Tietosuojaseloste
Versio: 1.0 (6.6.2026)
Tämä tietosuojaseloste kuvaa, miten Verlab-palvelussa käsitellään henkilötietoja. Seloste on laadittu EU:n yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, "tietosuoja-asetus" / GDPR) 13 ja 14 artiklan tiedonantovelvollisuuden täyttämiseksi, ja sitä täydentää kansallinen tietosuojalaki (1050/2018).
Verlab (verlab.fi) on ilmalämpöpumppujen asennusten tarjousvertailupalvelu. Kuluttaja (asunnonomistaja) jättää pyynnön, ja vahvistetut asennusliikkeet antavat vakioidun tuotekatalogin mukaisia, keskenään vertailukelpoisia tarjouksia. Palvelu on kuluttajalle maksuton.
1. Rekisterinpitäjä
| Tieto | Sisältö |
|---|---|
| Rekisterinpitäjä | SMTA Socials |
| Y-tunnus | 3612172-8 |
| Postiosoite | Hernetie 4 C 87, 01300 Vantaa |
| Sähköposti | oskari@someta.fi |
| Verkkotunnus | verlab.fi |
SMTA Socials toimii rekisterinpitäjänä omien käsittelytarkoitustensa osalta: käyttäjien rekisteröinti, pyyntöjen ja tarjousten välitys (matching), asennusliikkeen valinnan yhteydessä tehtävä yhteystietojen luovutus, asentajalta perittävän menestyspalkkion laskutus sekä ohituskiellon (no-circumvention) valvonta.
2. Tietosuojavastaava / yhteyshenkilö tietosuoja-asioissa
Tietosuoja-asioita koskevat tiedustelut: oskari@someta.fi.
3. Käsittelyn tarkoitukset ja oikeusperusteet
Käsittelemme henkilötietoja seuraaviin tarkoituksiin seuraavin oikeusperustein. Jokainen tarkoitus on sidottu nimenomaiseen tietosuoja-asetuksen 6 artiklan oikeusperusteeseen (13 art. 1 c–d).
| # | Käsittelytarkoitus | Rekisteröityryhmä | Oikeusperuste (GDPR 6 art.) |
|---|---|---|---|
| 1 | Käyttäjätilin luominen ja hallinta (rekisteröinti, kirjautuminen, todennus) | Kuluttaja, asentaja | 6(1)(b) sopimuksen täytäntöönpano (käyttöehdot) |
| 2 | Kuluttajan tarjouspyynnön vastaanotto ja kohteen tietojen käsittely | Kuluttaja | 6(1)(b) sopimuksen täytäntöönpano |
| 3 | Tarjousten välittäminen ja vakioidun katalogin mukainen vertailu (matching), tarjousten näyttäminen rinnakkain | Kuluttaja, asentaja | 6(1)(b) sopimuksen täytäntöönpano |
| 4 | Kuluttajan yhteystietojen luovutus valitulle asennusliikkeelle valintahetkellä (ks. kohta 5) | Kuluttaja | 6(1)(b) sopimuksen täytäntöönpano; tukena 6(1)(f) oikeutettu etu |
| 5 | Asentajan identiteetin ja kelpoisuuden tarkistus (Y-tunnus + PRH/YTJ-haku sekä Tukesin toiminnanharjoittajarekisterin automaattinen tarkistus voimassa olevasta kylmäalan toimintaoikeudesta) | Asentaja | 6(1)(b) sopimus; 6(1)(c) lakisääteinen velvoite; 6(1)(f) oikeutettu etu (luotettava markkinapaikka) |
| 6 | Asentajalta perittävän menestyspalkkion (kiinteä 59 €, ei arvonlisäveroa) laskutus ja SEPA-suoraveloitusvaltuutuksen käsittely | Asentaja | 6(1)(b) sopimus (asentajasopimus); 6(1)(c) kirjanpito-/verovelvoitteet |
