Tietosuojaseloste
Päivitetty 16.6.2026
Tämä seloste kuvaa, miten Tuttu for Business -palvelussa käsitellään henkilötietoja, mihin tarkoituksiin ja millä oikeusperusteilla, sekä mitä oikeuksia sinulla on.
1. Rekisterinpitäjä
Rekisterinpitäjä on Insinööritoimisto Loikkanen Oy (Y-tunnus 3600045-9), jäljempänä ”Tuttu”. Tietosuoja-asioiden yhteyshenkilö: Ilpo Loikkanen, [email protected].
Tämä seloste kattaa Tuttu for Business -palvelun ja verkkosivuston business.tuttu.ai. Palvelu on tarkoitettu yrityskäyttöön (B2B).
2. Kaksi roolia: rekisterinpitäjä ja käsittelijä
Tuttu käsittelee henkilötietoja kahdessa eri roolissa, ja roolit on syytä erottaa toisistaan:
- Rekisterinpitäjänä Tuttu käsittelee yritysasiakkaidensa tietoja: tilin käyttäjien yhteystietoja, laskutustietoja ja palvelun käyttöä koskevia teknisiä tietoja. Tätä käsittelyä kuvaa tämä seloste.
- Henkilötietojen käsittelijänä Tuttu käsittelee yritysasiakkaan soittajien ja viestien lähettäjien tietoja yritysasiakkaan lukuun ja ohjeiden mukaisesti. Tällöin yritysasiakas on rekisterinpitäjä ja vastaa omista tietosuojavelvoitteistaan soittajiaan kohtaan. Tätä käsittelyä koskevat ehdot, käsittelijän velvollisuudet ja täydellinen alikäsittelijälista on koottu erilliseen henkilötietojen käsittelysopimukseen (GDPR 28 artikla).
3. Mitä henkilötietoja käsittelemme
- Tilin ja käyttäjän tiedot: sähköpostiosoite, nimi (jos kirjautumislähde sen antaa) ja käyttäjän rooli. Kirjautuminen on salasanaton — emme tallenna salasanoja.
- Laskutustiedot: yrityksen nimi, Y-tunnus, ALV-numero ja osoite kuittia varten. Maksukorttitietoja emme käsittele tai tallenna itse — maksamisen hoitaa maksunvälittäjä Stripe omalla maksusivullaan.
- Palveluun syöttämäsi sisältö (tietopankki): yrityksen kuvaus, palvelut, ohjeet ja muu vastaajan käyttämä aineisto, joka voi sisältää henkilötietoja (esimerkiksi työntekijöiden nimiä tai yhteystietoja). Vastaat itse syöttämäsi sisällön lainmukaisuudesta.
- Puhelu- ja viestitiedot: soittajan puhelinnumero (jos välittyy), puheluiden ja tekstiviestien sisältö tekstimuotoisina litteraatteina, näppäimistöllä annetut numerot, soittajien jättämät viestit ja soittopyynnöt sekä puhelun kesto ja muut tekniset mittarit. Näitä tietoja käsittelemme käsittelijänä yritysasiakkaan lukuun.
- Tekniset tiedot: palvelimien lokitiedot, käyttö- ja virhetiedot sekä rajapintakutsujen kustannusseuranta (palvelun nimi, malli ja käsiteltyjen yksiköiden määrä — ei viestien sisältöä).
Puheäänitä ei tallenneta. Puheluiden ääni virtaa reaaliaikaisesti puheentunnistukseen, mutta sitä ei nauhoiteta eikä tallenneta — pysyvästi säilytetään vain tekstimuotoinen litteraatti.
4. Mistä tiedot saadaan
- Suoraan sinulta, kun rekisteröidyt, täytät tiedot tai käytät palvelua.
- Soittajilta ja viestien lähettäjiltä puheluiden ja tekstiviestien yhteydessä.
- Patentti- ja rekisterihallituksen sekä Verohallinnon YTJ-yritystietojärjestelmästä, kun haet yrityksesi tietoja Y-tunnuksella tai nimellä (julkista avointa dataa).
