Toripäivä.fiToripäivä.fi

Tietosuojaseloste (GDPR)

1. Rekisterinpitäjä

Verkkovaruste Oy (jäljempänä "palveluntarjoaja")
Y-tunnus: 3506068-7
Toimipaikka: Seinäjoki
Palvelu: Toripäivä.fi
Yhteydenotot: asiakaspalvelu-lomakkeen kautta · Sähköposti:

2. Mitä tietoja keräämme

  • Nimi ja sähköpostiosoite rekisteröityessä
  • Puhelinnumero ja osoite (yhteydenottoja ja kuitteja varten)
  • Yritystiedot yrityskäyttäjille (nimi, Y-tunnus, logo)
  • Ilmoitusten sisältö (otsikko, kuvaus, hinta, sijainti, kuvat)
  • Viestit käyttäjien välillä
  • Maksutiedot (summa, ajankohta) — emme tallenna kortti- tai pankkitietoja
  • Tekniset tiedot: IP-osoite, selaintyyppi, käyttöjärjestelmä

3. Mihin tarkoitukseen tietoja käytetään

  • Käyttäjätilin hallinta
  • Ilmoitusten julkaisu ja näyttäminen
  • Viestintä käyttäjien välillä
  • Maksunvälitys ja kirjanpitolain mukaiset tositteet
  • Palvelun kehittäminen ja turvallisuus

4. Kuvien tallennus (Hetzner, Helsinki)

Toripäivä.fi käyttää ilmoituskuvien ja yrityslogojen tallennukseen Hetzner Online GmbH:n pilvitallennusta, joka sijaitsee fyysisesti Helsingissä, Suomessa (EU/ETA). Kuvat eivät siis lähde EU:n ulkopuolelle. Hetzner toimii henkilötietojen käsittelijänä Toripäivä.fi:n lukuun, ja yhtiöiden välillä on EU:n yleisen tietosuoja-asetuksen (GDPR art. 28) mukainen tietojenkäsittelysopimus (DPA).

Kuvia käytetään ainoastaan ilmoitusten ja yrityslogojen yhteydessä. Kuvien säilytysajat Hetznerin tallennuksessa ovat seuraavat:

  • Aktiiviset ilmoitukset: Kuvat säilytetään niin kauan kuin ilmoitus on julkaistuna palvelussa.
  • Käyttäjän poistama ilmoitus: Kuvat poistetaan Hetznerin tallennuksesta välittömästi ilmoituksen poistamisen yhteydessä (yleensä sekunneissa, viimeistään 24 tunnin kuluessa).
  • Vanhentuneet ilmoitukset: Ilmoitukset vanhenevat automaattisesti 60 päivän kuluttua julkaisusta. Vanhentuneiden ilmoitusten kuvat poistetaan Hetzneristä 30 päivän kuluessa vanhentumisesta.
  • Käyttäjätilin poisto: Kun käyttäjä poistaa tilinsä, kaikki hänen ilmoituksiinsa ja profiiliinsa liittyvät kuvat (mukaan lukien yrityslogot) poistetaan Hetzneristä 30 päivän kuluessa tilin poistosta.
  • Varmuuskopiot: Hetzner säilyttää teknisiä varmuuskopioita enintään 30 päivää, minkä jälkeen poistetut kuvat häviävät myös varmuuskopioista lopullisesti.

Poistot tapahtuvat automaattisten taustaprosessien avulla. Jos haluat varmistaa tiettyjen kuvien poiston tai pyytää tietojesi poistoa GDPR:n nojalla, ota yhteyttä osoitteeseen tietosuoja@toripaiva.fi.

4b. Osoitetiedot ja niiden yksityisyys

Rekisteröitymisen yhteydessä käyttäjältä kerätään katuosoite, postinumero ja paikkakunta. Näitä tietoja käytetään kahteen tarkoitukseen:

  • Paikkakunnan automaattinen täyttö: Käyttäjän paikkakunta esitäytetään uusiin ilmoituksiin (käyttäjä voi muokata tätä ilmoituskohtaisesti).
  • Kirjanpitolain mukaiset tositteet: Täydellistä osoitetta käytetään maksutositteissa kirjanpitolain (1336/1997) edellyttämällä tavalla.

