Tietosuoja­seloste


Päivitetty 6.11.2023

Docue Technologies Oy ("Palveluntuottaja")
Kalevankatu 6, 00100 Helsinki
Y-tunnus 2724469-7

1. Yleistä

Tässä selosteessa kerromme, miten rekisterinpitäjänä käsittelemme rekisteröityneen käyttäjän henkilötietoja. Käsittely vastaa EU:n yleisen tietosuoja-asetuksen (”GDPR”) vaatimuksia. Käyttäjinämme voi olla sekä yksityishenkilöitä että yrityksiä. Tässä selosteessa olevia kohtia voidaan kohdasta riippuen soveltaa joko yksityishenkilöihin, yrityksiin tai molempiin.

Seloste on yhdessä käyttöehtojemme kanssa samalla sopimus henkilötietojen käsittelystä tilanteissa, joissa meidän katsotaan käsittelevän henkilötietoja sinun tai yrityksesi lukuun (ns. ”DPA” = data processing agreement). Oikeudellisesti me olemme tällöin henkilötietojen käsittelijä ja sinä tai edustamasi yritys rekisterinpitäjä. Tietosuojan perusteita ja käytännön esimerkkejä toiminnastamme on avattu täällä. Tutustuthan huolellisesti myös niihin.

2. Henkilötietojen käsittelyn tarkoitukset ja peruste

Käsittelemme henkilötietoja, jotta voimme yksilöidä docue.com-verkkopalvelun käyttäjät ja välittää palvelussa tekemäsi asiakirjat halutuille vastaanottajille. Saatamme lisäksi käyttää henkilötietoja palvelua koskeviin tiedotteisiin, suoramarkkinointiin, laskutukseen ja tilastointiin.

Viestintämme voi olla henkilökohtaisesti kohdennettua. Saatamme lähettää esimerkiksi yrittäjäksi itsensä profiloineelle käyttäjälle sisältöä, jonka olemme katsoneet yrittäjää mahdollisesti kiinnostavaksi. Tarkoituksemme on seuloa sinulle lähetettävistä viesteistä pois ne, jotka eivät todennäköisesti kiinnosta sinua. Henkilötietojesi käsittely perustuu asiakassopimukseen, jonka solmit Palveluntuottajan kanssa rekisteröityessäsi palveluumme. Rekisteröitymisprosessissa pakollisina edellytettävien tietojen antaminen on edellytys käyttäjätilisi avaamiselle.

3. Käsiteltävät henkilötiedot

Käsittelemme yhtä tai useampaa seuraavista käyttäjiemme henkilötiedoista:
- Etu- ja sukunimi
- Henkilötunnus
- Postiosoite
- Puhelinnumero
- Sähköpostiosoite
- Ammatillinen viiteryhmä (toimihenkilö, opiskelija jne.)
- Evästeiden avulla kerättävät tekniset tiedot (esim. IP-osoite, selaintyyppi)
- Luottokortti- ja pankkitilitiedot

Emme ilman erillistä valtuutustasi tai lain asettamaa velvoitetta tarkastele, muokkaa tai poista käyttäjätilisi sopimus- tai asiakirjasisältöä tai sisältöihin liittyviä allekirjoituksia. Voit omatoimisesti kutsua henkilöitä palvelumme käyttäjiksi. Vastaat siitä, että sinulla sisältöä laatiessasi ja kutsuja tehdessäsi oikeus käsitellä niitä henkilötietoja, jotka syötät palveluumme. Vastaat myös muista kyseisiin tietoihin liittyvistä tietosuojalainsäädännön velvollisuuksista pois lukien suojausmenetelmät, joihin olemme itse sitoutuneet jäljempänä olevan 7 luvun mukaisesti. Huolehdithan esimerkiksi siitä, ettet jaa tilisi käyttöoikeuksia sellaisille, joilla ei ole oikeutta päästä tarkastelemaan mainittuja tietoja. Tilisi asiakirja- ja allekirjoituskantaasi itse syöttämiesi henkilötietojen osalta sinut katsotaan rekisterinpitäjäksi, Palveluntuottaja henkilötietojen käsittelijäksi.

