Tietosuojaseloste

1. Rekisterinpitäjä

• Nimi: Resaco Oy
• Y-tunnus: 3259870-5 (VAT FI32598705)
• Käyntiosoite: Hallituskatu 26, 2. krs, 96100 Rovaniemi
• Postiosoite: Evakkotie 48 A 5, 96100 Rovaniemi
• Yhteyshenkilö tietosuoja-asioissa: Olli Junes, [email protected], +358 45 671 7116

2. Käsittelyn tarkoitus ja oikeusperuste

Henkilötietoja käsitellään seuraaviin tarkoituksiin:

• Sopimuksen toteuttaminen (GDPR 6(1)(b)): asiakassuhteen hoito, laskutus, tuki ja palvelun toimitus.
• Lakisääteinen velvoite (GDPR 6(1)(c)): kirjanpito ja viranomaisilmoitukset.
• Oikeutettu etu (GDPR 6(1)(f)): suoramarkkinointi olemassa oleville asiakkaille, palvelun tietoturvan ja toiminnan parantaminen sekä väärinkäytösten estäminen.
• Suostumus (GDPR 6(1)(a)): markkinointi ei-asiakkaille ja ei-välttämättömät evästeet.

3. Käsiteltävät tiedot

• Yhteystiedot: nimi, sähköpostiosoite, puhelinnumero
• Yritystiedot: yrityksen nimi, Y-tunnus, laskutusosoite
• Sopimustiedot: valittu paketti, tilauspäivä, laskutushistoria
• Tekniset tiedot: IP-osoite, käyttäjäagentti, palvelinlokit, istuntotunnisteet
• Käyttötiedot: asiakasportaalin käyttö, tukipyyntöjen sisältö
• Markkinointi: suostumukset, uutiskirjeen tilaajuus, markkinointikiellot

4. Tietolähteet

• Asiakkaan itse antamat tiedot tilauksen, asiakasportaalin tai tuen yhteydessä
• Palvelimen ja sovelluksen automaattisesti keräämät lokit
• Evästeet ja vastaavat tekniikat
• Julkiset rekisterit (esimerkiksi YTJ Y-tunnuksen tarkistamiseen)

5. Säilytysajat

• Asiakasdata: 6 vuotta sopimuksen päättymisestä (kirjanpitolain 2:10 § mukaisesti).
• Palvelinlokit: 90 vuorokautta, ellei tietoturvatutkinta edellytä pidempää säilytystä.
• Tukikeskustelut: 24 kuukautta viimeisestä yhteydenotosta.
• Markkinointitiedot: 12 kuukautta viimeisestä asiakaskontaktista, jos suostumusta ei ole uusittu.
• Markkinointikiellot: toistaiseksi, jotta kieltoa voidaan kunnioittaa.

6. Tietojen vastaanottajat

Resahost luovuttaa henkilötietoja seuraaville käsittelijöille palvelun tuottamiseksi. Käsittelijöiden kanssa on solmittu GDPR Art. 28 mukainen henkilötietojen käsittelysopimus.

• Hetzner Online GmbH (Saksa/Suomi) — palvelininfrastruktuuri
• Visma Pay (Visma Solutions Oy) — maksunvälitys
• Cookiebot (Usercentrics A/S) — evästehallinta
• Google Ireland Limited — analytiikka (Google Analytics 4)

Henkilötietoja ei siirretä EU:n tai ETA-alueen ulkopuolelle. Käsittely tapahtuu EU:n alueella sijaitsevissa Hetznerin konesaleissa (ensisijaisesti Helsinki).

7. Tietoturva

Resahost suojaa henkilötietoja teknisillä ja organisatorisilla toimilla:

• TLS 1.3 -salaus liikenteessä
• Salatut varmuuskopiot
• 2FA pääsynvalvonnassa
• Roolikohtaiset käyttöoikeudet (vähimmän oikeuden periaate)
• Lokitus ja säännöllinen auditointi
• Henkilöstöä sitoo salassapitovelvollisuus

8. Rekisteröidyn oikeudet

Rekisteröidyllä on GDPR:n mukaiset oikeudet:

• Tarkastusoikeus omiin tietoihin (Art. 15)
• Oikaisuoikeus virheellisiin tietoihin (Art. 16)
• Poisto-oikeus ("oikeus tulla unohdetuksi", Art. 17)
• Käsittelyn rajoittaminen (Art. 18)
• Siirto-oikeus järjestelmästä toiseen (Art. 20)
• Vastustamisoikeus käsittelyä vastaan, joka perustuu oikeutettuun etuun (Art. 21)
• Suostumuksen peruutus, kun käsittely perustuu suostumukseen

Pyyntö lähetetään osoitteeseen [email protected]. Vastaamme pyyntöön kuukauden kuluessa. Henkilöllisyys tarkistetaan ennen pyynnön toteuttamista.

Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetun toimistolle (tietosuoja.fi), jos hän katsoo, että henkilötietoja käsitellään lainvastaisesti.

9. Automaattinen päätöksenteko

Resahost ei tee henkilötietoihin perustuvia automaattisia päätöksiä, joilla olisi oikeudellisia tai vastaavia merkittäviä vaikutuksia rekisteröityyn.

10. Selosteen muutokset

Resahost voi päivittää tätä selostetta toiminnan tai lainsäädännön muuttuessa. Olennaisista muutoksista ilmoitetaan asiakkaille sähköpostitse vähintään 30 vuorokautta ennen voimaantuloa.