Tietosuojaseloste
Päivitetty: 2026-04-17
Versio 2.0 · Voimassa 17.4.2026 alkaen
Yleiskuvaus
Tämä tietosuojaseloste kuvaa, miten Stratospheric Cloud Oy (Viran) käsittelee henkilötietoja ja luottamuksellista aineistoa verkkosivustollaan ja palveluissaan Viran Bid Team ja Viran Review. Käsittelyn roolit (rekisterinpitäjä / käsittelijä) vaihtelevat palvelun mukaan, ja ne on kuvattu alla erikseen jokaisen palvelun kohdalla.
Rekisterinpitäjä ja yhteyshenkilö
Stratospheric Cloud Oy (Viran). Y-tunnus 3520574-3. ALV-tunnus FI35205743. Osoite: Turvalaaksonkuja 2 A, 01740 Vantaa. Tietosuoja-asioista vastaa: aaro@viran.ai.
1. Verkkosivusto ja yhteydenotot
Rooli: Rekisterinpitäjä
Käsittelyn tarkoitukset: Verkkosivuston tarjoaminen, yhteydenottopyyntöjen käsittely, demotapaamisten sopiminen, asiakassuhteen luominen ja markkinointi oikeutetun edun perusteella.
Käsiteltävät tiedot: Yhteydenottolomakkeen kautta: nimi, sähköposti, organisaatio, rooli, viestin sisältö. Demovarauksen yhteydessä Outlook Bookings: nimi, sähköposti, ajankohta. Evästeillä analytiikkaan: sivulatauksia, selaintyyppiä, anonymisoituja käyttömetriikoita (vain käyttäjän suostumuksella).
Oikeusperuste: Sopimuksen valmistelu (GDPR 6.1.b), oikeutettu etu (6.1.f) B2B-markkinoinnissa, suostumus (6.1.a) analytiikkaevästeille.
Säilytysaika: Yhteydenottopyynnöt: 24 kuukautta viimeisestä yhteydestä. Demovaraukset: 12 kuukautta. Analytiikkatiedot: 26 kuukautta tai kunnes käyttäjä peruuttaa suostumuksen.
2. Viran Bid Team -palvelu (tarjoajille)
Rooli: Rekisterinpitäjä asiakkaan yhteyshenkilöiden osalta. Käsittelijä asiakkaan luottamuksellisen aineiston (hinnoittelu, referenssit, alihankkijoiden IP) osalta.
Käsittelyn tarkoitukset: Hankintailmoitusten soveltuvuusarviointi asiakkaan profiiliin nähden, viikkokatsauksen tuottaminen, tarjousasiakirjojen valmistelu, hintasimulaatio, asiakkaan laskutus ja yhteydenpito.
Käsiteltävät tiedot: Asiakkaan osalta: yhteyshenkilöiden yhteystiedot, yritysprofiili, referenssit, hinnoittelu, tarjouspyyntöaineisto (mukaan lukien alihankkijoiden ja järjestelmäkumppaneiden immateriaalioikeuksin suojattu materiaali). Julkisesta datasta: Hilma- ja Tarjouspalvelu-ilmoitukset, hankintapäätökset (ei henkilötietoja).
Oikeusperuste: Sopimus asiakkaan kanssa (GDPR 6.1.b). Asiakkaan luottamuksellisen aineiston osalta noudatamme sopimusehtoja ja asiakkaan ohjeita käsittelijänä (GDPR 28).
Säilytysaika ja palautus: Asiakkaan aineisto säilytetään sopimuksen voimassaoloajan sekä laskutukseen liittyvä aineisto kirjanpitolain mukaisesti. Sopimuksen päättyessä palautamme asiakkaan aineistot ja poistamme ne järjestelmistämme 90 päivän kuluessa.
3. Viran Review -palvelu (hankintayksiköille)
Rooli: Käsittelijä. Hankintayksikkö on rekisterinpitäjä sen käsittelemien hankinta-asiakirjojen ja niihin liittyvien henkilötietojen osalta.
Käsittelyn tarkoitukset: Hankintayksikön toimittamien hankinta-asiakirjojen älykäs tarkistus: liitteiden viittaukset, vertailuperusteiden laskenta, päivämäärien johdonmukaisuus, sisäiset viittaukset. Havaintojen tuottaminen ja raportointi.
Käsiteltävät tiedot: Hankintayksikön toimittamat hankinta-asiakirjat ja niistä mahdollisesti paljastuvat henkilötiedot (esim. virkamiesten nimet). Asiakkaan yhteyshenkilöiden yhteystiedot.
