Tietosuojaseloste
Johdanto
Y4 Works Oy ("Suunta.ai", "me", "meidän") toimittaa Suunta.ai-alustaa, joka on yrityksille suunnattu tekoälyavusteinen strateginen suunnittelupalvelu. Tämä tietosuojaseloste selittää, miten keräämme, käytämme, paljastamme ja suojaamme henkilötietojasi käyttäessäsi palvelujamme.
Suunta.ai on yritysten välinen (B2B) palvelu. Tämä tietosuojaseloste koskee liikeasiakkaidemme edustajia ja heidän valtuutettuja käyttäjiään.
Rekisterinpitäjä: Y4 Works Oy, Y-tunnus: 2978296-6, Suomi, Sähköposti: privacy@suunta.ai
1. Keräämämme tiedot
1.1 Antamasi tiedot
Tilitiedot
| Tieto | Pakollinen | Tarkoitus |
|---|---|---|
| Sähköpostiosoite | Kyllä | Tilin kirjautuminen, viestintä |
| Etu- ja sukunimi | Ei | Personointi |
| Puhelinnumero | Ei | Valinnainen yhteystieto |
| Salasana | Kyllä* | Tunnistautuminen |
| Profiilikuva | Ei | Personointi |
| Kieliasetus | Kyllä (oletus: Suomi) | Lokalisointi |
| Aikavyöhyke | Kyllä (oletus: Europe/Helsinki) | Ajan näyttö |
| Lisäprofiilitiedot | Ei | Personointi |
SSO-käyttäjät tunnistautuvat Googlen tai Microsoftin kautta, eikä heillä ole Suunta.ai-salasanaa.
Organisaatiotiedot
| Tieto | Pakollinen | Tarkoitus |
|---|---|---|
| Organisaation nimi | Kyllä | Tilin tunnistus |
| Maa | Kyllä (oletus: Suomi) | Lokalisointi, vaatimustenmukaisuus |
| Kaupunki | Ei | Lokalisointi |
| Toimiala | Ei | Palvelun räätälöinti |
| Organisaation koko | Ei | Palvelun räätälöinti |
| Verkkosivusto | Ei | Organisaatioprofiili |
| Logo | Ei | Brändäys |
| Organisaatioprofiilitiedot | Ei | Palvelun räätälöinti |
Liiketoimintatiedot
- Strategiadokumentit ja -suunnitelmat
- OKR:t (Tavoitteet ja avaintulokset)
- KPI:t (Keskeiset suorituskykyindikaattorit) ja mittarit
- Projektit ja tehtävät
- Dokumentit tekoälyanalyysiin (RAG-lähteet)
- Keskustelut tekoälyavustajamme kanssa
- Muut toimittamasi liiketoimintatiedot
Näitä liiketoimintatietoja käsitellään palvelujemme tarjoamiseksi sinulle.
1.2 Automaattisesti kerättävät tiedot
Tekniset tiedot
| Tieto | Tarkoitus | Säilytys |
|---|---|---|
| IP-osoite | Turvallisuus, petosten esto | Korvataan uudella kirjautumisella |
| Käyttäjäagentti (selain/laite) | Turvallisuus, istunnonhallinta | Istunnon kesto |
| Kirjautumisaikaleimat | Turvallisuusauditointi | Korvataan |
| Istuntotiedot | Tunnistautumisen tila | 14-30 päivää |
| Epäonnistuneet kirjautumisyritykset | Brute-force-suojaus | Nollataan onnistuneella kirjautumisella |
Käyttötiedot
| Tieto | Tarkoitus | Säilytys |
|---|---|---|
| Tekoälyominaisuuksien käyttö (tokenit, malli, viive) | Laskutus, analytiikka | 365 päivää |
| Toimintalokit (suoritetut toiminnot) | Tarkastusjälki | 12-36 kuukautta |
Tärkeää: Emme tallenna tekoälykehotteitasi tai tekoälyn tuottamia vastauksia. Vain tekoälyn käyttöä koskevaa metatietoa (kuten tokenmäärät ja vasteajat) kirjataan.