4. Säännönmukaiset tietolähteet

Keräämme tarvittavat henkilötiedot lähtökohtaisesti sinulta itseltäsi, joko suoraan tai evästeiden avulla, rekisteröityessäsi verkkopalveluumme ja päivittäessäsi käyttäjätilisi tietoja. Joissain tapauksissa tietojasi saattaa syöttää järjestelmäämme joku kolmas osapuoli – esimerkiksi työkaverisi, joka kutsuu sinut käyttämään yrityksenne yhteistä tiliä. Sinulla on näissä tapauksissa mahdollisuus korjata ja poistaa tietosi palvelustamme kohdassa ”Rekisteröidyn oikeudet” asetetuissa puitteissa. Kehotamme näissä tilanteissa olemaan ensisijaisesti yhteydessä siihen osapuoleen, joka on syöttänyt tietosi.

Verkkopalvelussamme on mahdollisuus tarkastella yritysten ja yksityishenkilöiden luottotietoja. Palveluntuottaja ei itse kerää eikä koosta luottotietoja tai niihin liittyviä henkilötietoja, vaan tarjoaa ainoastaan teknisen rajapinnan ja käyttöliittymän, jolla asiakkaat voivat itse tarkastella Bisnode Finland Oy:n keräämiä tietoja. Tietojen sisällöstä vastaa ja tiedot tuottaa kaikilta osin Bisnode Finland Oy. Patentti- ja rekisterihallituksen Virre-sovelluspalvelusta saatavien tietojen suhteen menettely on sama.

5. Henkilötietojen käsittelijämme

Henkilötietoihisi on pääsy ainoastaan henkilöillä, joilla on työnsä tai toimensa puolesta peruste päästä käsiksi tietoihin. Kaikkia työntekijöitämme velvoittaa asianmukainen salassapitosopimus. Yhteistyökumppanimme, jotka käsittelevät henkilötietoja meidän lukuumme, ovat työntekijöineen ja alihankkijoineen vastaavien salassapitosopimusten velvoittamia. Kumppaniemme valintaan kuuluu tarkka tietosuoja-arviointi.

Keskeisimmät Palveluntuottajan lukuun henkilötietoja käsittelevät kumppanimme konserniyhtiöineen ovat:
· Palvelin: Amazon Web Services Inc.
· Asiakas- ja käyttäjäviestintä: Intercom Inc. & HubSpot Inc.
· Asiakashallinta: Chargebee Inc.
· Maksuliikenne: Paytrail Oyj & Stripe Inc.
· Taloushallinto-ohjelmisto: Accountor Finago Oy
· Verkkoliikenteen seuranta ja analysointi: Google Ireland Ltd & Meta Platforms Ireland Ltd & LinkedIn Ireland & PostHog, Inc.

Henkilötietoja saattavat käsitellä rajoitetusti myös kulloinkin käyttämämme tekstiviesti- ja sähköpostigeneraattorien palveluntarjoajat, asiakaspalvelun tarjoajat, ohjelmistokehittäjät, kirjanpitäjät ja konsultit. Näiden kumppanien valintaan kuuluu yhtä lailla tarkka tietosuoja-arviointi. Tiedotamme kaikista merkittävistä muutoksista kumppaneihimme liittyen ennen muutosten toimeenpanoa. Sovimme käsittelystä kirjallisesti kunkin kumppanimme kanssa ja edellytämme kumppaneidemme noudattavan tässä selosteessa asetettua tietosuojan tasoa. Vastaamme kumppaneidemme toimista henkilötietojen käsittelyssä kuin omistamme. Emme luovuta palveluumme tallennettua asiakirjasisältöä tai niihin liittyviä henkilötietoja ulkopuolisille kuin lain vaatiessa.