| 7 | Ohituskiellon (no-circumvention) valvonta ja näyttö platform-bypassista | Asentaja | 6(1)(f) oikeutettu etu (menestyspalkkion turvaaminen); 6(1)(b) sopimus |
| 8a | Asiakaspalvelu ja vapaaehtoinen viestintä rekisteröidyn kanssa (yhteydenottoihin vastaaminen, palvelua koskeva neuvonta) | Kuluttaja, asentaja | 6(1)(b) sopimuksen täytäntöönpano (palveluun liittyvä viestintä); ja/tai 6(1)(f) oikeutettu etu (asiakassuhteen hoito ja palveluviestintä) |
| 8b | Rekisteröidyn lakisääteisten tietosuojaoikeuksien (GDPR 15–22 art.) toteuttaminen ja pyyntöihin vastaaminen | Kuluttaja, asentaja | 6(1)(c) lakisääteinen velvoite (tietosuoja-asetuksen mukainen vastaamisvelvollisuus) |
| 9 | Transaktiosähköpostien lähettäminen (vahvistukset, ilmoitukset) | Kuluttaja, asentaja | 6(1)(b) sopimus; 6(1)(f) oikeutettu etu |
| 10 | Palvelun tekninen toiminta, tietoturva, väärinkäytösten esto ja virheiden selvitys | Kuluttaja, asentaja | 6(1)(f) oikeutettu etu (palvelun turvallisuus) |
| 11 | Lakisääteisten velvoitteiden noudattaminen (kirjanpito, verotus, rahanpesun esto) | Asentaja | 6(1)(c) lakisääteinen velvoite |
| 12 | Palvelun käytön tuoteanalytiikka ja kehittäminen (PostHog, EU; vain analytiikkasuostumuksella) | Kuluttaja, asentaja | 6(1)(f) oikeutettu etu (palvelun kehittäminen); evästeiden osalta SVPL 205 § edellyttää suostumusta |
| 13 | Suoramarkkinointi (huoltomuistutukset ja palveluviestit sähköpostitse) | Kuluttaja | 6(1)(a) suostumus; olemassa oleville asiakkaille tukena SVPL 200 §:n ns. pehmeä opt-in (vaivaton vastustaminen joka viestissä) |
Tavanomaista asiakaspalvelua ja vapaaehtoista viestintää (8a) ei käsitellä lakisääteisenä velvoitteena (6(1)(c)), vaan sopimuksen täytäntöönpanona ja/tai oikeutettuna etuna. Ainoastaan rekisteröidyn lakisääteisiin tietosuojaoikeuksiin vastaaminen (8b) perustuu 6(1)(c):n mukaiseen lakisääteiseen velvoitteeseen.
Oikeutettuun etuun (6(1)(f)) perustuvan käsittelyn osalta rekisterinpitäjä on tehnyt tasapainotestin, jossa on punnittu rekisterinpitäjän etua ja rekisteröidyn oikeuksia. Tasapainotestin tulos on saatavissa pyynnöstä osoitteesta oskari@someta.fi.
4. Käsiteltävät henkilötietoryhmät
Keräämme vain kuhunkin tarkoitukseen tarpeelliset tiedot (tietojen minimointi, GDPR 5(1)(c)).
Kuluttaja (asunnonomistaja):
- Tunnistetiedot: nimi, sähköpostiosoite, puhelinnumero.
- Tilitiedot: käyttäjätunnus, salasanan tiiviste, kirjautumislokit.
- Pyyntö- ja kohdetiedot: asennuskohteen postinumero (karkea sijainti; tarkka katuosoite sovitaan suoraan valitun asentajan kanssa valinnan jälkeen), kohteen ominaisuudet, valitut vakiokatalogin rivit ja lisätyöt.
- Valintatapahtuma: mikä tarjous on hyväksytty (quotes.status='accepted') ja milloin.
- Viestintä: yhteydenotot asiakaspalveluun.
Kuluttajan maksutietoja ei käsitellä: palvelu on kuluttajalle maksuton eikä kuluttaja maksa alustalle mitään.
