JURIDINEN DOKUMENTTI

Tietosuojaseloste

Voimassa 1.1.2026 alkaen · Päivitetty 2.6.2026

1

Rekisterinpitäjä

DeepEnd Solutions Oy (CertusLex-palvelu)
Y-tunnus: 3620565-7
Sähköposti: info@certuslex.fi
Verkkosivu: certuslex.fi

2

Henkilötietojen käsittelyn tarkoitus

Käsittelemme henkilötietoja seuraaviin tarkoituksiin:

  • Asiakirjojen tarkastuspalvelun toteuttaminen (Dokumenttikone)
  • Tarjousten luominen ja hallinta (Tarjouskone)
  • Sopimusten generointi ja sähköinen allekirjoitus
  • Kilpailutusprosessien hallinnointi ja seuranta
  • Lausunnon ja tarjouksen toimittaminen sähköpostitse
  • B2B-portaalin käyttäjähallinta
  • Asiakasviestintä, viikkokoosteet ja muistutukset
  • Laskutus ja maksujen käsittely (Stripe)
  • Lakisääteisten velvoitteiden täyttäminen
3

Käsiteltävät henkilötiedot

Keräämme palvelun käytön yhteydessä seuraavat tiedot:

  • Perustiedot: sähköpostiosoite, nimi, puhelinnumero, yrityksen nimi ja Y-tunnus
  • Asiakirjat: lähetettyjen asiakirjojen sisältö (tarkastusta varten)
  • Tarjoukset: tarjousten sisältö, hinnoittelu, vastaanottajatiedot, lähetyshistoria
  • Sopimukset: sopimusten sisältö, allekirjoitustiedot (nimi, aika, IP-osoite)
  • Yritysprofiili: yrityksen tiedot, logo, brändivärit (Tarjouskone)
  • Käyttötiedot: palvelupaketti, käyttökerrat, aikaleima
  • Tekniset tiedot: selaintyyppi (user-agent), IP-osoite (allekirjoituksissa)

Emme kerää tarpeettomia tietoja emmekä pyydä tunnistetietoja kuten henkilötunnusta.

4

Käsittelyn oikeusperuste

Henkilötietojen käsittely perustuu sopimuksen täytäntöönpanoon (GDPR 6 art. 1 b-kohta) — käsittelemme tietoja palvelun tuottamiseksi asiakkaan tilauksesta. Lisäksi käsittely perustuu lakisääteisen velvoitteen noudattamiseen kirjanpito- ja arkistointivelvollisuuksien osalta.

5

Tietojen säilytysaika

Säilytämme tietoja seuraavasti:

  • Tarjoukset ja sopimukset: 3 vuotta luomisesta tai sopimuksen päättymisestä
  • Tarjousluonnokset: 6 kuukautta viimeisestä muokkauksesta
  • Asiakirjat ja lausunnot: 2 vuotta palvelun toimittamisesta
  • Sähköpostiosoite ja käyttäjätili: 2 vuotta viimeisestä kirjautumisesta
  • Sähköiset allekirjoitukset ja suostumuslokit: 10 vuotta (eIDAS-asetus, juridinen velvoite — ei poisteta GDPR-pyynnöstä)
  • Analytiikka ja sivukatselut: 1 vuosi
  • Kirjanpitoaineisto (laskut): 6 vuotta tilikauden päättymisestä (kirjanpitolaki 2:10§)
  • GDPR-toimenpidelokit: 5 vuotta (osoitusvelvollisuus, GDPR 5(2) art.)

Tiedot poistetaan automaattisesti säilytysajan päätyttyä tai rekisteröidyn pyynnöstä (ks. kohta 8).

6

Tietojen luovutus ja vastaanottajat

Emme myy tai luovuta henkilötietoja kolmansille osapuolille markkinointitarkoituksiin. Tietoja voidaan luovuttaa:

  • Palvelua tarkastava juristi — asiakirjan tarkastusta varten (vaitiolovelvollisuuden alainen)
  • Google Firebase / Firestore — tietojen tallennusalusta (EU-palvelin: Frankfurt, Saksa — europe-west3, GDPR-yhteensopiva)
  • Anthropic (Claude AI) — asiakirjojen ja tarjousten analysointi (tiedot eivät tallennu AI-malliin, käsittely API:n kautta)
  • Resend — sähköpostien lähetys (EU-yhteensopiva)
  • Stripe — maksujen käsittely (PCI DSS -sertifioitu)
  • Railway — palvelun hosting-alusta (EU-tietosuojaa noudattava)
  • Viranomaiset — lakisääteisen velvoitteen perusteella
7

Tietojen siirto EU:n ulkopuolelle

Tietojen ensisijainen tallennuspaikka on EU:n alueella. Firestore-tietokanta sijaitsee Googlen datakeskuksessa Frankfurtissa, Saksassa (europe-west3). Asiakastiedot, tarjoukset, sopimukset ja asiakirjat eivät poistu EU:n alueelta.