1.3 Kolmansilta osapuolilta saatavat tiedot
Kertakirjautuminen (SSO) Jos kirjaudut sisään Googlen tai Microsoftin kautta, saamme nimesi, sähköpostisi ja profiilikuvasi SSO-palveluntarjoajalta.
Maksutiedot Käytämme Stripeä maksujenkäsittelyyn. Stripe kerää ja käsittelee maksukorttitietosi suoraan. Saamme vain Stripe-asiakastunnuksesi ja tilauksen tilan – emme koskaan korttitietojasi.
Integraatiot Jos yhdistät kolmannen osapuolen palveluja (Slack, Google Workspace jne.), saamme integraatioon tarvittavat tiedot määrittämälläsi tavalla.
2. Miten käytämme tietojasi
| Tarkoitus | Oikeusperusta (GDPR) |
|---|---|
| Palvelujen tarjoaminen (tilinhallinta, tekoälyominaisuudet, tietojen tallennus) | Sopimuksen täytäntöönpano (6 artiklan 1 kohdan b alakohta) |
| Maksujen käsittely ja tilausten hallinta | Sopimuksen täytäntöönpano |
| Transaktiosähköpostien lähettäminen (OTP-koodit, ilmoitukset) | Sopimuksen täytäntöönpano |
| Turvallisuuden varmistaminen ja petosten esto | Oikeutettu etu (6 artiklan 1 kohdan f alakohta) |
| Tarkastuslokien ylläpito vaatimustenmukaisuutta varten | Oikeutettu etu / Lakisääteinen velvoite |
| Palvelujen parantaminen (koottu analytiikka) | Oikeutettu etu |
| Tukipyyntöihin vastaaminen | Sopimuksen täytäntöönpano |
| Lakisääteisten velvoitteiden noudattaminen | Lakisääteinen velvoite (6 artiklan 1 kohdan c alakohta) |
Emme:
- Myy henkilötietojasi
- Käytä tietojasi mainontaan
- Jaa tietojasi tietovälittäjille
- Käytä liiketoimintatietojasi tekoälymallien kouluttamiseen (ilman nimenomaista suostumusta)
3. Tekoälyn tietojenkäsittely
3.1 Miten tekoälyominaisuudet toimivat
- Kehotteesi ja konteksti lähetetään tekoälypalveluntarjoajillemme (Anthropic, OpenAI, Google, Mistral)
- Tekoälypalveluntarjoaja käsittelee pyyntösi ja palauttaa vastauksen
- Näytämme vastauksen sinulle
- Kirjaamme vain metatietoja (käytetyt tokenit, käsittelyaika, kustannus)
3.2 Mitä tallennamme
| Tallennetaan | Ei tallenneta |
|---|---|
| Keskusteluhistoria (jatkuvuutta varten) | Palveluntarjoajille lähetetyt raa'at tekoälykehotteet |
| Tekoälyn käyttömetadata (tokenit, viive, kustannus) | Tekoälypalveluntarjoajien vastaukset |
| Dokumenttien upotukset (hakua varten) | Alkuperäinen dokumenttiteksti indeksoinnin jälkeen |
3.3 Tekoälypalveluntarjoajien tietojenkäsittely
- OpenAI: store=False-lippu tallennuksen poistamiseksi käytöstä
- Anthropic: Vakio-API ilman syötteiden koulutusta
- Google Vertex AI: EU-alue saatavilla ollessaan
- Mistral: EU-pohjainen palveluntarjoaja
Emme salli tekoälypalveluntarjoajiemme käyttää tietojasi mallien kouluttamiseen.
3.4 RAG (Dokumenttianalyysi)
- Teksti puretaan dokumentistasi
- Teksti muunnetaan vektoriupotuksiksi
- Alkuperäinen teksti poistetaan 24 tunnin kuluessa
- Upotukset ja tekstinpätkät säilytetään hakutoiminnallisuutta varten
- Lähteen poistaminen poistaa kaiken siihen liittyvän datan
4. Tietojen jakaminen
4.1 Palveluntarjoajat (Alikäsittelijät)
| Palveluntarjoaja | Tarkoitus | Sijainti |
|---|---|---|
| AWS | Infrastruktuurin ylläpito | EU (Tukholma) |
| Anthropic | Tekoälykäsittely | USA |
| OpenAI | Tekoälykäsittely | USA |
| Tekoälykäsittely | EU/USA | |
| Mistral | Tekoälykäsittely | EU (Ranska) |
| Stripe | Maksujenkäsittely | USA/EU |
| Resend | Sähköpostin toimitus | EU |
Täydellinen luettelo on saatavilla alikäsittelijäluettelossamme osoitteessa https://suunta.ai/legal/subprocessors.