Asentaja (kylmäasennusliike / elinkeinonharjoittaja):
- Yritystiedot: toiminimi/yrityksen nimi, Y-tunnus, osoite, yhteyshenkilön nimi, sähköposti, puhelinnumero.
- Kelpoisuustiedot: Tukes-kylmälaiteliiketodistuksen ja pätevyysrekisterimerkintöjen tiedot.
- Tilitiedot: käyttäjätunnus, salasanan tiiviste, kirjautumislokit.
- Tarjoustiedot: annetut tarjoukset, vakiokatalogin rivit, hinnat.
- Maksu- ja valtuutustiedot (Stripe): SEPA-suoraveloitusvaltuutus (IBAN, valtuutusviite/mandate reference, valtuutuksen tiedot), laskutus- ja maksutapahtumat, palkkion määrä ja mahdollinen hyvitys/veloituksesta luopuminen.
- Ohituskiellon valvontatiedot: näyttö introdusoiduista asiakkaista ja mahdollisesta platform-bypassista (request-tunnisteet).
- Asennuksen valmistumistiedot (asennusliikkeen ilmoittamat, vapaaehtoiset): asennetun laitteen sarjanumero, takuun pituus ja toteutunut laskutettu hinta. Käytetään palvelun laadun seurantaan, takuumuistutuksiin ja tilastointiin (oikeusperuste: oikeutettu etu, GDPR 6(1)(f); sopimuksen täyttymisen dokumentointi).
Huom: toiminimen / yksityisen elinkeinonharjoittajan osalta Y-tunnus ja yritysyhteystiedot voivat olla luonnollisen henkilön henkilötietoja, ja niitä käsitellään tämän selosteen mukaisesti.
Asennusliikkeiden julkiset tiedot: Vahvistettujen asennusliikkeiden julkiset perustiedot (toiminimi/yrityksen nimi, palvelualueet postinumeroittain, edustetut merkit, tähtiarvio ja arvostelumäärä) näytetään vertailusivulla (/vertaa) myös ilman kirjautumista. Asennusliikkeen omistajaa, Y-tunnusta tai maksutunnisteita ei näytetä julkisesti.
5. Yhteystietojen luovutus valitulle asennusliikkeelle (rekisterinpitäjältä rekisterinpitäjälle)
Tietosuojan kannalta keskeinen tapahtuma on kuluttajan yhteystietojen luovutus valitulle asennusliikkeelle.
- Asennusliikkeiden yhteystiedot ovat piilotettuina (masking) siihen asti, kunnes kuluttaja valitsee asennusliikkeen. Kuluttajan yhteystiedot luovutetaan vasta valintahetkellä ja vain siltä osin kuin asennusliike tarvitsee niitä tarjouksen ja sopimuksen tekemiseen (tietojen minimointi). Masking on samalla sisäänrakennetun tietosuojan (GDPR 25 art.) toteuttama tekninen toimenpide (ks. kohta 13).
- Luovutus käynnistyy yksinomaan kuluttajan aktiivisesta valinnasta (tarjouksen hyväksyntä, quotes.status='accepted'), ja se toteutetaan alustan hallinnoimana luovutuksena "kun perusteltua".
- Tämä on rekisterinpitäjältä rekisterinpitäjälle tapahtuva luovutus (luovutus controller-to-controller). Valittu asennusliike tulee luovutuksen jälkeen itsenäiseksi rekisterinpitäjäksi omaa tarjous-, sopimus- ja takuukäsittelyään varten. Kyseessä ei ole henkilötietojen käsittelijäsuhde eikä yhteisrekisterinpitäjyys (GDPR 26 art.); osapuolten käsittelytarkoitukset pidetään erillisinä.
- Oikeusperuste: ensisijaisesti GDPR 6(1)(b) — luovutus on tarpeen kuluttajan pyytämän välityspalvelun suorittamiseksi ja sen sopimuksen mahdollistamiseksi, johon kuluttaja on valinnallaan päättänyt ryhtyä; tukena tarvittaessa 6(1)(f) oikeutettu etu markkinapaikan toiminnan ja esitellyn liiketoimen mahdollistamiseksi. Luovutus ei perustu suostumukseen (6(1)(a)).
