Tietosuojaseloste

Yleiskatsaus

Seloste on laadittu EU:n yleisen tietosuoja-asetuksen (asetus (EU) 2016/679, "GDPR") 13 ja 14 artiklan sekä Liettuan tasavallan henkilötietojen oikeudellista suojaa koskevan lain mukaisesti. Seuraava jakso nimeää rekisterinpitäjän; loppusivu käsittelee kutakin aihetta vuorollaan.

Rekisterinpitäjä

Palvelua ylläpitää MB Libranet, pienyhtiö, jonka kotipaikka on Vilnius, Lithuania, ja joka on ainoa GDPR:n 4 artiklan 7 kohdan mukainen rekisterinpitäjä. Tietosuojaa koskevissa asioissa ota yhteyttä sähköpostitse: [email protected]. Täydelliset oikeushenkilötiedot, mukaan lukien rekisteri- ja ALV-tunnukset, ovat yritystietosivulla.

Emme ole nimenneet tietosuojavastaavaa, koska käsittelymme ei täytä 37 artiklassa säädettyjä kynnysarvoja. Tietosuojasta vastaava henkilö on tavoitettavissa yllä mainitusta sähköpostiosoitteesta.

Mitä tietoja käsittelemme

Käsittelemme seuraavia rajoitettuja henkilötietoryhmiä alla mainittujen oikeusperusteiden nojalla:

• Tilitiedot. Nimesi, sähköpostiosoitteesi ja bcrypt-tiivisteenä tallennettu salasanasi (tai tunnistusavaimen julkinen avain). Oikeusperuste: Sopimuksen täytäntöönpano – GDPR 6 artiklan 1 kohdan b alakohta.
• Sinun luomasi lasku- ja asiakastiedot. Ainoastaan sinun valitsemasi tiedot: asiakkaiden nimet, osoitteet, ALV-tunnukset, rivitiedot, loppusummat ja maksutilanne. Oikeusperuste: Sopimuksen täytäntöönpano – GDPR 6 artiklan 1 kohdan b alakohta.
• Istunto- ja tietoturvaevästeet. Allekirjoitettu istuntoeväste ja CSRF-tunnisteeväste, joita käytetään kirjautumistilasi ylläpitämiseen ja väärennettyjen pyyntöjen estämiseen. Oikeusperuste: Välttämätön – GDPR 6 artiklan 1 kohdan f alakohta, oikeutettu etu.
• Palvelinlokit. IP-osoite, selaintunnus ja pyyntömetatiedot, joita säilytetään lyhyen aikaa väärinkäytösten estämistä ja virheenkorjausta varten. Oikeusperuste: Oikeutettu etu – GDPR 6 artiklan 1 kohdan f alakohta.
• VIES-tarkastusloki. Kun vahvistat EU-ostajan ALV-tunnuksen, tallennamme pyyntötunnisteen, kysytyn maan ja numeron sekä vastauksen todisteena neuvoston asetuksen (EU) 904/2010 31 artiklan nojalla. Oikeusperuste: Lakisääteinen velvoite – GDPR 6 artiklan 1 kohdan c alakohta.

Osa näistä tiedoista ei ole sinun tietojasi vaan kuuluu laskuasiakkaillesi (GDPR 14 artikla). Lähde olet sinä – saamme tiedot vain, koska syötät ne laskuihisi. Käsittelemme niitä kanssasi tekemämme sopimuksen oikeusperusteella sekä sinun oikeutetun etusi perusteella yritysoperaattorina veronmukaisten laskutuskirjanpitoa koskevien velvoitteidesi täyttämiseksi.

Alikäsittelijät

Tukeudumme tarkoituksellisesti pieneen joukkoon alikäsittelijöitä. Yksikään heistä ei ole mainonta- tai analytiikkaverkosto. Kutakin sitoo tietojenkäsittelysopimus, ja he käsittelevät ainoastaan tehtävänsä kannalta välttämätöntä vähimmäismäärää tietoja.

SMTP2GO (tapahtumasähköposti)

Kun lähetät laskun sähköpostitse tai saat järjestelmäilmoituksen, viesti välitetään SMTP2GO:n EU-alueen kautta (mail-eu.smtp2go.com). Jaettavat tiedot: lähettäjä, vastaanottajan osoite, aihe, sisältö ja mahdollinen PDF-liite. SMTP2GO Inc. on perustettu Uuteen-Seelantiin ja käyttää EU-infrastruktuuria; siirrot perustuvat vakiosopimuslausekkeisiin.

