, poisto, rajoittaminen, siirto, vastustaminen.
01
Rekisterinpitäjä
- Nimi
- JPSTech Solutions
- Yritysmuoto
- Yksityinen elinkeinonharjoittaja (toiminimi)
- Y-tunnus
- 2317443-3
- Verkkosivu
- telakoi.fi
- Tietosuojayhteyshenkilö
- tietosuoja@telakoi.fi
- Postiosoite
- Rekisteröity osoite kaupparekisterissä (PRH)
Rekisterinpitäjä vastaa kaikesta henkilötietojen käsittelystä telakoi.fi-palvelussa. Erillistä tietosuojavastaavaa (DPO) ei ole nimitetty, koska käsittely ei täytä GDPR:n 37 artiklan kriteerejä — kaikki rekisteröidyn oikeuksiin liittyvät pyynnöt ohjataan yllä olevaan tietosuojaosoitteeseen.
02
Käsittelyn tarkoitus ja oikeusperuste
Henkilötietoja käsitellään useaan tarkoitukseen, kullakin oma oikeusperusteensa GDPR 6 artiklan mukaan:
- Hakemiston ylläpito
- Veneenhuolto- ja talvisäilytysyritysten julkisten yhteystietojen julkaisu — GDPR 6(1)(f) oikeutettu etu (avoin yritystieto on lähtökohtaisesti julkista; tasapainotestissä yleinen yritystiedon näkyvyys vs. yrityksen edustajan oikeus opt-outtaa). PRH-pohjaiset listaukset julkaistaan vasta 7 vuorokauden esi-ilmoitusikkunan jälkeen — operaattori saa ilmoituksen heti hyväksyntähetkellä, ja hänellä on viikko aikaa ottaa listaus haltuun, korjata tietoja tai poistaa se ennen julkaisua.
- Operaattoritili ja hallintapaneeli
- Kirjautumislinkkiin perustuva todennus, tilauksen hallinta — GDPR 6(1)(b) sopimuksen täytäntöönpano.
- Maksullisten Featured-listausten käsittely
- Stripe-tilaukset ja laskutus — GDPR 6(1)(b) sopimus + 6(1)(c) lakisääteinen velvoite (Kirjanpitolaki 1336/1997).
- B2B-yhteydenotot rekisteröimättömiin yrityksiin
- GDPR 6(1)(f) oikeutettu etu yhdessä SVPL 917/2014 §202 kanssa (suoramarkkinointi yrityksille opt-out-mallilla; kahden viestin katto sitoumusmerkin puuttuessa, toimiva peruutuslinkki, pysyvä estolista).
- Uutiskirje (kuluttajat)
- GDPR 6(1)(a) suostumus + SVPL §200. Kerätään vain sähköpostiosoite ja kielivalinta; tilauksen voi perua jokaisen viestin alalinkistä.
- Vaatimustodistuksen tekoälyverifiointi
- GDPR 6(1)(f) oikeutettu etu (väärinkäytön esto). Lähetetty PRH-ote analysoidaan automaattisesti, kuvankaappaus ei tee päätöksiä yksin — admin tarkastaa lopputuloksen ennen julkaisua.
- Lokit ja virheraportointi
- GDPR 6(1)(f) oikeutettu etu (palvelun toimintavarmuus, väärinkäytön havainnointi).
03
Tietolähteet
Henkilötiedot kerätään seuraavista lähteistä:
- PRH/YTJ-yritystietorajapinta
- Patentti- ja rekisterihallituksen avoin kaupparekisteritieto (yrityksen nimi, Y-tunnus, kotipaikka, osoite, yhtiömuoto, toimiala). Käytön perusteena PRH:n avoimen datan käyttöehdot.
- Google Places API
- Google Maps -profiilien julkiset tiedot (osoite, koordinaatit, puhelinnumero, verkkosivu, tähdet ja arvostelumäärät). Yksittäisiä arvosteluja ei tallenneta — vain aggregoitu tähtikeskiarvo + arviomäärä lähdemaininnan kanssa.
- Operaattorin oma syöte
- Vaatimuslomakkeen tai itserekisteröitymisen kautta: kuvaukset, hinnastot, palvelutiedot, valokuvat, päivitetyt yhteystiedot. Ladattu PRH-ote (PDF/kuva) varmistustarkoituksessa.
