Tietosuojaseloste

1. Rekisterinpitäjä

Tämän tietosuojaselosteen mukainen henkilötietojen rekisterinpitäjä on:

• Mainostoimisto Visio Design avoin yhtiö (jäljempänä “me” tai “rekisterinpitäjä”)
• Y-tunnus: 2889045-5
• Osoite: Kallelantie 76, 21450 Lieto
• Verkko-osoite: visiodesign.fi

Kompell on Mainostoimisto Visio Design avoin yhtiön tarjoama palvelukokonaisuus, joka toimii osoitteessa kompell.com. Kun jäljempänä mainitaan “Kompell”, viitataan tähän palveluun ja sen tarjoamiseen liittyvään käsittelyyn, jonka rekisterinpitäjänä toimii Mainostoimisto Visio Design avoin yhtiö.

2. Yhteyshenkilö tietosuoja-asioissa

Kaikki tietosuojaa ja henkilötietojen käsittelyä koskevat tiedustelut, oikeuksien käyttämistä koskevat pyynnöt ja muut yhteydenotot tulee osoittaa:

• Sähköposti: kasperi@kompell.com

Vastaamme tiedusteluihin viimeistään 30 vuorokauden kuluessa pyynnön vastaanottamisesta.

3. Mitä tietoja keräämme ja miksi

Käsittelemme henkilötietoja vain selkeästi määriteltyä, laillista ja oikeasuhtaista tarkoitusta varten. Alla kuvattu kunkin käsittelyn tarkoitus, kerättävät tiedot ja oikeusperuste GDPR:n artiklan 6 mukaisesti.

3.1 Demo-pyynnöt ja yhteydenotot

Kun lähetät demo-pyyntölomakkeen osoitteessa kompell.com/tilaa-demo, käsittelemme antamiasi tietoja yhteydenpitoa ja palvelun tarjoamista varten.

• Kerätyt tiedot: nimi, sähköpostiosoite, puhelinnumero, yrityksen nimi, verkkosivuston osoite, liiketoiminnan kuvaus ja kuvaus nykyisestä haasteesta.
• Käyttötarkoitus: yhteydenotto, demon valmistelu ja tarjousten lähettäminen pyydetystä palvelusta.
• Oikeusperuste: sopimuksen täytäntöönpano tai sitä edeltävien toimien toteuttaminen rekisteröidyn pyynnöstä (GDPR 6 art. 1 b).

3.2 Verkkosivuanalyysit

Kun käytät ilmaista verkkosivuanalyysityökaluamme osoitteessa kompell.com/analyysi, käsittelemme antamaasi verkkosivuston osoitetta ja muodostamme siitä automaattisen analyysin.

• Kerätyt tiedot: analysoitavan verkkosivuston osoite, tehdyn analyysin tulokset, automaattisesti otettu kuvakaappaus julkisesta verkkosivusta sekä mahdollisesti syötetyt taustatiedot (esim. liikennemäärä, keskimääräinen tilausarvo).
• Käyttötarkoitus: analyysiraportin tuottaminen ja jakaminen omalla URL-osoitteella, palvelun kehittäminen ja laaduntarkkailu.
• Oikeusperuste: rekisteröidyn suostumus (GDPR 6 art. 1 a) — analyysi käynnistyy vasta kun käyttäjä syöttää osoitteen ja klikkaa “Analysoi”.
• Huomio: analyysien tunnukset (id) ovat satunnaisesti luotuja eivätkä sisällä henkilötietoja. Analyysisivu on saatavilla suoralla URL-osoitteella, joten älä jaa linkkiä ulkopuolisille jos analyysi sisältää sinulle arkaluonteista liiketoimintatietoa.

3.3 WhatsApp- ja sähköpostiyhteydenotot

Voit ottaa meihin yhteyttä WhatsAppissa tai sähköpostilla. Käsittelemme viestien sisältöä ja yhteystietojasi yhteydenpitoa varten.

