Tietosuoja

    Tietosuojaseloste

    Tämä seloste kertoo, miten Hoivapolku-palvelussa käsitellään henkilötietoja. Noudatamme EU:n yleistä tietosuoja-asetusta (GDPR, 2016/679), Suomen tietosuojalakia (1050/2018) sekä sähköisen viestinnän palveluista annettua lakia (917/2014).

    Päivitetty: 20.6.2026 · Versio 2.0

    1. Rekisterinpitäjä

    Nice Investment Oy
    Y-tunnus: 2937610-8
    Ruotsinrinne 13, 70820 Kuopio
    Sähköposti: timo@hoivapolku.fi

    Rekisterinpitäjä vastaa Hoivapolku-palvelun (hoivapolku.fi) henkilötietojen käsittelystä. Yhteyshenkilönä tietosuoja-asioissa toimii Timo (sama sähköposti). Erillistä tietosuojavastaavaa (DPO) ei ole nimetty, koska sille ei ole GDPR 37 artiklan mukaista velvollisuutta.

    2. Mitä tietoja käsittelemme

    Käsittelemme seuraavia henkilötietoryhmiä:

    • Yhteystiedot: nimi, sähköpostiosoite, puhelinnumero, postinumero/paikkakunta — silloin kun jätät yhteydenottopyynnön tai kartoituksen tulosten lähetyspyynnön.
    • Kartoitusvastaukset: omaisen tilannetta kuvaavat vastaukset (esim. arjen pärjääminen, muisti, liikkuminen, kotihoidon tarve). Vastaukset pysyvät pääsääntöisesti vain selaimessasi, kunnes pyydät hoitosuunnitelman lähettämistä.
    • Käyttäjätilin tiedot (jos rekisteröidyt): sähköposti, salasanan tiiviste (hash), kirjautumistapahtumat.
    • Palvelun käyttöä koskevat tekniset tiedot: IP-osoite, selain ja laite, käyttöaika, viittaava sivu, sivuhistoria palvelussa.
    • Viestintä: sähköpostit ja palautelomakkeen viestit, joita lähetät meille.
    • Evästeisiin liittyvät tunnisteet — ks. kohta 8.

    Erityiset henkilötietoryhmät (terveystiedot): kartoituksessa kuvattu omaisen vointi voi sisältää terveystietoja. Käsittelemme näitä tietoja vain käyttäjän nimenomaisella suostumuksella (GDPR 9 art. 2 a-kohta) ja vain kartoituksen ja hoitosuunnitelman tuottamiseksi. Tietoja ei yhdistetä terveydenhuollon rekistereihin.

    3. Käsittelyn tarkoitukset ja oikeusperusteet

    • Palvelun tuottaminen ja kartoitustuloksen näyttäminen — oikeusperuste: sopimuksen täytäntöönpano (GDPR 6.1 b).
    • Yhteydenottojen ja toimijaehdotusten välittäminen — oikeusperuste: käyttäjän suostumus (6.1 a) ja sopimus (6.1 b).
    • Palvelun kehittäminen ja tilastointi anonymisoidusti — oikeusperuste: oikeutettu etu (6.1 f).
    • Analytiikka- ja markkinointievästeet — oikeusperuste: suostumus (6.1 a, sähköisen viestinnän palveluista annetun lain 205 §).
    • Tietoturva ja väärinkäytösten estäminen — oikeusperuste: oikeutettu etu (6.1 f) ja lakisääteinen velvoite (6.1 c).
    • Kirjanpito- ja lakisääteiset velvoitteet — oikeusperuste: lakisääteinen velvoite (6.1 c).

    4. Mistä tiedot saadaan

    Saamme tiedot pääsääntöisesti suoraan sinulta itseltäsi: kun täytät kartoituksen, jätät yhteydenottopyynnön, lähetät palautetta tai rekisteröidyt palveluun. Tekniset käyttötiedot kerätään automaattisesti, kun käytät palvelua.