Osa palveluntarjoajista (Anthropic, Resend) käsittelee tietoja API-kutsujen kautta. Nämä ovat läpikulkuoperaatioita — tietoja ei tallenneta pysyvästi EU:n ulkopuolelle. Siirrot tapahtuvat EU:n komission hyväksymien vakiosopimuslausekkeiden (SCC) nojalla.

8

Rekisteröidyn oikeudet

Sinulla on seuraavat oikeudet (GDPR 15–22 art.):

  • Tarkastusoikeus (Art. 15) — pyytää pääsy kaikkiin sinusta tallennettuihin tietoihin. Toimitamme tiedot JSON-muodossa 30 päivän kuluessa.
  • Oikaisupyyntö (Art. 16) — pyytää virheellisten tietojen korjaamista
  • Poistopyyntö (Art. 17) — pyytää tietojesi poistamista kaikista järjestelmistä ("oikeus tulla unohdetuksi"). Poisto kattaa kaikki kokoelmat lukuun ottamatta sähköisiä allekirjoituksia ja suostumuslokeja, joiden säilyttäminen on lakisääteinen velvoite (eIDAS-asetus).
  • Käsittelyn rajoittaminen (Art. 18) — pyytää käsittelyn rajoittamista tietyissä tilanteissa
  • Siirto-oikeus (Art. 20) — saada kaikki tietosi koneluettavassa muodossa (JSON). Toimitamme tiedot 30 päivän kuluessa.
  • Vastustamisoikeus (Art. 21) — vastustaa tietojen käsittelyä

Näin käytät oikeuksiasi: Lähetä pyyntö osoitteeseen info@certuslex.fi. Vahvistamme henkilöllisyytesi ja toteutamme pyynnön 30 päivän kuluessa. Pyynnöt ovat maksuttomia.

Poistopyynnön laajuus: Poistamme kaikki tietosi seuraavista kokoelmista: tarjoukset, sopimukset, asiakirjat, yritysprofiili, käyttäjätili, käyttökoodit, keskusteluhistoria, tilaukset sekä Firebase Authentication -tili. Suostumuslokeja ja sähköisiä allekirjoituksia ei poisteta lakisääteisen velvoitteen vuoksi.

Sinulla on myös oikeus tehdä valitus tietosuojavaltuutetulle: tietosuoja.fi

9

Tietoturva

Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein:

  • Tietojen salaus ja sijainti: kaikki tiedot tallennetaan salattuina Google Firestore -alustalle EU:n alueella (Frankfurt, Saksa). Tiedonsiirto on HTTPS-salattu (TLS 1.3).
  • Pääsynhallinta: Firestore-tietokanta on suojattu roolipohjaisin säännöin — käyttäjä pääsee vain omiin tietoihinsa. Admin-pääsy on rajoitettu nimettyihin henkilöihin.
  • API-autentikointi: kaikki rajapintakutsut vaativat Firebase Authentication -tokenin tai admin-salasanan.
  • Sähköiset allekirjoitukset: allekirjoitustapahtumat kirjataan muuttumattomaan lokiin (IP-osoite, aikaleima, user-agent) eIDAS-asetuksen mukaisesti.
  • Varmuuskopiointi: automaattinen varmuuskopiointi päivittäin, säilytys 30 päivää.
  • Lokitus: kaikki GDPR-toimenpiteet (haku, vienti, poisto) kirjataan auditointilokiin.
10

Evästeet ja seuranta

CertusLex ei käytä seurantaevästeitä eikä kolmansien osapuolten analytiikkatyökaluja (ei Google Analytics, ei Facebook Pixel). Palvelu ei seuraa käyttäjien toimintaa sivuston ulkopuolella. Käytämme ainoastaan teknisesti välttämättömiä evästeitä (kirjautumistilan ylläpito, kieliasetus).

11

Tietosuojaselosteen päivittäminen

Pidätämme oikeuden päivittää tätä tietosuojaselostetta. Olennaisista muutoksista ilmoitetaan palvelun verkkosivulla. Suosittelemme tutustumaan tietosuojaselosteeseen säännöllisesti.

12

Yhteydenotot

Tietosuojaan liittyvissä kysymyksissä ota yhteyttä:
info@certuslex.fi
DeepEnd Solutions Oy / CertusLex

© 2026 CertusLex — DeepEnd Solutions Oy · info@certuslex.fi