LUPAPISTE TIETOSUOJASELOSTE

1. REKISTERINPITÄJÄ JA YHTEYSTIEDOT

Cloudpermit Oy (Y-tunnus: 2795153–5) Osoite: Salomonkatu 17 A, 00100 Helsinki

Sähköposti: tuki@lupapiste.fi Puhelin: 0207 88 9000

Tietosuojavastaava: Niina Syrjärinne

Sähköposti: niina.syrjarinne@cloudpermit.com

2. REKISTERINPITÄJÄN ja HENKILÖTIETOJEN KÄSITTELIJÄN ROOLI

Cloudpermit Oy

Cloudpermit Oy toimii henkilötietojen käsittelijänä kuntien ja kaupunkien puolesta Lupapiste -palvelussa ja Lupapiste Kaupassa lupaprosesseihin liittyvien henkilötietojen osalta. Cloudpermit Oy toimii rekisterinpitäjänä Lupapiste-palvelun käyttäjäprofiilien ja käyttölokitietojen osalta.

Kunnat ja kaupungit

Kunnat ja kaupungit ovat rekisterinpitäjiä rakennuslupaprosesseihin liittyvien henkilötietojen osalta. Tämä tarkoittaa, että ne vastaavat henkilötietojesi käsittelystä ja lainmukaisuudesta myös silloin, kun näitä tietoja käsitellään Lupapiste-palvelussa tai Lupapiste Kaupassa.

Tässä tietosuojaselosteessa kerrotaan henkilötietojesi käsittelystä Cloudpermit Oy:n tarjoaman Lupapiste-palvelun käyttäjäprofiilien ja käyttölokitietojen osalta. Mikäli haluat tietää henkilötietojesi käsittelystä kunnan tai kaupungin rakennuslupaprosessissa, olethan yhteydessä kyseiseen kuntaan tai kaupunkiin.

3. HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA OIKEUSPERUSTA

3.1 Käyttäjäprofiili

Käsittelyn tarkoitus:

• Käyttäjätunnuksen luominen ja ylläpito
• Käyttäjän tunnistaminen palvelussa
• Tietojen kopioiminen lupaprosesseihin käyttäjän toimesta
• Palvelun tarjoaminen käyttäjälle

Oikeusperusta: Henkilötietojen käsittely perustuu sopimukseen käyttäjän ja Cloudpermit Oy:n välillä (GDPR 6 artikla 1 kohta b).

3.2 Käyttöloki

Käsittelyn tarkoitus:

• Palvelun teknisen toimivuuden varmistaminen
• Tietoturvaloukkausten havaitseminen ja selvittäminen
• Sopimusvelvoitteiden noudattamisen valvonta
• Palvelun kehittäminen

Oikeusperusta: Henkilötietojen käsittely perustuu rekisterinpitäjän oikeutettuun etuun huolehtia sopimusvelvoitteidensa noudattamisesta sekä palvelun turvallisuudesta ja teknisestä toimivuudesta (GDPR 6 artikla 1 kohta f).

4. KÄSITELTÄVÄT HENKILÖTIEDOT JA TIETOLÄHTEET

4.1 Käyttäjäprofiili

Käsiteltävät tiedot:

• Nimi
• Osoite
• Henkilötunnus
• Puhelinnumero
• Sähköpostiosoite
• Salasana (salattu)

Käsiteltävät tiedot rakennusalan ammattilaisten osalta: tieto ammattilaisuudesta, ansioluettelo, tutkintotodistukset ja pätevyyteen liittyvät todistukset, jotka sisältävät henkilön työhistorian sekä ammattipätevyyteen liittyvät henkilötiedot.

Tietolähteet:

• Käyttäjä syöttää itse nimen, osoitteen, sähköpostiosoitteen ja puhelinnumeron palveluun rekisteröityessään sekä luo itselleen salasanan.
• Rekisteröitymisen yhteydessä osa henkilötiedoista (nimi, henkilötunnus, osoite) saadaan Suomi.fi-tunnistautumisen yhteydessä Digi- ja väestötietoviraston väestötietojärjestelmästä käyttäjän suostumuksella.
• Rakennusalan ammattilaiset syöttävät ammattitietonsa (tieto ammattilaisuudesta, FISE-pätevyys) itse palveluun ja henkilö itse lataa ansioluettelon ja tutkintotodistukset sekä muita pätevyyteen liittyviä todistuksia.

4.2 Käyttöloki

Käsiteltävät tiedot:

• Käyttäjätunnus
• IP-osoite
• Kirjautumisajankohta
• Palvelun käyttöön liittyvät toiminnot (esim. asiakirjojen lataaminen, muokkaaminen, poistaminen, lupahakemusten käsittely)
• Istunnon kesto
• Käytetty selain ja laite

Tietolähde: Tiedot kerätään automaattisesti palvelun käytön yhteydessä.

