Takaisin etusivulle

Tietosuojaseloste - VÖRK

Päivitetty viimeksi 25.9.2025

1. Rekisterinpitäjä ja yhteystiedot

HEFI Oy (Y-tunnus: 3265374-3)

Merimiehenkatu 25 C 17, 80100 Joensuu, Suomi

Sähköposti: info@hefi.fi

Puhelin: +358 44 755 5542

Tietosuoja-asioissa: info@hefi.fi

2. Soveltamisala ja roolit

Tämä seloste koskee:

  • verkkosivustoa vork.fi alidomaineineen ("Sivusto"),
  • VÖRK-sovellusta (PWA/mobiili) ("Sovellus"),
  • AI-puhelinpalvelua (vierailija voi soittaa tekoälylle; puhelu voidaan tallentaa),
  • asiakasviestintää ja markkinointia.

Roolit:

  • Rekisterinpitäjä (HEFI Oy): omat tilitiedot, lokit, analytiikka, laskutus, AI-puhelutallenteet ja niihin liittyvät metatiedot sekä anonymisoidut/aggregoidut tilastot.
  • Käsittelijä (HEFI Oy): kun urakoitsija tallentaa VÖRKiin omien asiakkaidensa/työntekijöidensä tietoja (projektin tiedot, kuvat, viestit, liitteet), HEFI Oy toimii tietojen käsittelijänä asiakkaan (urakoitsijan) lukuun. Tällöin sovelletaan Käsittelijäliitettä (DPA, Liite A), joka on tämän selosteen osa.

Hyväksyntä: Kun käyttäjä hyväksyy tämän tietosuojaselosteen ja evästeet tai luo VÖRK-tilin, hän hyväksyy samalla Käsittelijäliitteen (DPA).

3. Käsiteltävät henkilötiedot ja tarkoitukset

3.1 Sivusto (vork.fi)

  • Tietoryhmät: eväste- ja laitetunnisteet, IP-osoite, selaintiedot, sivulataukset, referrer, käyttöpolut; mahdolliset lomakkeen tiedot (nimi, sähköposti, puhelin, yritys).
  • Tarkoitukset: sivuston toiminta ja tietoturva, perusmittaus ja analytiikka, konversioseuranta suostumuksella, liidien käsittely.
  • Oikeusperuste: oikeutettu etu (toiminta/tietoturva/perusmittaus), suostumus (analytiikka/markkinointi), sopimus/toimenpiteet ennen sopimusta (yhteydenpyynnöt).

3.2 AI-puhelinpalvelu

  • Tietoryhmät: soittajan puhelinnumero, puhelutallenne (ääni), transkriptio, puhelun metatiedot (kesto, aika), mahdolliset asiointitiedot.
  • Tarkoitukset: asiakaspalvelu ja laadunvalvonta, mallien/promptien kehittäminen (minimointi ja pseudonymisointi), riitatilanteiden selvitys.
  • Oikeusperuste: suostumus (valinta ennen tallennusta käyttöliittymässä; ei erillistä äänikehotetta).
  • Käytännöt: tallennuksesta ja käsittelystä ilmoitetaan selkeästi ennen puhelun yhdistämistä; tallennus on pois kytkettävissä/puhelu voidaan lopettaa.

3.3 Sovellus (VÖRK)

  • Käyttäjäperusdata: nimi, sähköposti, puhelin, yrityksen nimi, Y-tunnus, rooli/oikeudet, laskutustiedot.
  • Palvelun sisältödata: projektit, kommentit/viestit, liitteet (kuvat/videot/dokumentit), asiakkaiden ja työntekijöiden tiedot (urakoitsijan syöttämät).
  • Käyttö- ja sijaintidata: kirjautumiset, tapahtumalokit, virhelokit, alueellinen käyttö (oletuksena kunta/maakunta/IP), GPS-tarkka sijainti vain, jos käyttäjä on antanut Sovelluksessa erillisen luvan.
  • Tarkoitukset: palvelun tarjoaminen, tietoturva, laskutus, palvelun kehitys ja laadunseuranta, väärinkäytösten estäminen.
  • Oikeusperuste: sopimus (tili ja palvelu), oikeutettu etu (lokit, tietoturva, kehitys), lakisääteinen velvoite (kirjanpito).

