Tietosuojaseloste EU:n yleinen tietosuoja-asetus (GDPR) 2016/679 | Voimassa alkaen: 12.4.2026

1. Rekisterinpitäjä

Yritys: 3NFocus Y-tunnus: 2942299-5 Osoite: Rantatie 1 b 7, 13300 Hämeenlinna Sähköposti: info@tietoturvakartoitus.fi

2. Tietosuojavastaava

Tällä organisaatiolla ei ole nimettyä tietosuojavastaavaa (GDPR 37 art. mukainen nimitysvelvollisuus ei koske tätä organisaatiota). Tietosuoja-asioissa ota yhteyttä yllä olevaan sähköpostiin.

3. Kerättävät henkilötiedot ja käsittelyn tarkoitus

3.1 Tietoturvadiagnostiikkapalvelu

Kerättävät tiedot: sähköpostiosoite, yritysprofiilitiedot (toimiala, henkilöstömäärä, liikevaihto) sekä kyselylomakkeen vastaukset. Käsittelyn tarkoitus: tietoturva-arviointiraportin tuottaminen ja toimittaminen asiakkaalle. Käsittelyperuste: sopimuksen täytäntöönpano (GDPR 6.1 b). Säilytysaika: vastaukset säilytetään väliaikaisesti enintään 24 tuntia raportin generoinnin varmistamiseksi palveluhäiriötilanteissa ja poistetaan välittömästi raportin toimittamisen jälkeen. PDF-raportti poistetaan palvelimelta sähköpostilähetyksen jälkeen. Sähköpostiosoitetta ei lisätä postituslistalle.

3.2 Maksutapahtuma

Kerättävät tiedot: maksukorttitiedot käsittelee yksinomaan Stripe Payments Europe Ltd. Emme vastaanota, tallenna tai käsittele maksukorttitietoja itse. Käsittelyn tarkoitus: palvelumaksun veloittaminen. Käsittelyperuste: sopimuksen täytäntöönpano (GDPR 6.1 b). Säilytysaika: Stripen käytäntöjen mukaisesti.

3.3 Yhteydenottolomake

Kerättävät tiedot: nimi ja sähköpostiosoite. Käsittelyn tarkoitus: yhteydenottopyyntöön vastaaminen. Käsittelyperuste: oikeutettu etu (GDPR 6.1 f). Säilytysaika: 24 kuukautta viimeisestä kontaktista tai kunnes pyyntö on käsitelty loppuun.

3.4 Analytiikka (Google Analytics)

Kerättävät tiedot: evästetunniste, IP-osoite (anonymisoitu), sivustokäyttäytyminen. Käsittelyn tarkoitus: verkkopalvelun käytön analysointi ja kehittäminen. Käsittelyperuste: suostumus (GDPR 6.1 a) — aktivoituu vasta evästebannerin hyväksynnän jälkeen. Säilytysaika: enintään 26 kuukautta.

3.5 Tekniset lokitiedot

Kerättävät tiedot: IP-osoite, pyyntöajat, selaimen tyyppi. Käsittelyn tarkoitus: tietoturvan varmistaminen ja teknisten virheiden selvittäminen. Käsittelyperuste: oikeutettu etu (GDPR 6.1 f). Säilytysaika: 30 päivää.

4. Henkilötietojen antamisen pakollisuus

Diagnostiikkapalvelussa sähköpostiosoite on pakollinen raportin toimittamista varten. Ilman sitä palvelua ei voida käyttää.

Yhteydenottolomakkeella nimi ja sähköpostiosoite ovat vapaaehtoisia, mutta tietojen antamatta jättäminen tarkoittaa, että emme pysty vastaamaan yhteydenottopyyntöön.

Analytiikkaevästeiden osalta tietojen kerääminen perustuu suostumukseen, jonka voi antaa tai evätä evästebannerin kautta. Suostumuksen epäämisellä ei ole vaikutusta palvelun käyttöön.

5. Evästeet ja Google Analytics

Verkkopalvelumme käyttää evästeitä. Analytiikkaevästeet aktivoidaan vasta, kun olet antanut nimenomaisen suostumuksesi evästebannerin kautta. Voit muuttaa tai peruuttaa suostumuksesi milloin tahansa evästebannerin kautta.