    5. Tietojen luovutukset

    Henkilötietoja ei myydä eikä luovuteta markkinointitarkoituksiin. Tietoja voidaan luovuttaa seuraavasti:

    • Valitsemillesi palveluntuottajille (esim. hoiva- tai kotipalveluyritykset) silloin kun erikseen pyydät yhteydenottoa. Tällöin luovutamme valitulle toimijalle ne yhteystiedot ja tilannekuvauksen, jotka olet hyväksynyt jaettavaksi.
    • Viranomaisille lain niin vaatiessa (esim. poliisi, tietosuojaviranomainen).
    • Liiketoiminnan järjestelyissä (esim. yritysjärjestely) tietoja voidaan siirtää uudelle rekisterinpitäjälle; rekisteröidyille tiedotetaan tällöin erikseen.

    6. Henkilötietojen käsittelijät

    Käytämme luotettavia alihankkijoita, jotka käsittelevät tietoja puolestamme tietojenkäsittelysopimusten (DPA) mukaisesti:

    • Supabase Inc. (tietokanta, autentikointi, edge functions) — EU/USA, käsittely EU:n alueella sijaitsevassa datakeskuksessa kun mahdollista.
    • Lovable / Lovable Cloud — palvelun hosting ja julkaisualusta.
    • Cloudflare Inc. — CDN, DDoS-suojaus ja botinhallinta.
    • Resend / sähköpostipalveluntarjoaja — tapahtumasähköpostien lähetys.
    • Google LLC — Google Analytics 4, Google Tag Manager, Google reCAPTCHA (vain käyttäjän suostumuksella).

    Mikäli tietoja siirretään EU/ETA-alueen ulkopuolelle, siirto toteutetaan EU-komission hyväksymillä vakiosopimuslausekkeilla (SCC, 2021/914) ja täydentävillä suojatoimilla.

    7. Säilytysajat

    • Kartoitusvastaukset (ei tallennettu palvelimelle): vain selaimen istunnon ajan.
    • Lähetetyt yhteydenotot ja hoitosuunnitelmat: enintään 24 kk pyynnöstä, ellei pidempi säilytys ole lakisääteistä.
    • Käyttäjätilin tiedot: kunnes tili poistetaan + enintään 30 vrk varmuuskopioista.
    • Lokitiedot ja tietoturvalokit: 6–12 kk.
    • Kirjanpitoaineisto: kirjanpitolain edellyttämä 6 vuotta.
    • Markkinointi- ja viestintäsuostumukset: kunnes peruutat suostumuksen.

    8. Evästeet ja vastaavat teknologiat

    Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan selaimellesi. Käytämme niitä, jotta palvelu toimii, ja suostumuksellasi myös palvelun kehittämiseen ja markkinoinnin kohdentamiseen.

    Käytössämme on Google Consent Mode v2: ennen suostumustasi kaikki tilastointi-, mainonta- ja personointievästeet ovat estettyinä. Voit muuttaa valintojasi koska tahansa alatunnisteen Evästeasetukset-linkistä.

    8.1 Evästeryhmät

    Välttämättömät evästeet (aina käytössä)

    Vaaditaan palvelun toimimiseen: kirjautuminen, istunto, lomakkeiden tilan säilyttäminen, evästesuostumuksen muistaminen, tietoturvasuojaukset.

    • pmk_cookie_consent — evästesuostumuksesi (selaimen localStorage, voimassa 12 kk)
    • sb-* — Supabase-istuntoeväste, vain kirjautuneille (voimassa 7 vrk)
    • __cf_bm — Cloudflare-bot-suojaus (voimassa 30 min)

    Oikeusperuste: Oikeutettu etu / palvelun välttämättömät evästeet (sähköisen viestinnän palveluista annetun lain 205 §:n 2 mom.).

    Tilastointievästeet (vaativat suostumuksen)

    Auttavat ymmärtämään, miten palvelua käytetään, jotta voimme parantaa sitä. Tietoja kerätään pseudonymisoidusti.

    • _ga, _ga_* — Google Analytics 4, käyttäjän erottelu (voimassa 24 kk)
    • _gid — istuntotason mittaus (voimassa 24 h)

    Oikeusperuste: Käyttäjän suostumus (GDPR 6.1 a).

    Markkinointi- ja kohdennusevästeet (vaativat suostumuksen)

    Mahdollistavat mainonnan kohdentamisen ja mainosten tehon mittaamisen kumppaneidemme alustoilla.

