// LAGSTIFTNING · GDPR & DATASKYDDSLAG 1050/2018
Integritetspolicy.
Detta dokument beskriver hur firman JPSTech Solutions (telakoi.fi) behandlar personuppgifter i samband med drift, kommunikation och marknadsföring av tjänsten. Policyn uppfyller artiklarna 13–14 i EU:s allmänna dataskyddsförordning (GDPR) samt kraven i Dataskyddslag 1050/2018.
Gör en dataskyddsbegäran.
Använd mallen som öppnas via knappen för att utöva era GDPR-rättigheter — tillgång, rättelse, radering, begränsning, dataportabilitet, invändning.
01
Personuppgiftsansvarig
- Namn
- JPSTech Solutions
- Företagsform
- Enskild näringsidkare (firma)
- FO-nummer
- 2317443-3
- Webbplats
- telakoi.fi
- Kontakt för dataskydd
- tietosuoja@telakoi.fi
- Postadress
- Registrerad adress i handelsregistret (PRH)
Den personuppgiftsansvariga ansvarar för all behandling av personuppgifter inom telakoi.fi-tjänsten. Något separat dataskyddsombud (DPO) har inte utsetts eftersom behandlingen inte uppfyller kriterierna i GDPR artikel 37 — alla förfrågningar gällande den registrerades rättigheter riktas till adressen ovan.
02
Behandlingens ändamål och rättsliga grund
Personuppgifter behandlas för flera ändamål, vart och ett med egen rättslig grund enligt GDPR artikel 6:
- Drift av katalogen
- Publicering av offentliga kontaktuppgifter för båtservice- och vinterförvaringsföretag — GDPR 6(1)(f) berättigat intresse (offentlig företagsinformation är i grunden offentlig; intresseavvägningen mellan informationens allmänna synlighet och företagsrepresentantens rätt att opt-outa). PRH-baserade listningar publiceras först efter ett sju dygns föranmälningsfönster — operatören får meddelandet direkt vid godkännandet och har en vecka på sig att ta över listningen, korrigera uppgifterna eller avlista innan publiceringen.
- Operatörskonto och adminpanel
- Inloggning via inloggningslänk, prenumerationshantering — GDPR 6(1)(b) fullgörande av avtal.
- Hantering av betalda Featured-listningar
- Stripe-prenumerationer och fakturering — GDPR 6(1)(b) avtal + 6(1)(c) rättslig förpliktelse (Bokföringslag 1336/1997).
- B2B-kontakter till oregistrerade företag
- GDPR 6(1)(f) berättigat intresse i kombination med Lag om elektronisk kommunikation 917/2014 §202 (direktmarknadsföring till företag enligt opt-out-modell; tak på två meddelanden i avsaknad av engagemangssignal, fungerande avregistreringslänk, permanent spärrlista).
- Nyhetsbrev (konsumenter)
- GDPR 6(1)(a) samtycke + Lag om elektronisk kommunikation §200. Endast e-postadress och språkval samlas in; prenumerationen kan avslutas via länk i botten av varje meddelande.
- AI-verifiering av kravdokument
- GDPR 6(1)(f) berättigat intresse (förebyggande av missbruk). Inlämnade PRH-utdrag analyseras automatiskt; AI:n fattar inte beslut ensam — admin granskar resultatet före publicering.
- Loggar och felrapportering
- GDPR 6(1)(f) berättigat intresse (driftsäkerhet, missbruksdetektion).
03
Datakällor
Personuppgifter samlas in från följande källor:
- PRH/YTJ-företagsregistrets gränssnitt
- Patent- och registerstyrelsens öppna handelsregisterdata (företagets namn, FO-nummer, hemort, adress, bolagsform, verksamhetsområde). Användning grundas på PRH:s öppna data-villkor.
- Google Places API
- Offentliga uppgifter från Google Maps-profiler (adress, koordinater, telefonnummer, webbplats, betyg och antal recensioner). Enskilda recensioner lagras inte — endast aggregerat stjärnsnitt + antal med källhänvisning.
- Operatörens egen inmatning
- Via kravformuläret eller självregistrering: beskrivningar, prislistor, tjänsteuppgifter, foton, uppdaterade kontaktuppgifter. Uppladdat PRH-utdrag (PDF/bild) för verifieringsändamål.
- Operatörens webbplats
- Automatiserad extraktion av kontakt-e-post från sidor på operatörens egen domän (mailto-, contact-, footer-träffar). Endast adresser på operatörens egen domän godtas — gratisleverantörer (gmail, hotmail) avvisas.
- Av användaren själv
- Nyhetsbrevets prenumerationsformulär (e-post + språk), kontaktmeddelanden till tjänstens e-postadresser.
04
Behandlade kategorier
- Företagsuppgifter (offentliga)
- Namn, FO-nummer, adress, hemkommun, bolagsform, offentlig telefon/e-post/webbplats, beskrivningar, tjänsteinformation, bilder, Google-betyg (källa Google).
- Operatörens kontouppgifter
- E-postadress, inloggningssession (max 30 dygn), Stripes kundidentifierare, status för Featured-prenumeration.
