Note: A translation of this document is pending. The Finnish version below is the official and binding version in any case.
TIETOSUOJASELOSTELaadittu EU:n yleisen tietosuoja-asetuksen (2016/679) ja tietosuojalain (1050/2018) mukaisesti.
Versio: v1.0 — 22.03.2021 | Päivitetty: v2.0 — 15.05.2026
I — Rekisterinpitäjä ja yhteystiedot
§1.1 Rekisterinpitäjä
amepa Oy
Huhmarinrinne 1, 33560 Tampere
Y-tunnus: 2400436-4
§1.2 Yhteyshenkilö rekisteriasioissa
Ari Kivelä / ari.kivela@amepa.fi
Kysymyksiin vastataan kohtuullisessa ajassa. Laissa määritelty enimmäisaika on yksi kuukausi, mutta pyrimme parempaan.
II — Rekisterin luonne, käsittely ja tietolähteet
§2.1 Rekisterin nimi ja luonne
amepa Oy:n asiakas-, sidosryhmä- ja palvelinlokirekisteri. Kyseessä ei ole markkinointirekisteri; emme harjoita massaviestintää emmekä myy yhteystietoja eteenpäin. Emme myöskään käytä tietoja automaattiseen päätöksentekoon tai profilointiin — päätökset tekee ihminen, perusteenaan ammattitaito, ei algoritmi.
§2.2 Käsittelyn tarkoitus ja oikeusperuste
Henkilötietoja käsitellään seuraaviin tarkoituksiin ja seuraavilla oikeusperusteilla (tietosuoja-asetuksen 6 artikla):
— Asiakassuhteen ja sopimusten hoitaminen: sopimus (art. 6.1.b)
— Tarjouspyyntöihin vastaaminen ja yhteydenpito: rekisterinpitäjän oikeutettu etu (art. 6.1.f)
— Laskutus ja kirjanpito: lakisääteinen velvoite (art. 6.1.c), erityisesti kirjanpitolaki (1336/1997)
— Palvelimen tekninen toiminta ja tietoturva: rekisterinpitäjän oikeutettu etu (art. 6.1.f)
— Ammatillinen jatkuvuus ja työntekijän muistin tuki sähköpostiarkistossa: rekisterinpitäjän oikeutettu etu (art. 6.1.f)
§2.3 Rekisterin tietosisältö
Rekisteri voi sisältää seuraavia tietoja: nimi, edustettu yritys tai yhteisö, sähköpostiosoite, puhelinnumero, laskutustiedot sekä asiakas- tai tarjousviestinnän sisältö. Lisäksi palvelimen suojatuille alueille (esim. /share/) suuntautuneista käynneistä tallentuu IP-osoite, aikaleima ja pyydetyn resurssin tunniste. Erityisiä henkilötietoryhmiä (art. 9) emme kerää emmekä käsittele.
§2.4 Säännönmukaiset tietolähteet
Tiedot saadaan pääsääntöisesti rekisteröidyltä itseltään — sähköpostitse, puhelimitse, tarjouspyyntöjen yhteydessä tai sopimusta tehdessä. Palvelinlokitiedot muodostuvat automaattisesti verkkoliikenteen teknisistä ominaisuuksista. Emme osta yhteystietorekistereitä kolmansilta osapuolilta emmekä harjoita data scraping -tyyppistä tiedonkeruuta.
III — Säilytysajat ja tietojen luovutukset
§3.1 Säilytysajat
Henkilötietoja säilytetään niin kauan kuin käyttötarkoitus edellyttää.
Aktiivinen rekisteri (asiakassuhteen ja toimituksen hoitamiseen käytettävät tiedot):
— Asiakastiedot (sopimus, laskutus, kirjanpitoaineisto): 6 vuotta tilikauden päättymisestä, kirjanpitolain edellyttämällä tavalla
— Tarjouspyynnöt, joista ei syntynyt sopimusta: 12 kuukautta viimeisestä yhteydenpidosta
— Palvelinlokit: 30 vuorokautta, minkä jälkeen automaattinen poisto. Tietoturvaloukkausepäilyn yhteydessä yksittäisiä lokeja voidaan säilyttää asian selvittämisen ajan.
Henkilökohtainen sähköpostiarkisto. Toimittajan henkilöstön työsähköpostilaatikoissa säilyy ammatillisen toiminnan luonteen vuoksi pidempiaikaista viestintää, jota ei ole erillisesti arkistoitu aktiiviseen rekisteriin. Tällaista aineistoa ei poisteta jaksoittain, vaan se säilyy työntekijän käytössä niin kauan kuin se palvelee ammatillista jatkuvuutta ja muistin tukea. Tämä on tietoinen valinta: pitkäjänteisessä asiantuntijatyössä vanha viestiketju voi olla välttämätön konteksti uudelle keskustelulle, ja rehellisyyden vuoksi totuudenmukainen kuvaus on parempi kuin liian tiukka lupaus, jota ei käytännössä noudateta.
Vanhojen viestien käsittely on kuitenkin minimoitu. Niitä ei käytetä uusien yhteydenottojen perusteena, profilointiin, segmentointiin, markkinointiin tai muuhun aktiiviseen rekisterinpitoon. Rekisteröidyn pyynnöstä häntä koskevat viestit haetaan ja käsitellään tämän selosteen §4.2 mukaisesti samalla tavalla kuin aktiivisen rekisterin tiedot — mukaan lukien oikeus poistoon, ellei säilyttämiseen ole lakisääteistä perustetta.
