Tietosuojaseloste
Päivitetty 1.1.2026 | EU:n yleinen tietosuoja-asetus (GDPR), artiklat 13 ja 14
1. Rekisterinpitäjä
Impact Finance Oy (Registera)
Y-tunnus: [täydennetään]
Osoite: [täydennetään]
Sähköposti: privacy@registera.fi
Puhelin: [täydennetään]
2. Tietosuojavastaava
[Nimi]
Sähköposti: privacy@registera.fi
3. Henkilötietojen käsittelyn roolit
Tärkeä erottelu GDPR-rooleista:
- Verkkotunnusrekisterin tiedot (nimi, henkilötunnus, osoite, prosessiosoite): Traficom on rekisterinpitäjä ja Impact Finance Oy (Registera) toimii henkilötietojen käsittelijänä Traficomin lukuun (GDPR art. 28). Käsittelyn oikeusperuste on laki sähköisen viestinnän palveluista (917/2014) ja verkkotunnusmääräys 68.
- Muut palvelun tiedot (käyttäjätili, laskutus, dropcatch-seurannat, auditloki): Impact Finance Oy (Registera) on rekisterinpitäjä näiden tietojen osalta.
3.1 Käsittelyn tarkoitus ja oikeusperuste
| Tarkoitus | Oikeusperuste | Rooli |
|---|---|---|
| Verkkotunnuksen rekisteröinti ja tietojen merkitseminen Traficomin rekisteriin | Lakisääteinen velvoite (SVPL 917/2014, Verkkotunnusmääräys 68) | Käsittelijä (Traficom rekisterinpitäjä) |
| Verkkotunnusten hallinnointi (uusiminen, siirto, irtisanominen) | Lakisääteinen velvoite + sopimus | Käsittelijä |
| Käyttäjätili ja kirjautuminen | Sopimuksen täytäntöönpano (GDPR art. 6(1)(b)) | Rekisterinpitäjä |
| Laskutus ja kirjanpito | Lakisääteinen velvoite (kirjanpitolaki) | Rekisterinpitäjä |
| Tietoturvan ylläpito ja auditloki | Oikeutettu etu (art. 6(1)(f)) ja lakisääteinen velvoite | Rekisterinpitäjä |
| Dropcatch-palvelu | Sopimuksen täytäntöönpano | Rekisterinpitäjä |
| Asiakasviestintä (uusimismuistutukset) | Sopimuksen täytäntöönpano | Käsittelijä / Rekisterinpitäjä |
3.2 Käsittelyn kesto
Verkkotunnusrekisteriin merkittyjä henkilötietoja käsitellään vain sen ajan, kun verkkotunnus on Impact Finance Oy:n (Registera) ylläpidossa ja/tai verkkotunnus on voimassa suoja-aikoineen. Kun käyttäjä ei ole enää asiakkaanamme tai verkkotunnuksen voimassaoloaika on päättynyt, henkilötiedot poistetaan järjestelmistämme (GDPR art. 28, kohta 3g).
3.3 Käsittelijän velvollisuudet (GDPR art. 28)
- Käsittelemme henkilötietoja ainoastaan lain ja Traficomin ohjeiden mukaisesti
- Henkilöstömme noudattaa salassapitovelvollisuutta
- Emme luovuta henkilötietoja Traficomin rekisteristä ilman lakisääteistä perustetta
- Toimitamme Traficomille tietopyynnöt, jotka kohdistuvat rekisterin ei-julkisiin tietoihin
- Avustamme Traficomia GDPR-velvoitteiden noudattamisessa
- Sallimme Traficomin suorittamat auditoinnit
- Ilmoitamme Traficomille viipymättä henkilötietoihin kohdistuvista tietoturvaloukkauksista
4. Käsiteltävät henkilötiedot
Traficomin rekisteriin ilmoitettavat pakolliset tiedot:
- Nimi (henkilön tai organisaation)
- Henkilötunnus tai muu yksilöivä tunnus (henkilöasiakkaat)
- Y-tunnus (organisaatioasiakkaat)
- Postiosoite
- Puhelinnumero
- Yhteyshenkilö ja puhelinnumero (organisaatiot)
- Sähköpostiosoite (lakisääteinen prosessiosoite)
Palvelun käytössä syntyvät tekniset tiedot:
- IP-osoite, User-Agent, istuntotunnus
- Toimintaloki (kirjautuminen, verkkotunnusoperaatiot)
Emme tallenna maksukorttitietoja. Maksut käsittelee PCI DSS -sertifioitu Stripe.