4.3 Chatbot

Lupapisteen palvelussa on käytössä asiakaspalvelun tukena chatbot, joka ohjeistaa asiakasta olemaan syöttämättä henkilötietoja botille. Asiakas voi kuitenkin halutessaan antaa chatbotille omia henkilötietojaan. Näiden henkilötietojen osalta Lupapiste toimii rekisterinpitäjänä ja käsittelee tietoja asiakaspalvelun toteuttamiseksi. Asiakkaan syöttämät tiedot poistuvat kuuden kuukauden kuluessa.

5. HENKILÖTIETOJEN VASTAANOTTAJAT JA LUOVUTUKSET

Henkilötietoja voidaan luovuttaa seuraavissa tilanteissa:

Palveluntarjoajat: Cloudpermit Oy käyttää toiminnassaan IT-palveluntarjoajia ja konesalipalveluntarjoajia, jotka voivat käsitellä henkilötietoja Cloudpermit Oy:n lukuun. Nämä toimijat toimivat henkilötietojen käsittelijöinä ja ovat sopimussuhteessa Cloudpermit Oy:n kanssa.

Viranomaiset: Tietoja voidaan luovuttaa viranomaisille lainsäädännön edellyttämissä tilanteissa.

Lupaprosessit: Käyttäjän syöttäessä tietojaan lupahakemuksiin tiedot siirtyvät kunnan tai kaupungin rekisteriin, jossa kunta tai kaupunki toimii rekisterinpitäjänä.

6. TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE

Henkilötietoja voidaan siirtää EU- tai ETA-alueen ulkopuolelle rajoitetuissa tilanteissa, esimerkiksi käytettäessä pilvipalveluja tai teknistä tukea. Tiedonsiirrot toteutetaan EU:n yleisen tietosuoja-asetuksen V luvun mukaisesti käyttäen seuraavia suojatoimia:

• EU-US Data Privacy Framework -päätös niiden yhdysvaltalaisten yritysten osalta, jotka ovat sitoutuneet kyseiseen kehykseen: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en
• EU:n komission hyväksymät mallisopimuslausekkeet (Standard Contractual Clauses): https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

7. HENKILÖTIETOJEN SÄILYTYSAIKA

Käyttäjäprofiili: Käyttäjäprofiilin tietoja säilytetään niin kauan kuin käyttäjätili on aktiivisessa käytössä. Käyttäjä voi poistaa tilinsä milloin tahansa, jolloin tiedot poistetaan, ellei niiden säilyttämiseen ole lakisääteistä velvoitetta.

Käyttöloki: Käyttölokitietoja säilytetään pääsääntöisesti seitsemän (7) vuoden ajan lokimerkinnän syntymisestä. Tietoturvaloukkausten selvittämiseen liittyvät lokitiedot voidaan säilyttää pidempään, jos se on tarpeen oikeudellisten vaatimusten täyttämiseksi.

8. AUTOMAATTINEN PÄÄTÖKSENTEKO JA PROFILOINTI

Lupapiste-palvelussa ei suoriteta automaattista päätöksentekoa eikä profilointia GDPR 22 artiklan tarkoittamalla tavalla.

9. TURVAKIELTOASIAKKAIDEN HENKILÖTIETOJEN KÄSITTELY

Lupapiste-palvelu ei automaattisesti tarkista tai rajoita turvakiellossa olevien henkilöiden tietojen käsittelyä. Jos turvakiellossa oleva henkilö turvakiellosta huolimatta syöttää henkilötietonsa palveluun, hänen tietojaan käsitellään samalla tavalla kuin muidenkin käyttäjien tietoja tämän tietosuojaselosteen mukaisesti.

Turvakiellossa olevien henkilöiden tulee huomioida, että heidän tietojensa syöttäminen Lupapiste-palveluun voi johtaa tietojen näkymiseen lupaprosesseissa ja asiakirjoissa, jotka voivat olla julkisia tai luovutettavissa kolmansille osapuolille viranomaistoiminnan yhteydessä. Turvakiellossa olevien henkilöiden suositellaan ottavan yhteyttä asianomaisen kunnan tai kaupungin viranomaiseen ennen tietojen syöttämistä palveluun.

Mikäli sinulla on turvakielto, älä syötä henkilötietojasi Lupapisteeseen. Turvakieltoasiakkaiden asiointia Lupapisteessä koskeva ohje löytyy täältä.