3.4 Tarjouksen luonnin datapisteet ja AI-kehitys

  • Datapisteet: kenttien täyttöaste, aiheet, tekstien pituudet, virheilmoitukset, remonttien tyyppluokittelu. Ei loppuasiakkaan henkilötietoja.
  • Kehitys:
    • Yleinen AI-kehitys: tunnisteet karsitaan (pseudonymisointi/anonymisointi).
    • Organisaatiokohtaiset AI-ominaisuudet: VÖRK voi ylläpitää organisaation omaa "tuntemistietoa" (esim. hinnoitteluperiaatteet) vain kyseisen organisaation käyttöön; sitä ei käytetä muiden organisaatioiden mallien opettamiseen.
  • Oikeusperuste: oikeutettu etu (tuotekehitys ja laatu), suostumus jos aineisto ei ole riittävästi anonymisoitavissa.

3.5 Yksilöimätön/anonymisoitu data ja jakaminen

Voimme tuottaa ja jakaa kolmansille (kumppanit, media, tutkimus) aggregoituja ja anonymisoituja tilastoja (esim. alueellinen käyttöaktiivisuus, ominaisuuksien suosio). Tietoja ei voi käyttää yksittäisen henkilön tunnistamiseen.

3.6 Markkinointi ja viestintä

  • Tietoryhmät: yhteydenottolomakkeet, demo-/esittelyvaraukset, uutiskirjetiedot, kampanjalistat.
  • Oikeusperuste: suostumus (uutiskirje luonnollisille henkilöille), oikeutettu etu (B2B-asiakassuhde).
  • Oikeutesi: voit perua suostumuksen ja vastustaa markkinointia koska tahansa.

4. Evästeet (Cookie Policy tiivistelmä)

Käytämme evästeitä ja vastaavia teknologioita:

  • Välttämättömät (palvelun toiminta),
  • Analytiikka (Google Analytics – suostumuksella),
  • Markkinointi (Meta Pixel – suostumuksella).

Evästevalinnat hallitaan evästehallintapaneelissa (CMP). Ennen valintaa asetamme vain välttämättömät evästeet. Sovelluksen käyttäminen edellyttää ehtojen, tämän selosteen ja evästeiden hyväksymistä; tilin luominen on samalla näiden ehtojen hyväksyminen.

5. Vastaanottajat ja alihankkijat (aliprosessorit)

HEFI Oy:n puolesta tietoja käsittelevät:

  • Hostinger (infrastruktuuri/hosting, EU)
  • Vercel (frontend-hosting ja CDN, EU-alue ensisijaisesti)
  • Clerk (autentikointi/identiteetit)
  • Stripe (maksaminen)
  • Google Drive (tiedostojen/tallenteiden säilytys)
  • ElevenLabs.io (puhe/ääni, AI-puhelut)
  • OpenAI (LLM-palvelut; ensisijaisesti EU-käsittely ja/tai siirtosuojaus)

Kolmannen osapuolen omia palveluita (itsenäisiä rekisterinpitäjiä suostumuksellasi): Google Analytics, Meta (Pixel).

Sijainti: Ensisijainen käsittely EU/ETA. Mikäli tietoja siirretään EU/ETA-alueen ulkopuolelle, käytämme EU:n mallisopimuslausekkeita (SCC) ja tarvittaessa lisäsuojia.