5. Henkilötietojen vastaanottajat
| Vastaanottaja | Tarkoitus | Sijainti |
|---|---|---|
| Traficom (.fi-rekisteri) | Lakisääteinen verkkotunnusten rekisteröinti | Suomi |
| Stripe | Maksujen käsittely | EU (Irlanti) |
| Sähköpostipalvelu | Ilmoitukset ja vahvistukset | EU |
Henkilötietoja ei siirretä EU/ETA-alueen ulkopuolelle.
6. Tietojen säilytysajat
| Tietotyyppi | Säilytysaika | Peruste |
|---|---|---|
| Käyttäjätili ja yhteystiedot | Sopimussuhteen ajan + 3 vuotta | Sopimus + vanhentumisaika |
| Laskutustiedot | 6 vuotta | Kirjanpitolaki |
| Auditloki | 2 vuotta | Lakisääteinen velvoite |
| Istuntotiedot | 24 tuntia | Tekninen tarve |
Kun käsittelyn peruste päättyy (esim. verkkotunnus siirtyy toiselle välittäjälle), henkilötiedot poistetaan tai anonymisoidaan 30 päivän kuluessa, ellei lakisääteinen säilytysvelvollisuus edellytä pidempää säilytystä.
7. Rekisteröidyn oikeudet
Sinulla on seuraavat oikeudet henkilötietojesi käsittelyyn liittyen:
| Oikeus | Kuvaus | Miten |
|---|---|---|
| Tarkastusoikeus (art. 15) | Oikeus saada tietää, mitä tietoja sinusta käsitellään | Hallintapaneeli tai sähköpostipyyntö |
| Oikaisuoikeus (art. 16) | Oikeus vaatia virheellisten tietojen korjaamista | Hallintapaneeli tai sähköpostipyyntö |
| Poisto-oikeus (art. 17) | Oikeus pyytää tietojesi poistamista | Asetukset-sivu tai sähköpostipyyntö |
| Rajoitusoikeus (art. 18) | Oikeus rajoittaa tietojen käsittelyä | Sähköpostipyyntö |
| Siirto-oikeus (art. 20) | Oikeus saada tiedot koneellisesti luettavassa muodossa | JSON-vienti hallintapaneelista |
| Vastustusoikeus (art. 21) | Oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä | Sähköpostipyyntö |
Pyynnöt käsitellään kuukauden kuluessa. Yhteydenotot: privacy@registera.fi
8. Tietoturva
- Salasanat: Argon2id-hajautus
- Arkaluontoiset tiedot (henkilötunnus, auth-koodit): AES-256-GCM-salaus
- Tietoliikenne: TLS 1.2+ kaikissa yhteyksissä
- Pääsynhallinta: roolipohjainen, vähimmän oikeuden periaate
- Auditloki: kaikista toiminnoista, muuttamaton (append-only)
- Kaksivaiheinen tunnistautuminen (TOTP) saatavilla kaikille käyttäjille
9. Tietoturvaloukkaukset
Mikäli henkilötietoihin kohdistuu tietoturvaloukkaus, ilmoitamme siitä tietosuojavaltuutetulle 72 tunnin kuluessa ja tarvittaessa myös rekisteröidyille ilman aiheetonta viivytystä (GDPR art. 33 ja 34).
10. Valitusoikeus
Jos katsot, että henkilötietojesi käsittelyssä on rikottu tietosuojalainsäädäntöä, sinulla on oikeus tehdä valitus valvontaviranomaiselle:
Tietosuojavaltuutetun toimisto
Lintulahdenkuja 4, 00530 Helsinki
tietosuoja@tietosuoja.fi
029 566 6700
11. Evästeet
Käytämme vain palvelun toiminnan kannalta välttämättömiä evästeitä (istuntoeväste). Emme käytä seuranta- tai mainosevästeitä.