• Kerätyt tiedot: puhelinnumero (WhatsApp), sähköpostiosoite, viestin sisältö ja muu vapaaehtoisesti antamasi tieto.
• Käyttötarkoitus: vastaaminen kysymyksiisi, asiakassuhteen hoito.
• Oikeusperuste: oikeutettu etu (GDPR 6 art. 1 f) — yhteydenpito potentiaalisten ja olemassa olevien asiakkaiden kanssa.
• WhatsAppin osalta: WhatsApp on Meta Platforms, Inc:n omistama palvelu, jonka tietosuojakäytäntöjä sovelletaan viestien siirrossa. Meta on tämän osalta rekisterinpitäjä omasta puolestaan; Kompell käsittelee vain meille saapuneiden viestien sisältöä.

3.4 Sopimusasiakkaat ja laskutus

Kun teemme kanssasi sopimuksen palvelustamme, käsittelemme tarpeellisia yhteystietoja, sopimustietoja ja laskutustietoja.

• Kerätyt tiedot: yrityksen nimi, Y-tunnus, yhteyshenkilön nimi ja yhteystiedot, laskutusosoite, sopimuksen sisältö, palveluiden käyttöhistoria.
• Käyttötarkoitus: sopimuksen täytäntöönpano, laskutus, kirjanpito, asiakassuhteen hoito ja kehittäminen.
• Oikeusperuste: sopimuksen täytäntöönpano (GDPR 6 art. 1 b) sekä lakisääteinen velvoite (GDPR 6 art. 1 c, mm. kirjanpitolaki).

3.5 Käyttäjätilit ja hallintapaneeli

Jos sinulla on käyttäjätili Kompellin hallintapaneeliin (dashboardiin), käsittelemme tilin tunnistamiseen tarvittavia tietoja.

• Kerätyt tiedot: sähköpostiosoite, salasanan salattu tiiviste, kirjautumislokit, käyttäjän valinnat ja asetukset.
• Käyttötarkoitus: käyttäjän tunnistaminen, kirjautumisen mahdollistaminen, palvelun toimittaminen ja tietoturvan ylläpitäminen.
• Oikeusperuste: sopimuksen täytäntöönpano (GDPR 6 art. 1 b).

3.6 Sivuston käyttöanalytiikka

Käytämme sivuston käyttöä analysoivaa työkalua, jolla saamme käsityksen siitä, mitkä sisällöt kiinnostavat kävijöitä ja miten sivusto toimii. Analytiikka ei tunnista yksittäisiä käyttäjiä.

• Kerätyt tiedot: sivulataukset, tapahtumat (esim. CTA-klikkaukset), karkea sijaintitieto (maa), selain- ja laitetyyppi, viittausosoite (referrer). Vercel Web Analytics on evästeetön ja anonyymi: se ei tallenna IP-osoitetta sellaisenaan eikä luo sormenjälkitunnistetta yksittäisestä käyttäjästä.
• Käyttötarkoitus: sivuston ja palvelun kehittäminen, konversiopolun mittaaminen.
• Oikeusperuste: oikeutettu etu (GDPR 6 art. 1 f) — verkkopalvelun toiminnan kehittäminen tasapainotettuna käyttäjän yksityisyyteen, jota anonyymi käsittely turvaa.

4. Tietolähteet

Suurin osa käsittelemistämme henkilötiedoista saadaan suoraan sinulta — esimerkiksi lomakkeen täyttämisen, viestin lähettämisen tai käyttäjätilin luomisen yhteydessä.

Lisäksi voimme saada tietoja seuraavista lähteistä:

• Julkiset lähteet: yrityksen edustajan rooli ja julkinen yhteystieto (esim. Y-tunnusrekisteri, LinkedIn) sopimusta valmisteltaessa.
• Tekniset lähteet: selaimen automaattisesti lähettämät tekniset tiedot (selaimen tyyppi, kieli, käyttöjärjestelmä).
• Analysoitavat verkkosivut: verkkosivuanalyysi kerää julkisesti saatavilla olevia tietoja analysoitavalta sivulta (HTML, julkinen sisältö, kuvakaappaus).

5. Luovutukset ja käsittelijät

Emme myy emmekä vuokraa henkilötietojasi kolmansille osapuolille. Käytämme tarkasti valittuja alihankkijoita (henkilötietojen käsittelijöitä), jotka käsittelevät tietoja meidän puolestamme kirjallisen tietojenkäsittelysopimuksen (DPA) nojalla.