Cloudflare Turnstile (bottisuojaus)

/login- ja /register-lomakkeilla näytetään Cloudflare Turnstile -haaste automatisoitujen väärinkäytösten estämiseksi. Widget ladataan osoitteesta challenges.cloudflare.com ja se vaihtaa lyhytikäisen tunnisteen Cloudflaren siteverify-päätepisteeseen. Jaettavat tiedot: IP-osoite, selaintunnus ja kertakäyttöinen haastetunniste. Turnstile ei aseta seurantaevästeitä eikä sitä käytetä mainontaan. Cloudflare, Inc. on yhdysvaltalainen; siirrot perustuvat EU–Yhdysvallat Data Privacy Framework -sopimukseen ja vakiosopimuslausekkeisiin.

bunny.net (fonttien sisällönjakeluverkko)

Sivusto lataa kaksi verkkofonttiä osoitteesta fonts.bunny.net, joka on yksityisyyttä suojaava CDN-palvelu, jota operoi BunnyWay d.o.o. (Slovenia, EU). Jaettavat tiedot: IP-osoite ja selaintunnus fonttipyynnön keston ajan. Katso heidän tietosuojaselosteensa.

Euroopan komission VIES (ALV-numeroiden tarkistus)

Kun vahvistat ostajan ALV-tunnuksen, syöttämäsi maakoodi ja ALV-numero lähetetään Euroopan komission ALV-tietojenvaihto­järjestelmään (VIES) osoitteessa ec.europa.eu. Vastaanottaja on EU:n toimielin; käsittelyyn sovelletaan asetusta (EU) 2018/1725.

Isännöinti ja PDF-renderöinti (sisäinen)

Sovellus toimii Euroopan unionin sisällä olevalla dedikoidulla infrastruktuurilla. Laskujen PDF-tiedostot renderöidään sisäisesti mPDF-kirjastolla omilla palvelimillamme. Kolmannen osapuolen PDF-palvelua tai isännöinnin jälleenmyyjää ei käytetä.

Ei Google-palveluja. Ei Meta- tai Facebook-pikseleitä. Ei analytiikkakirjastoja. Ei kolmannen osapuolen virheraportointipalveluja.

Evästeet

Asetamme ainoastaan välttämättömiä evästeitä. Sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) 5 artiklan 3 kohdan mukaan välttämättömät evästeet eivät edellytä suostumusta, minkä vuoksi emme näytä evästebanneeria.

Ei analytiikkaevästeitä. Ei mainosevästeitä. Emme aseta kolmannen osapuolen evästeitä. Kohdassa 04 kuvattu Cloudflare Turnstile -haaste saattaa asettaa oman lyhytikäisen evästeensä, jonka toimialue on rajattu osoitteeseen challenges.cloudflare.com; kyseinen eväste on bottisuojaushaasteelle välttämätön eikä sitä käytetä seurantaan.

Tietojen säilytys

Tili- ja laskutietoja säilytetään tilin aktiivisuuden ajan. Tilin poistamisen yhteydessä kaikki tavanomaiset henkilötiedot poistetaan 30 päivän kuluessa, paitsi jos Liettuan kirjanpitolaki (joka asettaa laskukirjanpidolle 10 vuoden säilytysajan) edellyttää tiettyjen asiakirjojen säilyttämistä pidempään – tällöin kyseiset asiakirjat siirretään käyttörajoitettuun arkistoon ja niitä säilytetään vain lakisääteisen ajan.

Palvelinlokeja säilytetään enintään 30 päivää, ellei niitä tarvita pidempään aktiivisen tietoturvatutkinnan vuoksi. VIES-tarkauslokirivejä säilytetään vähintään 10 vuotta neuvoston asetuksen (EU) 904/2010 todistamista koskevien vaatimusten täyttämiseksi.

