.ha.fi

Tietosuojaseloste (GDPR)

Voimassa alkaen: 16.9.2025
Versio: 1.0

Tätä tietosuojaselostetta käytetään .ha.fi -palvelimella toimivassa Helppoavaus-järjestelmässä sekä monistettavana pohjana kaikille .ha.fi-domainin alle tuleville avauksille. Tiedot käsitellään ja säilytetään Suomessa sijaitsevalla palvelimella.

1. Rekisterinpitäjä ja yhteystiedot (GDPR 13(1)(a), 14(1)(a))

Nimi: Suomen Kierrätyskone oy
Y-tunnus: 1931050-0
Osoite: Peltokatu 31, 33100 Tampere
Sähköposti: gdpr@ha.fi
Puhelin: +358400511000

2. Rekisterin nimi

Helppoavaus-järjestelmän käyttäjä- ja tapahtumarekisteri (ha.fi-palvelut).

3. Käsittelyn tarkoitukset (GDPR 13(1)(c), 14(1)(c))

• Ovien etäavaustoimintojen tarjoaminen asukkaille, ylläpidolle ja valtuutetuille vieraille.
• Pääsyoikeuksien ja kulkulupien hallinta (käyttäjätilit, ovioikeudet, voimassaolot).
• Avaustapahtumien lokitus ja mahdollinen kamerakuva turvallisuuden varmistamiseksi (auditointi, väärinkäytösten selvittäminen).
• Kertakäyttöisten ja pitkäaikaisten kulkukoodien/QR-linkkien lähetys sähköpostilla tai tekstiviestillä.
• Ylläpidon ja tietoturvaloukkausten selvittäminen.

4. Käsittelyn oikeusperusteet (GDPR 6 artikla)

• Sopimus (6(1)(b)): rekisteröidyn pyynnöstä ja/tai sopimuksen täytäntöön panemiseksi (asukastili, ovioikeuksien käyttö).
• Oikeutettu etu (6(1)(f)): turvallinen pääsynhallinta, väärinkäytösten estäminen ja jälkiselvitys.
• Suostumus (6(1)(a)) tarvittaessa: esim. viestien lähetys vierailijalle.

Oikeutetun edun arvio perustuu turvallisen kulun varmistamiseen, järjestelmän väärinkäytön ehkäisyyn ja tilojen suojaamiseen.

5. Käsiteltävät henkilötietoryhmät (GDPR 13(1)(c), 14(1)(d))

Käyttäjät (asukkaat / ylläpito)

• Tunnistetiedot: käyttäjätunnus, nimi, mahdollinen huoneisto/tila, rooli (asukas/admin), tilin aktiivisuus.
• Yhteystiedot: sähköpostiosoite, puhelinnumero (jos annettu).
• Tunnistautumistiedot: salasanan tiiviste (ei selväkielisenä).
• Tekninen istuntotieto (evästeet, istunnon tunniste).

Vierailijat / kulkukoodin vastaanottajat

• Nimi (jos annettu), yhteystiedot (sähköposti/puhelin), koodi/QR-linkki, mahdollinen lähettäjä (koodin luonut käyttäjä).

Tapahtuma- ja lokitiedot

• Avaushetki (aikaleima), ovi/tila, avaustapa (käyttäjä/koodi/QR), IP-osoite, järjestelmän statusviestit.
• Mahdollinen kamera-snapshot avauksen yhteydessä (JPEG), jos kamera integroituna.

Tekniset tiedot

• Palvelinlokit (HTTP-pyynnöt, virheilmoitukset), kielivalintaeväste, CSRF-suojauksen tokenit.

6. Tietolähteet (GDPR 13(1)(e), 14(2)(f))

• Tiedot saadaan rekisteröidyltä ja järjestelmän käytöstä syntyvistä lokitiedoista.
• Vierailijan yhteystiedot voi syöttää valtuutettu käyttäjä kulkuoikeuden toimittamista varten.

7. Vastaanottajat ja käsittelijät (GDPR 13(1)(e), 14(1)(e))

• Sisäiset vastaanottajat: ylläpito (hallittu pääsy), kiinteistön hallinto.
• Palveluntarjoajat (käsittelijät): SMS-/sähköpostiviestinvälitys, ylläpito- ja varmuuskopiointipalvelut.
• Käsittelijöiden kanssa tehdään GDPR 28 -mukaiset sopimukset ja noudatetaan tietoturvavaatimuksia.
• Tietoja ei luovuteta kolmansille ilman lainmukaista perustetta.

8. Siirrot EU/ETA-alueen ulkopuolelle (GDPR 13(1)(f), 14(1)(f))

• Ei säännönmukaisia siirtoja EU/ETA-alueen ulkopuolelle.
• Käsittely ja säilytys tapahtuvat Suomessa sijaitsevalla palvelimella.
• Mahdollisista yksittäisistä siirroista (esim. SMS-yhteys) käytetään asianmukaisia suojatoimia ja tiedotetaan erikseen.