Yksityisyys: Katuosoite ja postinumero eivät näy julkisesti muille käyttäjille eivätkä ilmoituksissa. Vain paikkakunta on julkinen tieto, koska se näkyy ilmoituksessa ostajille.

4c. Yhteystietojen jakaminen toteutuneissa kaupoissa

Kun kauppa on tehty ja maksu suoritettu hyväksytysti, ostaja ja myyjä saavat automaattisesti toistensa yhteystiedot (nimi, sähköposti ja puhelinnumero) kaupan loppuun saattamista varten — esimerkiksi toimituksen sopimiseksi tai noutoa varten. Ennen onnistunutta maksua yhteystietoja ei jaeta osapuolten välillä. Saatuja yhteystietoja saa käyttää vain kyseisen kaupan loppuun saattamiseen, ei markkinointiin tai muuhun tarkoitukseen.

4d. Stripe-maksutili (myyjät) — KYC ja AML

Voidakseen vastaanottaa kauppojen maksuja myyjän on yhdistettävä Stripe Connect Express -tili. Stripe on EU:ssa toimiva maksulaitos (Stripe Payments Europe, Ltd., Irlanti) ja toimii itsenäisenä rekisterinpitäjänä antamiensa tietojen osalta. Toripäivä välittää Stripelle vain ne tiedot, jotka ovat välttämättömiä tilin avaamiseksi ja maksujen reitittämiseksi.

Mitä tietoja Stripe kerää myyjältä? Stripe tarvitsee KYC-tunnistautumista (Know Your Customer) ja rahanpesun estämistä (AML, Anti-Money Laundering) varten:

  • Nimi, syntymäaika, kansalaisuus ja asuinosoite
  • Henkilötunnus tai vastaava tunniste tarvittaessa
  • Henkilöllisyystodistus (passi, ajokortti tai henkilökortti)
  • Pankkitilin tiedot (IBAN ja BIC) tilityksiä varten
  • Yritystiedot ja tosiasiallisten edunsaajien tiedot, jos myyjä on yritys
  • Verotunnus / Y-tunnus
  • PEP-tarkistus (poliittisesti vaikutusvaltaiset henkilöt) ja sanktiolistatarkistus

Lakisääteiset perusteet: Tietojen kerääminen perustuu rahanpesun ja terrorismin rahoittamisen estämisestä annettuun lakiin (444/2017), maksulaitoslakiin (297/2010) ja EU:n maksupalveludirektiiviin (PSD2). Käsittelyn oikeusperuste on lakisääteinen velvoite (GDPR Art. 6(1)(c)).

Tietojen jakaminen: Toripäivä saa Stripeltä takaisin vain tilin tilan (aktiivinen / odottaa / estetty), maksuvalmiuden (charges_enabled, payouts_enabled) sekä viittaustunnisteen (stripe_account_id). Toripäivä ei näe henkilöllisyystodistuksia, pankkitilitietoja tai henkilötunnusta. Stripe voi jakaa tietoja tarvittaessa viranomaisille (esim. Finanssivalvonta, Verohallinto) lakisääteisten ilmoitusvelvollisuuksien täyttämiseksi.

Säilytysaika: Stripe säilyttää KYC- ja tapahtumatietoja viiden (5) vuoden ajan asiakassuhteen päättymisestä rahanpesulain (444/2017) edellyttämällä tavalla. Tilin irrotus Toripäivästä ei poista tietoja Stripen järjestelmistä — niiden poistoa pyydetään suoraan Stripeltä.

Lue lisää: Stripen tietosuojaseloste · Stripe Connected Account Agreement · Stripe DPA

4e. Crediittiostot ja maksutiedot

Toripäivä-crediittien ostot käsitellään Stripe-maksupalvelussa (Stripe Payments Europe, Ltd., Irlanti). Toripäivä ei käsittele eikä tallenna maksukortin numeroa, CVC-koodia tai voimassaoloaikaa — nämä menevät suoraan Stripelle ja PCI-DSS-sertifioiduille järjestelmille.

Mitä Toripäivä tallentaa: ostohistorian (paketin koko, hinta, ALV, ajankohta, Stripen viittaustunniste), crediittien tapahtuma­historian (ostot, käyttö nostoihin/kuukausimaksuihin, saldo) sekä eräkohtaiset vanhentumistiedot (jokainen osto on oma erä, jolla on oma 24 kuukauden vanhentumispäivä). Tämä on välttämätöntä kirjanpidon, kuittien, saldon näyttämisen ja vanhentumisvaroitusten lähettämisen toteuttamiseksi.