Säännönmukaisia käsittelijöitämme ovat:

• Vercel Inc. — verkkosivuston isännöinti, käyttöanalytiikka ja Speed Insights. Vercel käsittelee tietoja EU-alueella mahdollisuuksien mukaan; mahdolliset siirrot Yhdysvaltoihin tapahtuvat EU-USA Data Privacy Framework -mekanismin ja vakiosopimuslausekkeiden (SCC) mukaisesti.
• Supabase Inc. — tietokanta ja tunnistautuminen. Kompellin Supabase-instanssi sijaitsee EU-alueella (Frankfurt).
• Sanity (Sanity.io) — sisällönhallintajärjestelmä blogi- ja sivustosisältöjen julkaisuun. Käsittelee pääosin ei-henkilötietoa (artikkeleita ja kuvia); käyttäjätileihin liittyvät tiedot vain sisällöntuottajilta.
• Discord Inc. — demo-pyyntöjen sisäinen ilmoituskanava. Demo-pyynnön sisältö välitetään Discordiin saapuneiksi merkitsemistä varten. Discord toimii käsittelijänä tietojen siirrossa ja tilapäisessä säilytyksessä.
• Meta Platforms (WhatsApp) — viestintäpalvelu, kun otat yhteyttä WhatsAppissa. Meta toimii itsenäisenä rekisterinpitäjänä viestien siirron osalta omassa palvelussaan.
• Google Ireland Limited (Google Workspace) — sähköposti, jaetut työtilat, kalenteri ja muu sisäinen viestintä. Asiakkaiden sähköpostiviestit Kompellille kulkevat ja säilyvät Google Workspacessa. Pääasiallinen käsittely EU-alueella; mahdolliset siirrot Yhdysvaltoihin tapahtuvat EU-USA Data Privacy Framework -mekanismin ja vakiosopimuslausekkeiden (SCC) mukaisesti.
• Visma Solutions Oy (Visma Sign) — sähköinen allekirjoituspalvelu sopimusten ja muiden asiakirjojen allekirjoittamiseen. Käsittelee allekirjoittajien tunnistetietoja (nimi, sähköposti, IP-osoite, aikaleima) ja allekirjoitettuja dokumentteja. Käsittely EU-alueella.
• Isolta Oy (Visma Finago) — laskutus- ja kirjanpitojärjestelmä. Käsittelee asiakkaan laskutustietoja, yrityksen tietoja ja yhteyshenkilön nimeä sekä sähköpostiosoitetta lakisääteisen laskutuksen ja kirjanpidon hoitamiseksi. Käsittely EU-alueella.
• Lakisääteiset tahot: kirjanpitäjä, tilintarkastaja ja viranomaiset (esim. verottaja) lain edellyttämässä laajuudessa.

Käsittelijöiltämme edellytämme asianmukaista tietoturvan tasoa, GDPR:n vaatimusten täyttämistä ja kirjallista tietojenkäsittelysopimusta.

6. Siirrot EU/ETA:n ulkopuolelle

Pyrimme käsittelemään tietosi EU- tai ETA-alueella aina kun se on mahdollista. Eräät käsittelijämme (mm. Vercel, Discord, Meta, Google) ovat yhdysvaltalaisia yrityksiä tai niiden EU-yhtiöiden infrastruktuuri voi tarkoittaa tietojen siirtoa EU/ETA-alueen ulkopuolelle.

Näissä tapauksissa varmistamme riittävän suojan tason käyttämällä:

• EU-USA Data Privacy Framework -sertifiointia silloin kun käsittelijä on sertifioitu (esim. Vercel, Google, Meta).
• Euroopan komission hyväksymiä vakiosopimuslausekkeita (SCC) käsittelysopimusten liitteinä.
• Täydentäviä teknisiä ja organisatorisia toimia (esim. salaus, käyttöoikeuksien rajaaminen) silloin kun riskiarvio sitä edellyttää.

7. Säilytysaika

Säilytämme henkilötietoja vain niin kauan kuin se on tarpeellista käyttötarkoituksen kannalta tai lainsäädännön niin edellyttäessä. Säilytysaikoihin vaikuttavat erityisesti kirjanpitolaki (1336/1997) sekä laki velan vanhentumisesta (728/2003).

