RoSu Oy

Tietosuojaseloste

Tämä seloste koskee Tilitoimisto CRM -alustaa (osoitteessa tilitoimistocrm.fi). Selosteessa kerrotaan, miten käsittelemme palvelua käyttävien tilitoimistojen ja heidän asiakkaidensa henkilötietoja GDPR:n (EU 2016/679) ja Suomen tietosuojalain (1050/2018) mukaisesti.

1. Rekisterinpitäjä

RoSu Oy
Y-tunnus: 3451824-6
Sähköposti: jaakko@rosu.fi

Toimimme tietojen käsittelijänä (GDPR Art. 28) palvelua käyttävien tilitoimistojen Loppuasiakkaiden tietoihin nähden. Tilitoimisto on rekisterinpitäjä omille kirjanpitoasiakkailleen. Yksityiskohtaisemmat ehdot kuvataan tietojenkäsittelysopimuksessa (DPA), joka allekirjoitetaan tilitoimiston liittyessä alustalle.

2. Yhteyshenkilö tietosuoja-asioissa

Tietosuojaa koskevissa kysymyksissä, pyynnöissä ja valituksissa ota yhteyttä:
Jaakko Suomalainen, RoSu Oy
Sähköposti: jaakko@rosu.fi

3. Käsiteltävät henkilötietoryhmät

Käsittelemme seuraavia henkilötietoja:

Tietoryhmä	Esimerkkejä
Yhteystiedot	Nimi, sähköpostiosoite, puhelinnumero, osoite
Organisaatiotiedot	Y-tunnus, yrityksen nimi, rooli yrityksessä
Sopimus- ja asiakasdata	Tarjoukset, sopimukset, allekirjoitukset, laskutustiedot
KYC-dokumentit Art. 9 erityiskategoria	Henkilöllisyystodistuksen kuva (rahanpesulaki 444/2017)
Käyttäjätilitiedot	Käyttäjätunnus, salasana (bcrypt-hash), kirjautumishistoria
Tekniset metatiedot	IP-osoite, selain, kirjautumisajat, audit-loki muutoksista
Asiakaspalaute	Palaute, arvosana, nimi, yritysnimi
Sähköpostilokit	Lähetysaika, vastaanottaja-email, aihe, status (ei sisältöä)
Allekirjoituslokit	Allekirjoittajan nimi, sähköposti, IP-osoite, aikaleima, sopimusversion hash

4. Käsittelyperusteet ja tarkoitukset

Peruste (GDPR Art.)	Tarkoitus
Art. 6(1)(b) Sopimus	CRM-alustan tarjoaminen tilitoimistoille: asiakashallinta, laskutus, sopimukset, tarjoukset, tilinpäätökset, työvaiheet
Art. 6(1)(c) Lakisääteinen velvoite	KYC-tunnistautuminen rahanpesulain (444/2017) nojalla; kirjanpitolain (1336/1997) mukainen tietojen säilyttäminen; GDPR Art. 28 mukainen DPA
Art. 6(1)(f) Oikeutettu etu	Alustan tietoturva ja väärinkäytösten ehkäisy (kirjautumislokit, audit-loki muutoksista, IP-tallenteet allekirjoituksiin)
Art. 6(1)(a) Suostumus	Asiakaspalautteen kerääminen ja arvostelupalveluihin ohjaaminen; KYC-dokumenttien lataus ennen sopimuksen voimaan tuloa

5. Säilytysajat

Tietotyyppi	Säilytysaika	Peruste
Asiakaspalaute	2 vuotta	Suostumus; poistetaan automaattisesti säilytysajan jälkeen
KYC-dokumentit (henkilöllisyystodistus)	5 vuotta	Rahanpesulaki 444/2017, § 3:3
Tilinpäätösaineisto	6 vuotta 2 kuukautta tilikauden päättymisestä	Kirjanpitolaki 1336/1997, § 2:10
Sopimukset ja laskut	6 vuotta 2 kuukautta	Kirjanpitolaki 1336/1997, § 2:10
Käyttäjä- ja kirjautumislokit	12 kuukautta	Oikeutettu etu (tietoturva)
Sähköpostien metatiedot	12 kuukautta	Oikeutettu etu
Allekirjoituslokit	Sopimuksen voimassaolo + 10 vuotta	Sopimusoikeudellinen todistusarvo (oikeutettu etu)
Tilitoimiston tilin koko data	Sopimuksen voimassaoloaika + 6 kuukautta	Sopimus (DPA § 11) — anonymisoidaan tai poistetaan grace-jakson jälkeen

6. Tietojen vastaanottajat ja alikäsittelijät

Käytämme seuraavia alikäsittelijöitä henkilötietojen käsittelyssä. Ajantasainen lista löytyy myös erillisellä sivulla: /alikasittelijat/.

Alikäsittelijä	Tarkoitus	Sijainti
UpCloud Ltd	Virtuaalipalvelin (sovellus + tietokanta), managed PostgreSQL ja Object Storage offsite-varmuuskopiointiin (salattu restic-paketointi)	Helsinki, Suomi (EU)
Documenso	Sähköinen allekirjoitus — ajetaan samalla UpCloud-palvelinklusterilla Helsingissä	Helsinki, Suomi (EU)
Google Workspace	SMTP-sähköpostin lähetys (tilitoimistojen ulkoinen viestintä asiakkaille)	EU + USA (vakiosopimuslausekkeet, SCC 2021/914)

Henkilötietoja ei myydä tai luovuteta kolmansille osapuolille markkinointitarkoituksiin. Viranomainen voi pyytää tietoja lain nojalla.