Käytämme Google Analytics -palvelua (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanti). Google voi siirtää tietoja Yhdysvaltoihin EU:n ja Yhdysvaltojen välisen Data Privacy Framework -sopimuksen nojalla (komission riittävyyspäätös C(2023) 4745). Tietoja Data Privacy Frameworkista: https://www.dataprivacyframework.gov.

Kaikki analytiikkatiedot anonymisoidaan ennen käsittelyä (IP-anonymisointi aktivoitu). Voit kieltäytyä seurannasta myös asentamalla Google Analytics Opt-out -lisäosan selaimeesi (tools.google.com/dlpage/gaoptout).

6. Tietojen vastaanottajat ja kolmannet osapuolet

Emme myy tai vuokraa henkilötietoja. Käytämme seuraavia alihankkijoita palvelun tuottamiseen:

• Stripe Payments Europe Ltd — maksujen käsittely. Stripe toimii itsenäisenä rekisterinpitäjänä maksukorttitietojen osalta.
• Anthropic PBC (San Francisco, USA) — tekoälypohjaisen raportin generointi. Tiedonsiirto EU:n ulkopuolelle tapahtuu vakiosopimuslausekkeiden (SCC) nojalla.
• Brevo SAS (Paris, Ranska) — sähköpostin toimitus. Raportti toimitetaan Brevon SMTP-palvelun kautta.
• Google LLC — analytiikka, tiedonsiirto Data Privacy Framework -sopimuksella.
• Viranomaiset, jos laki tai viranomaismääräys sitä edellyttää.

7. Rekisteröidyn oikeudet

GDPR:n nojalla sinulla on seuraavat oikeudet:

• Oikeus saada tietoja (15 art.) — voit pyytää vahvistuksen siitä, käsittelemmekö tietojasi, sekä kopion käsiteltävistä tiedoista
• Oikeus korjaukseen (16 art.) — voit pyytää virheellisten tietojen oikaisemista
• Oikeus poistamiseen (17 art.) — voit pyytää tietojesi poistamista, kun käsittelyn perustetta ei enää ole
• Oikeus rajoittamiseen (18 art.) — voit vaatia käsittelyn rajoittamista tietyissä tilanteissa
• Oikeus siirtämiseen (20 art.) — voit pyytää suostumukseen perustuvat tietosi koneluettavassa muodossa
• Vastustamisoikeus (21 art.) — voit vastustaa tietojesi käsittelyä oikeutetun edun perusteella
• Suostumuksen peruuttaminen (7 art.) — voit peruuttaa suostumuksesi milloin tahansa; peruuttaminen ei vaikuta ennen sitä suoritetun käsittelyn lainmukaisuuteen

Lähetä oikeuksien käyttämistä koskevat pyynnöt osoitteeseen: info@tietoturvakartoitus.fi. Vastaamme ilman aiheetonta viivytystä ja viimeistään 30 päivän kuluessa.

Sinulla on myös oikeus tehdä valitus tietosuojavaltuutetulle (tietosuoja.fi), jos katsot, että henkilötietojasi on käsitelty lainvastaisesti.

8. Automaattinen päätöksenteko ja profilointi

Diagnostiikkapalvelu tuottaa tekoälyavusteisen raportin kyselylomakkeen vastauksien perusteella. Raportti on itsearvioinnin apuväline eikä sido rekisterinpitäjää tai rekisteröityä oikeudellisesti. Emme tee GDPR 22 artiklan tarkoittamia automaattisia päätöksiä, joilla olisi rekisteröityä koskevia oikeudellisia tai vastaavia merkittäviä vaikutuksia.

9. Tietoturva

Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein. Verkkopalvelu käyttää HTTPS-salattua yhteyttä. Diagnostiikkapalvelun vastaukset säilytetään palvelimella enintään 24 tuntia salattuna välimuistina ja poistetaan välittömästi raportin toimittamisen jälkeen. Pääsy tietoihin on rajattu vain niille henkilöille, joiden työnkuva sitä edellyttää.

10. Tietosuojaselosteen päivittäminen

Pidätämme oikeuden päivittää tätä tietosuojaselostetta lainsäädännön tai toimintamme muuttuessa. Ilmoitamme merkittävistä muutoksista verkkopalvelussamme. Tämän selosteen voimassaoloaika alkaa yllä mainitusta päivämäärästä.