Tietosuojaseloste

Tilanne maaliskuussa 2026 · EU:n yleisen tietosuoja-asetuksen (GDPR, asetus 2016/679) mukaisesti

🏢 1. Rekisterinpitäjä

📋 2. Yleinen tietojenkäsittely

Käsittelemme henkilötietoja vain siinä määrin kuin on tarpeen toimivan AI Governance Platform -palvelun sekä sisältömme ja palveluidemme tarjoamiseksi.

⚖ 3. Oikeusperusteet

• GDPR:n 6 artiklan 1 kohdan a alakohta – Rekisteröidyn suostumus
• GDPR:n 6 artiklan 1 kohdan b alakohta – Sopimuksen täytäntöönpano tai sopimusta edeltävät toimenpiteet
• GDPR:n 6 artiklan 1 kohdan c alakohta – Lakisääteisten velvoitteiden noudattaminen (EU:n tekoälyasetus, NIS2, DORA)
• GDPR:n 6 artiklan 1 kohdan f alakohta – Oikeutetut edut (tietoturva, petosten ehkäisy)

🌐 4. Verkkosivuston ylläpito (IONOS)

Tätä verkkosivustoa ylläpitää IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Saksa. Vierailun yhteydessä verkkopalvelin tallentaa automaattisesti IP-osoitteen, aikaleiman, pyydetyt tiedostot ja viittaavan URL-osoitteen (referrer). Nämä tiedot poistetaan viimeistään 7 päivän kuluttua.

Henkilötietojen käsittelyä koskeva sopimus: IONOS-yhtiön kanssa on tehty GDPR:n 28 artiklan mukainen sopimus.

🗄 5. Taustainfrastruktuuri (Supabase)

Tunnistautumiseen, tietojen tallennukseen ja palvelinpuolen logiikkaan käytämme Supabase Inc. -palvelua. Projektimme sijaitsee AWS eu-central-1 (Frankfurt) -alueella — kaikki tiedot pysyvät EU:ssa.

5.1 Käsiteltävät tiedot

• Tunnistautuminen: Sähköposti, salattu salasana (bcrypt), kirjautumisen aikaleima
• Profiilitiedot: Nimi, sähköposti, osasto, vuokralaisen (tenant) määritys
• Tekoälyjärjestelmien tiedot: Järjestelmän tunnus, nimi, toimittaja, riskinarviointi
• Vuokralaistiedot (B2B): Yrityksen nimi, lisenssiavain, tilauksen tila

5.2 Tekoälyavusteinen käsittely (Edge Functions)

Riskinarviointiin käytämme Supabase Edge Functions -toimintoja, jotka kutsuvat Anthropic Claudea. Henkilötietoja ei siirretä — ainoastaan järjestelmän nimi ja käyttötapaus. Anthropic ei sopimusperusteisesti kouluta mallejaan siirretyillä tiedoilla (no-training-sitoumus); GDPR:n 28 artiklan mukainen henkilötietojen käsittelyä koskeva sopimus (DPA) on voimassa.

5.3 Turvatoimet

Salaus (TLS 1.2+ / AES-256), rivitason käyttöoikeudet (row-level security), säännölliset EU:ssa sijaitsevat varmuuskopiot, isännöinti SOC 2 Type II -sertifioidulla palveluntarjoajalla (Supabase).

💳 6. Maksujen käsittely (Stripe)

Maksulliset lisenssit käsitellään Stripe Payments Europe, Ltd. -palvelun kautta (Dublin, Irlanti). Maksutiedot käsittelee yksinomaan Stripe, eikä niitä koskaan tallenneta palvelimillemme.

Stripen tietosuojaseloste: stripe.com/en/privacy

📊 7. AIGOY AI Governance Platform

7.1 Rekisteröityminen

Käyttöä varten käsitellään sähköpostiosoite, nimi ja salasana (salattuna).

