Tietosuojaseloste
Versio 1.1 · Voimassa 2026-05-16 alkaen
Tässä selosteessa kuvataan, miten Lumio Software Oy ("me") käsittelee henkilötietoja Laskuduunari-palvelun ("Palvelu") yhteydessä. Seloste on laadittu EU:n yleisen tietosuoja-asetuksen (GDPR) ja Suomen tietosuojalain mukaisesti.
1. Rekisterinpitäjä
Lumio Software Oy
Y-tunnus: 3621276-9
Kotipaikka: Luumäki
Sepänkuja 12 B 1, 54500 Taavetti
Yhteyshenkilö tietosuoja-asioissa: tietosuoja@laskuduunari.fi
Käyttäjä toimii itse rekisterinpitäjänä niiden asiakastietojen osalta, joita hän tallentaa Palveluun (esim. laskutettavat asiakkaat). Tällöin Lumio Software Oy toimii GDPR 28 artiklan mukaisena henkilötietojen käsittelijänä käyttäjän lukuun.
2. Kerättävät henkilötiedot
Käsittelemme seuraavia tietoja:
2.1 Tilitiedot (käyttäjästä)
- sähköpostiosoite ja salasana (tai Google-tunnistautuminen);
- yrityksen nimi, Y-tunnus, ALV-tunnus, osoite, puhelinnumero;
- pankkiyhteys (IBAN, BIC) laskutustietojen tulostamiseksi laskuille;
- tilauksen tila, kokeilujakson päättyminen, Stripe-asiakastunnus.
2.2 Liiketoimintatiedot (käyttäjän luoma sisältö)
- käyttäjän tallentamat asiakkaat (nimi, osoite, Y-tunnus, puhelin, sähköposti);
- laskut, tarjoukset, työnumerot, työtunnit, tarvikkeet, ostot, kuittikuvat;
- kirjanpito- ja ALV-raportointitiedot.
2.3 Teknisiä tietoja
- istuntotunnisteet (evästeet), IP-osoite, selain- ja laitetiedot;
- palvelun lokitiedot ja virheilmoitukset.
2.4 Maksutiedot
Emme käsittele tai tallenna maksukortin tietoja. Maksut hoitaa Stripe Payments Europe, Ltd. omien tietosuojakäytäntöjensä mukaisesti. Saamme Stripeltä vain tilauksen tilaa koskevat tiedot.
3. Tietojen keräämisen lähteet
Tiedot saadaan pääasiassa käyttäjältä itseltään. Lisäksi:
- Y-tunnuksen perusteella haetaan yrityksen julkiset tiedot Patentti- ja rekisterihallituksen (PRH) avoimesta YTJ-rajapinnasta.
- Google-tunnistautumisessa saamme käyttäjän Google-tililtä nimen, sähköpostin ja profiilikuvan (käyttäjän suostumuksella).
- Stripeltä saamme tilauksen tilaan liittyviä tietoja.