- Kirjautumispalvelu WorkOSilta (sähköposti ja nimi) sekä mahdolliselta Google-kirjautumiselta.
5. Käsittelyn tarkoitukset ja oikeusperusteet
Käsittelyn oikeusperusteet ovat yleisen tietosuoja-asetuksen (GDPR) 6 artiklan mukaiset:
- Palvelun tuottaminen ja asiakassuhteen hoito — sopimuksen täytäntöönpano (GDPR 6 artiklan 1 kohdan b alakohta).
- Laskutus ja kirjanpito — lakisääteinen velvoite (6 artiklan 1 kohdan c alakohta; kirjanpitolaki).
- Palvelun kehittäminen, tietoturva ja väärinkäytösten estäminen — oikeutettu etu (6 artiklan 1 kohdan f alakohta).
- Soittajien tietojen käsittely tehdään yritysasiakkaan lukuun tämän määrittämällä oikeusperusteella; ks. henkilötietojen käsittelysopimus.
6. Tekoäly ja automaattinen päätöksenteko
Palvelu vastaa puheluihin ja viesteihin tekoälyllä. Soittajalle kerrotaan puhelun alussa, että vastaajana on tekoäly — tämä täyttää tekoälyasetuksen (EU 2024/1689) 50 artiklan 1 kohdan avoimuusvelvoitteen.
Palvelu ei tee automaattisia, oikeudellisia tai vastaavia merkittäviä vaikutuksia aiheuttavia päätöksiä rekisteröidyistä GDPR:n 22 artiklan tarkoittamalla tavalla. Tekoäly välittää viestejä, vastaa kysymyksiin ja kirjaa soittopyyntöjä; varsinaiset päätökset tekee yritysasiakas.
Tekoäly voi ajoittain tulkita tai muotoilla asioita epätarkasti. Kriittiset tiedot tulee tarkistaa erikseen.
7. Erityiset henkilötietoryhmät
Emme pyydä emmekä tarkoituksellisesti kerää GDPR:n 9 artiklan mukaisia erityisiä henkilötietoja (kuten terveystietoja). Soittaja voi kuitenkin oma-aloitteisesti mainita tällaisia tietoja puhelun aikana, jolloin ne päätyvät litteraattiin. Suosittelemme, ettei vastaajaa ohjeisteta keräämään arkaluonteisia tietoja.
8. Vastaanottajat ja käsittelijät
Käytämme palvelun tuottamiseen seuraavia alihankkijoita (henkilötietojen käsittelijöitä). Kunkin kanssa on käsittelyä koskeva sopimus, ja ne käsittelevät tietoja vain palvelun tuottamiseksi:
| Käsittelijä | Tehtävä | Käsiteltävät tiedot | Sijainti / siirtoperuste |
|---|---|---|---|
| Twilio | Puheluiden ja tekstiviestien välitys | Puheäänen välitys, soittajan numero, lähtevät ilmoitukset | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| OpenAI | Reaaliaikainen puheentunnistus ja -vastaus (gpt-realtime-2) | Puheääni (ei tallenneta) | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| OpenRouter | Tekstiviestien käsittely ja käyttöönoton verkkosivuanalyysi; reitittää mallintarjoajille (Google, Anthropic) | Viestien teksti, tietopankin otteet | Yhdysvallat — vakiosopimuslausekkeet |
| Voyage AI | Tietopankin ja hakujen vektorointi | Tietopankin teksti, hakukyselyt | Yhdysvallat — vakiosopimuslausekkeet |
| WorkOS | Salasanaton kirjautuminen | Sähköposti, nimi | Yhdysvallat — DPF / vakiosopimuslausekkeet |
| Stripe | Maksut ja laskutus | Nimi, sähköposti, osoite, Y-tunnus (ei korttitietoja meille) | Yhdysvallat / Irlanti — DPF / vakiosopimuslausekkeet |
| Resend | Sähköposti-ilmoitukset omistajalle | Vastaanottajan sähköposti, ilmoituksen sisältö | Yhdysvallat — vakiosopimuslausekkeet |
Tietojen ensisijainen säilytyspaikka on Suomessa (EU/ETA-alueella) sijaitsevat sovelluspalvelimet ja tietokanta. Voimme lisäksi luovuttaa tietoja viranomaisille silloin, kun laki sitä edellyttää.