• Demo-pyynnöt ja muut yhteydenotot, joista ei synny asiakassuhdetta: 24 kuukautta viimeisestä yhteydenotosta.
• Verkkosivuanalyysit: 24 kuukautta luonnista, jonka jälkeen analyysitiedot poistetaan tai anonymisoidaan. Analyysisivu (URL) lakkaa toimimasta poistamisen jälkeen.
• Asiakasprojektin viestintä ja tiedostot (sähköposti, WhatsApp-viestit, sovitut speksit, raportit, sopimusluonnokset): 3 vuotta sopimuksen tai projektin päättymisestä. Oikeusperuste: oikeutettu etu (GDPR 6 art. 1 f) sekä oikeusvaateen laatiminen, esittäminen tai puolustaminen (GDPR 9 art. 2 f). Säilytysaika perustuu velan vanhentumisesta annetun lain mukaiseen yleiseen 3 vuoden vanhentumisaikaan.
• Kirjanpitoaineisto (laskut, kuitit, tilitapahtumat, laskutukseen liittyvät sopimukset ja niiden henkilötiedot kuten yhteyshenkilön nimi ja sähköpostiosoite): 6 vuotta sen kalenterivuoden lopusta, jona tilikausi päättyi. Oikeusperuste: lakisääteinen velvoite (GDPR 6 art. 1 c), kirjanpitolaki 2 luku 10 §. Näitä tietoja ei voida poistaa säilytysajan kuluessa edes rekisteröidyn pyynnöstä.
• WhatsApp-viestit, jotka eivät liity asiakasprojektiin: 24 kuukautta viimeisestä yhteydenotosta.
• Käyttäjätilien tiedot: tilin voimassaolon ajan ja 12 kuukautta tilin sulkemisen jälkeen, ellei tästä lyhyemmästä tai pidemmästä säilytysajasta erikseen sovita.
• Analytiikkatiedot: Vercel Web Analytics säilyttää anonyymejä mittaustietoja oman käytäntönsä mukaisesti — Kompell ei voi yhdistää näitä yksittäiseen käyttäjään.

Säilytysaikojen päättyessä tiedot poistetaan tai anonymisoidaan siten, ettei niistä voi enää tunnistaa yksittäistä henkilöä.

8. Rekisterin suojaaminen

Suojaamme henkilötietoja teknisin ja organisatorisin toimin asianmukaiselle tasolle riskien todennäköisyyden ja vakavuuden perusteella.

• Tekniset suojatoimet: tietoliikenteen salaus (HTTPS/TLS), salatut tietokantayhteydet, säännölliset varmuuskopiot, salasanojen suolatun tiivisteen tallennus, riippuvuuksien jatkuva tietoturvaseuranta.
• Hallinnolliset suojatoimet: henkilötietojen käsittelyoikeuden rajaaminen vain niihin henkilöihin, jotka sitä työtehtäviensä hoitamiseksi tarvitsevat. Käsittelijöiden kanssa on tehty kirjalliset tietojenkäsittelysopimukset.
• Fyysiset suojatoimet: Kompellin oma henkilöstö käsittelee tietoja ainoastaan suojatuissa työympäristöissä. Käsittelijät vastaavat oman infrastruktuurinsa fyysisestä tietoturvasta.

9. Rekisteröidyn oikeudet

Sinulla on EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet omiin henkilötietoihisi:

• Oikeus saada tietoa ja tarkastaa tiedot: voit milloin tahansa pyytää tiedon siitä, mitä henkilötietoja sinusta on tallennettu ja miten niitä käsitellään.
• Oikeus oikaisuun: voit pyytää virheellisten tai epätarkkojen tietojen korjaamista tai täydentämistä.
• Oikeus poistamiseen (“oikeus tulla unohdetuksi”): voit pyytää tietojesi poistamista tilanteissa, joissa niiden käsittelylle ei ole enää perustetta.
• Oikeus käsittelyn rajoittamiseen: voit pyytää käsittelyn väliaikaista rajoittamista esimerkiksi tietojen paikkansapitävyyden selvittämiseksi.
• Oikeus vastustaa käsittelyä: voit vastustaa käsittelyä, joka perustuu oikeutettuun etuun, henkilökohtaiseen erityistilanteeseesi vedoten.
• Oikeus siirtää tiedot järjestelmästä toiseen: voit pyytää saamaan toimittamasi tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.
• Oikeus peruuttaa suostumus: jos käsittely perustuu suostumukseesi, voit peruuttaa sen milloin tahansa. Peruutus ei vaikuta sitä ennen tehdyn käsittelyn lainmukaisuuteen.

