Tietosuojaseloste

1. Rekisterinpitäjä

HetiPaku
Y-tunnus: 2476472-6
ALV-tunnus: FI24764726
Toimipaikka: Turku
Sähköposti: hei@hetipaku.fi
Puhelin: +358 40 754 1716

Rekisteriasioista vastaava yhteyshenkilö tavoitetaan yllä olevasta sähköpostiosoitteesta.

2. Rekisterin nimi

HetiPaku-palvelun asiakas- ja kuljettajarekisteri.

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään seuraaviin tarkoituksiin:

• Käyttäjätilin luominen ja ylläpito
• Kuljetustilausten välittäminen asiakkaan ja kuljettajan välillä
• Palvelun toimittaminen ja asiakaspalvelu
• Palvelun kehittäminen ja tilastointi (anonymisoituina aineistoina)
• Palautteen ja arviointien kerääminen
• Lakisääteisten velvoitteiden täyttäminen, mukaan lukien DAC7-direktiivin (EU 2021/514) edellyttämä raportointi Verohallinnolle
• Petosten ja väärinkäytösten estäminen sekä palvelun tietoturvan ylläpito
• Markkinointi vain suostumuksen perusteella

4. Käsittelyn oikeusperuste

Käsittely perustuu (GDPR art. 6):

• Sopimus (art. 6.1.b): käyttäjätili ja kuljetusten välittäminen
• Lakisääteinen velvoite (art. 6.1.c): kirjanpitolaki, Verohallinnon vaatimukset, DAC7
• Oikeutettu etu (art. 6.1.f): palvelun kehittäminen, petosten esto, väärinkäytösten ehkäisy
• Suostumus (art. 6.1.a): markkinointiviestien lähettäminen, valinnaiset toiminnot kuten sijainnin jakaminen

5. Käsiteltävät henkilötiedot

Kaikilta käyttäjiltä

• Etu- ja sukunimi
• Sähköpostiosoite
• Puhelinnumero
• Profiilikuva (Google-tilistä)
• Google-tilin julkinen tunniste (sub-tunniste)
• IP-osoite, selaintunniste ja kirjautumisajat
• Käyttäjän palvelussa lähettämät viestit ja palaute

Asiakkaalta lisäksi

• Tilausten tiedot: noutopaikka, määränpää, tavarakuvaus, ajankohta
• Mahdollisesti jaettu sijainti (vapaaehtoinen)
• Tilaushistoria, peruutukset, arvostelut

Kuljettajalta lisäksi

• Ajoneuvon tiedot (merkki, malli, koko, rekisteritunnus tarvittaessa)
• Y-tunnus tai laillisen kevytyrittäjäpalvelun tiedot
• ALV-tunnus tarvittaessa
• Toiminta-alue
• Kuljetushistoria, hyväksytyt ja peruutetut tilaukset, arvostelut
• Pankkitili- tai laskutustiedot (kun maksuliikenne otetaan käyttöön)
• Maksetut välityspalkkiot ja niihin liittyvät laskut

6. Tietolähteet

• Käyttäjältä itseltään palveluun rekisteröitymisen ja käytön yhteydessä
• Googlelta OAuth-kirjautumisen kautta (nimi, sähköposti, profiilikuva, Google-tunniste)
• Käyttäjän selaimesta automaattisesti (IP-osoite, käyttäjäagentti)
• Käyttäjien välisestä viestinnästä palvelun kautta
• Reverse geocoding -palvelusta (OpenStreetMap Nominatim) kun käyttäjä jakaa sijaintinsa vapaaehtoisesti

7. Tietojen säännönmukaiset luovutukset

Palvelun toiminnan varmistamiseksi

Kuljetustehtävän hyväksymisen jälkeen kuljettaja saa asiakkaan etunimen, puhelinnumeron sekä nouto- ja toimitusosoitteen. Asiakas saa kuljettajan etunimen ja olennaiset ajoneuvon tunnistetiedot.

Lakisääteiset luovutukset

• Verohallinto (DAC7): kuljettajien tunnistetiedot, maksut ja toiminta-alue raportoidaan vuosittain viimeistään tammikuun 31. päivänä DAC7-direktiivin (EU 2021/514) ja Verohallinnon ohjeiden mukaisesti.
• Muut viranomaiset lain vaatiessa.