10. TIETOTURVATOIMENPITEET

Cloudpermit Oy on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi luvattomalta pääsyltä, muuttamiselta, luovuttamiselta, tuhoutumiselta ja häviämiseltä. Tietoturvatoimenpiteet sisältävät muun muassa:

• Pääsynhallinta: Henkilötietoihin on pääsy vain niillä henkilöillä, joilla on työtehtäviensä puolesta siihen oikeus
• Salaus: Henkilötiedot salataan siirron ja tallennuksen aikana asianmukaisilla salauskäytännöillä
• Käyttäjätunnistus: Palveluun kirjautuminen edellyttää vahvaa tunnistautumista
• Lokiseuranta: Järjestelmän käyttöä seurataan lokitietojen avulla
• Tietoturvapoikkeamien hallinta: Käytössä on prosessit tietoturvaloukkausten havaitsemiseksi ja niihin reagoimiseksi
• Henkilöstön koulutus: Henkilötietoja käsittelevä henkilöstö on koulutettu tietosuojaan ja tietoturvaan
• Säännölliset tarkastukset: Tietoturvatoimenpiteiden tehokkuutta arvioidaan ja testataan säännöllisesti

Tietoturvatoimenpiteitä päivitetään jatkuvasti vastaamaan teknologian kehitystä ja tunnistettuja riskejä.

11. Evästeet ja vastaavat teknologiat

Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan käyttäjän selaimeen. Käytämme sivustollamme ainoastaan sellaisia evästeitä, jotka ovat teknisesti välttämättömiä sivuston ja palvelun toiminnan kannalta. Näitä ovat esimerkiksi evästeet, joita tarvitaan istunnon ylläpitämiseen sekä palvelun turvallisuuden varmistamiseen. Käyttämämme välttämättömät evästeet ovat seuraavia:

• Istuntoevästeet (_HOST-lupapistunto): mahdollistavat palvelussa liikkumisen ja kirjautuneen istunnon ylläpitämisen. Eväste poistuu, kun selain suljetaan.
• Turvallisuusevästeet (esim. anti-csrf-token): estävät väärinkäytöksiä ja varmistavat lomake- ja pyyntöliikenteen turvallisuuden.

Koska käytämme vain tällaisia välttämättömiä evästeitä, emme pyydä niihin erillistä suostumusta. Evästeiden käyttö perustuu oikeutettuun etuun ja palvelun tarjoamisen välttämättömyyteen (ePrivacy-direktiivi ja tietosuojalainsäädäntö).

Voit halutessasi estää evästeiden käytön selaimesi asetuksista. Huomaathan kuitenkin, että välttämättömien evästeiden poistaminen tai estäminen saattaa vaikuttaa palvelun toimivuuteen.

12. REKISTERÖIDYN OIKEUDET

Sinulla on seuraavat oikeudet henkilötietojesi käsittelyyn liittyen:

12.1 Tarkastusoikeus (GDPR 15 artikla)

Sinulla on oikeus saada tieto siitä, käsitelläänkö henkilötietojasi, ja jos käsitellään, oikeus saada pääsy henkilötietoihisi sekä jäljennös käsiteltävistä henkilötiedoista.

12.2 Oikeus tietojen oikaisemiseen (GDPR 16 artikla)

Sinulla on oikeus vaatia, että virheelliset tai epätarkat henkilötietosi oikaistaan ilman aiheetonta viivytystä. Voit päivittää käyttäjäprofiilisi tietoja suoraan palvelussa.

12.3 Oikeus tietojen poistamiseen (GDPR 17 artikla)

Sinulla on oikeus vaatia henkilötietojesi poistamista tietyissä tilanteissa, esimerkiksi kun tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin, tai kun peruutat suostumuksesi.

12.4 Oikeus käsittelyn rajoittamiseen (GDPR 18 artikla)

Sinulla on oikeus vaatia henkilötietojesi käsittelyn rajoittamista tietyissä tilanteissa, esimerkiksi kun kiistät henkilötietojesi paikkansapitävyyden.

12.5 Vastustamisoikeus (GDPR 21 artikla)

Sinulla on oikeus vastustaa henkilötietojesi käsittelyä, kun käsittely perustuu oikeutettuun etuun. Cloudpermit Oy voi kuitenkin jatkaa käsittelyä, jos sillä on osoittaa huomattavan tärkeät ja perusteltavat syyt käsittelyyn, jotka syrjäyttävät sinun etusi.

12.6 Oikeus siirtää tiedot järjestelmästä toiseen (GDPR 20 artikla)

Sinulla on oikeus saada henkilötietosi jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää tiedot toiselle rekisterinpitäjälle.

12.7 Oikeus tehdä valitus valvontaviranomaiselle (GDPR 77 artikla)

Sinulla on oikeus tehdä valitus valvontaviranomaiselle, jos katsot, että henkilötietojesi käsittely rikkoo tietosuoja-asetusta.

Tietosuojavaltuutetun toimisto: Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki

Puh: 029 566 6700 Sähköposti: tietosuoja@om.fi Verkkosivut: www.tietosuoja.fi

12.8 Oikeuksien käyttäminen

Voit käyttää oikeuksiasi ottamalla yhteyttä rekisterinpitäjään edellä mainittuihin yhteystietoihin. Pyydämme sinua esittämään pyyntösi kirjallisesti ja todistamaan henkilöllisyytesi. Vastaamme pyyntöösi mahdollisimman nopeasti ja pääsääntöisesti kuukauden kuluessa pyynnön vastaanottamisesta.

Tämä tietosuojaseloste on päivitetty 13.1.2026.