Tietosuojaseloste
Tietosuojaseloste
Bruukki - Opetusmateriaalien luontialusta
Voimaantulopäivä: 1.2.2026 Viimeksi päivitetty: 22.4.2026
1. Rekisterinpitäjä
Bruukki Oy Myllykatu 4 A 10, 70110 Kuopio, Finland Y-tunnus: 3595475-2 Sähköposti: privacy@bruukki.com
2. Yhteystiedot tietosuoja-asioissa
Tietosuojavastaava: Eero Manninen Sähköposti: eero.manninen@bruukki.com
3. Rekisterin nimi
Bruukki-palvelun käyttäjärekisteri
4. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
4.1 Käsittelyn tarkoitukset
| Tarkoitus | Kuvaus |
|---|---|
| Palvelun tuottaminen | Käyttäjätilin luominen ja hallinta, materiaalien luonti ja tallennus |
| Käyttäjätuki | Tukipyyntöjen käsittely ja ongelmatilanteiden ratkaisu |
| Palvelun kehittäminen | Käyttöanalytiikka ja palvelun parantaminen |
| Viestintä | Palvelua koskevat ilmoitukset ja uutiset (suostumuksella) |
| Laskutus | Maksullisten tilausten hallinta |
| Hankintakanavan seuranta | Merkitään, mistä markkinointikanavasta käyttäjä saapui palveluun |
| Tietoturva ja väärinkäytön esto | Rekisteröitymisen ja kirjautumisen suojaaminen automatisoidulta väärinkäytöltä (bottisuojaus) sekä käyttölokien ylläpito |
4.2 Oikeusperusteet (GDPR Art. 6)
- Sopimus (Art. 6.1.b): Palvelun tuottaminen käyttäjälle
- Oikeutettu etu (Art. 6.1.f): Palvelun kehittäminen, tietoturva, analytiikka, hankintakanavan seuranta, kirjautumissivujen bottisuojaus ja väärinkäytön esto
- Suostumus (Art. 6.1.a): Markkinointiviestintä, evästeet
- Lakisääteinen velvoite (Art. 6.1.c): Kirjanpito, verotus
5. Käsiteltävät henkilötiedot
5.1 Käyttäjätiedot
| Tietoryhmä | Tiedot |
|---|---|
| Tunnistetiedot | Nimi, sähköpostiosoite |
| Käyttäjätilitiedot | Käyttäjätunnus, todennustapa (Google / sähköpostikoodi) |
| Organisaatiotiedot | Työtila (koulu/oppilaitos), rooli |
| Hankintakanavan tieto | UTM-parametrit rekisteröitymisen URL:sta (utm_source, utm_medium, utm_campaign, utm_content, utm_term) |
| Maksutiedot | Laskutusosoite, maksutapan viite (ei korttinumeroita) |
Huom: Emme tallenna salasanoja. Todennus tapahtuu Google-kirjautumisen tai sähköpostikoodin (kertakäyttöinen salasana) kautta.
5.2 Käyttötiedot
| Tietoryhmä | Tiedot |
|---|---|
| Tekniset tiedot | IP-osoite, selaintyyppi, käyttöjärjestelmä |
| Käyttölokit | Kirjautumisajat, toiminnot palvelussa |
| Analytiikkatiedot | Sivulataukset, ominaisuuksien käyttö |
5.3 Sisältötiedot
| Tietoryhmä | Tiedot |
|---|---|
| Materiaalit | Käyttäjän luomat opetusmateriaalit |
| AI-keskustelut | Tekoälykeskustelujen historia |
Huom: Emme kerää oppilaiden henkilötietoja. Palvelu on tarkoitettu opettajille.
6. Tietojen säilytysaika
| Tietotyyppi | Säilytysaika |
|---|---|
| Käyttäjätili ja sisältö | Tilin voimassaolon ajan. Poistetaan tilin poiston jälkeen tietosuojasopimuksen mukaisesti. |
| Hankintakanavan tieto | Tilin voimassaolon ajan (poistetaan tilin mukana) |
| Käyttölokit | 12 kuukautta |
| Analytiikkatiedot | 24 kuukautta (anonymisoituina) |
| Kirjanpitoaineisto | 6 vuotta (kirjanpitolaki) |
7. Tietojen vastaanottajat
7.1 Alihankkijat (tietojenkäsittelijät)
| Palveluntarjoaja | Tarkoitus | Sijainti | Siirtoperuste |
|---|---|---|---|
| Amazon Web Services (AWS) | Infrastruktuuri, tietojen tallennus, sähköposti (SES) | EU (Irlanti) | DPF + SCC ¹ |
| Aiven | Tietokantapalvelu (PostgreSQL) | EU (Suomi) | -- ² |
| Anthropic | Tekoälypalvelu (Claude) | USA | SCC |
| OpenAI | Tekoälypalvelu (upotukset, puhesynteesi) | USA | SCC |
| Mistral AI | Tekoälypalvelu (vaihtoehtoinen) | EU (Ranska) | -- ² |
| Cartesia | Puhesynteesipalvelu | USA | SCC |
| Google Cloud | Todennus (Google-kirjautuminen) | EU/USA | DPF + SCC ¹ |
| Stripe | Maksujenkäsittely | EU/USA | DPF + SCC ¹ |
| Attio | Asiakkuudenhallinta (markkinointisivun yhteydenotot sekä pääsovelluksen rekisteröitymismetatiedot) | UK | Vastaavuus + SCC ³ |
| LangFuse | Tekoälypalvelun seuranta | EU (Irlanti) | -- ² |
| Plausible Analytics | Verkkosivustoanalytiikka (vain markkinointisivu, anonyymi aggregoitu data, ei evästeitä) | EU (Viro) | -- ² |
¹ EU-U.S. Data Privacy Framework -sertifioitu. Vakiosopimuslausekkeet (SCC) täydentävänä suojatoimena siltä varalta, että DPF-vastaavuuspäätös kumotaan (Schrems III -varautuminen). ² EU/ETA-alueen yhtiö, joka käsittelee tiedot EU:ssa; kansainvälistä siirtoa ei tapahdu. ³ UK:n vastaavuuspäätös (EU-komissio, kesäkuu 2021). Vakiosopimuslausekkeet (SCC) täydentävänä suojatoimena siltä varalta, ettei vastaavuuspäätöstä uusita.
