Tietosuojaseloste

Viimeksi päivitetty: 15.4.2026

Tämä seloste kuvaa henkilötietojen käsittelyä GDPR:n (EU 2016/679) ja Suomen tietosuojalain mukaisesti.

1. Rekisterinpitäjä

Velto (velto.fi)
Yhteydenotot: velto.fi/yhteystiedot

2. Mitä tietoja keräämme

Keräämme vain palvelun toiminnan kannalta välttämättömiä tietoja:

• Velto-avaimen luonnissa: Velto-avain (VLT-xxxx), hallintalinkin satunnainen tunniste, luontihetki. Ei edellytä rekisteröitymistä.
• Rekisteröityessä: sähköpostiosoite, salasana (vain kryptattu hash), yrityksen tai henkilön nimi
• Yritystili: Y-tunnus (vapaaehtoinen, haetaan PRH:n julkisesta rajapinnasta), toimiala
• Myyjäprofiili: yrityksen nimi, palvelukuvaus, verkkosivusto, puhelinnumero, sähköposti
• Tarjoukset: tarjouksen sisältö, kategoria, tyyppi (tarjous/ajanvaraus/demo/kartoitus), liitteet, myyjän ja vastaanottajan yhdistävä tunniste
• Kiinnostuksen ilmaisut: vastaanottajan valitsema kontaktikanava (sähköposti, puhelin, ajanvaraus), antama yhteystieto sekä nimenomainen suostumus yhteystiedon välittämiseen myyjälle
• Käyttötiedot: kirjautumisajankohdat, tarjousten lukuajankohdat, tekniset lokitiedot (IP-osoite, selain, palvelupyyntöjen aikaleimat)

3. Käsittelyperusteet (GDPR art. 6)

• Sopimus (art. 6(1)(b)): käyttäjätilin luonti ja ylläpito, tarjousten välittäminen, kirjautumiset, palvelun tekninen toimittaminen.
• Suostumus (art. 6(1)(a)): yhteystiedon välitys myyjälle, kun ilmaiset kiinnostuksesi tarjoukseen; valinnaisen sähköpostin lisäys ilmoituksia varten; markkinointiviestit (mikäli otat ne käyttöön). Suostumus on peruutettavissa milloin tahansa.
• Oikeutettu etu (art. 6(1)(f)): palvelun turvallisuus ja väärinkäytösten estäminen (tekniset lokit, IP-pohjainen nopeusrajoitus, honeypot), palvelun kehittäminen aggregoiduista käyttötiedoista ilman yksilön tunnistamista.
• Laki (art. 6(1)(c)): kirjanpitolain edellyttämien tietojen säilyttäminen (esim. mahdolliset maksutapahtumat).

4. Säilytysajat

• Tarjoukset ja kiinnostuksen ilmaisut: 12 kuukautta viimeisestä aktiivisuudesta, jonka jälkeen automaattinen poisto. Käyttäjä voi poistaa ne milloin tahansa.
• Viestit ja liitteet (B2C): seuraavat tarjouksen kohtaloa — poistuvat kun tarjous poistuu (cascade).
• Käyttäjätili: toistaiseksi — kunnes käyttäjä pyytää tilin poistoa. Poiston jälkeen tiedot poistetaan välittömästi (yhden klikkauksen poisto kuluttajan hallintasivulta velto.fi/m/...).
• Orpo Velto-avain (ilman tiliä): 24 kuukautta viimeisestä avauksesta, jonka jälkeen automaattinen poisto.
• Audit-loki (events): 90 vuorokautta.
• Tekniset lokit ja rate-limit-hashit: 24 tuntia – 90 vuorokautta.
• Kirjanpitoaineisto: 6 vuotta tilikauden päättymisestä (kirjanpitolaki).

5. Tietojen säilytys ja suojaus

Tiedot säilytetään EU-alueella (Supabase, AWS eu-north-1 Tukholma). Salasanat tallennetaan kryptattuina (bcrypt). Tietoliikenne on suojattu TLS 1.2+ -salauksella. Tietokantaan pääsy on rajattu rivitason käyttöoikeuksilla (Supabase RLS) siten, että kukin vastaanottaja näkee ainoastaan omaan Velto-avaimeensa kuuluvat tarjoukset.