4. Käsittelyn tarkoitukset ja oikeusperusteet
| Tarkoitus | Oikeusperuste |
|---|---|
| Palvelun tarjoaminen käyttäjälle (tili, laskutus, raportit) | Sopimuksen täyttäminen (GDPR 6(1)(b)) |
| Maksujen käsittely ja tilauksen hallinta | Sopimuksen täyttäminen |
| Kirjanpitoaineiston säilyttäminen | Lakisääteinen velvoite — kirjanpitolaki (1336/1997) |
| Palvelun kehittäminen, tekninen ylläpito, väärinkäytösten estäminen | Oikeutettu etu (GDPR 6(1)(f)) |
| Asiakasviestintä (tuki, palvelumuutosilmoitukset) | Sopimuksen täyttäminen / oikeutettu etu |
| Markkinointiviestit (jos käyttäjä on suostunut) | Suostumus (GDPR 6(1)(a)) |
5. Tietojen vastaanottajat ja alikäsittelijät
Tietoja ei myydä eikä luovuteta markkinointitarkoituksiin. Seuraavat luotetut alikäsittelijät käsittelevät tietoja meidän puolestamme Palvelun teknisen toteutuksen mahdollistamiseksi:
| Palveluntarjoaja | Tarkoitus | Sijainti |
|---|---|---|
| Supabase Inc. | Tietokanta, tunnistautuminen, tiedostotallennus | EU (Frankfurt, Tukholma) |
| Vercel Inc. | Sovelluksen isännöinti ja ajoympäristö | EU / USA (EU-US DPF) |
| Stripe Payments Europe, Ltd. | Maksut ja tilaushallinta | Irlanti / USA (EU-US DPF, SCC) |
| Resend, Inc. | Sähköpostiviestien lähetys (muistutukset) | USA (EU-US DPF) |
| Google LLC | Google-tunnistautuminen (vain kirjautuessa) | USA (EU-US DPF) |
Kaikkien alikäsittelijöiden kanssa on voimassa GDPR 28 artiklan mukaiset sopimukset. Euroopan talousalueen ulkopuolelle tapahtuvissa siirroissa suojatoimina sovelletaan EU-US Data Privacy Frameworkia (DPF) ja Euroopan komission vakiosopimuslausekkeita (SCC).
Tietoja voidaan lisäksi luovuttaa viranomaisille lakiin perustuvan velvoitteen (esim. Verohallinto, poliisi) toteuttamiseksi.
6. Säilytysajat
- Kirjanpitoaineisto (laskut, tositteet, ostot): kirjanpitolain mukainen 6 vuotta tilikauden päättymisestä.
- Tilitiedot: tilin voimassaolon ajan. Tilin sulkemisen jälkeen tiedot poistetaan 90 päivän kuluessa lukuun ottamatta kirjanpitolaissa vaadittuja tositteita.
- Tekniset lokit: enintään 12 kuukautta.
- Markkinointisuostumuksen perusteella kerätyt tiedot: kunnes suostumus peruutetaan.
7. Rekisteröidyn oikeudet
GDPR:n mukaan sinulla on oikeus:
- saada tieto siitä, käsittelemmekö sinua koskevia henkilötietoja;
- saada pääsy tietoihin ja tarkistaa ne;
- pyytää virheellisten tietojen oikaisua;
- pyytää tietojen poistamista ("oikeus tulla unohdetuksi") laissa säädetyin rajoituksin;
- rajoittaa tai vastustaa tietojen käsittelyä;
- siirtää tietosi toiseen järjestelmään (tietojen siirrettävyys);
- peruuttaa suostumus milloin tahansa, kun käsittely perustuu suostumukseen;
- tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutettu, tietosuoja.fi), jos katsot, että tietojasi on käsitelty lainvastaisesti.
Pyynnöt voi lähettää osoitteeseen tietosuoja@laskuduunari.fi. Vastaamme pyyntöön pääsääntöisesti 30 päivän kuluessa.
8. Tietoturva
Tiedot säilytetään salattuina liikenteen osalta (TLS 1.3) ja levossa (AES-256). Pääsy tuotantojärjestelmiin on rajoitettu ja suojattu monivaiheisella tunnistautumisella. Tietokanta suorittaa automaattisia varmuuskopioita. Havaituista tietoturvaloukkauksista ilmoitamme tietosuojaviranomaiselle ja tarvittaessa rekisteröidyille GDPR 33—34 artiklan mukaisesti.
9. Evästeet
Käytämme ainoastaan välttämättömiä evästeitä (istunnon ylläpito, turvallisuus). Tarkemmat tiedot löydät evästeselosteesta.
10. Muutokset tähän selosteeseen
Voimme päivittää selostetta Palvelun tai lainsäädännön muuttuessa. Olennaisista muutoksista ilmoitetaan sähköpostitse tai Palvelussa. Viimeisin päivitys: 2026-05-16.
11. Yhteystiedot
Tietosuojaa koskevissa kysymyksissä: tietosuoja@laskuduunari.fi