4.2 Asiakkaan käynnistämät integraatiot
- Slack: Viestit, ilmoitukset määritystesi mukaan
- Google Workspace: Kalenteritapahtumat, laskentataulukkotiedot määritystesi mukaan
- Zapier/Make: Webhook-tiedot määritystesi mukaan
Sinä hallitset, mitkä integraatiot ovat käytössä ja mitä tietoja jaetaan.
4.3 Lakisääteiset vaatimukset
- Sovellettavan lain tai oikeusprosessin noudattamiseksi
- Viranomaisten laillisiin pyyntöihin vastaamiseksi
- Oikeuksiemme, yksityisyytemme, turvallisuutemme tai omaisuutemme suojaamiseksi
- Yrityskaupan, hankinnan tai liiketoiminnan myynnin yhteydessä
4.4 Suostumuksellasi
Voimme jakaa tietoja kolmansille osapuolille, kun olet antanut nimenomaisen suostumuksen.
5. Kansainväliset siirrot
5.1 Missä käsittelemme tietoja. Ensisijainen käsittely tapahtuu EU:ssa (AWS Tukholma, eu-north-1). Tekoälykäsittely voi tapahtua USA:ssa tekoälypalveluntarjoajien kautta.
5.2 Siirtojen suojatoimet. ETA:n ulkopuolisten siirtojen osalta nojaamme Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCCs), täydentäviin toimenpiteisiin mukaan lukien salaus ja pääsynhallinta, sekä palveluntarjoajien sertifiointeihin (esim. SOC 2, ISO 27001).
6. Tietojen säilyttäminen
6.1 Säilytysajat
| Tietotyyppi | Säilytysaika |
|---|---|
| Aktiiviset käyttäjätilit | Käytön kesto |
| Poistetut käyttäjätilit | Anonymisoidaan välittömästi |
| Organisaatiotiedot | Organisaation poistoon asti + 90 päivää (varmuuskopiot) |
| Tekoälyn käyttömetadata | 365 päivää |
| Tarkastuslokit (vakio) | 24 kuukautta |
| Tarkastuslokit (kriittiset) | 36 kuukautta |
| Laskutustiedot | 6 vuotta (Suomen laki) |
| Varmuuskopiot | 30 päivää |
6.2 Tilin poisto
- Henkilötietosi anonymisoidaan
- Sähköpostisi korvataan paikanvaraajalla
- Organisaatiojäsenyytesi poistetaan
- Istuntosi perutaan
- Tarkastuslokit säilytetään vaatimustenmukaisuutta varten (anonymisoidulla toimijan tunnisteella)
6.3 Organisaation poisto
- 30 päivän siirtymäaika (peruutettavissa)
- Kaikki organisaatiotiedot poistetaan pysyvästi
- Käyttäjätilit säilyvät mutta menettävät organisaation käyttöoikeuden
- Luodaan muuttumaton vaatimustenmukaisuuden tarkastuslokimerkintä
7. Oikeutesi
GDPR:n mukaisesti sinulla on seuraavat oikeudet ja voit käyttää niitä Asetusten kautta tai ottamalla yhteyttä osoitteeseen privacy@suunta.ai:
- Oikeus saada pääsy tietoihin (15 artikla): Asetukset → Vie tiedot
- Oikeus oikaisuun (16 artikla): Asetukset → Profiili
- Oikeus tietojen poistamiseen (17 artikla): Asetukset → Poista tili / Poista organisaatio
- Oikeus käsittelyn rajoittamiseen (18 artikla): Sähköposti privacy@suunta.ai
- Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla): Asetukset → Vie tiedot
- Vastustamisoikeus (21 artikla): Sähköposti privacy@suunta.ai
- Oikeus peruuttaa suostumus: Asetukset → Markkinointiasetukset
Sinulla on myös oikeus tehdä valitus valvontaviranomaiselle. Suomessa tämä on:
Tietosuojavaltuutetun toimisto
Lintulahdenkuja 4, 00530 Helsinki
tietosuoja@om.fi
+358 29 566 6700
8. Evästeet ja vastaavat teknologiat
8.1 Käyttämämme evästeet
| Eväste | Tyyppi | Tarkoitus | Kesto |
|---|---|---|---|
| session | Välttämätön | Tunnistautuminen | 14-30 päivää |
8.2 Mitä emme käytä
- Google Analytics
- Facebook Pixel
- Markkinointievästeet
- Kolmannen osapuolen seurantaevästeet
8.3 Paikallinen tallennus
| Avain | Tarkoitus |
|---|---|
| sidebarCollapsed | Käyttöliittymäasetus |
| theme | Näyttöteema |
| userTimezone | Ajan näyttö |
8.4 Kolmannen osapuolen skriptit
- Stripe (js.stripe.com): Maksujenkäsittely
- Google Fonts: Typografia
- Font Awesome: Ikonit
Nämä palvelut voivat asettaa omia evästeitään. Katso niiden vastaavat tietosuojakäytännöt.