7.2 Muut vastaanottajat
- Viranomaiset lakisääteisten velvoitteiden täyttämiseksi
- Tilintarkastajat kirjanpitovelvoitteiden osalta
8. Tietojen siirto EU:n ulkopuolelle
Osa alihankkijoistamme toimii EU:n/ETA:n ulkopuolella. Varmistamme riittävän tietosuojan tason seuraavilla suojatoimilla:
- EU-U.S. Data Privacy Framework (DPF): DPF-sertifioiduille yhdysvaltalaisille palveluntarjoajille, yhdistettynä vakiosopimuslausekkeisiin (SCC) täydentävänä suojatoimena
- EU:n vakiosopimuslausekkeet (SCC): Kaikille EU:n/ETA:n ulkopuolisille siirroille, Euroopan komission 2021 hyväksymä versio
- UK:n vastaavuuspäätös: Yhdistyneen kuningaskunnan palveluntarjoajille, yhdistettynä vakiosopimuslausekkeisiin täydentävänä suojatoimena
- Täydentävät tekniset ja organisatoriset suojatoimet (salaus, pääsynhallinta, tietojen minimointi)
- Siirtovaikutustenarviointi (Transfer Impact Assessment) jokaiselle kolmannen maan siirrolle
9. Rekisteröidyn oikeudet
Sinulla on seuraavat oikeudet:
| Oikeus | Kuvaus |
|---|---|
| Tarkastusoikeus | Oikeus saada tieto käsittelemistämme henkilötiedoistasi |
| Oikaisuoikeus | Oikeus vaatia virheellisten tietojen korjaamista |
| Poisto-oikeus | Oikeus vaatia tietojesi poistamista ("oikeus tulla unohdetuksi"). Tilin poistaminen poistaa kaikki käyttäjätilin henkilötiedot, mukaan lukien hankintakanavan tiedot. |
| Rajoitusoikeus | Oikeus vaatia käsittelyn rajoittamista |
| Siirto-oikeus | Oikeus saada tietosi koneluettavassa muodossa |
| Vastustusoikeus | Oikeus vastustaa käsittelyä oikeutetun edun perusteella |
| Suostumuksen peruuttaminen | Oikeus peruuttaa suostumus milloin tahansa |
Oikeuksien käyttäminen
Voit käyttää oikeuksiasi:
- Palvelun asetuksista (profiilin muokkaus)
- Lähettämällä pyynnön osoitteeseen privacy@bruukki.com (tilin poisto, tietojen vienti ja muut pyynnöt)
Vastaamme pyyntöösi 30 päivän kuluessa.
10. Tietoturva
Suojaamme henkilötietosi seuraavilla toimenpiteillä:
- Salaus: Tiedot salataan siirron ja tallennuksen aikana (TLS 1.3, AES-256)
- Pääsynhallinta: Roolipohjainen käyttöoikeuksien hallinta
- Kirjaukset: Kaikki pääsyt ja muutokset lokitetaan
- Varmuuskopiot: Automaattiset päivittäiset varmuuskopiot
- Säännölliset tarkastukset: Tietoturva-auditoinnit ja haavoittuvuustestaus
- Bottisuojaus: Rekisteröitymis- ja kirjautumissivut on suojattu automatisoidulta väärinkäytöltä itse-hostatulla proof-of-work-haasteella (Altcha). Tähän tarkoitukseen ei jaeta tietoja kolmannelle osapuolelle.
11. Evästeet
Käytämme evästeitä palvelun toiminnan varmistamiseksi ja käyttökokemuksen parantamiseksi. Katso tarkemmat tiedot Evästekäytännöstämme.
12. Muutokset tietosuojaselosteeseen
Voimme päivittää tätä tietosuojaselostetta. Merkittävistä muutoksista ilmoitamme:
- Sähköpostitse rekisteröidyille käyttäjille
- Ilmoituksella palvelussa
13. Valvontaviranomainen
Jos katsot, että henkilötietojesi käsittely on lainvastaista, voit tehdä valituksen valvontaviranomaiselle:
Tietosuojavaltuutetun toimisto Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki Sähköposti: tietosuoja@om.fi Puhelin: 029 566 6700 Verkkosivu: https://tietosuoja.fi
Tämä tietosuojaseloste on laadittu EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimusten mukaisesti.