Sisäinen pääsy tietoihin on rajattu niihin henkilöihin, joilla on perusteltu tarve palvelun ylläpidon tai tuen näkökulmasta. Pääsyä valvotaan lokituksella.

6. Alikäsittelijät

Velto käyttää seuraavia alikäsittelijöitä palvelun toimittamiseksi. Kaikilla on GDPR-yhteensopiva tietojenkäsittelysopimus (DPA) Velton kanssa:

• Supabase (tietokanta, autentikointi) — AWS eu-north-1 (Tukholma)
• Vercel (sovelluksen hosting, reunacaching) — pääasiassa EU-alueen reunasijainnit
• Resend (transaktiosähköpostit) — EU-alue
• Stripe (mahdolliset maksutapahtumat) — maksukorttitiedot käsittelee Stripe suoraan; Velto ei tallenna korttinumeroita. Stripe on sertifioitu PCI-DSS Level 1 -taso. Siirto EU:n ulkopuolelle tapahtuu EU:n komission hyväksymien vakiosopimuslausekkeiden (SCC) perusteella.
• PRH avoin rajapinta (y-tunnuksen julkinen yritystieto — vapaaehtoinen)

Päivitetty luettelo on aina saatavilla tästä dokumentista. Olennaisista alikäsittelijämuutoksista ilmoitetaan käyttäjille etukäteen.

7. Tietojen luovutus

Emme myy henkilötietoja. Tietoja luovutetaan ainoastaan:

• Myyjälle: kun vastaanottaja on nimenomaisesti valinnut kontaktikanavan ja antanut suostumuksen yhteystietonsa välittämiseen. Pelkkä tarjouksen avaaminen ei luovuta mitään vastaanottajan tietoja myyjälle.
• Vastaanottajalle: myyjän tarjouksen sisältö ja myyjän julkiset yritystiedot (yritysnimi, kotisivu, kuvaus).
• Alikäsittelijöille edellä listatusti.
• Viranomaisille vain lain niin edellyttäessä (esim. poliisin kirjallinen pyyntö rikostutkinnassa).

8. Tietoturvaloukkauksen ilmoitus

Velto ilmoittaa henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle 72 tunnin kuluessa siitä, kun loukkaus on tullut Velton tietoon, mikäli loukkauksesta todennäköisesti aiheutuu riski yksilön oikeuksille. Käyttäjille ilmoitetaan viipymättä, mikäli loukkaus aiheuttaa korkean riskin heidän oikeuksilleen.

9. Evästeet

Käytämme vain palvelun toiminnan kannalta välttämättömiä evästeitä (kirjautuminen, istunnonhallinta, CSRF-suoja). Emme käytä seuranta- tai markkinointievästeitä emmekä kolmansien osapuolten analytiikkaa.

10. Oikeutesi

Sinulla on GDPR:n mukaiset oikeudet:

• Pyytää pääsy omiin tietoihisi (art. 15)
• Pyytää tietojesi oikaisua (art. 16)
• Pyytää tietojesi poistamista ("oikeus tulla unohdetuksi", art. 17)
• Rajoittaa tietojesi käsittelyä (art. 18)
• Siirtää tietosi toiseen palveluun (art. 20)
• Vastustaa tietojesi käsittelyä (art. 21)
• Peruuttaa antamasi suostumus milloin tahansa
• Tehdä valitus tietosuojavaltuutetulle (tietosuoja.fi)

Pyyntö osoitetaan yhteydenottolomakkeellavalitsemalla aiheeksi "Tietosuoja / GDPR-pyyntö". Vastaamme pyyntöön ilman aiheetonta viivytystä, viimeistään kuukauden kuluessa.

11. Muutokset

Pidätämme oikeuden päivittää tätä tietosuojaselostetta. Olennaisista muutoksista ilmoitamme palvelussa tai sähköpostitse vähintään 14 vuorokautta ennen muutosten voimaantuloa.