Uusista alikäsittelijöistä ilmoitetaan tilitoimistoille vähintään 30 päivää etukäteen, ja tilitoimistolla on oikeus vastustaa muutosta.

7. Tietojen siirrot EU:n ulkopuolelle

Pääosa käsittelystä tapahtuu Suomessa (UpCloud Helsinki) eikä tietoja siirretä EU:n ulkopuolelle.

Google Workspace -sähköpostipalvelun osalta tietoja voidaan käsitellä myös EU:n ja ETA:n ulkopuolella. Tietojen siirto perustuu EU:n vakiosopimuslausekkeisiin (SCC) (komission täytäntöönpanopäätös 2021/914). Voit pyytää jäljennöstä sovellettavista suojakeinoista ottamalla yhteyttä.

8. Tietoturvaloukkaus — ilmoitusaika 72 tuntia

RoSu Oy ilmoittaa havaitusta henkilötietojen tietoturvaloukkauksesta 72 tunnin sisällä havainnosta (GDPR Art. 33 mukaisesti) sähköpostitse tilitoimistolle, jonka tiedot ovat olleet vaarassa.

Ilmoitus sisältää:

Kuvaus tapahtuneesta
Vaikutuksen kohteena olevat tietokategoriat ja arvioitu lukumäärä
Todennäköiset seuraukset
Toteutetut ja aiotut toimenpiteet
DPO:n yhteystiedot lisätietoja varten

Vakaviin tapauksiin (henkilötietojen luvaton julkistaminen tms.) sovelletaan erillistä tietoturvaloukkauksen runbook:ia.

9. Rekisteröidyn oikeudet (GDPR Art. 15–22)

Sinulla on seuraavat oikeudet henkilötietojesi käsittelyyn liittyen:

Tarkastusoikeus (Art. 15) — oikeus saada tietää, mitä tietoja sinusta käsitellään. Tilitoimiston pääkäyttäjä voi viedä asiakasdatan CSV-muodossa CRM:stä.
Oikaisupyyntö (Art. 16) — oikeus vaatia virheellisten tietojen korjaamista
Oikeus tulla unohdetuksi (Art. 17) — oikeus pyytää tietojen poistamista, mikäli käsittelylle ei ole lakisääteistä perustetta
Käsittelyn rajoittaminen (Art. 18) — oikeus vaatia käsittelyn keskeyttämistä riitatilanteen ajaksi
Vastustamisoikeus (Art. 21) — oikeus vastustaa oikeutettuun etuun perustuvaa käsittelyä henkilökohtaisista syistä
Tietojen siirrettävyys (Art. 20) — oikeus saada tietosi koneluettavassa muodossa (CSV/JSON), jos käsittely perustuu sopimukseen tai suostumukseen
Suostumuksen peruuttaminen — suostumukseen perustuvan käsittelyn (palaute, KYC-lataus) voi peruuttaa milloin tahansa, jolloin jo tapahtunut käsittely pysyy lainvoimaisena

Loppuasiakkaat (kirjanpitoasiakkaat): tehkää pyynnöt suoraan omalle tilitoimistollenne, joka on rekisterinpitäjä omille asiakkailleen.

Tilitoimistot: ottakaa yhteyttä jaakko@rosu.fi. Vastaamme pyynnöllesi 30 päivän kuluessa (GDPR Art. 12).

10. Valitusoikeus Tietosuojavaltuutetulle

Jos katsot, että henkilötietojesi käsittely on lainvastaista, sinulla on oikeus tehdä valitus valvontaviranomaiselle:

Tietosuojavaltuutetun toimisto
PL 800, 00531 Helsinki
Puhelin: 029 566 6700
Sähköposti: tietosuoja@om.fi
Verkkosivu: tietosuoja.fi

11. Tekniset ja organisatoriset turvatoimet

Henkilötiedot on suojattu seuraavilla toimenpiteillä:

Salaus levyllä (encryption at rest): arkaluonteiset kentät (SMTP-salasanat, OAuth-tokenit, Apitamo-PIN) salataan symmetrisellä Fernet-salauksella ennen tallennusta
TLS 1.2/1.3 kaikessa tietoliikenteessä; HSTS preload-listalla
Vahva tunnistautuminen: salasanat bcrypt-hajautuksella, kirjautumisyritysten lukitus (django-axes), 2FA pääkäyttäjille tuettu
Roolipohjainen pääsynvalvonta: Junior / Senior / Pääkäyttäjä — pienimpien oikeuksien periaate
Audit-loki: kaikki muutokset olennaisiin malleihin tallennetaan ObjectChangeLog-tauluun (kuka, milloin, vanha→uusi arvo)
Sisäiset tiedostot (KYC, sopimukset) ovat suojattu nginx-tason internal-blokilla + Djangon X-Accel-Redirect:llä, eivät suoraan haettavissa URL:n kautta
Multi-tenant-eristys: tilitoimistojen tiedot on erotettu toisistaan tietokantatasolla; lomakkeissa fail-safe queryset tilitoimisto=request.tilitoimisto
Varmuuskopiot: päivittäinen DB-backup UpCloud Managed PostgreSQL:n kautta (7 päivän retention) + offsite-replikointi UpCloud Object Storage:en (salattu restic-paketointi)
Tietoturvaheaderit: CSP, X-Content-Type-Options, Referrer-Policy, HSTS — kaikki konfiguroitu nginx:ssä
Webhook-allekirjoituksen tarkistus: Documenso webhookit todennetaan IP-allowlistalla + salaisuudella