Tietosuojaseloste
Tämä on EU:n yleisen tietosuoja-asetuksen (GDPR) 13–14 artiklan mukainen tietosuojaseloste Finagentti-palvelun käyttäjille.
Päivitetty viimeksi: 17.5.2026
1. Rekisterinpitäjä
Kontakto Oy (Y-tunnus 2831767-5) Sähköposti: info@finagentti.fi
Tietosuojaa koskevissa kysymyksissä voi olla yhteydessä yllä olevaan sähköpostiosoitteeseen. Rekisterinpitäjä ei ole nimennyt erillistä tietosuojavastaavaa, sillä toiminta ei kuulu GDPR 37 artiklan velvoitteen piiriin.
2. Rekisterin nimi
Finagentti-palvelun asiakas- ja käyttäjärekisteri.
3. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Henkilötietoja käsitellään seuraaviin tarkoituksiin:
| Tarkoitus | Oikeusperuste (GDPR art. 6) |
|---|---|
| Palvelun toimittaminen rekisteröityneille käyttäjille (käyttäjätilien hallinta, agentin toiminnot, viestintä) | Sopimuksen täytäntöönpano (6 art. 1 b) |
| Laskutus ja maksujen käsittely | Sopimus ja lakisääteinen velvoite (6 art. 1 b ja 1 c) |
| Kirjanpito- ja verolainsäädännön mukaiset velvoitteet | Lakisääteinen velvoite (6 art. 1 c) |
| Asiakaspalvelu ja tuki | Sopimus ja oikeutettu etu (6 art. 1 b ja 1 f) |
| Palvelun turvallisuuden varmistaminen (tunnistautuminen, väärinkäytösten estäminen, lokien ylläpito) | Oikeutettu etu (6 art. 1 f) |
| Palvelun kehittäminen ja vianmääritys | Oikeutettu etu (6 art. 1 f) |
| Markkinointiviestintä rekisteröityneille käyttäjille | Suostumus (6 art. 1 a) |
4. Käsiteltävät henkilötiedot
Palvelun käytön yhteydessä käsitellään seuraavia henkilötietoja:
Käyttäjätiedot
- Nimi, sähköpostiosoite, puhelinnumero
- Salasanan tiiviste (kryptografinen hash, ei selväkielinen salasana)
- Käyttäjän kielivalinta ja tilin asetukset
- Kaksivaiheisen tunnistautumisen koodien aikaleimat
Tiimi- ja yritystiedot
- Tiimin nimi, jäsenet ja roolit (ylläpitäjä / jäsen)
- Yrityksen Y-tunnus, virallinen nimi, osoite ja laskutustiedot
- Pankkiyhteystiedot laskutusta varten (salatussa muodossa)
Käyttödata
- Keskustelut agentin kanssa (chat-viestit, WhatsApp-viestit)
- Ääniviestit ja niiden tekstimuunnokset
- Käyttäjän lähettämät liitetiedostot (kuitit, laskut PDF-/kuvamuodossa)
- Toistuvien tehtävien aikataulut ja tila
Toiminnot ja loki
- Käyttäjän toiminnot palvelussa aikaleimoineen
- IP-osoitteet kirjautumis- ja toimintatapahtumissa
- Selaintunnisteet (User-Agent)
- Taloushallinto-ohjelmistoon tehdyt API-kutsut (salaiset kentät redaktoituna)
Taloushallintointegraatioiden tunnistetiedot
- Procountor-, Netvisor- ja Fennoa-rajapintojen API-avaimet
- Tunnukset tallennetaan AES-256-GCM-salattuna eikä niitä voi nähdä alkuperäisessä muodossa käyttöliittymässä
Maksu- ja laskutustiedot
- Tilausten tila ja laskutushistoria
- Stripe-maksutapahtumien viitteet (varsinaiset korttitiedot eivät tallennu Finagentin järjestelmiin)
5. Säännönmukaiset tietolähteet
- Käyttäjältä itseltään rekisteröitymisen ja palvelun käytön yhteydessä
- Suomen Kaupparekisteristä Kontakto-rajapinnan kautta (yritysten julkiset tiedot Y-tunnuksen perusteella)
- Taloushallinto-ohjelmistoista (Procountor, Netvisor, Fennoa) käyttäjän myöntämän rajapintaoikeuden puitteissa
- WhatsApp Business API:n välityksellä saapuvat viestit
- Käyttötietojen automaattinen kerääminen palvelun käytön aikana
6. Tietojen luovuttaminen ja käsittelijät
Henkilötietoja käsittelevät seuraavat tahot rekisterinpitäjän lukuun erillisten käsittelysopimusten nojalla. Kaikki tiedot pysyvät EU/ETA-alueella tai siirretään asianmukaisten suojatoimien (vakiosopimuslausekkeet, SCC) puitteissa:
| Käsittelijä | Rooli | Sijainti |
|---|---|---|
| Fly.io, Inc. | Palvelimet ja sovellusten hosting | EU (Tukholma) |
| Tigris Data Inc. | Tiedostojen tallennus (S3-yhteensopiva) | EU |
| Anthropic, PBC | Tekoälymalli (Claude) viestien käsittelyyn | EU-residenssi käytössä |
| OpenAI, L.L.C. | Ääniviestien puheentunnistus (Whisper) | Yhdysvallat, SCC |
| Meta Platforms Ireland Ltd. | WhatsApp Business API | EU (Irlanti) |
| Stripe Payments Europe Ltd. | Korttimaksujen käsittely | EU (Irlanti) |
| Accountor Finago Oy | Procountor-integraatio (käyttäjän omat tunnukset) | EU (Suomi) |
| Visma Solutions Oy | Netvisor-integraatio (käyttäjän omat tunnukset) | EU (Suomi) |
| Fennoa Oy | Fennoa-integraatio (käyttäjän omat tunnukset) | EU (Suomi) |
| Kontakto Oy | Suomen yritysrekisteritietojen haku | EU (Suomi) |
| Binwiederhier (ntfy.sh) | Sisäiset palautteet ja ilmoitukset | EU |
Tietoja ei myydä eikä luovuteta markkinointitarkoituksiin kolmansille osapuolille. Tietoja voidaan luovuttaa viranomaisille, jos laki sitä edellyttää.