9. Turvallisuus
9.1 Tekniset toimenpiteet
- Salaus: TLS 1.2+ siirrettäessä, AES-256 levossa
- Salasanaturvallisuus: PBKDF2-SHA256-hajautus
- Istuntoturvallisuus: HttpOnly, Secure, SameSite-evästeet
- Pääsynhallinta: Roolipohjainen, organisaatiokohtaisesti eristetty
9.2 Organisatoriset toimenpiteet
- Henkilöstön salassapitovelvoitteet
- Tietoturvakoulutus
- Poikkeamien käsittelymenettelyt
- Säännölliset turvallisuusarvioinnit
9.3 Sinun vastuusi
- Pidä salasanasi turvassa
- Käytä vahvaa, ainutlaatuista salasanaa
- Ilmoita epäilyttävästä toiminnasta välittömästi
- Kirjaudu ulos jaetuilla laitteilla
10. Lasten yksityisyys
Suunta.ai on yrityksille suunnattu palvelu, joka on tarkoitettu ammattilaisille. Palvelut eivät ole suunnattu alle 18-vuotiaille. Emme tietoisesti kerää henkilötietoja lapsilta.
11. Muutokset tähän käytäntöön
Voimme päivittää tätä tietosuojaselostetta ajoittain. Ilmoitamme olennaisista muutoksista sähköpostitse vähintään 30 päivää ennen muutosten voimaantuloa sekä näkyvästi verkkosivustollamme. Palvelujen jatkuva käyttö muutosten jälkeen merkitsee hyväksymistä.
12. Ota yhteyttä
Tietosuojaan liittyvissä kysymyksissä tai oikeuksiesi käyttämiseksi: Y4 Works Oy (Suunta.ai), Sähköposti: privacy@suunta.ai. Yleisiin tiedusteluihin: team@suunta.ai.
13. Lisätietoja ETA-alueen käyttäjille
13.1 Oikeusperustan yhteenveto
| Käsittelytoiminta | Oikeusperusta |
|---|---|
| Tilinhallinta | Sopimus |
| Palvelun toimitus | Sopimus |
| Maksujenkäsittely | Sopimus |
| Transaktiosähköpostit | Sopimus |
| Turvatoimenpiteet | Oikeutettu etu |
| Tarkastuslokitus | Oikeutettu etu / Lakisääteinen velvoite |
| Markkinointi (jos suostumus annettu) | Suostumus |
13.2 Tietosuojavastaava
Pienenä yrityksenä emme ole nimittäneet virallista tietosuojavastaavaa. Tietosuojatiedusteluissa ota yhteyttä: privacy@suunta.ai.
13.3 Automaattinen päätöksenteko
Emme tee automaattisia päätöksiä, joilla on oikeusvaikutuksia tai jotka vastaavasti merkittävästi vaikuttavat sinuun. Tekoälyominaisuudet tarjoavat suosituksia ja analyyseja, mutta lopulliset päätökset tekee sinä.