← Etusivu
GDPR 2016/679Tietosuojalaki 1050/2018Versio 2.1

Tietosuojaseloste

Voimassa 24.6.2026 alkaen · Päivitysversio 2.1

01

Rekisterinpitäjä

PKAI (pkai.fi)
Y-tunnus: 3313498-8
PL 13, 00561 Helsinki
Sähköposti yleisiin tiedusteluihin: tuki@pkai.fi
Tietosuoja-asioissa: tietosuoja@pkai.fi

Rekisterinpitäjänä PKAI vastaa käsiteltävien henkilötietojen asianmukaisuudesta ja käyttää toiminnassaan Supabasen ylläpitämää EU-alueen infrastruktuuria (Frankfurt, Saksa).

02

Käsiteltävät henkilötiedot

Käsittelemme seuraavia tietoryhmiä palvelun eri osissa:

Tilauksen yhteydessä kerättävät tiedot
  • Yhteyshenkilön nimi ja asema organisaatiossa
  • Työsähköpostiosoite
  • Puhelinnumero (valinnainen)
  • Tietosuojavastaavan nimi ja sähköposti (valinnainen, pyydetään tietyiltä asiakkailta)
  • Yrityksen nimi ja Y-tunnus
  • Henkilöstömäärä
Lomakevastaukset palvelun tuottamista varten
  • Vastaukset tekoälyjärjestelmän luonnetta koskeviin kysymyksiin (toimiala, käyttötapa, datalähteet, ihmisvalvonnan toteutus, suorituskykymittarit, aiemmat vaatimustenmukaisuustoimet)
  • Asiakkaan vapaatekstikuvaukset järjestelmän toiminnasta
Maksamiseen liittyvät tiedot
  • Stripe-transaktiotunniste
  • Laskutusosoite (jos yritystilaus)
  • Maksun ajankohta ja summa

Maksukorttitiedot käsittelee yksinomaan Stripe (PCI DSS Level 1 ‑sertifioitu), emme tallenna tai käsittele korttinumeroita.

Palvelun käytön yhteydessä syntyvät tiedot
  • Generoitujen asiakirjojen tiedostotunnisteet ja luontiajankohdat
  • Tietopohjan versiotieto, jota asiakirjan tuottamisessa käytettiin (auditointia varten)
  • Tekninen lokitieto (IP-osoite, selain, aikaleimat) tietoturvaa ja väärinkäytösten ehkäisyä varten
Partnerasiakkaiden (lakitoimistot) osalta
  • Partnerin yhteyshenkilön nimi, sähköposti, asema
  • Partnerin Y-tunnus ja laskutustiedot kiinteän tilausmaksun veloitusta varten
  • Partnerin asiakkaitaan koskevat tilaustiedot siltä osin kuin Partner tuottaa dokumentaatiota alustalla
Erityiset henkilötietoryhmät.Emme pyydä käyttäjää syöttämään EU:n yleisen tietosuoja-asetuksen Art. 9:n mukaisia erityisiin tietoryhmiin kuuluvia tietoja (terveys-, rotu-, uskonto-, poliittisia tai ammattiliittokannanottoja, geneettisiä tai biometrisiä tunnistetietoja, seksuaalista suuntautumista koskevia tietoja). Käyttäjä ei saa syöttää tällaisia tietoja lomakkeen vapaatekstikenttiin. Mikäli tällaisia tietoja syötetään käyttäjän omasta aloitteesta järjestelmän kuvauksen yhteydessä, niitä käsitellään sopimuksen täytäntöönpanon perusteella samoin kuin muita lomakevastauksia.
03

Käsittelyn oikeusperuste

Käsittelemme henkilötietoja seuraavilla oikeusperusteilla:

  • Sopimuksen täytäntöönpano (Art. 6(1)(b)): palvelun tuottaminen asiakkaan tilauksen mukaisesti, dokumenttien toimittaminen, asiakaspalvelu ja sopimuksen mukaiset velvoitteet.
  • Laillinen velvoite (Art. 6(1)(c)): kirjanpitolain (1336/1997) mukainen tositeaineiston säilyttäminen sekä mahdolliset muut lakisääteiset velvoitteet.
  • Oikeutettu etu (Art. 6(1)(f)): palvelun tekninen kehittäminen, virheiden selvittäminen ja korjaaminen, väärinkäytösten ehkäisy, tietoturvan varmistaminen ja generoitujen asiakirjojen versiotietojen säilyttäminen asiakkaan myöhempien tarkistuspyyntöjen varalta. Voit vastustaa oikeutettuun etuun perustuvaa käsittelyä (ks. kohta 7).
04