7. Tietojen siirto EU/ETA-alueen ulkopuolelle
Pääosa käsittelystä tapahtuu EU:n alueella. Niiltä osin kuin tietoja siirretään EU/ETA:n ulkopuolelle (mm. OpenAI:n puheentunnistus), siirto tehdään Euroopan komission hyväksymien vakiosopimuslausekkeiden (Standard Contractual Clauses, 2021/914) nojalla. Anthropicin osalta käytössä on EU-residenssi, jolloin pyynnöt käsitellään EU:n alueella.
8. Henkilötietojen säilytysaika
| Tietoryhmä | Säilytysaika |
|---|---|
| Käyttäjätili ja perustiedot | Tilin aktiivisuuden ajan + 12 kk tilin sulkemisesta |
| Keskusteluhistoria | Tilin aktiivisuuden ajan, käyttäjä voi poistaa keskusteluja milloin tahansa |
| Liitetiedostot | Tilin aktiivisuuden ajan tai kunnes käyttäjä poistaa ne |
| Toimintaloki ja API-kutsujen loki | 24 kk |
| Laskutus- ja kirjanpitotiedot | Kirjanpitolain mukaisesti 6 vuotta tilikauden päättymisestä (KPL 2:10) |
| IP-osoitteet kirjautumislokeissa | 12 kk |
Tilin sulkemisen jälkeen henkilötiedot poistetaan tai anonymisoidaan, ellei lakisääteinen velvoite vaadi pidempää säilytystä.
9. Rekisterin suojauksen periaatteet
- Kaikki yhteydet salataan TLS 1.3 -protokollalla
- Taloushallinto-ohjelmistojen tunnukset salataan AES-256-GCM-algoritmilla ennen tallennusta
- Kaksivaiheinen tunnistautuminen sähköpostikoodilla on pakollinen kaikille käyttäjille
- Pääsy tuotantotietoihin on rajattu tarpeellisille henkilöille ja edellyttää erillistä todennusta
- Pyyntörajoitukset estävät automatisoidut väärinkäytöksen yritykset
- Käyttäjien toiminnot kirjataan tapahtumalokiin
- WhatsApp-rajapinnan webhook-pyynnöt varmistetaan HMAC-allekirjoituksella
- Säännönmukaiset varmuuskopiot ja palautumistestit
Yksityiskohtaisempi kuvaus turvajärjestelyistä on Turvallisuus-sivulla.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on GDPR:n mukaiset oikeudet:
- Tarkastusoikeus (15 art.) — oikeus saada tieto siitä, mitä henkilötietoja hänestä käsitellään
- Oikaisuoikeus (16 art.) — oikeus pyytää virheellisten tai puutteellisten tietojen korjaamista
- Poisto-oikeus eli "oikeus tulla unohdetuksi" (17 art.) — oikeus pyytää tietojensa poistamista, ellei laki velvoita säilyttämään niitä
- Käsittelyn rajoitusoikeus (18 art.) — oikeus rajoittaa käsittelyä tietyissä tilanteissa
- Siirto-oikeus (20 art.) — oikeus saada itse antamansa tiedot koneluettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle
- Vastustamisoikeus (21 art.) — oikeus vastustaa käsittelyä oikeutetun edun perusteella
- Suostumuksen peruuttaminen (7 art. 3) — markkinointiviestintä lopetetaan välittömästi peruutuspyynnön perusteella
Pyynnöt tulee toimittaa osoitteeseen info@finagentti.fi. Rekisterinpitäjä vastaa pyyntöön viimeistään kuukauden kuluessa.
11. Valitusoikeus
Rekisteröidyllä on oikeus tehdä valitus kansalliselle valvontaviranomaiselle, jos hän katsoo henkilötietojen käsittelyn rikkovan tietosuojalainsäädäntöä.
Suomessa toimivaltainen viranomainen on:
Tietosuojavaltuutetun toimisto www.tietosuoja.fi
12. Tietosuojaselosteen muutokset
Tätä tietosuojaselostetta voidaan päivittää palvelun kehittyessä tai lainsäädännön muuttuessa. Olennaisista muutoksista ilmoitetaan käyttäjille palvelussa tai sähköpostitse. Voimassa oleva versio on aina saatavilla osoitteessa docs.finagentti.fi/tietosuojaseloste.