Tietosuojaseloste
Päivitetty 17.6.2026 · EU:n yleinen tietosuoja-asetus (GDPR) 13–14 artikla
Tämä seloste kuvaa, miten Caneron käsittelee henkilötietoja. Ennen palvelun
laajaa julkaisua maksaville asiakkaille suosittelemme, että juristi tarkistaa selosteen.
1. Rekisterinpitäjä
Caneron (toiminimi)
Y-tunnus: 3632581-9
Tietosuoja-asioiden yhteyssähköposti: leo.a.rasanen@gmail.com
2. Mitä henkilötietoja käsittelemme
- Tilitiedot: sähköpostiosoite, salasanan tiiviste (bcrypt — emme näe salasanaasi), tilin luontiaika, tilauksen tila.
- Yritysprofiili: yrityksen nimi, Y-tunnus, toimiala, CPV-koodit, paikkakunta, toiminta-alueet, henkilöstömäärä, liikevaihto, erityisosaaminen, referenssit.
- Lataamasi liiteaineisto: hankintojen liitetiedostoista poimittu teksti, jonka lataat itse palveluun (esim. Cloudia Tarjouspalvelusta, johon sinulla on tarjoajana laillinen pääsy). Tallennamme vain tekstin — emme alkuperäisiä tiedostoja. Voit poistaa aineiston milloin tahansa.
- Kysymykset ja muistiinpanot: hankinnoista esittämäsi kysymykset (chat) ja tiimin jaetut muistiinpanot.
- Käyttötiedot: profiilillesi haetut tarjouspyynnöt, niiden tilamerkinnät (tarjottu/voitettu/hävitty) sekä tekoälykäytön määrä (token-tilasto seurantaa ja kulurajaa varten).
Emme käsittele erityisiä henkilötietoryhmiä (arkaluonteisia tietoja). Pyydämme, ettet lataa liiteaineistoon arkaluonteisia henkilötietoja.
3. Käsittelyn tarkoitus ja oikeusperuste
- Palvelun tuottaminen (hankintojen haku, pisteytys, tarjousluonnokset, ilmoitukset) — oikeusperuste: sopimuksen täytäntöönpano (GDPR 6 art. 1 b).
- Sähköposti-ilmoitukset ja -muistutukset — oikeusperuste: sopimus; voit kytkeä ne pois profiilisi asetuksista.
- Palvelun turvallisuus ja väärinkäytön esto — oikeusperuste: oikeutettu etu (6 art. 1 f).
Kun käsittelet palvelussa oman yrityksesi tai asiakasyrityksen tietoja,
Caneron toimii näiden tietojen osalta henkilötietojen käsittelijänä
ja sinä (tai yrityksesi) rekisterinpitäjänä. Tilitietojesi osalta Caneron on
rekisterinpitäjä.
4. Tietojen vastaanottajat ja alikäsittelijät
Käytämme seuraavia luotettuja alikäsittelijöitä palvelun toteuttamiseen:
- Anthropic, PBC (tekoälypisteytys ja -analyysi, Claude API) — yritysprofiili, tarjouspyynnön tiedot ja lataamasi liiteteksti lähetetään analysoitavaksi. Sijainti: Yhdysvallat. Siirron suoja: EU:n vakiosopimuslausekkeet (SCC) osana Anthropicin tietojenkäsittelysopimusta (DPA). Anthropic ei käytä rajapinnan kautta lähetettyä dataa mallien koulutukseen.
- Supabase (tietokanta) — kaikki yllä mainittu data tallennetaan. Sijainti: EU (AWS, Irlanti / eu-west-1).
- Render (sovelluspalvelin / hosting) — palvelun ajo. Sijainti: tällä hetkellä Yhdysvallat (Oregon); siirron suoja SCC. Palvelin ollaan siirtämässä EU-alueelle.
- Resend (sähköpostien lähetys) — sähköpostiosoitteesi ilmoitus- ja palautusviestien toimittamiseksi. Sijainti: Yhdysvallat; siirron suoja SCC.
Emme myy emmekä luovuta henkilötietojasi kolmansille markkinointitarkoituksiin.
5. Tietojen siirto EU:n ulkopuolelle
Osa alikäsittelijöistämme (Anthropic, Resend ja toistaiseksi Render) sijaitsee
Yhdysvalloissa. Näihin siirtoihin sovelletaan Euroopan komission hyväksymiä
vakiosopimuslausekkeita (SCC), jotka takaavat GDPR:n mukaisen suojan tason.
Tietokanta (Supabase) sijaitsee EU-alueella.
6. Säilytysaika
Säilytämme tietojasi niin kauan kuin tilisi on voimassa. Kun poistat tilisi,
kaikki henkilötietosi (profiilit, referenssit, tarjouspyynnöt, liiteaineisto,
kysymykset ja generoidut dokumentit) poistetaan pysyvästi. Voit poistaa tilisi
itse asetuksista.
7. Oikeutesi rekisteröitynä
Sinulla on GDPR:n mukaan oikeus:
- saada pääsy tietoihisi ja saada niistä kopio — palvelussa: Lataa kaikki tietoni;
- oikaista virheelliset tiedot — muokkaa profiiliasi asetuksista;
- tulla unohdetuksi (poistaa tietosi) — poista tilisi asetuksista;
- siirtää tietosi (saat ne koneluettavana JSON-tiedostona);
- vastustaa tai rajoittaa käsittelyä;
- tehdä valitus valvontaviranomaiselle: tietosuojavaltuutetun toimisto, tietosuoja.fi.
8. Evästeet
Käytämme vain palvelun toiminnan kannalta välttämättömiä evästeitä:
kirjautumissession ylläpito ja CSRF-suojaus. Emme käytä seuranta-, mainos- tai
analytiikkaevästeitä, joten erillistä evästesuostumusta ei tarvita.
9. Tietoturva
Salasanat tallennetaan vain bcrypt-tiivisteenä. Yhteydet salataan (HTTPS).
Istunto- ja CSRF-evästeet ovat HttpOnly-, SameSite- ja Secure-suojattuja.
Tietokannassa on rivitason käyttöoikeudet (RLS) päällä, ja jokainen käyttäjä
näkee vain omat tietonsa.
10. Muutokset tähän selosteeseen
Voimme päivittää selostetta palvelun kehittyessä. Merkittävistä muutoksista
ilmoitamme palvelussa tai sähköpostitse.