7.2 Tekoälyjärjestelmien luettelo ja riskinarviointi

Tallennamme tekoälyjärjestelmiesi perustiedot, riskinarvioinnit ja tekoälyn ehdotukset. Tämä käsittely on tarpeen EU:n tekoälyasetuksen, NIS2:n ja DORA:n mukaisen dokumentaation vuoksi.

7.3 Osaamistodistukset

Koulutuksen suorittamisen jälkeen myönnetään sisäisiä osaamistodistuksia. Nämä eivät ole valtion tunnustamia todistuksia.

💾 8. Paikallinen tietojen tallennus

Sovellus käyttää selaimesi localStorage-tallennustilaa kielivalintaan, tekoälyjärjestelmien tietoihin (välimuisti) ja istuntotietoihin. Nämä tiedot eivät poistu tietokoneeltasi.

🍪 9. Evästeet ja tekninen tallennus

✉ 10. Sähköpostiviestintä

Sähköpostitiedustelut tallennetaan käsittelyä varten. Järjestelmäilmoitukset lähetetään Supabase Auth -palvelun kautta.

🔄 11. Tietojen luovuttaminen kolmansille osapuolille

Nykyiset henkilötietojen käsittelijät: IONOS SE (DE, ylläpito), Supabase Inc. (EU Frankfurt, taustajärjestelmä), Stripe Payments Europe (IE, maksut), Anthropic PBC (USA, tekoälypalvelu, Claude-malli — siirrettyjä tietoja ei käytetä koulutukseen, GDPR:n 28 artiklan mukainen DPA).

🌍 12. Tietojen siirto kolmansiin maihin

Kaikki henkilötiedot käsitellään EU:n/ETA:n alueella: IONOS (DE), Supabase (Frankfurt), Stripe (Dublin). Kolmansista maista tapahtuvaan pääsyyn sovelletaan vakiosopimuslausekkeita.

Tekoälypalvelu (Anthropic): Tekoälyavusteisiin analyyseihin ja Compliance CoWorker ”Felix” -toimintoon käytämme Anthropic PBC -yhtiön (San Francisco, USA) Claude-mallia. Anthropic ei sopimusperusteisesti kouluta mallejaan API:n kautta siirretyillä tiedoilla (no-training-sitoumus). Yhdysvaltoihin tapahtuvaan siirtoon sovelletaan GDPR:n 46 artiklan 2 kohdan c alakohdan mukaisia vakiosopimuslausekkeita (SCC) ja EU-U.S. Data Privacy Framework -järjestelyä; GDPR:n 28 artiklan mukainen henkilötietojen käsittelyä koskeva sopimus (DPA) on voimassa. EU-alueen päättely (esim. AWS Bedrock Frankfurtissa) ja asiakaskohtainen mallin/avaimen valinta (BYOK) ovat valmisteilla.

⏱ 13. Säilytysaika

• Palvelimen lokitiedostot: enint. 7 päivää
• Tilitiedot: tilin poistamiseen asti + säilytysajat
• Laskutustiedot: 10 vuotta (Saksan verolain §147)
• Tekoälyrekisterin merkinnät: väh. 5 vuotta (EU:n tekoälyasetuksen dokumentointivelvoite)

🛡 14. Oikeutesi (GDPR)

Oikeus saada pääsy tietoihin (15 art.), oikaisu (16 art.), poistaminen (17 art.), käsittelyn rajoittaminen (18 art.), tietojen siirrettävyys (20 art.), vastustaminen (21 art.), suostumuksen peruuttaminen.

Yhteydenotto: · Käsittelyaika: enint. 1 kuukausi.

📮 15. Oikeus tehdä valitus

🤖 16. Tekoälyavusteinen riskinarviointi

AIGOY-alusta tarjoaa tekoälyavusteisen riskinarvioinnin ohjaustyökaluna. Se ei korvaa oikeudellista tarkastusta. AIGOY ei ota vastuuta tekoälyavusteiseen riskinarviointiin perustuvista päätöksistä.

📝 17. Muutokset

Pidätämme oikeuden päivittää tätä tietosuojaselostetta. Olennaisista muutoksista ilmoitetaan.