6. Säilytysajat (minimiperiaate)

TietoryhmäSäilytys
Tilin perustiedotniin kauan kuin tili on aktiivinen + enint. 24 kk loki-/riitaperustein
Laskutusaineisto6–10 vuotta (kirjanpitolaki)
Lokit ja tietoturvaeventit12–24 kk
AI-puhelun äänitallenneenint. 90 päivää (minimiperiaate); jos syntyy riita/pyyntö → säilytetään tarvittavan ajan
AI-puhelun transkriptio & metatiedot (ml. puhelinnumero)enint. 24 kk; tunnisteet karsitaan kehitystä varten mahdollisimman pian
Tarjoustoiminnon datapisteet (pseudonymisoitu)enint. 24 kk; sen jälkeen anonymisoidaan tai poistetaan
Anonymisoidut tilastotei määräaikaa
Markkinointilistatkunnes suostumus perutaan; inaktiiviset poistetaan esim. 24 kk kuluessa

Varmuuskopiot: rullaava sykli; poistuneet tiedot yliajetaan teknisen sykliin mukaisesti.

7. Oikeutesi

Sinulla on oikeus tarkastaa, oikaista, poistaa (tietyin edellytyksin), rajoittaa, vastustaa (ml. profilointi/markkinointi) ja siirtää tiedot. Kun käsittely perustuu suostumukseen, sen voi perua milloin tahansa.

Pyynnöt: info@hefi.fi.

Sinulla on oikeus valittaa Tietosuojavaltuutetun toimistolle.

8. Tietoturva

Käytämme teknisiä ja organisatorisia suojatoimia: salaus siirrossa ja levossa, pääsynhallinta ("least privilege"), lokitus ja valvonta, varmuuskopiointi, henkilöstön salassapito ja sopimukset alihankkijoiden kanssa.

9. Lapset

Palvelu ei ole suunnattu lapsille; suositusikäraja ≥ 16 vuotta.

10. Automatisoitu päätöksenteko

Emme tee oikeusvaikutteisia päätöksiä pelkästään automaattisesti.

11. Tilin poistaminen ja datan säilyvyys

Käyttäjä voi poistaa tilinsä; poisto tapahtuu heti. Mikäli urakoitsija poistaa tilinsä, hänen asiakasprojektinsa eivät häviä VÖRKistä, jos niissä on muita osapuolia (esim. kuluttaja-asiakas) tai lakisääteinen/perusteellinen tarve säilyttää aineistoa — tällöin data jää muiden osapuolten saataville ja/tai anonymisoidaan, kun se on mahdollista.

12. Muutokset

Päivitämme selostetta tarvittaessa; uusin versio on vork.fi-sivustolla.

Liite A – Käsittelijäliite (DPA)

Voimassa 25.9.2025 alkaen. Tämä liite on osa VÖRKin ehtoja ja tietosuojaselostetta. Kun käyttäjä hyväksyy tietosuojaselosteen/evästeet tai luo tilin, hän hyväksyy myös tämän Käsittelijäliitteen organisaationsa puolesta (vahvistaen valtuutuksensa).

A1. Osapuolet ja soveltaminen

  • Rekisterinpitäjä: VÖRKin asiakas (esim. urakoitsija), joka syöttää palveluun henkilötietoja koskien omia kuluttaja-asiakkaitaan ja/tai työntekijöitään.
  • Käsittelijä: HEFI Oy (VÖRK), joka käsittelee tietoja rekisterinpitäjän lukuun tämän liitteen mukaisesti.

A2. Käsittelyn kohde, luonne ja kesto

  • Kohde: VÖRK-palvelun käyttö, mukaan lukien projektit, viestit, liitteet, kommentit, asiakkaiden/työntekijöiden tiedot, sekä tukiprosessit.
  • Luonne: tallennus, ylläpito, haku, järjestäminen, tekninen välitys, varmuuskopiointi, poistaminen/anonymisointi.
  • Kesto: asiakassuhteen kesto + kohtuullinen aika poistojen läpiviemiseen ja varmuuskopioiden yliajoon.