    • _gcl_au — Google Ads -konversiot (voimassa 90 vrk)
    • IDE, NID — Google-mainosverkoston tunnisteet (voimassa enintään 13 kk)
    • _fbp — Meta Pixel, jos käytössä (voimassa 90 vrk)

    Oikeusperuste: Käyttäjän suostumus (GDPR 6.1 a).

    8.2 Evästeiden hallinta

    Voit milloin tahansa:

    • muuttaa valintojasi alatunnisteen Evästeasetukset-linkistä,
    • poistaa evästeet selaimesi asetuksista,
    • estää kaikki kolmannen osapuolen evästeet selaimen asetuksissa.

    Huomaa, että välttämättömien evästeiden estäminen voi haitata palvelun toimintaa (esim. kirjautuminen ei toimi).

    9. Rekisteröidyn oikeudet

    Sinulla on GDPR:n nojalla oikeus:

    • Saada tietää, käsitelläänkö sinua koskevia henkilötietoja (15 art.).
    • Saada pääsy tietoihisi ja saada niistä kopio (15 art.).
    • Oikaista virheelliset tiedot (16 art.).
    • Saada tietosi poistetuiksi (”oikeus tulla unohdetuksi”, 17 art.) — esim. tilin poistaminen.
    • Rajoittaa käsittelyä (18 art.).
    • Siirtää tietosi järjestelmästä toiseen (20 art.).
    • Vastustaa käsittelyä, joka perustuu oikeutettuun etuun (21 art.).
    • Peruuttaa antamasi suostumus milloin tahansa (7 art.) — peruutus ei vaikuta sitä edeltäneen käsittelyn lainmukaisuuteen.
    • Tehdä valitus valvontaviranomaiselle.

    Pyynnöt osoitetaan sähköpostitse: timo@hoivapolku.fi. Vastaamme pyyntöihin pääsääntöisesti kuukauden kuluessa. Varmistamme pyytäjän henkilöllisyyden ennen tietojen luovutusta.

    Valvontaviranomainen Suomessa on Tietosuojavaltuutetun toimisto, Lintulahdenkuja 4, 00530 Helsinki, puh. 029 566 6700, tietosuoja.fi.

    10. Tietojen suojaus

    Henkilötiedot on suojattu asianmukaisin teknisin ja organisatorisin toimenpitein: kaikki tietoliikenne on TLS-salattua, tiedot tallennetaan pääsynvalvottuihin tietokantoihin (Postgres Row-Level Security), salasanat tallennetaan vain hash-muodossa, ja pääsy tuotantojärjestelmiin on rajattu nimettyihin henkilöihin ja vaatii vahvan tunnistautumisen. Tietoturvapoikkeamat dokumentoidaan ja ilmoitamme niistä lain edellyttämällä tavalla.

    11. Automaattinen päätöksenteko

    Hoivapolun kartoitus tuottaa hoitosuunnitelmaehdotuksen sääntöpohjaisesti antamiesi vastausten perusteella. Tämä ei ole GDPR 22 artiklan tarkoittamaa, oikeusvaikutuksia tuottavaa automaattista päätöksentekoa eikä lääketieteellinen arvio. Lopullisen päätöksen palveluiden valinnasta tekee aina käyttäjä itse.

    12. Alaikäiset

    Palvelu on suunnattu täysi-ikäisille omaisille ja palveluntuottajille. Emme tietoisesti kerää tietoja alle 16-vuotiailta. Jos huomaat, että alaikäinen on antanut meille henkilötietoja ilman huoltajan suostumusta, ota yhteyttä, niin poistamme tiedot.

    13. Selosteen muutokset

    Päivitämme tätä selostetta palvelun kehittyessä ja lainsäädännön muuttuessa. Olennaisista muutoksista ilmoitetaan palvelussa ja rekisteröityjen sähköpostiin silloin, kun se on perusteltua. Viimeisin päivityspäivä ja versionumero on merkitty selosteen alkuun.

    Tietosuojakysymyksissä ota yhteyttä: timo@hoivapolku.fi. Vastaamme arkisin viiden työpäivän kuluessa.

    Evästeasetukset

    Käytämme evästeitä palvelun toiminnan varmistamiseen, käytön analysointiin ja mahdolliseen markkinointiin. Voit hyväksyä kaikki evästeet, sallia vain välttämättömät tai muokata asetuksia.

    Tietosuojaseloste·Evästekäytäntö