Voit käyttää oikeuksiasi ottamalla yhteyttä osoitteeseen kasperi@kompell.com. Saatamme pyytää sinua todentamaan henkilöllisyytesi ennen pyynnön käsittelyä.

Huomaa, että oikeus tulla unohdetuksi on rajoitettu silloin kun lakisääteinen velvoite tai oikeusvaateen puolustamistarve edellyttää tietojen säilyttämistä. Erityisesti kirjanpitolaki velvoittaa meitä säilyttämään laskutukseen ja kirjanpitoon liittyvät tiedot 6 vuotta tilikauden päättymisestä, eikä näitä tietoja voida poistaa kyseisen säilytysajan kuluessa. Samoin asiakasprojektin viestintä ja sopimusasiakirjat voidaan säilyttää 3 vuoden ajan oikeusvaateen mahdollista esittämistä tai puolustamista varten (laki velan vanhentumisesta).

10. Automaattinen päätöksenteko ja profilointi

Verkkosivuanalyysimme tuottaa automaattisesti analyysiraportin syöttämästäsi verkkosivuston osoitteesta. Tämä prosessi ei kuitenkaan tee oikeudellisia vaikutuksia rekisteröityyn kohdistuvia päätöksiä, eikä se ole GDPR:n 22 artiklan tarkoittamaa “pelkästään automaattiseen käsittelyyn perustuvaa päätöksentekoa”.

Emme tee profilointia, joka johtaisi sinulle merkittäviin vaikutuksiin (esim. hinnoittelun yksilöintiä tai tuotetarjousten rajoittamista) ilman ihmisen suorittamaa harkintaa.

11. Evästeet ja vastaavat tekniikat

Käytämme sivustollamme vain välttämättömiä evästeitä ja vastaavia tekniikoita. Emme käytä mainos- tai seurantaeväisteitä.

• Välttämättömät evästeet: käyttäjätilien kirjautumistilan ylläpito (Supabase Auth). Näiden evästeiden käytölle ei tarvita erillistä suostumusta, koska ne ovat välttämättömiä palvelun toimittamiseksi.
• Käyttöanalytiikka: Vercel Web Analytics toimii ilman evästeitä ja anonyymisti. Se ei aseta evästeitä eikä luo yksilöllistä tunnistetta selaimellesi.
• Sanity Studio (vain sisällöntuottajille): Sanityn hallintapaneeli käyttää kirjautumiseen tarvittavia evästeitä. Nämä evästeet eivät koske tavallisia kävijöitä.

Voit milloin tahansa estää tai poistaa evästeitä selaimesi asetuksista. Huomaa, että välttämättömien evästeiden estäminen voi estää tiettyjen toimintojen käytön (esim. kirjautumisen pysymisen).

12. Tietoturvaloukkaukset

Mikäli henkilötietojen turvallisuus vaarantuisi tavalla, josta aiheutuu riski rekisteröityjen oikeuksille ja vapauksille, ilmoitamme tästä Liikenne- ja viestintäviraston yhteydessä toimivalle tietosuojavaltuutetulle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta.

Jos loukkaus todennäköisesti aiheuttaa korkean riskin sinun oikeuksillesi ja vapauksillesi, ilmoitamme siitä myös sinulle suoraan ilman aiheetonta viivytystä.

13. Valitusoikeus

Jos koet, että käsittelemme henkilötietojasi tietosuojalainsäädännön vastaisesti, sinulla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle. Suomessa toimivaltainen viranomainen on:

• Tietosuojavaltuutetun toimisto
• Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
• Postiosoite: PL 800, 00531 Helsinki
• Verkkosivu: tietosuoja.fi

Toivomme kuitenkin, että otat ensin yhteyttä meihin osoitteeseen kasperi@kompell.com — pyrimme ratkaisemaan asian suoraan kanssasi.

14. Muutokset selosteeseen

Voimme päivittää tätä tietosuojaselostetta esimerkiksi lainsäädännön, palvelumuutosten tai uusien käsittelijöiden myötä. Merkittävistä muutoksista ilmoitamme verkkosivustollamme tai tarvittaessa suoraan rekisteröidyille.

Tämän selosteen viimeisin päivitysaika on merkitty otsikon alle. Suosittelemme tarkistamaan selosteen säännöllisesti.