Säilytysajat

TietoSäilytysaikaPeruste
Yhteys- ja asiakastiedot24 kk viimeisestä aktiivisuudestaSopimussuhteen ylläpito
Lomakevastaukset ja asiakirjojen generointilogi10 vuotta asiakirjan luomisestaAsiakkaan asetuksen (EU) 2024/1689 Art. 18 mukainen säilytysvelvoite ja auditointivalmius
Generoidut asiakirjat tiedostoina10 vuottaSama peruste
Kirjanpitoaineisto ja tositteet (Stripe-tapahtumat, laskut)6 vuotta tilikauden päättymisestäKirjanpitolaki 2 luku 10 §
Tekninen lokidata (IP, selain, aikaleimat)12 kkTietoturva, vianhaku
Sopimuksen jälkeinen pyyntöhistoria asiakaspalvelun viesteistä36 kkOikeutettu etu asiakaspalvelun laadun varmistamiseksi
Partneriasiakkaiden taloustiedot6 vuottaKirjanpitolaki

Säilytysajan päättyessä tiedot poistetaan tai anonymisoidaan pysyvästi. Osa teknisistä lokeista voi säilyä varmuuskopioissa määräaikaisesti tämän päälle. Varmuuskopioista tiedot poistetaan seuraavan säännöllisen kierrätysjakson yhteydessä.

Asiakas voi pyytää tietojen aikaisempaa poistamista (ks. kohta 7), jolloin poistamme kaikki ne tiedot, joiden säilyttämiseen meillä ei ole lakisääteistä perustetta.

05

Henkilötietojen käsittelijät ja luovutus kolmansille

Käytämme seuraavia palveluntarjoajia henkilötietojen käsittelijöinä. Kaikki käsittelijät ovat sopimussuhteessa PKAIhin ja sitoutuneet EU:n yleisen tietosuoja-asetuksen mukaisiin velvoitteisiin.

KäsittelijäRooliSijaintiSiirtoperuste
Supabase Inc.Tietokanta ja tiedostojen tallennusEU (Frankfurt, eu-central-1)Käsittely EU-alueella
Anthropic PBCAsiakirjojen tekstisisällön generointi (Claude-mallit). Anthropicin kaupallisten API-ehtojen mukaan syötteitä ei käytetä mallien kouluttamiseen. Anthropic voi nykyisten kaupallisten ehtojensa mukaan säilyttää API-syötteitä rajatun ajan väärinkäytösten valvontaa varten; Zero Data Retention -järjestely on haettu, ei vielä voimassa.USAEU:n vakiosopimuslausekkeet (SCC) + Anthropic Data Processing Addendum + täydentävät turvatoimet
Stripe Payments Europe Ltd.Maksunvälitys ja laskutusEU (Irlanti) ja USAKäsittely pääosin EU-alueella; USA-siirrot SCC:llä
ResendAsiakirjojen ja palvelun viestien toimitus sähköpostitseUSASCC
pdfshift.ioHTML-sisällön renderöinti PDF-muotoonEU (Ranska)Käsittely EU-alueella; asiakirjoja ei oletuksena säilytetä
Vercel Inc.Verkkosivuston ja lomakkeen isännöinti sekä anonyymi kävijä- ja suorituskykymittaus (evästeetön)USA (palvelinalue valittavissa, esim. Frankfurt)EU:n vakiosopimuslausekkeet (SCC, päätös 2021/914) + Vercel Data Processing Addendum
n8n CloudAutomaattisten työnkulkujen orkestrointiEUKäsittely EU-alueella
Functional Software, Inc. (Sentry)Tekninen virheseuranta ja vakauden valvonta oikeutetun edun nojalla (ei mainos- tai profilointiseurantaa). IP-osoitteita ei liitetä tapahtumiin.USASCC

EU:n ulkopuoliset tiedonsiirrot perustuvat Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCC, päätös 2021/914) ja niitä täydentäviin teknisiin ja organisatorisiin toimenpiteisiin. Käsittelijäluetteloa päivitetään, jos muutoksia tapahtuu.

Emme myy, vuokraa tai luovuta henkilötietoja muille kolmansille osapuolille markkinointia tai muuta meidän palvelumme ulkopuolista käyttöä varten. Tietoja voidaan luovuttaa viranomaiselle ainoastaan laillisen pyynnön (esim. tuomioistuimen määräys) perusteella.

