Tietosuojaseloste

Varantum Finland Oy (Varantum)
Y-tunnus: 3628219-3
Postiosoite: Sivulankuja 10, 99130 Sirkka
Sähköposti: tietosuoja@varantum.com

Käsittelemme seuraavia tietoja palvelun toteuttamiseksi:

• Tunnistetiedot: nimi, henkilötunnus (vahvan tunnistautumisen yhteydessä), sähköposti, puhelin, postiosoite
• Kiinteistötiedot: kiinteistötunnukset, osoitteet, rakennustiedot
• Verotuspäätökset ja niihin liittyvät asiakirjat: rakennusluvat, pääpiirustukset, hallinnanjakosopimukset
• Analyysitiedot: laskentatulokset, tunnistetut virheet, säästöarviot
• Sopimustiedot: palvelutaso, sopimuksen hyväksymisaikaleima, tunnistautumistapa, IP-osoite (auditointitarkoitukseen)
• Maksutiedot: Stripe/Paytrail välittää tarvittavat tiedot; me emme tallenna kortti- tai pankkitilitietoja
• Viestintä: sähköpostit ja portaaliviestit asiantuntijan kanssa

Käsittelemme henkilötietoja seuraavin oikeudellisin perustein (EU 2016/679, art. 6):

• Sopimuksen täyttäminen (art. 6(1)(b)): palvelun toteuttaminen, oikaisuvaatimusten valmistelu ja toimittaminen
• Lakisääteinen velvoite (art. 6(1)(c)): kirjanpito (KPL), arvonlisävero (AVL)
• Oikeutettu etu (art. 6(1)(f)): palvelun kehittäminen ja analytiikka (anonymisoidulla aineistolla)
• Suostumus (art. 6(1)(a)): markkinointiviestintä (vain jos olet erikseen tilannut)

• Sopimus- ja kirjanpitotiedot: 6 vuotta tilikauden päättymisestä (KPL 2:10)
• Asiakas- ja yhteystiedot: 5 vuotta viimeisimmästä tapahtumasta
• Verotuspäätökset ja oikaisuasiakirjat: 10 vuotta viimeisestä Verohallinnon päätöksestä
• Auditointijälki (sopimusten hyväksynnät): 10 vuotta
• Markkinointitiedot: kunnes peruutat suostumuksen

Tietoja luovutetaan vain seuraavasti:

• Verohallinto: oikaisuvaatimusten yhteydessä Suomi.fi -valtuutuksen puitteissa
• Stripe Payments Europe (maksunvälitys): nimi, sähköposti, tilausnumero — käsittely Irlannissa (EU), Stripe Inc. (USA) toimii emoyhtiönä standardisopimuslausekkeiden (SCC) nojalla
• Supabase Inc. (tietokanta-, autentikointi- ja tallennuspalvelu): tiedot tallennetaan EU-alueen (Frankfurt) palvelimille. Yritys USA:ssa, SCC-lausekkeet käytössä
• Vercel Inc. (verkkosivuston isännöintipalvelu): sivuston ja API-rajapinnan käyttölokit, IP-osoitteet ja istuntotiedot. Sivusto ajetaan Frankfurtin (EU) datakeskuksessa, mutta yritys on USA:ssa — SCC-lausekkeet sovellettavissa
• Resend Inc. (sähköpostipalvelu): nimi, sähköpostiosoite ja viestin sisältö. Yritys USA:ssa, SCC-lausekkeet käytössä
• Mindee SAS (PDF-tunnistuspalvelu, jos käytössä): verotuspäätöksen PDF-tiedot OCR-tunnistuksessa. Käsittely EU-alueella (Ranska)
• Verohallinto: oikaisuvaatimusten yhteydessä Suomi.fi -valtuutuksen puitteissa
• Lakisääteiset luovutukset: esim. ulosottoviranomaiselle vain lain velvoittamana

Tietoja ei luovuteta EU/ETA-alueen ulkopuolelle muutoin kuin yllä mainitusti standardisopimuslausekkeiden (Standard Contractual Clauses, SCC) tai EU:n komission riittävyyspäätöksen suojaamana.

EU:n tietosuoja-asetuksen mukaan sinulla on seuraavat oikeudet:

• Oikeus saada pääsy tietoihisi (art. 15)
• Oikeus tietojen oikaisemiseen (art. 16)
• Oikeus tietojen poistamiseen — "oikeus tulla unohdetuksi" (art. 17), paitsi lakisääteisen säilytysvelvollisuuden osalta
• Oikeus käsittelyn rajoittamiseen (art. 18)
• Oikeus siirtää tietosi (art. 20)
• Oikeus vastustaa käsittelyä (art. 21)
• Oikeus peruuttaa suostumus milloin tahansa
• Oikeus tehdä valitus valvontaviranomaiselle (tietosuojavaltuutettu, tietosuoja.fi)

Pyynnöt: tietosuoja@varantum.com. Vastaamme 30 vuorokauden kuluessa.

Käytämme kohtuullisia teknisiä ja organisatorisia toimenpiteitä tietojen suojaamiseen:

• Tiedot kulkevat aina TLS-salatussa yhteydessä
• Pääsy henkilötietoihin on rajattu vain niitä työssään tarvitseville
• Tietokannan rivi-tason suojaus (RLS) — käyttäjä näkee vain omat tietonsa
• Auditointiloki kaikista henkilötietojen lukutapahtumista
• Varmuuskopiot päivittäin, säilytysaika 30 vrk

Käytämme vain teknisesti välttämättömiä evästeitä (kirjautumissessio). Emme käytä markkinointi- tai seurantaevästeitä.

Päivitämme tätä selostetta tarvittaessa. Merkittävistä muutoksista ilmoitamme rekisteröidyille sähköpostitse tai portaalissa.