- Kuluttajalle kerrotaan etukäteen — tässä selosteessa ja valintavaiheessa — että asennusliikkeen valinta luovuttaa hänen yhteystietonsa nimetylle asennusliikkeelle, joka käsittelee tietoja sen jälkeen omana itsenäisenä rekisterinpitäjänään.
6. Henkilötietojen lähde (epäsuorasti kerätyt tiedot, GDPR 14 art.)
Osa asentajia koskevista tiedoista saadaan muualta kuin rekisteröidyltä itseltään:
- Yritys- ja yhteisötietojärjestelmä (YTJ), PRH / Verohallinto (ytj.fi): Y-tunnuksen ja yritystietojen tarkistus/rikastus. Lähde ilmoitetaan GDPR 14(2)(f):n mukaisesti.
- Tukesin julkiset rekisterit (rekisterit.tukes.fi): kylmälaiteliikkeen toiminnanharjoittajarekisterimerkinnän ja vastuuhenkilön/asentajien pätevyysrekisterimerkintöjen tarkistus.
Saatujen henkilötietojen ryhmät (14(1)(d)): yritys-/elinkeinonharjoittajan tunniste- ja kelpoisuustiedot, jotka toiminimen osalta voivat koskea nimettyä luonnollista henkilöä.
GDPR 14 artiklan tiedot annetaan rekisteröidylle kohtuullisessa ajassa tietojen hankkimisesta, kuitenkin viimeistään kuukauden kuluessa (14(3)(a)); jos tietoja käytetään yhteydenpitoon rekisteröidyn kanssa, viimeistään silloin, kun rekisteröityyn ollaan ensimmäisen kerran yhteydessä (14(3)(b)); ja jos tiedot on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin, kun tiedot luovutetaan ensimmäisen kerran (14(3)(c)) — sen mukaan, mikä näistä ajankohdista on aikaisin. Käytännössä nopeasti perehdytettäville asentajille tiedot annetaan viimeistään onboardingin yhteydessä tapahtuvan ensimmäisen yhteydenoton hetkellä.
7. Vastaanottajat ja henkilötietojen käsittelijät
7.1 Itsenäiset rekisterinpitäjät vastaanottajina
- Valittu asennusliike — itsenäinen rekisterinpitäjä kuluttajan valinnan jälkeen (ks. kohta 5).
- Stripe — itsenäinen rekisterinpitäjä omaa petostentorjunta-, sääntely- ja taloudellisen compliance-käsittelyään varten (ks. kohta 8). Tältä osin Stripeen ei sovelleta GDPR 28 artiklan käsittelijäsääntelyä.
7.2 Henkilötietojen käsittelijät (GDPR 28 art.)
Jokaisen alla luetellun käsittelijän kanssa on tehty kirjallinen tietojenkäsittelysopimus (DPA / henkilötietojen käsittelysopimus), joka kattaa GDPR 28(3) artiklan vaatimukset.
| Käsittelijä | Rooli / käsittely | Sijainti / siirtomekanismi |
|---|---|---|
| Supabase | Tietokanta (Postgres), tunnistautuminen ja tallennus | ETA-alue (varmistettava, ks. kohta 9 ja 13) |
| Resend | Transaktiosähköpostit (lähetys, sähköpostiosoitteet ja -sisältö) | Voi siirtää tietoja Yhdysvaltoihin; EU:n vakiosopimuslausekkeet (SCC). Ks. kohta 9. |
| Vercel | Palvelun isännöinti (hosting/edge) | Yhdysvaltain kytkös; SCC ja/tai DPF. Ks. kohta 9. |
| PostHog | Tuoteanalytiikka: palvelun käytön mittaus ja kehittäminen (tapahtumatiedot) | EU-alue (eu.i.posthog.com). Edellyttää allekirjoitettua DPA:ta ja analytiikkasuostumusta (ks. evästekäytäntö). |
Stripen kahtalainen rooli (dual role): Stripe toimii henkilötietojen käsittelijänä maksujen ja SEPA-suoraveloitusvaltuutusten käsittelyssä SMTA Socials:n lukuun, ja samalla itsenäisenä rekisterinpitäjänä omassa petostentorjunta-, sääntely- ja compliance-käsittelyssään (ks. kohdat 7.1 ja 8). GDPR 28 artiklan mukainen tietojenkäsittelysopimus on tehty ja se kattaa 28(3) artiklan vaatimukset vain Stripen käsittelijäroolissa tapahtuvan käsittelyn osalta; Stripen rekisterinpitäjäroolissa tapahtuvaan käsittelyyn ei sovelleta 28 artiklaa, vaan Stripe vastaa siitä itsenäisesti omana rekisterinpitäjänään. Stripen sijainti / siirtomekanismi: Yhdysvaltain kytkös; SCC ja/tai EU–US Data Privacy Framework (ks. kohdat 8–9).
