työ.
fien
Aloita

Tietosuojaseloste

Päivitetty viimeksi: 2026-05-11

Työ (jonka tuottaa Innovategy Oy, suomalainen osakeyhtiö; yhteydenotot [email protected]) tarjoaa WhatsApp-pohjaisen tekoälyratkaisun pienille itsenäisille paikallisille yrityksille — kahviloille, ravintoloille, vähittäiskaupoille, työpajoille ja muille vastaaville palveluntarjoajille. Tämä seloste kuvaa, miten käsittelemme henkilötietoja, kun olet vuorovaikutuksessa palvelun kanssa joko yrityksen käyttäjänä tai asiakkaana, joka viestii osallistuvan yrityksen kanssa.

Palvelua tilaaville yrityksille yritys toimii rekisterinpitäjänä asiakkaidensa ja henkilöstönsä henkilötiedoille. Innovategy Oy toimii henkilötietojen käsittelijänä kunkin yrityksen kanssa solmitun käsittelysopimuksen (DPA) nojalla.

Mitä tietoja käsittelemme

  • Hallinnoijan profiili: nimi, sähköpostiosoite, puhelinnumero, ensisijainen kieli, ilmoitetut vastuualueet ja toiminta-alueet. Annetaan käyttöönoton yhteydessä.
  • Asiakaskeskustelut: puhelinnumerot (E.164), WhatsAppin kautta lähetetty viestisisältö, viestin tunnistettu kieli sekä asiakkaan jakamat jäsennellyt tiedot (varauksen tiedot, tilauksen yksityiskohdat, yhteyshenkilön nimi, asiakaspreferenssit kuten allergeenit). Vastaanotetaan Metan WhatsApp Business Cloud API:n kautta.
  • Operatiiviset tiedot: aikaleimat, viestin tunnisteet (Metan myöntämät), istuntoevästeet, auditointiloki jokaisesta merkittävästä toiminnasta.
  • Tunnistautumistiedot: kryptografisesti tiivistetyt salasanat (PBKDF2 100 000 iteraatiolla), Redisiin tallennetut istuntotunnisteet, kaksivaiheisen tunnistuksen avaimet.

Miksi käsittelemme tietoja

Oikeusperusteet GDPR:n 6 artiklan mukaan:

  • Sopimuksen täyttäminen (6.1.b): asiakkaiden viestien, varausten ja muiden yhteydenottojen käsittely yrityksen palvelun toteuttamiseksi.
  • Oikeutettu etu (6.1.f): operatiivinen telemetria, auditointi, väärinkäytösten estäminen, tiimin sisäinen koordinointi sekä tuotekehitys. Punninnan dokumentaatio säilytetään sisäisesti; voit pyytää siitä kopion.
  • Suostumus (6.1.a): vain silloin, kun sitä erikseen pyydetään (esim. markkinointiviestintä). Markkinointia ei tällä hetkellä lähetetä suostumusperusteisesti.

Kuinka kauan säilytämme

  • Keskustelutranskriptit ja päätellyt asiakasattribuutit: 90 päivää oletuksena. Kukin yritys voi määritellä lyhyemmän säilytysajan. Yrityksen nimenomaisesti instituutiotiedoksi merkityt päätökset säilytetään, kunnes yritys poistaa ne.
  • Auditointiloki: säilytetään asiakassuhteen voimassaolon ajan sekä 12 kuukautta sen päättymisen jälkeen lainsäädännön ja forensiikan vaatimuksia varten.
  • Tili- ja tunnistautumistiedot: poistetaan 30 päivän kuluessa tilin päättymisestä, jollei laki edellytä pidempää säilytystä (esim. laskutustiedot).

Muut tietojesi käsittelijät

Käytämme palvelun toteuttamiseen pientä joukkoa huolellisesti valittuja alikäsittelijöitä. Kukin niistä on sitoutunut GDPR:n velvoitteita heijastavaan käsittelysopimukseen.

  • Meta Platforms Ireland Limited — WhatsApp Business Cloud API.
  • Anthropic PBC (Yhdysvallat) — Claude-kielimallit (Sonnet 4.6 + Haiku 4.5) keskustelujen, kielentunnistuksen ja käännösten orkestrointiin. ETA:n ulkopuolisten siirtojen suojana vakiosopimuslausekkeet (SCC).
  • Voyage AI (Yhdysvallat) — upotusmallit yrityksen instituutiotiedon semanttiseen hakuun. SCC.
  • Cloudflare, Inc. — objektisäilö (Cloudflare R2) yritysten tiedostoille. EU-alue valittu, kun saatavilla.
  • Coolify-hosting — palvelimet EU:n lainkäyttöalueilla.
  • Innovategy Oy:n sisäiset palvelut — Passbolt (salaisuuksien hallinta) ja Mosparo (bot-suoja), EU-isännöitynä.

Kansainväliset siirrot

Osa alikäsittelijöistä (Anthropic, Voyage AI, Cloudflare) toimii Yhdysvalloista. Siirrot suojataan EU:n komission hyväksymillä vakiosopimuslausekkeilla sekä teknisin lisätoimenpitein: viestit salataan siirron aikana, ja vain operaation kannalta välttämätön minimitieto siirretään.

Oikeutesi

GDPR:n mukaisesti sinulla on oikeus:

  • Saada tiedot itsestäsi käsiteltävistä henkilötiedoista.
  • Oikaista virheelliset tai puutteelliset tiedot.
  • Pyytää tietojesi poistamista (ks. poistamisprosessi).
  • Vastustaa oikeutetun edun perusteella tapahtuvaa käsittelyä.
  • Rajoittaa käsittelyä.
  • Siirtää tietosi (saat ne koneellisesti luettavassa muodossa).
  • Tehdä valitus tietosuojavaltuutetulle (tietosuoja.fi).

Käytä oikeuksiasi kirjoittamalla osoitteeseen [email protected]. Vastaamme 30 päivän kuluessa.

Tietoturva

Kolmansien osapuolten API-tokenit (Meta, Anthropic jne.) salataan levossa AES-256-GCM-menetelmällä. Salasanat käyttävät PBKDF2:ta 100 000 iteraatiolla. Istuntoevästeet ovat HTTP-only, Secure ja SameSite=lax. Kaikki HTTP-liikenne käyttää TLS:ää. Kaksivaiheinen tunnistus on käytettävissä ja edellytetään superkäyttäjien tuhoaville toiminnoille.

Lapset

Työ ei ole suunnattu lapsille. Emme tietoisesti kerää tietoja alle 16-vuotiailta. Jos epäilet lapsen olleen vuorovaikutuksessa palvelun kanssa, ota meihin yhteyttä, niin poistamme tiedot.

Muutokset selosteeseen

Päivitämme selosteen, kun käsittelymme muuttuu. Olennaisista muutoksista ilmoitamme yritysten käyttäjille sähköpostitse vähintään 30 päivää ennen niiden voimaantuloa.

Yhteystiedot

Innovategy Oy, Suomi. [email protected] tietosuojakysymyksiä varten. [email protected] muiden asioiden osalta.