9. Säilytysajat (GDPR 13(2)(a), 14(2)(a))

• Käyttäjätilitiedot: sopimussuhteen ajan ja kohtuullinen aika sen päättymisen jälkeen.
• Avaus- ja tapahtumalokit: 12 kk, ellei pidempi säilytys ole tarpeen väärinkäytösepäilyjen selvittämiseksi.
• Kamera-snapshotit: 30 päivää, jonka jälkeen poistetaan automaattisesti.
• Vierailijoiden kooditiedot: voimassaolon ajan ja enintään 6 kk sen jälkeen auditointitarpeisiin.
• Säilytysajat tarkistetaan säännöllisesti; tarpeettomat tiedot poistetaan tai anonymisoidaan.

10. Rekisteröidyn oikeudet (GDPR 15–22)

• Tarkastusoikeus (Art. 15)
• Oikaisu (Art. 16)
• Poisto tietyin edellytyksin (Art. 17)
• Käsittelyn rajoittaminen (Art. 18)
• Tietojen siirrettävyys (Art. 20), kun käsittely perustuu suostumukseen tai sopimukseen ja on automaattista
• Vastustamisoikeus oikeutetun edun perusteella (Art. 21)
• Suostumuksen peruuttaminen (Art. 7(3)) milloin tahansa

Pyyntöjen osalta ota yhteyttä kohtaan 1 merkittyihin yhteystietoihin. Henkilöllisyys voidaan varmistaa ennen pyyntöjen toteuttamista.

11. Valitusoikeus valvontaviranomaiselle (GDPR 13(2)(d), 14(2)(e))

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että henkilötietoja on käsitelty lainvastaisesti.

Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Sähköposti: tietosuoja@om.fi
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
Yleinen neuvonta yksityishenkilöille: 029 566 6777
Yleinen neuvonta rekisterinpitäjille: 029 566 6778

Lisätiedot ja ohjeet: tietosuoja.fi

12. Henkilötietojen antamisen pakollisuus ja seuraukset (GDPR 13(2)(e), 14(2)(f))

• Käyttäjätilin ja ovioikeuksien myöntämiseen tarvittavat tiedot ovat välttämättömiä palvelun tarjoamiseksi.
• Vierailijan yhteystiedot ovat välttämättömiä, jos koodi/QR-linkki toimitetaan sähköpostitse tai SMS:llä.
• Jos tietoja ei anneta, palvelun tarjoaminen tai kulkuoikeuden toimittaminen ei ole mahdollista.

13. Automatisoitu päätöksenteko ja profilointi (GDPR 13(2)(f), 14(2)(g), 22)

Ei automatisoitua päätöksentekoa, jolla olisi oikeusvaikutuksia rekisteröityihin, eikä profilointia. Järjestelmä tekee teknisiä tarkistuksia (esim. koodin voimassaolo), joilla ei ole itsenäisiä oikeusvaikutuksia.

14. Tekniset ja organisatoriset tietoturvatoimet (GDPR 32)

• Sovellus toimii Suomessa sijaitsevalla palvelimella; varmuuskopiot säilytetään Suomessa.
• Salasanat tallennetaan vahvoina tiivisteinä; ei selväkielisiä salasanoja.
• Istunto- ja CSRF-suojaus käytössä; avauspyynnöt allekirjoitetaan HMAC-mekanismilla.
• Käyttöoikeudet roolikohtaisesti (asukas/admin); pääsy loki- ja kuvamateriaaliin on rajattu.
• Tietoturvaloukkaukset dokumentoidaan ja niistä ilmoitetaan GDPR:n edellyttämällä tavalla.

15. Evästeet ja paikalliset tallenteet

• Välttämättömät evästeet: istuntoeväste (kirjautuminen), CSRF-token, kielivalintaeväste (FI/SV/EN).
• Analyytiikka- tai markkinointievästeitä ei käytetä, ellei toisin ilmoiteta.
• Selaimen paikallinen tallennus voi säilyttää käyttökokemusta parantavia asetuksia (esim. kamerakuvan kuvasuhde).

16. Tietoryhmien vastaanottajat koontina (GDPR 13(1)(e))

• Ylläpito ja kiinteistön hallinto (rajatut käyttöoikeudet).
• Viestinvälityspalvelut (sähköposti/SMS) koodien toimittamiseksi.
• Viranomaiset lain edellyttämissä tapauksissa.

17. Tietojen alkuperä, jos ei saatu rekisteröidyltä (GDPR 14(2)(f))

Vierailijan yhteystiedot voi syöttää järjestelmään valtuutettu käyttäjä (esim. asukas) kulkuoikeuden toimittamista varten.

18. Muutokset tähän selosteeseen

Selostetta voidaan päivittää toiminnan, lainsäädännön tai viranomaisohjeiden muuttuessa. Uusin versio on saatavilla osoitteessa: https://ha.fi/gdpr.html