Käsittelijät käsittelevät tietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, salassapitovelvollisina, GDPR 32 artiklan mukaisin turvatoimin, ja niiden alikäsittelijöiden ketju on hallinnoitu. Alikäsittelijäluettelot ovat saatavissa pyynnöstä.
8. Stripen kaksoisrooli ja maksutietojen käsittely
Stripe toimii kaksoisroolissa:
- Henkilötietojen käsittelijänä maksujen ja SEPA-suoraveloitusvaltuutusten käsittelyssä SMTA Socials:n lukuun; ja
- Itsenäisenä/erillisenä rekisterinpitäjänä omassa petostentorjunta-, sääntely- ja taloudellisen compliance-käsittelyssään.
SEPA-suoraveloitusvaltuutuksen tiedot (asentajan IBAN, valtuutusviite, valtuutus) käsitellään asentajan B2B-menestyspalkkiota varten: palkkio (kiinteä 59 €, ei arvonlisäveroa; mahdolliset lattia 39 € / katto 199 € ovat tulevaisuutta koskeva varaus, joka ei ole vielä voimassa) kirjataan tarjouksen hyväksynnän hetkellä, pidetään 5 päivää ja veloitetaan sen jälkeen; palkkiosta luovutaan tai se hyvitetään automaattisesti, jos asiakas ilmoittaa, ettei työ edennyt; asentajan oman 3 kuukauden maksuttoman pilottijakson aikana palkkio lasketaan ja kirjataan, mutta sitä ei veloiteta (record-but-waive).
- Oikeusperuste: GDPR 6(1)(b) (palvelusopimus asentajan kanssa) ja 6(1)(c) (kirjanpito-/rahanpesun estovelvoitteet).
- Kuluttajan maksutietoja ei käsitellä — kuluttaja ei maksa, vain asentaja maksaa.
- Stripen Yhdysvaltoihin tapahtuvien siirtojen suojatoimi (DPF / SCC) on kuvattu kohdassa 9.
9. Tietojen siirrot EU:n/ETA:n ulkopuolelle
Lähtökohtana on pitää käsittely ETA-alueella. Ensisijainen tietokanta ja tallennus (Supabase) on isännöity ETA-alueella (varmistettava). Stripe, Vercel ja Resend voivat kuitenkin siirtää tietoja Yhdysvaltoihin maksujen, isännöinnin ja sähköpostien osalta. Seloste ei siten väitä, että kaikki tiedot pysyisivät ETA-alueella.
Kun tietoja siirretään ETA:n ulkopuolelle, suojatoimena käytetään:
- EU:n komission hyväksymiä vakiosopimuslausekkeita (SCC), komission täytäntöönpanopäätös (EU) 2021/914 (GDPR 46(2)(c)); ja/tai
- soveltuvin osin riittävyyspäätöstä / EU–US Data Privacy Framework -järjestelyä (komission riittävyyspäätös 2023) niiden palveluntarjoajien osalta, jotka ovat DPF-sertifioituja.
Suojatoimien kopio on saatavissa pyynnöstä osoitteesta oskari@someta.fi.