- Operaattorin verkkosivu
- Automatisoitu kontaktisähköpostin poiminta operaattorin oman verkkotunnuksen sivuilta (mailto-, contact-, footer-osumat). Vain operaattorin oman domainin osoitteet hyväksytään — vapaapostit (gmail, hotmail) hylätään.
- Käyttäjältä itseltään
- Uutiskirjeen tilauslomake (sähköposti + kieli), yhteydenotot palvelun sähköposteihin.
04
Käsiteltävät tietoryhmät
- Yritystiedot (julkisia)
- Nimi, Y-tunnus, osoite, kotikunta, yhtiömuoto, julkinen puhelin/sähköposti/verkkosivu, kuvaukset, palvelutiedot, kuvat, Google-tähdet (lähteenä Google).
- Operaattorin tilitiedot
- Sähköpostiosoite, kirjautumisistunto (max 30 vrk), Stripe-asiakastunniste, Featured-tilauksen tila.
- Vaatimuslomakkeen tiedot
- Vaatijan nimi, sähköposti, vapaamuotoinen viesti, ladattu PRH-ote (PDF/kuva), tekoälypoiminta otteesta (Y-tunnus, allekirjoittajat, päiväys, luottamustaso).
- Uutiskirjeen tilaajat
- Sähköpostiosoite, kielivalinta, lähde-tag, tilausaikaleima.
- Estolista
- Sähköpostiosoite, eston syy, aikaleima.
- Poistopyynnöt
- Pyytäjän sähköposti, vapaaehtoinen nimi ja syy, päätösstatus ja aikaleima. Pyyntölomakkeen IP-osoite tallennetaan ainoastaan kryptografisena tiivisteenä auditointia varten.
- Käyttömittaus
- Pyydetyn sivun polku, viittaava sivu (referer), maa-/aluetason sijainti (johdettu IP-osoitteesta), selaimen tyyppi, käyttöjärjestelmä, päivittäin pyörivä satunnainen kävijätunniste. Ei IP-osoitetta, ei evästepohjaista seurantatunnistetta, ei yksittäistä käyttäjää yksilöiviä tietoja.
- Virheraportointi
- Virheilmoituksen teksti, kutsupinon tiivistelmä, pyydetty URL-polku, käyttäjäagentti, anonyymi tapahtumatunniste. Henkilötietojen lähetys virhepalveluun on pois päältä — käyttäjien sähköpostit ja osoitteet eivät päädy raportteihin oletuksena. Raportit ohjataan EU-alueen palvelimille.
- Palvelinlokit
- IP-osoite, käyttäjäagentti ja pyydetty polku järjestelmätapahtumissa. Säilytysaika enintään 90 vuorokautta.
Henkilömatkapuhelinta ei kerätä eikä tallenneta — vain yritysnumerot tai info@-sähköpostit. Toiminimien ylimääräiset rekisteritiedot suppressoidaan kokonaan PRD:n suojainvariantin mukaisesti.
05
Tietojen vastaanottajat ja käsittelijät
Tietojen tekninen käsittely on ulkoistettu seuraaville EU/ETA-alueella tai EU:n hyväksymien siirtoperusteiden alla toimiville palveluntarjoajille:
- Vercel Inc. (US, EU-runtime)
- Sovelluksen edge-jakelu ja palvelinkutsut EU-alueella, tiedostotallennus liitedokumenteille, käyttötilastot, palvelimen virhelokit ja kirjautumissivun bottitunnistus.
- Turso (Chiselstrike, Inc., EU)
- Pääasiallinen tietokanta. EU-alueen palvelimet (Tukholma).
- Resend, Inc. (US/EU)
- Lähtevät sähköpostit ja saapuvan sähköpostin webhook. Käsittely EU-alueen palvelimilla (Irlanti); Resendin emoyhtiön sijainnin (Yhdysvallat) takia siirtomekanismina komission vakiolausekkeet (SCC, Resendin tietojenkäsittelysopimuksessa).
- Stripe Payments Europe Ltd. (Irlanti)
- Maksunkäsittely ja tilausten laskutus. Stripe toimii itsenäisenä rekisterinpitäjänä maksutietojen osalta — sovelletaan Stripen omaa tietosuojakäytäntöä.