Käsittelijät HetiPakun toimeksiannosta

• Hosting: Hetzner Online GmbH (Saksa, EU-alue)
• Tunnistautuminen: Google LLC (OAuth-kirjautuminen)
• Sähköpostin välitys: Brevo SAS tai muu vastaava palveluntarjoaja
• Push-ilmoitukset: ntfy.sh -palvelu
• Karttojen avaaminen: Google Maps, OpenStreetMap (ulkoiset linkit)

Käsittelijöiden kanssa on solmittu GDPR:n art. 28 mukaiset käsittelysopimukset tarvittaessa.

8. Tietojen siirto EU/ETA:n ulkopuolelle

Tiedot säilytetään pääsääntöisesti EU/ETA-alueella. Google-palveluiden osalta tietoja voidaan käsitellä Yhdysvalloissa Googlen julkaisemien vakiosopimuslausekkeiden (SCC) ja EU-USA Data Privacy Framework -järjestelyn mukaisesti.

9. Säilytysaika

• Aktiiviset käyttäjätilit: koko sopimussuhteen ajan
• Tilausten ja laskujen tiedot: vähintään 6 vuotta tilausvuoden lopusta (Kirjanpitolaki 2:10)
• Kuljettajan DAC7-tiedot: 7 vuotta raportointivuoden jälkeen
• Käyttäjätilin poiston jälkeen: tunnistettavat tiedot poistetaan tai anonymisoidaan kohtuullisessa ajassa, paitsi lakisääteisten velvoitteiden vaatima osa
• Lokitiedot ja IP-osoitteet: enintään 12 kuukautta, paitsi väärinkäytöstutkinnan vaatiessa

10. Tietojen suojaaminen

• Tietoliikenne salataan HTTPS-protokollalla (TLS)
• Tietokanta sijaitsee palomuurattujen palvelinten takana
• Pääsy henkilötietoihin on rajattu vain henkilöstöön, jolla on tarve työtehtävissään, ja heidät on velvoitettu salassapitoon
• Salasanat tallennetaan hashattuina (bcrypt)
• Ylläpitäjäpaneeli on salasanasuojattu
• Varmuuskopiot säilytetään suojatusti EU-alueella
• Tietoturvapoikkeamat tutkitaan ja ilmoitetaan tarvittaessa Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa havaitsemisesta

11. Rekisteröidyn oikeudet

EU:n tietosuoja-asetuksen mukaan sinulla on oikeus:

• Saada tietoa käsiteltävistä tiedoistasi (informaatio-oikeus)
• Saada pääsy omiin tietoihisi (tarkastusoikeus, art. 15)
• Pyytää virheellisten tietojen oikaisua (art. 16)
• Pyytää tietojen poistamista ("oikeus tulla unohdetuksi", art. 17), paitsi kun säilytys on lakisääteistä
• Vaatia käsittelyn rajoittamista (art. 18)
• Vastustaa käsittelyä, kun perusteena on oikeutettu etu (art. 21)
• Saada tiedot siirrettäväksi koneluettavassa muodossa (art. 20)
• Peruuttaa suostumus koska tahansa, jos käsittely perustuu suostumukseen (art. 7)
• Tehdä valitus Tietosuojavaltuutetun toimistolle (tietosuoja.fi)

Pyynnöt osoitetaan: hei@hetipaku.fi. Vastaamme pyyntöösi enintään yhden kuukauden kuluessa.

12. Evästeet

Palvelu käyttää seuraavia välttämättömiä evästeitä, joiden tallentamiseen ei tarvita erillistä suostumusta:

• hetipaku_session: pitkäaikainen istuntotunniste sisäänkirjautuneelle käyttäjälle (1 vuosi)
• hetipaku_admin: ylläpitäjäpaneelin istuntotunniste (30 päivää)
• hp_oauth_*: lyhytaikaiset OAuth-prosessin evästeet (10 minuuttia)

Palvelu ei käytä mainonta- tai analytiikkaevästeitä toistaiseksi.

13. Muutokset selosteeseen

Tämä seloste voidaan päivittää palvelun kehittyessä. Olennaisista muutoksista ilmoitetaan rekisteröidyille sähköpostitse tai palvelussa vähintään 14 päivää ennen muutosten voimaantuloa.

14. Yhteystiedot

Tietosuojaa koskevat kysymykset: hei@hetipaku.fi