10. Säilytysajat
Henkilötietoja säilytetään vain niin kauan kuin on tarpeen kunkin tarkoituksen toteuttamiseksi (GDPR 5(1)(e)).
| Tietoryhmä | Säilytysaika / peruste |
|---|---|
| Kuluttajan pyyntö- ja kohdetiedot (lead) | Konvertoitumaton pyyntö anonymisoidaan automaattisesti noin 12 kk kuluttua; valittuun työhön liittyvä pyyntö noin 24 kk kuluttua työn päättymisestä |
| Käyttäjätilin tiedot | Tilin voimassaolon ajan; poistetaan kohtuullisessa ajassa tilin sulkemisen jälkeen |
| Laskutus- ja kirjanpitoaineisto (asentaja, Stripe/SEPA) | Kirjanpitolain (1336/1997) mukainen säilytysaika (tositteet 6 vuotta tilikauden päättymisestä) |
| SEPA-valtuutustiedot | Valtuutuksen voimassaolon ajan; valtuutus raukeaa 36 kk ilman veloitusta |
| Ohituskiellon valvontatiedot | Ohituskiellon häntäjakson ajan (asentajasopimuksen mukaisesti) ja mahdollisten vaateiden vanhentumiseen asti |
| Suostumustiedot (consent_events) | Enintään 5 vuotta |
| Arvostelujen vapaa teksti | Noin 36 kuukautta, jonka jälkeen teksti poistetaan |
| Asennuksen valmistumistiedot (sarjanumero, takuu, toteutunut hinta) | Työhön liittyvän pyynnön säilytysajan mukaisesti |
| Kirjautumis- ja tietoturvalokit | Lyhyt, tietoturvan edellyttämä aika |
| Ylläpidon audit-loki ja webhook-idempotenssiloki | Enintään 90 vrk |
11. Rekisteröidyn oikeudet
Rekisteröidyllä on tietosuoja-asetuksen mukaiset oikeudet:
- Tarkastusoikeus (15 art.) — oikeus saada tietää, käsitelläänkö tietoja, ja saada jäljennös.
- Oikaisu (16 art.).
- Poisto ("oikeus tulla unohdetuksi", 17 art.) — laissa säädetyin rajoituksin (esim. kirjanpitovelvoite).
- Käsittelyn rajoittaminen (18 art.).
- Vastustamisoikeus (21 art.) — erityisesti oikeutettuun etuun (6(1)(f)) perustuvaa käsittelyä vastaan.
- Siirto-oikeus (siirtää tiedot järjestelmästä toiseen, 20 art.).
- Oikeus peruuttaa suostumus siltä osin kuin käsittely perustuu suostumukseen (esim. evästesuostumus), vaikuttamatta ennen peruutusta tapahtuneen käsittelyn lainmukaisuuteen.
Oikeuksia voi käyttää ottamalla yhteyttä osoitteeseen oskari@someta.fi. Vastaamme pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa (GDPR 12 art.).
Ilman käyttäjätiliä tarjouspyynnön jättäneet (vieraskäyttäjät) voivat käyttää tarkastus-, peruutus- ja poisto-oikeuksiaan itsepalveluna pyynnön lähettämisen jälkeen näytetyllä henkilökohtaisella linkillä ("Lataa tietoni"), joka on sidottu yksittäiseen tarjouspyyntöön. Linkin kautta voi ladata omat tiedot, perua markkinointisuostumuksen ja pyytää tietojen poiston — tai vaihtoehtoisesti ottaa yhteyttä yllä olevaan osoitteeseen. Linkki sisältää allekirjoitetun, määräaikaisen tunnuksen (voimassa 60 vrk valinnan/pyynnön jälkeen). Käsittele linkkiä henkilökohtaisena, sillä sen haltija voi käyttää näitä oikeuksia kyseiselle tarjouspyynnölle. Sama henkilökohtainen linkki toimii myös asentajan valintaan ilman kirjautumista. Ilman tiliä jätetyn pyynnön suostumustiedot (esim. markkinointisuostumus) tallennetaan pyyntöön sidottuna ilman tilitunnistetta.