9. Tiedonsiirrot EU/ETA-alueen ulkopuolelle
Osa edellä luetelluista käsittelijöistä käsittelee tietoja EU/ETA-alueen ulkopuolella, erityisesti Yhdysvalloissa. Siirrot perustuvat GDPR:n 44–46 artiklan mukaisiin suojatoimiin: niiden toimijoiden osalta, jotka ovat sertifioituneet EU–US Data Privacy Framework -järjestelyyn, Euroopan komission riittävyyspäätökseen (10.7.2023), ja muutoin Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCC).
10. Säilytysajat
- Tili-, tietopankki-, puhelu- ja viestitietoja säilytetään niin kauan kuin asiakkuus on voimassa.
- Kun tili poistetaan, se keskeytetään välittömästi ja kaikki tilin tiedot poistetaan pysyvästi 14 vuorokauden kuluttua (sisäinen turvaväli mahdollisen palautuksen varalta).
- Laskutus- ja kirjanpitoaineistoa säilytetään kirjanpitolain edellyttämän ajan (pääsääntö 6 vuotta).
- Puheluiden tilatiedot säilytetään palvelimen välimuistissa (Redis) vain puhelun ajan lyhyellä vanhenemisajalla; niitä ei säilytetä pysyvästi.
11. Oikeutesi
Sinulla on yritysasiakkaanamme GDPR:n mukaiset oikeudet: oikeus saada pääsy tietoihisi (15 artikla), oikaista virheelliset tiedot (16 artikla), poistaa tiedot (17 artikla), rajoittaa käsittelyä (18 artikla), siirtää tiedot järjestelmästä toiseen (20 artikla) ja vastustaa käsittelyä (21 artikla). Pyynnöt osoitetaan osoitteeseen [email protected].
Jos olet soittanut yritysasiakkaamme numeroon, rekisterinpitäjä on kyseinen yritys. Osoita tietojasi koskevat pyynnöt ensisijaisesti sille; välitämme pyynnöt sille käsittelijänä.
Sinulla on myös oikeus tehdä valitus valvontaviranomaiselle (GDPR 77 artikla). Suomessa valvontaviranomainen on tietosuojavaltuutetun toimisto, tietosuoja.fi.
12. Tietoturva
Suojaamme tietoja teknisin ja organisatorisin toimin. Tietoliikenne salataan siirron aikana, asiakaskohtainen pääsy on eristetty tietokannan rivitason käyttöoikeuksilla (row-level security), ja pääsy tuotantojärjestelmiin on rajattu.
13. Evästeet ja seuranta
Verkkosivusto ei käytä mainos- tai seurantaevästeitä. Selaimen paikallismuistia käytetään vain toiminnallisiin tarkoituksiin, kuten kielivalinnan ja kirjautumisistunnon muistamiseen.
14. Muutokset tähän selosteeseen
Päivitämme tätä selostetta tarvittaessa. Olennaisista muutoksista ilmoitamme palvelussa tai sähköpostitse.
Lähteet ja lainsäädäntö
- Yleinen tietosuoja-asetus (GDPR) — Euroopan parlamentin ja neuvoston asetus (EU) 2016/679
- Tekoälyasetus, 50 artikla — Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689 (avoimuusvelvoitteet)
- Tietosuojalaki 1050/2018 — GDPR:ää täydentävä kansallinen laki
- EU–US Data Privacy Framework — Komission täytäntöönpanopäätös (EU) 2023/1795, 10.7.2023
- Vakiosopimuslausekkeet (SCC) — Komission täytäntöönpanopäätös (EU) 2021/914
- Tietosuojavaltuutetun toimisto — Suomen valvontaviranomainen