Oikeutesi tietosuoja-asetuksen (GDPR) nojalla

GDPR:n nojalla sinulla on oikeus saada pääsy tietoihin (15 art.), oikaista tietoja (16 art.), poistaa tiedot (17 art.), rajoittaa käsittelyä (18 art.), siirtää tiedot (20 art.) ja vastustaa käsittelyä (21 art.). Jos käsittely perustuu suostumukseen, voit peruuttaa sen milloin tahansa (7 artiklan 3 kohta).

Sinulla on myös GDPR:n 77 artiklan nojalla oikeus tehdä valitus valvontaviranomaiselle – yleensä sille, joka on siinä EU/ETA-maassa, jossa asut, työskentelet tai jossa väitetty rikkomus on tapahtunut. Koska palveluntarjoaja on sijoittautunut Liettuaan, toimivaltainen valvontaviranomainen on Valstybinė duomenų apsaugos inspekcija (State Data Protection Inspectorate of Lithuania, VDAI).

Vaiheittainen opas kunkin oikeuden käyttämiseen, mukaan lukien määräajat ja pyynnön sisältö, on erillisellä GDPR-oikeussivulla.

Automatisoitu päätöksenteko

FreeBillGen ei käytä automatisoitua päätöksentekoa eikä profilointia GDPR:n 22 artiklan tarkoittamassa merkityksessä. Mikään sinuun kohdistuva oikeudellisia tai vastaavia merkittäviä vaikutuksia tuottava päätös ei perustu yksinomaan automaattiseen käsittelyyn. Emme pisteytä, järjestä etuoikeusjärjestykseen tai profiloi käyttäjiä mainontaa, luottoa, petoksentorjuntaa tai mitään muuta tarkoitusta varten.

Tietoturva

Tekniset ja organisatoriset toimenpiteet (GDPR 32 art.):

• Salasanat tallennetaan bcrypt-tiivisteinä; passkeys-tunnistautuminen (WebAuthn) tuettu.
• Valinnainen aikapohjainen kaksivaiheinen tunnistautuminen (2FA) minkä tahansa TOTP-yhteensopivan tunnistajan avulla.
• CSRF-tunnisteet kaikissa tilamuutospyynnöissä.
• Parametrisoidut kyselyt kaikkialla – ei merkkijonoihin yhdistettyä SQL:ää.
• HTTPS/TLS siirron aikana; HTTP Strict Transport Security käytössä.
• Content Security Policy ja muut kovennusotsikot.
• Sovellustason tarkistusloki tietoturvaherkistä toiminnoista.
• Salatut tietokannan varmuuskopiot rajoitetulla käyttöoikeudella.

Kansainväliset siirrot

Henkilötietoja käsitellään oletusarvoisesti Euroopan unionin sisällä. Kaksi kohdassa 04 mainituista alikäsittelijöistä voi edellyttää siirtoa kolmanteen maahan:

• Cloudflare Turnstile – siirrot Yhdysvaltoihin, perustuvat EU–Yhdysvallat Data Privacy Framework -sopimukseen ja Euroopan komission vakiosopimuslausekkeisiin.
• SMTP2GO – operointiyhtiö on sijoittautunut Uuteen-Seelantiin (maa, jolle Euroopan komissiolla on riittävyyttä koskeva päätös) ja käyttää EU-alueen infrastruktuuria toimitukseen. Mahdolliset siirrot perustuvat vakiosopimuslausekkeisiin.

Muita siirtoja kolmansiin maihin ei tapahdu. Jos tähän tulee muutos, tukeudumme asianmukaiseen GDPR:n V luvun siirtomekanismiin ja päivitämme tämän selosteen ennen uuden siirron alkamista.

Alaikäiset

FreeBillGen on yritystyökalu eikä se ole suunnattu alle 16-vuotiaille lapsille. Emme tietoisesti kerää henkilötietoja lapsilta.

Muutokset selosteeseen

Jos teemme olennaisia muutoksia, julkaisemme päivitetyn tekstin tällä sivulla uudella "päivitetty"-päivämäärällä ja ilmoitamme asiasta aktiivisille tileille sähköpostitse. Voimassa oleva versio tunnistetaan sivun yläosassa olevasta päivämäärästä.

Yhteystiedot

Tietosuojaa koskevat kysymykset ja oikeuksien käyttämistä koskevat pyynnöt: [email protected]. Postiosoite ja täydelliset oikeushenkilötiedot ovat yritystietosivulla.