- Kravformulärets uppgifter
- Sökandens namn, e-post, fritext, uppladdat PRH-utdrag (PDF/bild), AI-extraktion från utdraget (FO-nummer, undertecknare, datum, konfidens).
- Nyhetsbrevets prenumeranter
- E-postadress, språkval, källtagg, prenumerationstidsstämpel.
- Spärrlista
- E-postadress, anledning till spärr, tidsstämpel.
- Avlistningsbegäranden
- Begärarens e-post, frivilligt namn och skäl, beslutsstatus och tidsstämpel. Begärarens IP-adress lagras endast som ett kryptografiskt hashvärde för revisionsändamål.
- Användningsmätning
- Begärd sidsökväg, hänvisande sida (referer), landbaserad position (härledd från IP), webbläsartyp, operativsystem, dagligen roterande slumpmässig besökaridentifierare. Ingen IP-adress, ingen cookie-baserad spårningsidentifierare, inga uppgifter som identifierar enskild användare.
- Felrapportering
- Felmeddelande, sammanfattning av anropsstacken, begärd URL-sökväg, user-agent, anonym händelseidentifierare. Skickning av personuppgifter till feltjänsten är avstängd som standard — användarnas e-post och adresser hamnar inte i rapporterna. Rapporter skickas till EU-baserade servrar.
- Serverloggar
- IP-adress, user-agent och begärd sökväg vid systemhändelser. Lagringstid högst 90 dygn.
Personliga mobilnummer samlas inte in eller lagras — endast företagsnummer eller info@-adresser. Enskilda näringsidkares (toiminimi) extra registeruppgifter undertrycks helt enligt PRD:s skyddsinvariant.
05
Mottagare och personuppgiftsbiträden
Den tekniska behandlingen är utlagd på följande tjänsteleverantörer inom EU/EES eller under EU-godkända överföringsmekanismer:
- Vercel Inc. (US, EU-runtime)
- Applikationens edge-distribution och serveranrop inom EU, lagring av bilagor, användningsstatistik, serverns felloggar och bot-detektering på inloggningssidan.
- Turso (Chiselstrike, Inc., EU)
- Huvuddatabas. EU-baserade servrar (Stockholm).
- Resend, Inc. (US/EU)
- Utgående e-post och webhook för inkommande e-post. Behandling sker på EU-baserade servrar (Irland); på grund av Resends moderbolag i USA används kommissionens standardavtalsklausuler (SCC, enligt Resends personuppgiftsbiträdesavtal) som överföringsmekanism.
- Stripe Payments Europe Ltd. (Irland)
- Betalningshantering och prenumerationsfakturering. Stripe agerar som självständig personuppgiftsansvarig avseende betalningsdata — Stripes egen integritetspolicy tillämpas.
- Anthropic PBC (US)
- AI-verifiering av kravdokument. Avtalet innehåller zero-retention-arrangemang: inskickade dokument används inte för träning och lagras inte i Anthropics system efter behandling.
- Google LLC (US)
- Frågor mot företagens offentliga profiluppgifter via Google Places-gränssnittet. Google lagrar loggar enligt sin egen integritetspolicy.
- Mapbox, Inc. (US)
- Inläsning av kartrutor i webbläsaren. IP-adress förmedlas till Mapbox vid kartrendering.
- Sentry (EU)
- Felrapportering för fel i produktionsmiljön — felmeddelandet, sammanfattning av anropsstacken, begärd URL-sökväg och anonym händelseidentifierare. Används för att åtgärda mjukvarufel och säkerställa driftsstabilitet. Rapporter skickas till EU-baserade servrar; personuppgifter skickas inte som standard.
- AWS Inc. / Route 53 (US)
- DNS-tjänst för domänen telakoi.fi.
Uppgifter överlåts inte till tredje part för marknadsföringsändamål. Till myndigheter överlåts uppgifter endast om lag kräver det (t.ex. domstolsbeslut, brottsutredning).
06
Internationella överföringar
En del av personuppgiftsbiträdena är verksamma i USA. Överföringarna baseras på EU-kommissionens godkända EU–US Data Privacy Framework (Stripe, Google, Anthropic, Mapbox) eller kommissionens standardavtalsklausuler (SCC; tillämpas bl.a. i Resends personuppgiftsbiträdesavtal). Vercel och Turso använder EU-baserade servrar.
För Anthropic gäller ett zero-retention-arrangemang som begränsar behandlingen av överförd data till det enskilda API-anropet — dokument lagras inte efter behandling.
07
Lagringstider
- Företagens offentliga katalogdata
- Lagras så länge företaget är registrerat och aktivt. Vid verksamhetens upphörande eller mottaget opt-out-meddelande döljs listningen och uppgifterna anonymiseras inom 30 dygn.
- Operatörens kontouppgifter
- Under aktiv prenumeration + 7 år efter avslutning (Bokföringslag 2 kap. 10 § / 1336/1997).
- Inloggningssession
- 30 dygn. Användaren kan logga ut när som helst.
