Tietosuojaseloste
Päivitetty 28.2.2026
1. Rekisterinpitäjä
| Yritys | Peccode Oy (aputoiminimi: Tilppa) |
| Y-tunnus | 3112718-6 |
| Osoite | Porarinkatu 2 B 25, 02650 Espoo |
| Sähköposti | [email protected] |
| Yhteyshenkilö | Pekka Liukko, toimitusjohtaja |
2. Käsiteltävät henkilötiedot
Keräämme ja käsittelemme seuraavia henkilötietoja Tilppa Agents -palvelun tarjoamiseksi:
2.1 Tilin perustiedot
- Nimi
- Sähköpostiosoite
- Salasana (tallennetaan ainoastaan salattu tiiviste, bcrypt)
- Käyttäjätunnus ja MCP-tunnistautumisavain (salattu)
2.2 Organisaatiotiedot
- Organisaation nimi
- Käyttäjän rooli organisaatiossa (omistaja, ylläpitäjä, jäsen, katselija)
- Tiimin jäsenten kutsutiedot (nimi, sähköposti)
2.3 Maksutiedot
- Maksukortin tiedot käsitellään kokonaan Stripe, Inc:n toimesta — emme tallenna maksukorttinumeroita omiin järjestelmiimme
- Laskutussähköposti
- Tilauksen tila ja historia
2.4 Käyttö- ja lokitiedot
- Kirjautumisajankohdat
- IP-osoite
- Käytetyt toiminnot ja palvelun lokitiedot
2.5 Tekniset tiedot ja evästeet
- Selaintyyppi ja -versio
- Käyttöjärjestelmä ja laitteen tiedot
- Google Analytics -tunnisteet (vain suostumuksella)
2.6 Palvelun sisältödata
- Käyttäjän itse syöttämä sisältö: tehtävät, päätökset, tietopankin sisältö, workshop-muistiinpanot
- AI-agenttien tuottama analyysisisältö
3. Henkilötietojen käsittelyn tarkoitukset ja oikeusperusteet
| Tarkoitus | Oikeusperuste (GDPR) |
|---|---|
| Käyttäjätilin luominen ja palvelun toimittaminen | Sopimuksen täyttäminen (art. 6(1)(b)) |
| Maksujen käsittely ja laskutus | Sopimuksen täyttäminen (art. 6(1)(b)) |
| Palvelun kehittäminen ja virheiden korjaus | Oikeutettu etu (art. 6(1)(f)) |
| Tietoturva ja väärinkäytösten estäminen | Oikeutettu etu (art. 6(1)(f)) |
| Analytiikka (Google Analytics, Google Tag Manager) | Suostumus (art. 6(1)(a)) |
| Markkinointiviestintä | Suostumus (art. 6(1)(a)) |
| Kirjanpito ja verotus | Lakisääteinen velvoite (art. 6(1)(c)) |
4. Henkilötietojen vastaanottajat ja alihankkijat
Käytämme luotettuja alihankkijoita palvelun toimittamiseksi. Henkilötietoja käsitellään ainoastaan siinä laajuudessa kuin palvelun toimittaminen edellyttää.
| Alihankkija | Tarkoitus | Sijainti |
|---|---|---|
| Google Cloud Platform | Pilvi-infrastruktuuri ja tietokanta | EU (Suomi / Belgia) |
| Stripe, Inc. | Maksunvälitys ja laskutus | USA (SCCs + EU-US DPF) |
| Google Analytics / Tag Manager | Verkkosivuston analytiikka | USA (suostumuspohjainen, SCCs) |
| Anthropic, PBC | AI-mallien käsittely (Claude) | USA (SCCs + EU-US DPF) |
| Vercel, Inc. | Verkkosivuston hosting | Globaali (SCCs) |
Emme myy henkilötietoja kolmansille osapuolille. Tietoja voidaan luovuttaa viranomaisille lakisääteisten velvoitteiden täyttämiseksi.
5. Tietojen siirrot EU/ETA-alueen ulkopuolelle
Osa alihankkijoistamme sijaitsee EU/ETA-alueen ulkopuolella (Yhdysvallat). Tietojen siirrot toteutetaan seuraavilla suojamekanismeilla:
- EU:n vakiosopimuslausekkeet (SCCs) — EU-komission hyväksymät mallisopimuslausekkeet
- EU-US Data Privacy Framework (DPF) — Yhdysvaltain tietosuojakehys sertifioituneille yrityksille (Stripe, Anthropic)
6. Henkilötietojen säilytysajat
| Tietotyyppi | Säilytysaika | Peruste |
|---|---|---|
| Aktiivisen tilin tiedot | Tilin keston ajan + 30 päivää poiston jälkeen | Sopimus |
| Maksu- ja laskutustiedot | 6 vuotta tapahtumasta | Kirjanpitolaki |
| Palvelimen lokitiedot | 12 kuukautta | Oikeutettu etu (tietoturva) |
| Analytiikkadata (Google Analytics) | 14 kuukautta | Suostumus |
| Suostumusrekisteri | Suostumuksen kesto + 3 vuotta | Osoitusvelvollisuus |
| Palvelun sisältödata | Tilin keston ajan + 30 päivää | Sopimus |
| Tukiviestintä | 3 vuotta viimeisestä yhteydenotosta | Oikeutettu etu |
7. Evästeet ja analytiikka
7.1 Välttämättömät evästeet
Välttämättömät evästeet mahdollistavat palvelun perustoiminnot, kuten kirjautumisen ja istunnonhallinnan. Nämä evästeet eivät vaadi suostumustasi.