- Anthropic PBC (US)
- Tekoälyverifiointi vaatimustodistuksille. Sopimusehtona zero-retention-järjestely: lähetettyjä dokumentteja ei käytetä mallien koulutukseen eikä niitä säilytetä Anthropicin järjestelmissä käsittelyn jälkeen.
- Google LLC (US)
- Yritysten julkisten profiilitietojen haku Google Places -rajapinnasta. Google säilyttää lokit oman tietosuojakäytäntönsä mukaisesti.
- Mapbox, Inc. (US)
- Karttatiilten lataus selaimessa. IP-osoite välittyy Mapboxille kartan piirron yhteydessä.
- Sentry (EU)
- Virheraportointi tuotantoympäristön virheille — virheen teksti, kutsupinon tiivistelmä, pyydetty URL-polku ja anonyymi tapahtumatunniste. Käytetään ohjelmistovirheiden korjaamiseen ja palvelun toimintavarmuuteen. Raportit ohjataan EU-alueen palvelimille; henkilötietojen lähetys on oletuksena pois päältä.
- AWS Inc. / Route 53 (US)
- DNS-palvelu telakoi.fi-verkkotunnukselle.
Tietoja ei luovuteta kolmansille markkinointitarkoituksiin. Viranomaisille tietoja luovutetaan vain lain velvoittamana (esim. tuomioistuimen määräys, rikostutkinta).
06
Kansainväliset siirrot
Osa käsittelijöistä toimii Yhdysvalloissa. Siirrot perustuvat EU:n komission hyväksymään EU–US Data Privacy Framework -järjestelmään (Stripe, Google, Anthropic, Mapbox) tai komission vakiolausekkeisiin (SCC; käytössä mm. Resendin tietojenkäsittelysopimuksessa). Vercel ja Turso käyttävät EU-alueen palvelimia.
Anthropicin osalta sovellettava zero-retention-järjestely rajoittaa siirretyn datan käsittelyn yksittäiseen API-kutsuun — dokumentteja ei säilytetä käsittelyn jälkeen.
07
Säilytysajat
- Yritysten julkiset hakemistotiedot
- Säilytetään niin kauan kuin yritys on rekisterissä toimiva. Toiminnan päätyttyä tai opt-out-pyynnön saatuamme listaus piilotetaan ja tiedot anonymisoidaan 30 vuorokauden sisällä.
- Operaattorin tilitiedot
- Aktiivisen tilauksen ajan + 7 vuotta tilauksen päättymisestä (Kirjanpitolaki 2 luku 10 § / 1336/1997).
- Kirjautumisistunto
- 30 vuorokautta. Käyttäjä voi kirjautua ulos koska tahansa.
- Vaatimuslomakkeen liitedokumentit
- 90 vuorokautta latauksesta — sen jälkeen automaattinen poisto. Tekoälyanalyysin metadatat (Y-tunnus, luottamustaso, päätöksen syy) säilytetään pidempään auditointitarkoituksessa, mutta ilman alkuperäistä dokumenttia.
- Uutiskirjeen tilaajat
- Tilauksen voimassaolon ajan. Peruutuksen jälkeen sähköposti merkitään peruutetuksi, mutta säilytetään peruutusrekisterissä jotta uudelleentilausta ei tehdä vahingossa.
- Estolista
- Toistaiseksi — pysyvyys on listan koko tarkoitus.
- Poistopyynnöt
- 5 vuotta päätöksestä. Säilytetään 24 tunnin SLA-tavoitteen seurantaa ja mahdollisia reklamaatioita varten. IP-osoite säilytetään ainoastaan kryptografisena tiivisteenä, ei alkuperäisenä.
- Maksutiedot ja kuitit
- 7 vuotta tilausvuoden lopusta (Kirjanpitolaki).
- Tekniset lokit
- Enintään 90 vuorokautta.
08
Rekisteröidyn oikeudet
Sinulla on GDPR 15–22 artiklan mukaiset oikeudet:
- Oikeus saada pääsy tietoihin
- Voit pyytää kopion kaikista sinusta tallennetuista tiedoista.
- Oikeus oikaisuun
- Virheelliset tiedot korjataan viipymättä.
- Oikeus poistoon
- Tiedot poistetaan, jos lainsäädäntö ei estä (esim. kirjanpitolain 7-vuotissäilytys maksutiedoille).