Partnerikanavan roolit

Kun asiakas käyttää palvelua PKAIn Partner-kumppanin (lakitoimisto/konsulttitoimisto) kautta, Partner toimii rekisterinpitäjänä asiakkaansa henkilötietojen osalta ja PKAI käsittelijänä Partnerin lukuun (alikäsittelijänä, kun Partnerin oma asiakas on rekisterinpitäjä). Käsittelyn ehdot määräytyvät PKAIn ja Partnerin välisen tietojenkäsittelysopimuksen (DPA) mukaan; PKAI ei käsittele näitä tietoja omiin tarkoituksiinsa eikä toimi tässä suhteessa rekisterinpitäjänä tai yhteisrekisterinpitäjänä. PKAI toimii rekisterinpitäjänä ainoastaan oman sopimussuhteensa osalta Partneriin (Partnerin yhteyshenkilö- ja laskutustiedot, tekninen lokitieto ja väärinkäytösvalvonta); näiltä osin sovelletaan tämän selosteen muita kohtia.

06

Automaattinen käsittely ja päätöksenteko

Palvelu käyttää automaattista käsittelyä lomakevastausten luokitteluun (esim. asiakkaan tekoälyjärjestelmän oikeudellisen polun tunnistus) ja luottamuspistemäärän laskentaan. Tämä ei ole EU:n yleisen tietosuoja-asetuksen Art. 22 tarkoittamaa yksinomaan automatisoitua päätöksentekoa, koska kaikki tilaukset, joiden pistemäärä jää asetetun kynnyksen alle tai joissa tunnistetaan oikeudellisesti herkkä tilanne, ohjautuvat aina ihmisen suorittamaan tarkistukseen ennen asiakirjojen toimitusta. Tarkistuksen tekee PKAIn vastuuhenkilö, joka käy paketin läpi ja joko hyväksyy sen, korjaa sen tai ohjaa Asiakkaan lakimiehelle ennen toimitusta. Kyse on laadun- ja turvallisuustarkistuksesta, ei oikeudellisesta neuvonnasta.

07

Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat oikeudet omiin tietoihinsa:

  • Tarkastusoikeus (Art. 15), pyytää kopio itseä koskevista tiedoista
  • Oikaisuoikeus (Art. 16), pyytää virheellisten tietojen oikaisua
  • Poisto-oikeus (Art. 17), pyytää tietojen poistamista. Oikeus ei koske tietoja, joita meillä on lakisääteinen velvollisuus säilyttää (esim. kirjanpitoaineisto).
  • Käsittelyn rajoittamisoikeus (Art. 18), pyytää käsittelyn rajoittamista tietyissä tilanteissa
  • Siirto-oikeus (Art. 20), saada tietonsa jäsennellyssä, yleisesti käytetyssä ja koneluettavassa muodossa
  • Vastustamisoikeus (Art. 21), vastustaa oikeutettuun etuun perustuvaa käsittelyä henkilökohtaiseen erityistilanteeseen liittyvällä perusteella

Pyyntö lähetetään osoitteeseen tietosuoja@pkai.fi. Vastaamme pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään yhden kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa pidentää enintään kahdella kuukaudella, mistä ilmoitetaan rekisteröidylle.

Itsepalveluna (Art. 17, poisto): Voit käynnistää tietojesi poiston suoraan osoitteessa pkai.fi/tietosuoja/poista. Lähetämme sähköpostiisi vahvistuslinkin, jonka kautta poisto tapahtuu peruuttamattomasti 24 tunnin sisällä.

Pyyntöön vastaamisen edellytyksenä on, että pyytäjä voidaan luotettavasti tunnistaa. Voimme pyytää lisätietoja henkilöllisyyden varmistamiseksi.

