1. Rekisterinpitäjä
Genezon Oy (jäljempänä "Kirjapro", "me" tai "meidän")
Y-tunnus: 3282669-1
Sähköposti: tietosuoja@kirjapro.fi
Kirjapro on Genezon Oy:n tarjoama pilvipalvelu kirjanpitoon, laskutukseen ja taloushallintoon. Toimimme henkilötietojen käsittelyssä sekä rekisterinpitäjänä (omat käyttäjätiedot) että henkilötietojen käsittelijänä (asiakkaiden kirjanpitoaineisto).
2. Käsittelyn tarkoitukset ja oikeusperusteet
Käsittelemme henkilötietoja seuraaviin tarkoituksiin. Jokaiselle käsittelytoimelle on GDPR:n artiklan 6 mukainen oikeusperuste:
| Tarkoitus | Oikeusperuste (GDPR Art. 6) |
|---|---|
| Palvelun tarjoaminen ja ylläpito | Sopimuksen täytäntöönpano (6.1.b) |
| Käyttäjätilin hallinta ja todennus | Sopimuksen täytäntöönpano (6.1.b) |
| Maksujen käsittely (Stripe) | Sopimuksen täytäntöönpano (6.1.b) |
| Pankkiyhteys ja tilitapahtumat (Enable Banking / PSD2) | Nimenomainen suostumus (6.1.a) |
| Verkkolaskutus (APIX / Maventa) | Sopimuksen täytäntöönpano (6.1.b) |
| Kirjanpitoaineiston säilytys | Lakisääteinen velvoite (6.1.c) — Kirjanpitolaki |
| Asiakastuki ja viestintä | Oikeutettu etu (6.1.f) |
| Palvelun kehittäminen ja analytiikka | Oikeutettu etu (6.1.f) |
| Tietoturvauhkien torjunta ja väärinkäytösten esto | Oikeutettu etu (6.1.f) |
3. Kerättävät henkilötiedot
3.1 Käyttäjän antamat tiedot
- Tilin tiedot: sähköpostiosoite, salasana (bcrypt-salattu), nimi
- Yritystiedot: yrityksen nimi, Y-tunnus, osoite, puhelinnumero, pankkitiedot (IBAN, BIC)
- Kirjanpitotiedot: tilikartta, kirjanpitotapahtumat, tositteet, laskut
- Laskutustiedot: asiakkaiden nimet, osoitteet, Y-tunnukset, sähköpostiosoitteet
3.2 Automaattisesti kerättävät tiedot
- Tekniset tiedot: IP-osoite (anonymisoitu analytiikassa), selaintyyppi, käyttöjärjestelmä
- Käyttöloki: kirjautumisajankohdat, toimintojen aikaleima (tietoturvatarkoituksiin)
- Suorituskykytiedot: sivulatausten kesto, virheilmoitukset
3.3 Kolmansilta osapuolilta saatavat tiedot
- Pankkitiedot (Enable Banking / PSD2): tilitapahtumat, saldot, tilinumero — vain käyttäjän nimenomaisella suostumuksella
- Maksutiedot (Stripe): tilaustila, laskutushistoria — korttitiedot eivät kulje Kirjapron kautta
4. Tietojen säilytys ja säilytysajat
4.1 Säilytyspaikka
Kaikki tiedot säilytetään EU:n alueella sijaitsevilla palvelimilla (Supabase EU-infrastruktuuri, AWS eu-central-1, Frankfurt, Saksa). Tietoja ei siirretä EU:n/ETA:n ulkopuolelle.
4.2 Säilytysajat
| Tietotyyppi | Säilytysaika | Peruste |
|---|---|---|
| Käyttäjätili | Tilin voimassaoloaika + 30 päivää | Sopimus |
| Kirjanpitotapahtumat ja tositteet | Vähintään 6 vuotta tilikauden päättymisestä | Kirjanpitolaki (KPL 2:10§) |
| Tilinpäätös ja tasekirja | Vähintään 10 vuotta tilikauden päättymisestä | Kirjanpitolaki (KPL 2:10§) |
| Laskut ja myyntitositteet | Vähintään 6 vuotta tilikauden päättymisestä | Kirjanpitolaki + ALV-laki |
| Pankkitapahtumat (PSD2) | Suostumuksen voimassaoloaika (max. 90 päivää), pysyvä tallennus vain kirjauskäytön jälkeen | PSD2 / Suostumus |
| Maksutiedot (Stripe) | Tilauksen voimassaoloaika | Sopimus |
| Tietoturvalokit | 90 päivää | Oikeutettu etu |
| Analytiikka (Plausible) | Ei henkilötietoja — aggregoitu data | — |
Huom.: Kirjanpitovelvollisena (yritys) vastaat itse kirjanpitoaineistosi säilyttämisestä kirjanpitolain mukaisesti. Kirjapro tarjoaa alustan aineiston hallintaan, mutta säilytysvelvoite on kirjanpitovelvollisella.