A3. Henkilötietotyypit ja rekisteröityjen ryhmät

  • Tyypit: perustiedot (nimi, yhteystiedot), projekti-/kohdetiedot, viestit/kommentit, liitteet (kuvat, dokumentit, videot), työntekijätiedot (roolit, tehtävät), lokit.
  • Ryhmät: rekisterinpitäjän kuluttaja-asiakkaat, yhteyshenkilöt, alatyöntekijät/työntekijät ja muut palvelun piiriin kuuluvat henkilöt.

A4. Rekisterinpitäjän velvollisuudet

Rekisterinpitäjä vastaa:

  • tietojen lainmukaisesta keräämisestä (informointi, suostumukset),
  • käsittelyperusteista ja -ohjeista,
  • rekisteröityjen pyyntöjen (GDPR-oikeudet) ensisijaisesta käsittelystä,
  • sisällön lainmukaisuudesta (ei arkaluonteisia tietoja ilman perustetta).

A5. Käsittelijän velvollisuudet (HEFI Oy)

HEFI Oy sitoutuu:

  1. Käsittelemään tietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.
  2. Luottamuksellisuuteen: henkilöstöllä on salassapitovelvoite ja pääsy rajataan tehtäväkohtaisesti.
  3. Tietoturvaan: tekniset ja organisatoriset toimet (salaus, pääsynhallinta, lokitus, varmuuskopiointi).
  4. Alihankkijoihin: käyttää vain hyväksyttyjä alikäsittelijöitä (luettelo yllä); ilmoittaa kohtuullisesti etukäteen olennaisista muutoksista; rekisterinpitäjällä on oikeus vastustaa perustellusti.
  5. Tietoturvaloukkaukset: ilmoittaa viipymättä ilman aiheetonta viivästystä loukkauksen tultua tietoon; antaa tarvittavat tiedot rekisterinpitäjän ilmoitusvelvoitteen täyttämiseksi.
  6. Avustaminen: kohtuullinen apu rekisteröityjen pyyntöihin, vaikutustenarviointeihin ja viranomaisyhteyksiin (rekisterinpitäjän kustannuksella, jos työ on poikkeuksellista).
  7. Poisto/palautus: asiakassuhteen päättyessä palauttaa rekisterinpitäjän pyynnöstä henkilötiedot tai poistaa ne (mukaan lukien varmuuskopioiden yliajo teknisen syklin mukaan), ellei laki edellytä säilyttämistä.
  8. Dokumentointi ja auditointi: pitää kirjaa käsittelytoimista ja mahdollistaa auditoinnit kohtuullisin ehdoin (luottamuksellisuus, tietoturva- ja liiketoimintarajoitukset huomioiden).

A6. Kansainväliset siirrot

Ensisijainen käsittely EU/ETA. Mikäli siirto EU/ETA-alueen ulkopuolelle on tarpeen (esim. tietyt AI- tai puhepalvelut), sovelletaan SCC-lausekkeita ja tarvittaessa lisäsuojia (salaus, pseudonymisointi, tietojen minimointi).

A7. Organisaatiokohtainen AI-tuntemus

HEFI Oy voi ylläpitää organisaatiokohtaista tietopohjaa (esim. hinnoitteluperiaatteet) rekisterinpitäjän AI-toiminnallisuuksia varten. Tämä tietopohja on eristetty muista organisaatioista eikä sitä käytetä yleisen mallin kouluttamiseen. Rekisterinpitäjä voi pyytää pääsynhallintaa, vientiä tai poistamista.

A8. Vastuu ja sovellettava laki

Osapuolten vastuu määräytyy GDPR:n ja sovellettavan lain mukaan. Tätä liitettä koskee Suomen laki, ja riidat ratkaistaan rekisterinpitäjän kotipaikan lähimmässä toimivaltaisessa tuomioistuimessa tai vaihtoehtoisesti Pohjois-Karjalan käräjäoikeudessa, ellei toisin sovita.

Hyväksytty: VÖRK-tilin luonnissa tai tietosuojaselosteen/evästeiden hyväksynnässä käyttäjä vahvistaa valtuutuksensa hyväksyä tämä DPA organisaationsa puolesta.