Automaattinen päätöksenteko ja profilointi (GDPR 13(2)(f) ja 14(2)(g))
Automaattinen yksittäispäätöksenteko (GDPR 22 art.): Sellaista yksinomaan automaattiseen käsittelyyn perustuvaa päätöksentekoa, jolla olisi rekisteröityyn kohdistuvia oikeudellisia tai vastaavia merkittäviä vaikutuksia (GDPR 22 art.), ei tehdä.
Profilointi (laajemmassa merkityksessä): Palveluun liittyy GDPR 4 artiklan 4 kohdan tarkoittamaa profilointia siltä osin kuin tarjouksia järjestetään, vertaillaan ja kohdennetaan (matching/ranking) kuluttajan ilmoittamien kriteerien ja vakioidun katalogin perusteella, sekä siltä osin kuin asentajia koskevassa ohituskiellon (no-circumvention) valvonnassa seurataan ja arvioidaan mahdollista platform-bypassia request-tunnisteiden avulla. Tämä profilointi:
- perustuu pääosin kuluttajan itse ilmoittamiin kriteereihin ja ennalta määriteltyyn, vakioituun katalogiin, eikä siihen liity rekisteröidyn henkilökohtaisten ominaisuuksien laaja-alaista, piilotettua analysointia;
- ei muodosta GDPR 22 artiklan tarkoittamaa automaattista yksittäispäätöstä, koska lopullisen valinnan tekee kuluttaja itse (tarjouksen hyväksyntä) ja ohituskiellon valvonnan johtopäätökset käsitellään ihmisen toimesta ennen mahdollisia toimenpiteitä;
- on rekisteröidyn vastustettavissa 21 artiklan nojalla siltä osin kuin se perustuu oikeutettuun etuun (6(1)(f)).
Tietojen antaminen ja antamatta jättämisen seuraukset (GDPR 13(2)(e))
Osa tiedoista on edellytys palvelun käytölle tai lakisääteinen vaatimus; seuraukset tietojen antamatta jättämisestä ovat seuraavat:
- Kuluttajan yhteystiedot ja kohdetiedot: antaminen on tarpeen välityspalvelun sopimuksen täyttämiseksi. Ilman näitä tietoja tarjouspyyntöä ei voida välittää eikä kohdetta voida luovuttaa valitulle asennusliikkeelle.
- Asentajan identiteetti- ja Tukes-kelpoisuustiedot (Y-tunnus, yritysyhteystiedot, Tukes-rekisterimerkinnät): antaminen on sekä sopimuksen edellytys että osin lakisääteisten/markkinapaikan luotettavuusvaatimusten edellytys. Ilman näitä tietoja asentajaa ei voida vahvistaa, listata markkinapaikalle eikä sen tarjouksia voida näyttää kuluttajille.
- Asentajan SEPA-suoraveloitusvaltuutus: antaminen on menestyspalkkion perimisen edellytys. Ilman voimassa olevaa SEPA-valtuutusta asentaja ei saa live-liidejä.
- Asentajan kirjanpito-/laskutustiedot: näiden käsittely perustuu lakisääteiseen velvoitteeseen (kirjanpito-/verolainsäädäntö); tietoja ei voida olla käsittelemättä, jos palkkiollinen liiketoimi syntyy.
12. Valitusoikeus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetun toimistolle:
Tietosuojavaltuutetun toimisto Postiosoite: PL 800, 00531 Helsinki Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Verkkosivut: tietosuoja.fi
13. Tietoturva, sisäänrakennettu tietosuoja ja tietoturvaloukkaukset
Toteutamme GDPR 32 artiklan mukaiset tekniset ja organisatoriset turvatoimet, joihin kuuluvat muun muassa:
- salaus siirrossa ja levossa sekä salasanojen tallennus tiivisteinä (ei selväkielisinä);
- pääsynhallinta ja käyttöoikeuksien rajaaminen vähimmän oikeuden periaatteella;
- Supabasen rivitason käyttöoikeudet (Row Level Security, RLS);
- pseudonymisointi ja tunnisteiden minimointi siellä, missä se on käyttötarkoituksen kannalta mahdollista;
- säännölliset varmuuskopiot ja palautumiskyvyn varmistaminen;
- turvatoimien säännöllinen testaus ja arviointi (32(1)(d)).