Oikeusperuste: Toimeksianto ja käsittelysopimus (GDPR 28 artikla). Tarjoamme tietojenkäsittelysopimuksen (DPA) jokaisen Viran Review -sopimuksen liitteeksi.
Säilytysaika: Hankintayksikön ohjeen mukaisesti. Oletusarvo: aineisto palautetaan ja poistetaan käsittelyn päätyttyä 30 päivän kuluessa, ellei toisin sovita.
Alihankkijat
Käytämme seuraavia alihankkijoita tietojen käsittelyssä. Jokaisen alihankkijan kanssa on voimassa GDPR 28 artiklan mukainen sopimus ja tarvittaessa vakiosopimuslausekkeet (SCC) EU:n ulkopuolisiin siirtoihin.
| Alihankkija | Tarkoitus | Sijainti |
|---|---|---|
| Vercel Inc. | Verkkosivuston isännöinti ja sisällönjakeluverkko | Yhdysvallat (SCC) |
| Supabase Inc. | Tietokantapalvelu verkkosivuston sisällölle | EU (Frankfurt) |
| Resend Inc. | Yhteydenottolomakkeen sähköpostien välitys | Yhdysvallat (SCC, DPA) |
| PostHog Inc. | Evästesuostumuksella kerättävä käyttöanalytiikka | EU (posthog.eu) |
| Microsoft Ireland Operations Ltd. | Sähköposti (@viran.ai), Teams-tapaamiset, Outlook Bookings demovarauksille | EU (Irlanti) |
| Anthropic PBC | Viran Bid Team -palvelun sisäinen tekoälypohjainen analyysi (ei asiakastietojen tallennusta mallin koulutuksessa) | Yhdysvallat (SCC, zero data retention -asetukset käytössä) |
| Cloudia / Tarjouspalvelu | Julkisten tarjouspyyntöaineistojen noutaminen. Pääsy tapahtuu joko julkisilla tiedoilla tai asiakkaan erillisluvalla asiakkaan omilla tunnuksilla. | EU |
Siirrot EU/ETA-alueen ulkopuolelle
Osa alihankkijoistamme sijaitsee Yhdysvalloissa. Näihin siirtoihin sovelletaan EU:n komission hyväksymiä vakiosopimuslausekkeita (SCC) ja tarvittaessa täydentäviä suojatoimia. Kaikki luottamuksellinen asiakasaineisto pidetään EU-alueella olevissa järjestelmissä siltä osin kuin se on teknisesti mahdollista.
Tietoturvakäytännöt
Sovellamme asianmukaisia teknisiä ja organisatorisia suojatoimia, mukaan lukien pääsynhallinta, salaus siirron ja levossa olevan datan osalta, käyttölokit sekä säännölliset varmuuskopiot. Palvelun toimintaperiaatteet on kuvattu erillisessä tietoturvakuvauksessa, jonka toimitamme pyynnöstä. Noudatamme ISO/IEC 27001 -standardin periaatteita soveltuvin osin.
Tietojenkäsittelysopimus (DPA): Tarjoamme tietojenkäsittelysopimuksen (DPA) jokaiselle asiakkaalle sopimuksen liitteeksi. Pyydä toimitus osoitteesta aaro@viran.ai.
Rekisteröidyn oikeudet
Sinulla on seuraavat GDPR-pohjaiset oikeudet henkilötietojesi osalta:
- Oikeus saada pääsy tietoihin (GDPR 15 artikla)
- Oikeus tietojen oikaisemiseen (16 artikla)
- Oikeus tietojen poistamiseen (17 artikla)
- Oikeus käsittelyn rajoittamiseen (18 artikla)
- Oikeus tietojen siirtämiseen (20 artikla)
- Oikeus vastustaa käsittelyä (21 artikla)
- Oikeus tehdä valitus valvontaviranomaiselle
Voit käyttää oikeuksiasi ottamalla yhteyttä osoitteeseen: aaro@viran.ai
Valvontaviranomainen
Tietosuojavaltuutetun toimisto, Lintulahdenkuja 4, 00530 Helsinki. Verkko: tietosuoja.fi.
Muutoshistoria
17.4.2026, Versio 2.0: Kolmen palvelulinjan rakenne (sivusto, Bid Team, Review). Alihankkijoiden luettelo päivitetty ja laajennettu. DPA- ja tietoturvakuvauskäytännöt lisätty.