- Oikeus rajoittaa käsittelyä
- Voit pyytää käsittelyn rajoittamista esim. tietojen oikeellisuuden tarkistuksen ajaksi.
- Oikeus siirtää tiedot
- Operaattoritili voidaan toimittaa konekielellisessä muodossa (JSON).
- Oikeus vastustaa käsittelyä
- Erityisesti suoramarkkinointi (B2B-yhteydenotot) — käsittely lopetetaan välittömästi vastustuksen saatuamme.
- Oikeus peruuttaa suostumus
- Uutiskirjeen voi perua jokaisen viestin alalinkistä; aiemmin suostumuksen perusteella tehty käsittely säilyy lainmukaisena.
Pyynnöt osoitetaan: tietosuoja@telakoi.fi. Vastaus annetaan kuukauden sisällä (GDPR 12 art.). Sinulla on myös oikeus tehdä valitus Tietosuojavaltuutetun toimistolle (tietosuoja.fi).
09
Evästeet ja seuranta
Telakoi.fi käyttää vain teknisesti välttämättömiä evästeitä — ei suostumukseen perustuvaa mainos- tai analytiikkaseurantaa.
- Istuntoeväste
- Ylläpitää sisäänkirjautumistilaa kirjautumisen jälkeen. HTTP-only, Secure, SameSite=Lax. 30 vrk.
- CSRF-token
- Suojaa lomakelähetykset. Istunnon mittainen.
- Käyttötilastot (ensimmäisen osapuolen)
- Käyttötarkoitus: tuotekehityksen priorisointi (mitkä kunnat ja maakunnat saavat liikennettä). Lähetetyt tietoelementit per pyyntö: sivun polku, viittaava sivu (referer), karkea maatason sijainti, selaimen tyyppi/käyttöjärjestelmä ja päivittäin pyörivä satunnainen kävijätunniste. Ei kolmannen osapuolen seurantakeksejä eikä evästeitä lainkaan; IP-osoitetta ei tallenneta. Tunniste uusiutuu joka päivä — sama kävijä eri päivinä näyttää eri henkilöltä.
Karttapalvelu lataa Mapbox-tiilet selaimeen, mikä välittää IP-osoitteen Mapboxille. Mapbox-tiilien latausta on rajoitettu vain maakunta- ja kuntasivuille.
10
Tietoturva
Henkilötiedot suojataan teknisillä ja organisatorisilla toimenpiteillä:
- Salaus siirrossa
- TLS 1.2+ kaikilla yhteyksillä, HSTS-preload (telakoi.fi).
- Salasanaton kirjautuminen
- Kirjautumislinkkiin perustuva todennus — ei tallennettavia salasanoja.
- API-avainten kapselointi
- Kaikki kolmannen osapuolen avaimet säilytetään 1Password-palvelutilipohjaisesti, ei koskaan koodissa.
- Vaatimustodistusten suojaus
- Ladatut PRH-otteet säilytetään yksityisessä tiedostotallennuksessa EU-alueella — pääsy vain hetkellisillä allekirjoitetuilla URL:illa adminkäyttöön.
- Bottitunnistus
- Automaattinen bottitunnistus kirjautumissivulla väärinkäytön estämiseksi.
- Pyyntörajoitukset
- Kirjautumis-, vaatimus-, poistopyyntö- ja uutiskirjepyynnöillä on IP-perusteiset pyyntörajoitukset väärinkäytön estämiseksi.
- Adminreitin piilotus
- Hallintapaneelin olemassaoloa ei paljasteta kirjautumissivun kautta — kirjautuneelle ei-admin-käyttäjälle reitti palauttaa 404.
11
Yhteystiedot ja muutokset
Tietosuojaa koskevat tiedustelut, oikeuksien käyttö, peruutuspyynnöt ja valitukset osoitetaan: tietosuoja@telakoi.fi.
Selostetta päivitetään tarvittaessa lainsäädännön, käsittelytoimenpiteiden tai käytettävien palveluntarjoajien muuttuessa. Olennaisista muutoksista ilmoitetaan rekisteröityihin kohtuullista keinoa käyttäen (esim. uutiskirjetilaajille sähköpostitse).
Voit tehdä valituksen Tietosuojavaltuutetun toimistolle (tietosuoja.fi · Lintulahdenkuja 4, 00530 Helsinki).