Henkilötietojasi saatetaan teknisistä syistä siirtää Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Siirron edellytys on, että Euroopan komissio on todennut kohdemaan tietosuojan tason riittäväksi tai tietoja EU:n ulkopuolella vastaanottava osapuoli sitoutuu tietosuojalainsäädännössä (GDPR:ssä) edellytettyihin asianmukaisiin suojatoimiin. Toimitamme pyydettäessä ajantasaiset tiedot kaikista henkilötietoja käsittelevistä kumppaneistamme sinulle henkilökohtaisesti ja selvennämme tarkemmin edellisessä kappaleessa mainitut suojatoimet tapauksissa, joissa tietoja mahdollisesti siirretään EU:n ulkopuolelle.

6. Henkilötietojen säilytysaika

Säilytämme henkilötietojasi lähtökohtaisesti niin kauan kuin sinulla on käyttäjätili palvelussamme. Tilin voi poistaa palvelun asetuksista. Saatamme tietyissä tapauksissa poistaa käyttäjätilejä, jotka ovat olleet pitkään epäaktiivisina. Näissä tapauksissa annamme sinulle ennakkoilmoituksen mahdollisista poistotoimenpiteistä.

7. Henkilötietojen suojaus

Pääsy tietokantoihin
Käyttäjiemme henkilötietoihin on pääsy vain niillä henkilöillä, joilla on työnsä tai toimensa puolesta oikeus päästä kyseisiin tietoihin. Henkilötietojen käsittely on luottamuksellista, mikä varmistetaan valvonnalla ja kattavilla salassapitosopimuksilla. Kullakin käsittelijällä on oma käyttäjätunnus ja salasana tietokantoihin, jotka sisältävät henkilötietojasi, joten käsittelijät pystytään jatkuvasti tunnistamaan. Pääsy Palveluntuottajan työtiloihin on ainoastaan työntekijöillä ja muilla luvan saaneilla.

Palvelimet
Asiakirja-aines ja käyttäjätiedot säilytetään palvelimilla, joissa käytetään luokkansa parhaita turvallisuus- ja suojauskäytäntöjä. Tämä tarkoittaa mm. konesalien kattavaa suojausta tulipaloa ja sähkökatkoa vastaan sekä tarkkaa työntekijöiden valintaprosessia ja kulunvalvontaa. Kaikki data varmuuskopioidaan säännöllisesti erilliselle varmuuskopiopalvelimelle. Palvelinten saapuvaa ja lähtevää tietoliikennettä valvotaan palomuurein. Palvelintarjoajat valvovat tietoliikennettä reaaliaikaisesti ja puuttuvat analyysin pohjalta havaittuihin uhkiin välittömästi.

Tietoliikenteen ja asiakirjojen suojaus
Salaamme kaiken tietoliikenteemme tietokoneen ja palvelimen välillä SSL-tekniikalla. Allekirjoitettavat asiakirjat on salattu suojakoodilla, joka lähetetään allekirjoituslinkin saajalle. Jokaisesta asiakirjasta lasketaan 256-bittinen HASH-tiiviste sen jälkeen, kun kaikki allekirjoitukset on kerätty. Tiiviste talletetaan palvelimelle yhdessä asiakirjan kanssa ja sen avulla voidaan havaita jälkikäteen, mikäli asiakirjaa muutetaan allekirjoitusten jälkeen. Tiivisteen avulla voidaan toisin sanoen jälkikäteen varmentaa, onko asiakirja tehty palvelussamme vai ei. Kaikki asiakirja-aines säilytetään palvelimella salattuna.

Käyttäjien kirjautumistiedot ja käyttöoikeudet
Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana. Kirjautumistietoja ei säilytetä palvelimella selväkielisenä. Jos käyttäjä kirjautuu palveluumme tavanomaisesta poikkeavasta laitteesta tai selaimesta, kirjautumispolkuun kuuluu lisävarmennuksena kaksivaiheinen vahvistaminen. Käyttäjän tulee silloin kirjautuakseen syöttää paitsi salasanansa, myös hänen puhelimeensa lähetetty kertakäyttökoodi. Näin saamme vahvistusta sille, että kirjautuva käyttäjä on käyttäjätilin oikea haltija.