Oikeusperuste: sopimuksen täytäntöönpano (GDPR Art. 6(1)(b)) crediittien toimittamiseksi ja lakisääteinen velvoite (GDPR Art. 6(1)(c)) kirjanpitolain (1336/1997) ja arvonlisäverolain (1501/1993) edellyttämien tositteiden säilyttämiseen.

Säilytysaika: ostotositteet säilytetään kirjanpitolain edellyttämä 6 vuotta tilikauden päättymisestä, vaikka käyttäjätili poistettaisiin sitä aiemmin. Tositteet anonymisoidaan tilin poiston yhteydessä siltä osin kuin laki sen sallii.

4f. Karttapalvelu (Maanmittauslaitos) ja sijaintitiedot

Sivuston karttanäkymät (mm. /kartta ja sijainnin valinta ilmoituksen luonnissa) käyttävät Maanmittauslaitoksen avointa taustakarttaa (WMTS-rajapinta) lisenssillä CC BY 4.0. Attribuutio "© Maanmittauslaitos" näytetään kartan kulmassa lisenssin edellyttämällä tavalla.

Tietosuoja: karttalaatat haetaan Toripäivän oman palvelimen kautta (proxy), joten selaimesi IP-osoitetta tai muita pyyntötietoja ei välitetä Maanmittauslaitokselle. Karttojen tekninen renderöinti tapahtuu avoimen Leaflet-kirjaston avulla selaimessa, eivätkä karttaelementit aseta evästeitä.

Ilmoituksessa annetun paikkakunnan koordinaatit haetaan kertaalleen Maanmittauslaitoksen avoimesta geokoodauspalvelusta Toripäivän palvelimen kautta. Tulokset välimuistitetaan paikkakuntatasolla, eikä käyttäjän henkilötietoja välitetä geokoodauspyynnön mukana.

Nykyisen sijainnin käyttö (selaimen GPS): Voit halutessasi keskittää karttanäkymän nykyiseen sijaintiisi. Toripäivä pyytää tähän erillisen suostumuksen joka kerta, kun toiminto aktivoidaan. Sijainti haetaan selaimen Geolocation API:lla suoraan laitteeltasi, käytetään ainoastaan kartan keskittämiseen selaimessasi eikä koordinaatteja lähetetä Toripäivän palvelimille, tallenneta tietokantaan eikä jaeta kolmansille osapuolille. Oikeusperuste on suostumus (GDPR Art. 6(1)(a)), jonka voit perua milloin tahansa sulkemalla välilehden tai poistamalla sijainti­luvan selaimen asetuksista.

5. Tietojen säilytysaika

Henkilötietoja säilytetään niin kauan kuin käyttäjätili on aktiivinen. Tilin poistamisen jälkeen tiedot poistetaan 30 päivän kuluessa. Maksutositteet (mukaan lukien crediittiostot) anonymisoidaan mutta säilytetään kirjanpitolain edellyttämä 6 vuotta.

6. Käyttäjän oikeudet

  • Oikeus tarkastaa omat tiedot
  • Oikeus pyytää tietojen korjaamista
  • Oikeus pyytää tietojen poistamista
  • Oikeus pyytää tietojen siirtoa toiseen palveluun
  • Oikeus vastustaa tietojen käsittelyä

Pääset itse lataamaan tietosi (JSON) ja poistamaan tilisi Oma profiili -sivun kautta. Muut pyynnöt: asiakaspalvelulomake.

7. Evästeet

Käytämme evästeitä palvelun toiminnan varmistamiseksi. Lisätietoja evästekäytännöstä.

8. GDPR artikla 17 — Oikeus tulla unohdetuksi

EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 17 antaa sinulle oikeuden vaatia henkilötietojesi poistamista ilman aiheetonta viivytystä. Voit käyttää tätä oikeutta suoraan palvelussa: kirjaudu sisään, siirry kohtaan Oma profiili ja valitse osion Tilin poisto alta "Poista tili".

Rajoitukset (GDPR 17(3)): Tietojen poistamista voidaan rajoittaa tai lykätä lakisääteisten velvoitteiden (esim. kirjanpito) tai oikeudellisten vaateiden (esim. kesken olevat kaupat) vuoksi.