5. Tilin poistaminen ja tietojen vienti
Voit milloin tahansa viedä kaikki tietosi CSV- ja JSON-muodossa sovelluksen tietosuoja-asetuksista. Kun poistat tilisi:
- Kaikki henkilötiedot poistetaan pysyvästi 30 päivän kuluessa (GDPR Art. 17)
- Varmuuskopioista tiedot poistuvat automaattisen kierron myötä (max. 30 päivää)
- Poistoa ei voi peruuttaa — varmista tietojen vienti ennen poistamista
Tärkeää: Ennen tilin poistamista varmista, että olet vienyt kirjanpitoaineistosi, sillä sinulla voi olla lakisääteinen velvoite säilyttää se 6–10 vuotta tilikauden päättymisestä.
6. Tietojen jakaminen ja alihankkijat
Emme myy, vuokraa tai luovuta henkilötietojasi markkinointitarkoituksiin. Jaamme tietoja vain seuraavissa tilanteissa:
- Palvelun tuottamiseksi välttämättömille alihankkijoille (alla oleva lista)
- Lakisääteisten velvoitteiden noudattamiseksi (viranomaiset, tuomioistuimet)
- Nimenomaisella suostumuksellasi (esim. pankkiyhteys)
6.1 Alihankkijat (henkilötietojen käsittelijät)
| Alihankkija | Tarkoitus | Sijainti | DPA |
|---|---|---|---|
| Supabase (AWS) | Tietokanta, todennus, tiedostojen tallennus | EU (Frankfurt) | Kyllä |
| Vercel | Sovelluksen hosting ja CDN | EU-solmut | Kyllä |
| Stripe (Stripe Payments Europe, Ltd) | Maksujen käsittely ja tilauslaskutus | EU (Irlanti) | Kyllä |
| Enable Banking Oy | PSD2 pankkiyhteys (AISP) | EU (Suomi) | Kyllä |
| APIX Messaging Oy | Verkkolaskujen välitys (Finvoice 3.0) | EU (Suomi) | Kyllä |
| Maventa (Visma) | Verkkolaskujen välitys | EU (Suomi) | Kyllä |
| Resend | Transaktiosähköpostit (tilin vahvistus, ilmoitukset) | EU | Kyllä |
| Plausible Analytics | Verkkosivujen kävijäanalytiikka (ei evästeitä, ei henkilötietoja) | EU (Saksa) | — |
Kaikilla alihankkijoilla on voimassa oleva tietojenkäsittelysopimus (DPA), ja ne on valittu siten, että tiedot pysyvät EU:n/ETA:n alueella.
7. Pankkiyhteys ja PSD2
Kirjapro tarjoaa pankkiyhteyden (tilitapahtumien nouto ja saldojen tarkistus) PSD2-direktiivin mukaisena tilitietopalveluna (AISP). Pankkiyhteyden tarjoaa Enable Banking Oy, joka on Finanssivalvonnan (FIN-FSA) rekisteröimä tilitietopalveluntarjoaja.
- Suostumus: Pankkiyhteys edellyttää nimenomaista suostumustasi. Yhdistät pankkisi itse Strong Customer Authentication (SCA) -menettelyllä pankin omassa palvelussa.
- Tiedot: Noudamme vain tilitapahtumat ja saldot — emme koskaan pääse salasanoihisi tai voi tehdä maksuja puolestasi.
- Voimassaolo: Suostumus on voimassa enintään 90 päivää kerrallaan. Voit peruuttaa yhteyden milloin tahansa sovelluksen asetuksista.
- Tietojen minimointi: Noudamme vain kirjanpitoon tarvittavat tiedot (päivämäärä, summa, viite, maksaja/saaja).
8. Evästeet
Käytämme ainoastaan palvelun toiminnan kannalta välttämättömiä evästeitä (istunnon hallinta, CSRF-suojaus). Emme käytä seuranta-, mainos- tai profilointievästeitä.