Tietoturvaloukkauksesta tiedottaminen
Huolellinenkaan menettely ei takaa minkään tietojärjestelmän murtamattomuutta. Jos saamme tietoomme hallussa oleviin henkilötietoihimme kohdistuneen tietoturvaloukkauksen ja loukkaus todennäköisesti aiheuttaa korkean riskin oikeuksille tai vapauksillesi, tiedotamme loukkauksesta ilman aiheetonta viivytystä sinulle. Kaikki todennäköiset riskitilanteet tutkitaan seikkaperäisesti ja raportoidaan valvontaviranomaiselle.

8. Rekisteröidyn oikeudet

Rekisteröitynä sinulla on useita oikeuksia henkilötietoihisi liittyen. Lähetä meille sähköpostia osoitteeseen support@docue.com, jos haluat toteuttaa jonkun alla listatuista toimenpiteistä tai sinulla on kysyttävää oikeuksistasi. Välitämme toimenpidepyynnöt myös henkilötietoja käsitteleville kumppaneillemme.

Huomaathan, että koska emme vastaa käyttäjiemme – sinun tai muiden – omille sopimustileilleen tuottamasta asiakirjasisällöstä tai niihin liittyvistä allekirjoituksista emmekä luottamussyistä edes tarkastele näitä aineistoja, emme voi ulottaa alla olevia toimenpiteitä kyseisen aineiston mahdollisesti sisältämiin henkilötietoihin.

Oikeus tarkastaa ja saada tiedot
Ilmoitamme pyynnöstäsi sinulle kaikki henkilötiedot, jotka meillä on asiakasrekisterissämme sinusta. Toimitamme tiedot sinulle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Viimeksi ilmoittamasi yhteys- ja maksutiedot voit tarkastaa myös itse käyttäjätilisi asetuksista.

Oikaisuoikeus
Oikaisemme pyynnöstäsi asiakasrekisteriimme kerätyt epätarkat ja virheelliset henkilötietosi. Yhteys- ja maksutietosi voit päivittää myös itse käyttäjätilisi asetuksista.

Poisto-oikeus
Poistamme pyynnöstäsi kaikki sinua koskevat henkilötiedot asiakasrekisteristämme, ellei meillä ole oikeudellista erityisperustetta säilyttää tietoja (esim. maksamattomat laskut). Poisto-oikeuden käyttäminen tarkoittaa samalla käyttäjätilisi sulkemista.

Oikeus käsittelyn rajoittamiseen
Voit rajoittaa henkilötietoihisi kohdistuvaa käsittelyämme, jos sinulla on siihen jokin oikeudellinen peruste (esim. tietojen paikkansapitämättömyys).

Vastustamisoikeus
Sinulla on oikeus vastustaa henkilötietojesi käsittelyä suoramarkkinointitarkoituksiin. Jos olemme sinuun yhteydessä, lähestymistapa on todennäköisesti sähköposti. Jokaisen suoramarkkinointisähköpostimme lopussa on painike, jolla voit helposti poistaa itsesi suoramarkkinointilistaltamme.

Valitusoikeus
Sinulla on oikeus saattaa asiasi valvontaviranomaisen käsiteltäväksi, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Henkilötietoasioiden kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä toimiva tietosuojavaltuutettu.

9. Lisätiedot

Annamme mielellämme lisätietoja tietojenkäsittelystämme ja tietosuojaan liittyvistä oikeuksistasi. Sallimme alan käytäntöjen ja hyvän tavan puitteissa myös tietosuojakäytäntöihimme kohdistuvan auditoinnin.

Tarkempiin kysymyksiin vastaa
Hanna Lahtela
hanna@docue.com