9. Henkilötietojen käsittelijät (alihankkijat)

Toripäivä toimii rekisterinpitäjänä. Käytämme alla lueteltuja palveluntarjoajia toiminnan tukena. Kukin niistä käsittelee tietoja vain ohjeidemme mukaisesti ja huolehtii asianmukaisesta tietoturvasta.

KäsittelijäTarkoitusSijainti
LovableSovellusalustaEU
SupabaseTietokanta, kirjautuminen ja tiedostotallennusEU (Frankfurt)
CloudflareSisällönjakelu ja DDoS-suojausGlobaali
Stripe Payments Europe, Ltd.Maksunvälitys ja myyjän tunnistautuminen (Stripe Connect). Lisätietoja kohdassa 4d.EU (Irlanti)

10. Käsittelyrekisteri (ROPA)

Verkkovaruste Oy / Toripäivä.fi ylläpitää GDPR Art. 30 mukaista sisäistä käsittelyrekisteriä (Record of Processing Activities), joka sisältää käsittelytarkoitukset, oikeusperusteet, tietoryhmät, säilytysajat, vastaanottajat ja tekniset suojatoimet. Käsittelyrekisteri on lain edellyttämä sisäinen asiakirja, eikä sitä julkaista verkossa. Tietosuojavaltuutetun toimistolle se toimitetaan pyynnöstä. Rekisteröity saa itseään koskevia tietoja kohdan 14 mukaisilla tietopyynnöillä.

11. Tietoturvaloukkauksen ilmoittaminen

Jos havaitset epäillyn tietoturvaloukkauksen tai tietosuojaongelman, voit ilmoittaa siitä luottamuksellisesti — käsittelemme ilmoituksen GDPR Art. 33 mukaisesti 72 tunnin kuluessa.

Tee tietoturvailmoitus

12. Valitusoikeus

Mikäli katsot, ettei henkilötietojen käsittely ole tietosuojalainsäädännön mukaista, sinulla on oikeus tehdä valitus tietosuojavaltuutetulle: tietosuoja.fi

13. Rahanpesun estäminen (AML)

Toripäivä.fi myy käyttäjille palvelun sisäisiä crediittejä eikä toimi maksunvälittäjänä käyttäjien välillä. Maksut tapahtuvat Stripe Payments Europe Ltd:n kautta, joka vastaa korttimaksujen käsittelystä ja siihen liittyvistä tunnistamisvelvoitteista.

Toripäivä.fi noudattaa Suomen rahanpesulain (444/2017) edellyttämää riskiperusteista lähestymistapaa siltä osin kuin se koskee palvelun omaa toimintaa. Käytännössä tämä tarkoittaa, että poikkeuksellisia tai epäilyttäviä ostotapahtumia voidaan tarkastella ja niistä voidaan tarvittaessa pyytää lisäselvityksiä.

Jos havaitaan perusteltua syytä epäillä rahanpesua tai terrorismin rahoittamista, voidaan tehdä ilmoitus rahanpesun selvittelykeskukselle (FIU) ja palvelun käyttö voidaan keskeyttää asian selvittämisen ajaksi. Lain edellyttämät tiedot säilytetään viisi (5) vuotta.

14. Yhteystiedot ja tietopyynnöt

Verkkovaruste Oy / Toripäivä.fi
Y-tunnus: 3506068-7 · Seinäjoki
Yhteydenotot: asiakaspalvelulomake.
Sähköposti:

Tietosuoja-asiat (GDPR-yhteyspiste): tietosuoja@toripaiva.fi
Juridiset asiat & DSA-yhteyspiste (EU 2022/2065 art. 11–12, sähköisen viestinnän virallinen kanava viranomaisille ja käyttäjille): (käytä otsikkoa "DSA / Juridinen yhteyspiste" jotta viesti ohjautuu oikealle vastaanottajalle). Vastaamme arkipäivisin viiden (5) työpäivän kuluessa. Yhteyspisteen virallinen kieli on suomi; otamme vastaan myös ruotsin- ja englanninkielisiä yhteydenottoja.

Voit myös lähettää GDPR- ja tietopyyntösi (tarkastus, oikaisu, poisto, siirto, vastustus) suoraan alla olevalla lomakkeella. Käsittelemme pyynnöt 30 päivän kuluessa.