Rekisteriseloste

1. Rekisterin nimi

Soittamo-palvelun käyttäjärekisteri

2. Rekisterinpitäjä

Soittamo Oy (Y-tunnus: 1234567-8)

Esimerkkikatu 1, 00100 Helsinki

Yhteyshenkilö rekisteriasioissa: tietosuoja@soittamo.fi

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään seuraaviin tarkoituksiin:

• Palvelun tuottaminen: Käyttäjätilien hallinta, soittajien ja mainostajien yhdistäminen kampanjoihin, soittotoiminnallisuuden mahdollistaminen ja kampanjoiden hallinta.
• Provisiolaskenta ja maksut: Soittajien ansioiden laskeminen, tilitysten suorittaminen ja mainostajien laskutus.
• Lakisääteiset velvoitteet: Kirjallisen vahvistuksen lähettäminen kuluttajansuojalain mukaisesti, Robinson-rekisterin tarkistaminen, soittotallenteiden säilyttäminen ja kirjanpitovelvoitteiden täyttäminen.
• Laadunvalvonta: Soittotallenteiden kuuntelu ja arviointi palvelun laadun varmistamiseksi.
• Viestintä: Palveluun liittyvien ilmoitusten, vahvistusten ja tiedotteiden lähettäminen käyttäjille.

4. Käsittelyn oikeusperuste

Henkilötietojen käsittely perustuu:

• Sopimuksen täytäntöönpanoon (GDPR art. 6.1 b) — palvelun tuottaminen ja provisioiden käsittely
• Lakisääteiseen velvoitteeseen (GDPR art. 6.1 c) — kirjallinen vahvistus, Robinson-tarkistukset ja kirjanpitovelvoitteet
• Oikeutettuun etuun (GDPR art. 6.1 f) — laadunvalvonta, väärinkäytösten estäminen ja palvelun kehittäminen

5. Rekisterin tietosisältö

Rekisteri voi sisältää seuraavia henkilötietoja:

Perustiedot

• Nimi (etunimi ja sukunimi)
• Sähköpostiosoite
• Puhelinnumero
• Käyttäjärooli (soittaja, mainostaja, ylläpitäjä)

Soittajan lisätiedot

• Kevytyrittäjäpalvelun tiedot ja mahdollinen Y-tunnus
• Kokemusprofiili ja kielitaidot
• Soittohistoria (ajankohdat, kestot, lopputulokset)
• Soittotallenteet
• Ansiotiedot ja provisiolaskelmat
• Koulutuksen suoritustiedot
• Arvostelut ja suorituskykytilastot

Mainostajan lisätiedot

• Yrityksen nimi ja Y-tunnus
• Yhteyshenkilön tiedot
• Laskutusosoite ja -tiedot
• Kampanjatiedot

Kuluttajien tiedot (soittolistoilta)

• Puhelinnumero ja mahdollinen nimi
• Robinson-rekisterin tarkistustila
• Soittohistoria ja -tila
• Kirjallisen vahvistuksen tiedot

6. Säännönmukaiset tietolähteet

Tiedot saadaan seuraavista lähteistä:

• Käyttäjä itse: Rekisteröitymisen, profiilitietojen päivittämisen ja palvelun käytön yhteydessä.
• Mainostajan soittolistat: Mainostaja lataa kampanjaan liittyvät soittolistat, jotka sisältävät kuluttajien yhteystiedot.
• Palvelun käytöstä syntyvät tiedot: Soittohistoria, tallenteet, kauppatiedot ja suorituskykytilastot syntyvät palvelun käytön yhteydessä.
• Robinson-rekisteri: Puhelinnumeroiden kieltolistatarkistus ulkoisesta Robinson-rekisteripalvelusta.

7. Tietojen säännönmukaiset luovutukset

Henkilötietoja ei luovuteta säännönmukaisesti kolmansille osapuolille markkinointi- tai muihin tarkoituksiin.

Tietoja voidaan luovuttaa seuraavissa tilanteissa:

• Viranomaisten lainmukaiseen pyyntöön perustuen
• Kirjanpitotarkoituksiin kirjanpitolain mukaisesti
• Oikeudenkäyntien tai riita-asioiden yhteydessä

Henkilötietojen käsittelijöinä toimivat palveluntarjoajat (Twilio, Neon, Resend, Vercel) käsittelevät tietoja ainoastaan Soittamon ohjeiden mukaisesti ja tietojenkäsittelysopimusten puitteissa.

8. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle. Kaikki pääasialliset tietovarastot sijaitsevat EU:n alueella (Neon PostgreSQL Frankfurt, Twilio EU). Mikäli tietoja poikkeuksellisesti siirretään EU:n ulkopuolelle, varmistamme riittävän suojatason EU:n vakiosopimuslausekkeiden tai muun GDPR:n mukaisen siirtomekanismin avulla.

9. Rekisterin suojauksen periaatteet

Tekniset suojatoimenpiteet

• Kaikki tietoliikenne on salattu TLS/HTTPS-protokollalla
• Tietokanta on suojattu pääsynhallinnalla ja salasanat tallennetaan hajautettuna (bcrypt)
• Soittotallenteet säilytetään salattuina erillisessä tallennuspalvelussa
• Tietokannasta otetaan säännölliset varmuuskopiot
• Palvelimen ja tietokannan pääsylokit tallennetaan ja niitä valvotaan

Organisatoriset suojatoimenpiteet

• Pääsy henkilötietoihin on rajattu vain niihin henkilöihin, jotka tarvitsevat tietoja työtehtäviensä hoitamiseen
• Soittajat näkevät vain käsittelyssä olevan kuluttajan tiedot, eivät koko soittolistaa
• Henkilötietojen käsittelijöille on annettu asianmukainen ohjeistus
• Tietoturvaloukkaukset ilmoitetaan tietosuojavaltuutetulle 72 tunnin kuluessa GDPR:n mukaisesti

10. Rekisteröidyn oikeudet

Rekisteröidyllä on EU:n tietosuoja-asetuksen mukaisesti oikeus:

• Tarkistaa itseään koskevat rekisteritiedot
• Vaatia virheellisten tietojen korjaamista
• Pyytää tietojensa poistamista, ellei käsittelylle ole lakisääteistä perustetta
• Saada tietonsa koneluettavassa muodossa (siirto-oikeus)
• Vastustaa tietojensa käsittelyä oikeutetun edun perusteella
• Pyytää käsittelyn rajoittamista
• Tehdä valitus tietosuojavaltuutetun toimistoon

Oikeuksien käyttöä koskevat pyynnöt osoitetaan sähköpostitse osoitteeseen tietosuoja@soittamo.fi. Pyyntöihin vastataan 30 päivän kuluessa. Rekisteröidyn henkilöllisyys varmistetaan ennen tietojen luovuttamista.

11. Valvontaviranomainen

Mikäli katsot, että henkilötietojesi käsittely ei ole asianmukaista, sinulla on oikeus tehdä valitus tietosuojavaltuutetun toimistoon:

Tietosuojavaltuutetun toimisto

Lintulahdenkuja 4, 00530 Helsinki

Puhelin: 029 566 6700

Verkkosivu: tietosuoja.fi