7.2 Analytiikkaevästeet
Käytämme Google Analytics 4 -palvelua ja Google Tag Manageria ymmärtääksemme, miten käyttäjät käyttävät sivustoamme. Analytiikkaevästeet asetetaan vasta kun olet antanut suostumuksesi evästebannerin kautta.
Voit estää Google Analyticsin käytön asentamalla Googlen opt-out -selainlisäosan.
7.3 Markkinointievästeet
Markkinointievästeitä voidaan käyttää kohdentamaan mainontaa. Nämä evästeet asetetaan vain erillisellä suostumuksellasi.
7.4 Evästeasetukset
Voit muuttaa evästevalintojasi milloin tahansa sivuston evästeasetuksista. Huomaa, että välttämättömien evästeiden poistaminen voi vaikuttaa palvelun toimintaan.
8. Tekoälyn käyttö palvelussa
Tilppa Agents -palvelu hyödyntää tekoälyä (AI) seuraaviin tarkoituksiin:
- AI-agenttien tuottamat analyysit ja ehdotukset workshopeissa
- Semanttinen haku tietopankista (embedding-vektorit)
- Tekstin luokittelu ja yhteenvetojen tuottaminen
Tekoälykäsittelyn periaatteet
- Käyttäjän syöttämä data käsitellään AI-mallien avulla palvelun toimittamiseksi (oikeusperuste: sopimus, art. 6(1)(b))
- AI ei tee automaattisia päätöksiä, joilla on oikeudellisia vaikutuksia rekisteröityyn (art. 22)
- AI-mallit eivät harjoittele (train) käyttäjän datalla. Dataa käytetään ainoastaan palvelun toimittamiseen.
- Kolmannen osapuolen AI-palveluille (Anthropic/Claude) lähetetty data käsitellään alihankkijan tietosuojasopimuksen (DPA) mukaisesti
- Embedding-vektorit ovat matemaattisia esityksiä, jotka eivät sisällä suoraan tunnistettavaa henkilötietoa
Käyttäjällä on oikeus pyytää ihmisen tekemää arviointia AI-avusteisista tuloksista.
9. Rekisterin suojauksen periaatteet
Suojaamme henkilötietoja asianmukaisin teknisin ja organisatorisin toimenpitein:
- Salaus: Kaikki tietoliikenne on salattu (TLS/SSL). Salasanat tallennetaan bcrypt-tiivisteenä.
- Pääsynhallinta: Roolipohjainen pääsynhallinta (RBAC) ja clearance-tasot rajoittavat tietojen näkyvyyttä.
- Tietokanta: Google Cloud SQL (PostgreSQL) SSL-yhteydellä ja IP-rajoituksilla.
- Auditointi: Järjestelmätoiminnot kirjataan lokitietoihin.
- Maksuturvallisuus: Maksukorttitiedot käsitellään Stripen PCI DSS -sertifioidussa ympäristössä.
10. Rekisteröidyn oikeudet
Sinulla on GDPR:n mukaiset oikeudet henkilötietojesi käsittelyyn liittyen:
| Oikeus | Kuvaus |
|---|---|
| Tarkastusoikeus (art. 15) | Oikeus saada tieto siitä, käsitelläänkö henkilötietojasi ja saada jäljennös niistä |
| Oikeus tietojen oikaisemiseen (art. 16) | Oikeus vaatia virheellisten tietojen korjaamista |
| Oikeus tietojen poistamiseen (art. 17) | Oikeus pyytää henkilötietojesi poistamista ("oikeus tulla unohdetuksi") |
| Oikeus käsittelyn rajoittamiseen (art. 18) | Oikeus rajoittaa henkilötietojesi käsittelyä tietyissä tilanteissa |
| Oikeus siirtää tiedot (art. 20) | Oikeus saada itse toimittamasi tiedot koneluettavassa muodossa |
| Vastustamisoikeus (art. 21) | Oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä |
| Oikeus peruuttaa suostumus (art. 7(3)) | Oikeus peruuttaa antamasi suostumus milloin tahansa |
Voit käyttää oikeuksiasi ottamalla yhteyttä osoitteeseen [email protected]. Vastaamme pyyntöösi ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa. Henkilöllisyytesi varmistetaan ennen tietojen luovuttamista.
11. Oikeus tehdä valitus valvontaviranomaiselle
Jos katsot, että henkilötietojesi käsittely rikkoo tietosuoja-asetusta, sinulla on oikeus tehdä valitus valvontaviranomaiselle:
| Viranomainen | Tietosuojavaltuutetun toimisto |
| Käyntiosoite | Lintulahdenkuja 4, 00530 Helsinki |
| Postiosoite | PL 800, 00531 Helsinki |
| Sähköposti | tietosuoja(at)om.fi |
| Puhelin | 029 566 6700 |
| Verkkosivu | www.tietosuoja.fi |
12. Tietosuojaselosteen muutokset
Pidätämme oikeuden päivittää tätä tietosuojaselostetta palvelun kehittymisen ja lainsäädännön muutosten yhteydessä. Olennaisista muutoksista ilmoitetaan palvelun kautta tai sähköpostilla. Suosittelemme tarkistamaan tämän sivun säännöllisesti.