- Bilagor till kravformuläret
- 90 dygn från uppladdning — därefter automatisk radering. AI-analysens metadata (FO-nummer, konfidens, beslutsorsak) lagras längre för revisionssyfte men utan originaldokumentet.
- Nyhetsbrevets prenumeranter
- Under prenumerationens giltighetstid. Efter avregistrering markeras e-postadressen som avregistrerad men sparas i avregistreringsregistret för att förhindra oavsiktlig återprenumeration.
- Spärrlista
- Tills vidare — beständigheten är hela syftet.
- Avlistningsbegäranden
- 5 år från beslut. Sparas för att visa att 24-timmars-SLA:n följts och för att vid behov kunna rekonstruera omständigheterna kring begäran i en senare reklamation. IP-adressen lagras endast som ett kryptografiskt hashvärde, inte i originalform.
- Betalningsuppgifter och kvitton
- 7 år från räkenskapsårets slut (Bokföringslag).
- Tekniska loggar
- Högst 90 dygn.
08
Den registrerades rättigheter
Du har följande rättigheter enligt GDPR artiklarna 15–22:
- Rätt till tillgång
- Du kan begära en kopia av alla uppgifter som lagrats om dig.
- Rätt till rättelse
- Felaktiga uppgifter rättas utan dröjsmål.
- Rätt till radering
- Uppgifter raderas om inte lag hindrar (t.ex. Bokföringslagens 7-årskrav för betalningsdata).
- Rätt till begränsning
- Du kan begära att behandlingen begränsas t.ex. under tiden för granskning av uppgifters riktighet.
- Rätt till dataportabilitet
- Operatörskontot kan levereras i maskinläsbart format (JSON).
- Rätt att invända mot behandling
- Särskilt avseende direktmarknadsföring (B2B-kontakter) — behandlingen upphör omedelbart efter mottagen invändning.
- Rätt att återkalla samtycke
- Nyhetsbrevet kan avslutas via länk i botten av varje meddelande; tidigare behandling baserad på samtycke förblir laglig.
Förfrågningar skickas till: tietosuoja@telakoi.fi. Svar lämnas inom en månad (GDPR art. 12). Du har också rätt att lämna in klagomål till Dataombudsmannens byrå (tietosuoja.fi).
09
Cookies och spårning
Telakoi.fi använder endast tekniskt nödvändiga cookies — ingen samtyckesbaserad annons- eller analysspårning.
- Sessionscookie
- Upprätthåller inloggningsläge efter att inloggningslänken bekräftats. HTTP-only, Secure, SameSite=Lax. 30 dygn.
- CSRF-token
- Skyddar formulärinlämningar. Sessionens längd.
- Användningsstatistik (förstaparts)
- Användningsändamål: prioritering av produktutveckling (vilka kommuner och landskap får trafik). Skickade dataelement per begäran: sidsökvägen, hänvisande sida (referer), grov landsbaserad position, webbläsartyp/operativsystem och en dagligen roterande slumpmässig besökaridentifierare. Inga tredjepartskakor, inga cookies överhuvudtaget; IP-adressen lagras inte. Identifieraren förnyas varje dag — samma besökare framstår som olika personer på olika dagar.
Karttjänsten läser in Mapbox-rutor i webbläsaren, vilket förmedlar IP-adressen till Mapbox. Mapbox-rutornas inläsning är begränsad till landskaps- och kommunsidorna.
10
Säkerhet
Personuppgifter skyddas med tekniska och organisatoriska åtgärder:
- Kryptering vid överföring
- TLS 1.2+ på alla anslutningar, HSTS-preload (telakoi.fi).
- Lösenordsfri inloggning
- Autentisering via inloggningslänk — inga lagrade lösenord.
- Inkapsling av API-nycklar
- Alla tredjepartsnycklar lagras via 1Password tjänstkonto, aldrig i kod.
- Skydd av kravdokument
- Uppladdade PRH-utdrag lagras i privat fillagring inom EU — åtkomst sker endast via tidsbegränsade signerade URL:er för admin-bruk.
- Bot-detektering
- Automatisk bot-detektering på inloggningssidan för att förhindra automatiserat missbruk.
- Förfrågningsbegränsningar
- Inloggnings-, krav-, avlistnings- och nyhetsbrevsförfrågningar omfattas av IP-baserade begränsningar för antal förfrågningar för att förhindra missbruk.
- Dold adminväg
- Adminpanelens existens signaleras inte via vanlig användarinloggning — en inloggad användare utan adminrättigheter ser ingen indikation på att ett adminläge finns.
11
Kontaktuppgifter och ändringar
Förfrågningar om dataskydd, utövande av rättigheter, avregistreringar och klagomål skickas till: tietosuoja@telakoi.fi.
Policyn uppdateras vid behov när lagstiftning, behandlingsåtgärder eller anlitade tjänsteleverantörer ändras. Väsentliga ändringar meddelas de registrerade på lämpligt sätt (t.ex. via e-post till nyhetsbrevsprenumeranter).
Du kan lämna in klagomål till Dataombudsmannens byrå (tietosuoja.fi · Lintulahdenkuja 4, 00530 Helsingfors).