Tietosuojaseloste
Voimassa 11.4.2026 alkaen · EU:n yleinen tietosuoja-asetus (GDPR) 13 ja 14 artikla
1. Rekisterinpitäjä
Mikko Mäkipää
Sähköposti: [TODO: yhteystietosähköposti]
2. Käsiteltävät henkilötiedot ja käsittelyn tarkoitus
Käsittelemme yksinomaan rekisteröityneiden käyttäjien (huoltajien) tietoja. Palvelua harjoitteluun käyttävillä lapsilla ei ole käyttäjätilejä eikä heistä tallenneta henkilötietoja.
| Tieto | Käsittelyn tarkoitus | Oikeusperuste |
|---|---|---|
| Nimi | Käyttäjätunnuksen yksilöinti | Sopimuksen täytäntöönpano (art. 6.1 b) |
| Sähköpostiosoite | Kirjautuminen ja yhteydenpito | Sopimuksen täytäntöönpano (art. 6.1 b) |
| Koulu / kunta | Harjoitussisältöjen kohdistaminen oikealle koululle | Sopimuksen täytäntöönpano (art. 6.1 b) |
| Salattu API-avain (OpenAI / Anthropic) | Tekoälykysymysten generointi käyttäjän omalla tilillä | Sopimuksen täytäntöönpano (art. 6.1 b) |
| Kirjautumisaika ja istuntotiedot | Tietoturva ja väärinkäytösten ehkäisy | Oikeutettu etu (art. 6.1 f) |
3. Tietojen säilytysaika
Henkilötietoja säilytetään niin kauan kuin käyttäjätili on aktiivinen. Tilin poistamisen yhteydessä poistetaan välittömästi:
- käyttäjätili ja kirjautumistiedot,
- koulutiedot,
- salattu API-avain.
Harjoitussisällöt (kysymyssarjat, aiheet) voidaan säilyttää palvelussa myös tilin poistamisen jälkeen, mikäli sama sisältö on muidenkin käyttäjien käytettävissä. Säilyttämisen oikeusperusteena on oikeutettu etu (art. 6.1 f) — harjoitussisällöt eivät sisällä henkilötietoja.
4. Henkilötietojen vastaanottajat ja siirrot
Emme myy tai luovuta tietojasi kolmansille osapuolille markkinointitarkoituksiin.
Käytämme seuraavia alihankkijoita tietojenkäsittelijöinä:
| Alihankkija | Rooli | Tietojen sijaintialue |
|---|---|---|
| Supabase Inc. | Tietokanta- ja autentikointipalvelu | EU (Irlanti, AWS eu-west-1) |
| Vercel Inc. | Sovelluspalvelin ja verkkoinfrastruktuuri | Yhdysvallat (reunasolmut globaalisti) |
| OpenAI / Anthropic | Tekoälypalvelu (käyttäjän oma API-avain) | Yhdysvallat – käyttäjä solmii itse sopimuksen palveluntarjoajan kanssa |
OpenAI:n ja Anthropicin kohdalla Koekertaaja välittää käyttäjän omalla API-avaimella tehtyjä pyyntöjä Yhdysvaltoihin sijaitseville palvelimille. Käyttäjä on itse sopimussuhteessa kyseisiin palveluntarjoajiin ja vastaa siirron lainmukaisuudesta oman sopimuksensa nojalla. Koekertaaja ei ole vastuussa näiden palveluntarjoajien tietojenkäsittelystä.
Muutoin tietoja ei siirretä EU/ETA-alueen ulkopuolelle.
5. Rekisteröidyn oikeudet
Sinulla on oikeus:
- Tarkastusoikeus (art. 15): saada tieto itseäsi koskevista tiedoista.
- Oikaisupyyntö (art. 16): korjata virheelliset tai puutteelliset tiedot.
- Poistamisoikeus (art. 17): pyytää tietojesi poistamista ("oikeus tulla unohdetuksi").
- Käsittelyn rajoittaminen (art. 18): pyytää käsittelyn rajoittamista tietyin edellytyksin.
- Tietojen siirrettävyys (art. 20): saada tietosi koneluettavassa muodossa.
- Vastustamisoikeus (art. 21): vastustaa oikeutettuun etuun perustuvaa käsittelyä.
Lähetä oikeuksiasi koskevat pyynnöt sähköpostitse rekisterinpitäjälle. Vastaamme pyyntöihin GDPR:n edellyttämässä 30 päivän kuluessa. Tietojen siirrettävyyttä koskeviin pyyntöihin toimitamme tiedot koneluettavassa muodossa (JSON tai CSV). API-avainta ei voida palauttaa selväkielisenä tietoturvasyistä.
Sinulla on myös oikeus tehdä valitus tietosuojavaltuutetun toimistolle (tietosuoja.fi), mikäli katsot, että tietojasi on käsitelty lainvastaisesti.
6. Tietoturva
API-avaimet tallennetaan salattuina Supabase Vault -palveluun eikä niitä voi lukea takaisin selväkielisinä palvelun kautta. Kaikki tietoliikenne tapahtuu TLS-suojatusti. Käyttäjien autentikointi hoidetaan Supabase Auth -palvelun avulla.
Tietoturvaloukkauksesta ilmoitetaan tietosuojavaltuutetulle 72 tunnin kuluessa loukkauksen havaitsemisesta sekä rekisteröidyille GDPR:n 34 artiklan edellyttämällä tavalla, mikäli loukkaus todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen ja vapauksilleen.
7. Evästeet ja seurantatiedot
Palvelu käyttää ainoastaan istunnonhallintaan tarvittavia evästeitä (Supabase Auth). Emme käytä kolmansien osapuolten analytiikka- tai mainosevästeitä.
8. Muutokset tietosuojaselosteeseen
Voimme päivittää tätä selostetta palvelun kehittyessä. Olennaisista muutoksista ilmoitetaan rekisteröidyille sähköpostitse tai palvelussa näytettävällä ilmoituksella ennen muutosten voimaantuloa.
9. Yhteystiedot
Tietosuojaan liittyvät kysymykset ja oikeuksien käyttämistä koskevat pyynnöt: [TODO: yhteystietosähköposti]