§3.2 Tietojen luovutukset ja siirrot
Henkilötietoja ei luovuteta kolmansille osapuolille markkinointi- tai kaupallisiin tarkoituksiin. Luovutuksia voidaan tehdä ainoastaan lakisääteisten velvoitteiden täyttämiseksi (esim. viranomaisen toimivaltainen pyyntö) tai sopimuksen toteuttamiseksi välttämättömässä laajuudessa (esim. kirjanpitäjä, joka on omassa salassapitosuhteessaan). Tietoja ei siirretä EU- tai ETA-alueen ulkopuolelle. Sähköpostijärjestelmä operoi omalla palvelimella; emme käytä yhdysvaltalaisia pilvitoimistopalveluita henkilötietojen säilytykseen.
Henkilötietoja ei syötetä ulkopuolisiin tekoälypalveluihin. Tämä on linjassa amepa Oy:n operatiivisen doktriinin §3.6 sekä yleisten toimitus- ja sopimusehtojen §5.4 kanssa: asiakkaan ja sidosryhmien data on uskottu rekisterinpitäjälle työn tekemistä varten, ei kolmansille osapuolille edes työkalun muodossa. Sisäisiin, paikallisesti operoitaviin tai sopimuksellisesti suojattuihin järjestelmiin, joissa data ei välity ulospäin, tämä rajoitus ei kohdistu.
IV — Suojaus ja rekisteröidyn oikeudet
§4.1 Rekisterin suojauksen periaatteet
Digitaalinen aineisto on suojattu asianmukaisin teknisin menetelmin: palomuurein, salasanasuojauksin, päivitetyin järjestelmin ja rajatuin käyttöoikeuksin. Manuaalista arkistoa ei pidetä. Henkilötietoihin pääsevät käsiksi ainoastaan ne henkilöt, joiden työtehtävät sitä edellyttävät, ja vaitiolovelvollisuus on kattava. Tietoturvaa ylläpidetään jatkuvasti — ei kampanjaluonteisesti vaan rutiininomaisesti, kuten asiaan kuuluu.
§4.2 Rekisteröidyn oikeudet
Rekisteröidyllä on tietosuoja-asetuksen nojalla seuraavat oikeudet, joita voi käyttää ottamalla yhteyttä kohdassa §1.2 mainittuun yhteyshenkilöön:
— Tarkastusoikeus (art. 15): saada vahvistus siitä, käsitelläänkö tietojasi, ja pyytää itseäsi koskevat tiedot
— Oikaisuoikeus (art. 16): pyytää virheellisten tietojen korjaamista
— Oikeus tietojen poistamiseen (art. 17): pyytää tietojen poistamista, ellei niiden säilyttämiseen ole lakisääteistä perustetta (esim. kirjanpitoaineisto)
— Oikeus käsittelyn rajoittamiseen (art. 18)
— Oikeus siirtää tiedot järjestelmästä toiseen (art. 20), siltä osin kuin käsittely perustuu suostumukseen tai sopimukseen ja se on teknisesti toteutettavissa
— Vastustamisoikeus (art. 21), erityisesti oikeutettuun etuun perustuvan käsittelyn osalta
— Oikeus peruuttaa antamansa suostumus (art. 7.3), mikäli käsittely perustuu suostumukseen
Pyyntöihin vastataan ilman aiheetonta viivytystä, viimeistään kuukauden kuluessa. Henkilöllisyys on voitava tarvittaessa varmistaa, jotta tietoja ei luovuteta väärälle taholle — tämä ei ole kiusantekoa, vaan juuri sen suojan toteutusta, joka selosteen tarkoitus on varmistaa.
§4.3 Valitusoikeus valvontaviranomaiselle
Jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittely rikkoo tietosuojalainsäädäntöä, hänellä on oikeus tehdä valitus tietosuojavaltuutetun toimistolle. Yhteystiedot: tietosuoja.fi. Suosittelemme kuitenkin, että kysymys tuodaan ensin rekisterinpitäjän tietoon — useimmat väärinymmärrykset selviävät yhdellä sähköpostilla nopeammin kuin valvontaviranomaisen käsittelyaikataulussa.
V — Evästeet ja päivitykset
§5.1 Evästeet ja analytiikka
amepa.fi ei käytä evästeitä, seurantapikseleitä, analytiikkatyökaluja eikä kolmannen osapuolen skriptejä. Sivustolla ei ole mainosverkostoja, fingerprinting-mekanismeja eikä kävijäkohtaista profilointia. Kielivalinta säilyy istunnon ajan PHP-session avulla, joka päättyy automaattisesti selaimen sulkeutuessa eikä jätä jälkiä laitteelle. Tämä ei ole poliittinen kannanotto vaan suunnitteluratkaisu: kävijän yksityisyyttä kunnioitetaan helpoimmin siten, että ei rakenneta infrastruktuuria sen loukkaamiseen. Mikäli sivustolle myöhemmin lisätään esimerkiksi yhteydenottolomake tai analytiikkaa, tätä selostetta päivitetään vastaavasti.
§5.2 Selosteen päivitykset
Tätä selostetta voidaan ajoittain päivittää lainsäädännön muutosten tai palveluidemme kehittymisen myötä. Voimassa oleva versio on aina saatavilla osoitteessa amepa.fi. Muutoksista, jotka vaikuttavat olennaisesti rekisteröityjen oikeuksiin tai käsittelyn perusteisiin, ilmoitetaan erikseen. Kosmeettisista korjauksista ei tiedoteta erikseen — pilkkukorjauksesta viestiminen olisi kohtuutonta kaikkien osapuolten ajankäyttöä.