Verkkosivuston analytiikkaan käytämme Plausible Analytics -palvelua, joka ei käytä evästeitä, ei kerää henkilötietoja eikä seuraa yksittäisiä käyttäjiä. Plausible on GDPR-yhteensopiva ilman erillistä suostumuskyselyä.
9. Rekisteröidyn oikeudet
Sinulla on GDPR:n mukaisesti seuraavat oikeudet:
| Oikeus | Kuvaus | GDPR-artikla |
|---|---|---|
| Pääsy tietoihin | Saat kopion kaikista sinua koskevista tiedoista | Art. 15 |
| Oikaisu | Virheelliset tiedot korjataan | Art. 16 |
| Poistaminen | "Oikeus tulla unohdetuksi" — tiedot poistetaan pyynnöstä | Art. 17 |
| Käsittelyn rajoittaminen | Voit pyytää käsittelyn keskeyttämistä | Art. 18 |
| Siirrettävyys | Saat tietosi koneluettavassa muodossa (CSV/JSON) | Art. 20 |
| Vastustaminen | Voit vastustaa oikeutettuun etuun perustuvaa käsittelyä | Art. 21 |
| Suostumuksen peruutus | Voit peruuttaa suostumuksen milloin tahansa (esim. pankkiyhteys) | Art. 7(3) |
Käytä oikeuksiasi ottamalla yhteyttä: tietosuoja@kirjapro.fi. Vastaamme pyyntöösi viimeistään 30 päivän kuluessa. Pyyntö on maksuton.
Huom.: Poisto-oikeus ei koske tietoja, joiden säilyttämiseen on lakisääteinen velvoite (esim. kirjanpitoaineisto tilikauden aikana ja 6 vuotta sen jälkeen).
10. Automaattinen päätöksenteko
Kirjapro ei tee automaattiseen profilointiin perustuvia päätöksiä, joilla olisi oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia sinuun (GDPR Art. 22).
Palvelu käyttää automaattista pankkitapahtumien täsmäytystä kirjanpitotapahtumiin, mutta tämä on avustava toiminto, jonka tulokset käyttäjä aina itse hyväksyy tai hylkää.
11. Tietoturva
Suojaamme tietojasi seuraavilla toimenpiteillä:
- Salaus siirron aikana: TLS 1.2+ kaikissa yhteyksissä
- Salaus levossa: AES-256 tietokanta- ja varmuuskopiotasolla
- Salasanat: bcrypt-hajautettu, ei koskaan selkokielisenä
- Pääsynhallinta: Row Level Security (RLS) — jokainen käyttäjä näkee vain oman yrityksensä tiedot
- Kirjautumissuojaus: automaattinen lukitus toistuvien epäonnistuneiden yritysten jälkeen
- Arkaluonteiset tiedot: pankkitunnukset ja API-avaimet salataan AES-256-GCM:llä ennen tallennusta
- Varmuuskopiot: automaattiset päivittäiset varmuuskopiot, salattu erillisessä sijainnissa
Lisätietoja tietoturvakäytännöistämme: kirjapro.fi/turvallisuus.
12. Tietoturvaloukkaukset
Henkilötietojen tietoturvaloukkauksesta ilmoitetaan tietosuojavaltuutetun toimistolle 72 tunnin kuluessa (GDPR Art. 33). Jos loukkaus todennäköisesti aiheuttaa korkean riskin oikeuksillesi ja vapauksillesi, ilmoitamme sinulle henkilökohtaisesti viipymättä (GDPR Art. 34).
13. Muutokset tietosuojaselosteeseen
Voimme päivittää tätä tietosuojaselostetta. Merkittävistä muutoksista ilmoitetaan sähköpostitse vähintään 30 päivää etukäteen ja/tai palvelun sisäisellä ilmoituksella. Päivitetty versio on aina saatavilla tällä sivulla.
14. Valvontaviranomainen
Jos katsot, että henkilötietojesi käsittelyssä on rikottu tietosuojalainsäädäntöä, sinulla on oikeus tehdä valitus valvontaviranomaiselle:
Tietosuojavaltuutetun toimisto
Lintulahdenkuja 4, 00530 Helsinki
Puhelin: 029 566 6700
Sähköposti: tietosuoja@om.fi
Verkkosivu: tietosuoja.fi
15. Yhteydenotot
Tietosuojaan liittyvissä kysymyksissä ota yhteyttä:
tietosuoja@kirjapro.fi
Vastaamme tiedustelut ja pyynnöt viimeistään 30 päivän kuluessa.