Sisäänrakennettu ja oletusarvoinen tietosuoja (GDPR 25 art.): Palvelu on suunniteltu siten, että asennusliikkeiden yhteystiedot ovat piilotettuina (masking) ja kuluttajan yhteystiedot luovutetaan asennusliikkeelle vasta kuluttajan valinnan jälkeen ja vain tarvittavilta osin. Tämä masking-valintaan-asti -mekanismi sekä tietojen minimointi ja oletusasetusten tietosuoja toteuttavat 25 artiklan mukaista sisäänrakennettua ja oletusarvoista tietosuojaa.
Tietojen säilytysalue: ensisijainen tietokanta ja tallennus (Supabase) sijaitsee ETA-alueella (varmistettava). Osa käsittelystä (Stripe-maksut, Vercel-isännöinti, Resend-sähköpostit) sisältää kuitenkin kohdassa 9 kuvatut siirrot Yhdysvaltoihin SCC- ja/tai DPF-suojatoimin. Seloste ei väitä, että kaikki henkilötiedot säilyisivät ETA-alueella.
Henkilötietojen tietoturvaloukkauksesta ilmoitamme tietosuojavaltuutetulle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa (GDPR 33 art.) sekä rekisteröidylle, jos loukkaus todennäköisesti aiheuttaa korkean riskin (GDPR 34 art.).
14. Evästeet ja seuranta
Tämä seloste kuvaa evästeiden ja seurannan käytön yleisellä tasolla, mutta evästesuostumusta ei anneta tällä selosteella. Ei-välttämättömät evästeet ja seurantateknologiat (esim. analytiikka, kolmannen osapuolen skriptit) edellyttävät ennakollista, aktiivista opt-in-suostumusta erillisen evästebannerin kautta. Vain ehdottoman välttämättömät evästeet (istunto, tunnistautuminen, tietoturva, kuormantasaus, kieli, suostumustallenne) asetetaan ilman suostumusta.
Annettu evästesuostumus kirjataan (lokitetaan), ja sen voi peruuttaa yhtä helposti kuin se on annettu pysyvän asetuslinkin kautta (esim. sivuston alatunnisteen "Evästeasetukset" / "Cookie settings"). Suostumuksen peruuttaminen ei vaikuta ennen peruutusta tapahtuneen käsittelyn lainmukaisuuteen.
Evästeitä koskeva sääntely perustuu lakiin sähköisen viestinnän palveluista (917/2014, 205 §), joka panee täytäntöön sähköisen viestinnän tietosuojadirektiivin 2002/58/EY. Evästeiden tallennuksen valvonnasta vastaa Traficom ja henkilötietojen käsittelyn osalta tietosuojavaltuutettu. Evästeiden tarkemmat tiedot (kategoriat, tarkoitukset, kestot, kolmannet osapuolet) kuvataan erillisessä evästekäytännössä, joka on saatavilla osoitteessa verlab.fi/evasteet ja johon tässä selosteessa viitataan ristiin.
15. Selosteen muuttaminen
Voimme päivittää tätä tietosuojaselostetta toimintamme tai lainsäädännön muuttuessa. Ajantasainen versio on saatavilla osoitteessa verlab.fi. Olennaisista muutoksista tiedotetaan tarvittaessa erikseen.
Huomautus: kuluttajan 14 päivän peruuttamisoikeus (peruuttamisoikeus) on kuluttajansuojalain (38/1978) mukainen oikeus, jota käsitellään käyttöehdoissa, eikä se ole GDPR:n mukainen käsittelyn oikeusperuste. Nämä pidetään käsitteellisesti erillään.