Valitusoikeus valvontaviranomaiselle: Mikäli katsot, että henkilötietojesi käsittely loukkaa tietosuojalainsäädäntöä, sinulla on oikeus tehdä kantelu Tietosuojavaltuutetun toimistolle (tietosuoja.fi).
08

Evästeet

Palvelu käyttää ainoastaan teknisesti välttämättömiä evästeitä ja vastaavia tekniikoita, joita tarvitaan:

  • Istunnon ylläpitoon Partner-asiakkaan kirjautumisen yhteydessä
  • Lomakkeen tilatietojen säilymiseen selaimen istunnon aikana
  • Admin-paneelin teknisten näkymäasetusten säilyttämiseen selaimen localStorage-muistissa (vain ylläpitokäyttäjät)
  • Tietoturvan ja väärinkäytösten ehkäisyn mittareihin

Emme käytä kolmansien osapuolten mainosevästeitä, analytiikkaevästeitä emmekä profilointiin perustuvaa seurantaa. Käytämme Vercelin mittaustyökaluja (Vercel Web Analytics ja Speed Insights) kävijämäärien ja sivuston suorituskyvyn seurantaan koostetasolla. Näiden työkalujen osalta suostumusta ei edellytetä sillä perusteella, että ne eivät tallenna eivätkä lue tietoa päätelaitteeltasi (ePrivacy-direktiivi 5(3) art. / laki sähköisen viestinnän palveluista 917/2014, 205 §) — ei siksi, että kyse olisi "välttämättömästä evästeestä". Ne eivät aseta evästeitä, eivät tallenna IP-osoitteita tunnistettavassa muodossa eivätkä profiloi yksittäisiä kävijöitä. Käytämme lisäksi teknistä virheseurantaa (Sentry) palvelun vakauden varmistamiseen oikeutetun edun nojalla; se ei aseta mainos- tai profilointievästeitä eikä liitä tapahtumiin IP-osoitteita. Edellä lueteltujen omien teknisesti välttämättömien evästeiden osalta suostumusta ei myöskään edellytetä (917/2014, 205 §).

09

Tietoturva

Palvelun henkilötietojen käsittelystä on laadittu yleisen tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi (DPIA), joka tarkistetaan vähintään vuosittain ja olennaisten muutosten yhteydessä.

Käytämme seuraavia teknisiä ja organisatorisia suojatoimia:

  • Salaus siirrossa: TLS 1.3 -salattu tiedonsiirto kaikissa rajapinnoissa
  • Salaus lepotilassa: AES-256 -salaus tietokannan ja tallennuksen tasolla
  • Käyttöoikeudet: Tuotantoympäristön pääsy on rajattu nimetylle ylläpitäjälle ja suojattu monivaiheisella tunnistautumisella
  • Lokitus ja seuranta: Poikkeavuudet ja luvaton pääsy-yritykset tunnistetaan automaattisesti
  • Tietojen eristäminen: Partner-asiakkaiden tiedot on teknisesti eristetty toisistaan
  • Varmuuskopiot: Säännölliset varmuuskopiot säilytetään EU-alueella
  • Henkilöstön sitoumukset: Salassapitosopimukset ja tietoturvakoulutus

Mikäli havaitsemme henkilötietojen tietoturvaloukkauksen, joka todennäköisesti aiheuttaa riskin rekisteröityjen oikeuksille, ilmoitamme siitä Tietosuojavaltuutetulle 72 tunnin kuluessa ja tarvittaessa asianomaisille rekisteröidyille EU:n yleisen tietosuoja-asetuksen Art. 33 ja 34 mukaisesti.

10

Palvelun luonne

PKAI on teknologiapalvelu, joka automatisoi EU:n tekoälyasetuksen (asetus 2024/1689) mukaista dokumentaatiota. PKAI ei ole lakiasiaintoimisto, eikä palvelu korvaa oikeudellista neuvontaa. Palvelun tuottamat asiakirjat ovat asetuksen vaatimusten mukaisia lähtökohtia, operatiivinen vaatimustenmukaisuus, sisällön lopullinen tarkistus ja oikeudellinen arviointi ovat asiakkaan vastuulla.

11

Tämän selosteen muutokset

Voimme päivittää tätä tietosuojaselostetta palvelun kehittyessä tai lainsäädännön muuttuessa. Ajantasainen versio on aina saatavilla osoitteessa pkai.fi/tietosuoja. Merkittävistä muutoksista tiedotetaan rekisteröityjä sähköpostitse ennen muutosten voimaantuloa, mikäli näillä on vaikutusta rekisteröidyn oikeuksiin.

Edellisen version voimassaoloaika päättyy tämän selosteen voimaantulopäivänä.

12

Yhteystiedot

Tietosuoja-asiat
tietosuoja@pkai.fi
Yleinen asiakaspalvelu
tuki@pkai.fi
Valvontaviranomainen
Tietosuojavaltuutetun toimisto
Lintulahdenkuja 4, 00530 Helsinki
tietosuoja.fi