1. Yleistä
ReceiptHero-kuittiekosysteemin (”ReceiptHero”) kehittäjänä suhtaudumme asianmukaisella huolellisuudella henkilötietojen käsittelyyn.

Käsittelemme henkilötietoja Suomessa voimassa olevan tietosuojalainsäädännön mukaisesti. Edellytämme samaa myös kumppaneiltamme (”Kumppanit”), kuten sähköisiä kuitteja tuottavilta elinkeinonharjoittajilta (”Elinkeinonharjoittajat”) sekä sähköisiä kuitteja käsitteleviltä sovelluskehittäjiltä (”Sovelluskehittäjät”, sovellustensa osalta ”Kumppanisovellukset”). Lista Kumppaneistamme on saatavilla ReceiptHeron verkkosivuilta (https:// getreceipthero.com/).

ReceiptHeroa voivat käyttää sekä yksityiset kuluttajat ("Kuluttajat") että yritysasiakkaat edustajineen ("Yritysasiakkaat") rekisteröitymällä palveluumme verkkosivujemme kautta tai solmimalla kanssamme erillisen sopimuksen. Kukin Yritysasiakas ja Kuluttaja (jäljempänä myös "Loppukäyttäjä") on sopimussuhteessa ReceiptHeroon.

Lisäksi Sovelluskehittäjä voi halutessaan pyytää ReceiptHeroa käsittelemään myös niiden Sovelluskehittäjän asiakkaiden sähköisiä kuitteja ja muita tietoja ("Sovelluskehittäjän Asiakkaat"), jotka eivät ole sopimussuhteessa ReceiptHeroon. Tarkempaa tietoa tästä saat kyseisen Sovelluskehittäjän omista palvelukanavista.

Tämän tietosuojakäytännön tarkoituksena on kertoa avoimesti ja kootusti henkilötietojen käsittelystä ReceiptHeron yhteydessä. Tämä tietosuojakäytäntö on julkaistu 10.05.2017 ja ReceiptHeron käyttöehtojen mukaisesti sitä voidaan päivittää. Viimeisin päivitys on tehty 22.4.2020.

2. Mikä on ReceiptHero ja miten se toimii?
ReceiptHero mahdollistaa sähköisten kuittien tarjoamisen ja niiden välittämisen eri toimijoiden välillä. ReceiptHeron tavoitteena on vähentää paperisten kuittien määrää ja mahdollistaa sähköisiin kuitteihin perustuvaa liiketoimintaa. ReceiptHero mahdollistaa erityisesti seuraavaa:

1. Elinkeinonharjoittaja voi tuottaa sähköisiä kuitteja, jotka välitämme Loppukäyttäjillemme ja Sovelluskehittäjien Asiakkaille tämän tietosuojakäytännön ja sopimusehtojemme mukaisesti.

2. Sovelluskehittäjä voi tarjota ReceiptHeron välittämien sähköisten kuittien tarkastelupalveluita sekä tuottaa sähköisiin kuitteihin perustuvia lisäarvopalveluita, kuten kuittien välittämisen suoraan kirjanpito-ohjelmistoon.

3. Elinkeinonharjoittajat ja Sovelluskehittäjät voivat lisätä sähköisille kuiteille tai muutoin lähettää ReceiptHeron avustuksella erilaisia markkinointiviestejä näytettäväksi Loppukäyttäjille kulloinkin voimassa olevan markkinointilainsäädännön puitteissa. Jos Sovelluskehittäjän kanssa on niin sovittu, tällaisia markkinointiviestejä voidaan lisätä myös Sovelluskehittäjän Asiakkaita koskeville sähköisille kuiteille.

4. ReceiptHero voi tuottaa Elinkeinonharjoittajalle anonyymissä tilastomuodossa olevaa tietoa kyseisen Elinkeinonharjoittajan luona asioineista Loppukäyttäjistä, kuitenkin aina sellaisessa muodossa, ettei yksittäisiä Loppukäyttäjiä ole mahdollista tunnistaa. Jos Sovelluskehittäjän kanssa on niin sovittu, tällaisia tietoja voidaan tuottaa myös Sovelluskehittäjän Asiakkaiden kuiteista.

ReceiptHeron toiminta perustuu siihen, että maksukorttitietojen tai muun henkilökohtaisen tunnisteen (esim. sähköpostiosoite) avulla pystymme (i) luotettavasti tunnistamaan Loppukäyttäjiemme tai Sovelluskehittäjän Asiakkaiden sähköiset kuitit ReceiptHeroa hyödyntävien Elinkeinonharjoittajien toimittamien muiden sähköisten kuittien joukosta, (ii) tallentamaan ne palveluumme, johon Loppukäyttäjät pääsevät kirjautumaan verkkosivujemme kautta, sekä (iii) välittämään ne eteenpäin Loppukäyttäjän tai Sovelluskehittäjän Asiakkaiden osalta Sovelluskehittäjän kanssa sovitulla tavalla, ellei sähköisen kuitin tuottanut Elinkeinonharjoittaja ole erikseen kieltänyt sähköisen kuitin välittämistä tiettyihin Kumppanisovelluksiin. Loppukäyttäjämme näkevät ReceiptHeron avulla välitetyt sähköiset kuitit palvelussamme, johon voit kirjautua verkkosivujemme kautta, sekä tietyissä Kumppanisovelluksissa.

ReceiptHeron toiminnan luonteen vuoksi käsittelemme suuria määriä sähköisiä kuitteja sekä maksukortti- ja muita henkilötietoja. Jos Elinkeinonharjoittajan meille toimittama sähköinen kuitti ei koske Loppukäyttäjäämme tai Sovelluskehittäjän Asiakasta (jäljempänä "Elinkeinonharjoittajan Muut Asiakkaat"), poistamme kyseisen kuitin pysyvästi viiden (5) arkipäivän kuluessa sen saatuamme ja sitä sen enempää käsittelemättä. Omia Loppukäyttäjiämme koskevia kuitteja käsittelemme sopimusehtojemme ja tämän tietosuojakäytännön mukaisesti. Sovelluskehittäjän Asiakkaita koskevat kuitit välitämme eteenpäin Sovelluskehittäjän kanssa sovitulla tavalla. Toimimme rekisterinpitäjinä vain omia Loppukäyttäjiämme koskevien tietojen osalta, ja vastaavasti käsittelijöinä Sovelluskehittäjän Asiakkaita sekä Elinkeinonharjoittajan Muita Asiakkaita koskeville tiedoille.

Huomioithan vielä, että vaikka Elinkeinonharjoittajien tuottamat sähköiset kuitit ja sähköisiin kuitteihin liittyvät Sovelluskehittäjien palvelut perustuvat ReceiptHeron toimintaan ja sen välittämiin sähköisiin kuitteihin, Elinkeinonharjoittajat ja Sovelluskehittäjät ovat ReceiptHerosta itsenäisiä toimijoita ja vastaavat aina oman toimintansa lainmukaisuudesta. Elinkeinonharjoittaja vastaa siten siitä, että saat ostoksestasi kuitin ja Sovelluskehittäjä siitä, että sen tuottamat palvelut tuotetaan sinun ja Sovelluskehittäjän välisen sopimuksen mukaisesti. Suosittelemmekin, että tutustut huolellisesti Sovelluskehittäjän sekä Elinkeinonharjoittajan sopimusehtoihin ja tietosuojaa koskeviin käytänteisiin.

3. Millaisia tietoja käsittelemme ja mistä tiedot ovat peräisin?
ReceiptHeron toiminnan mahdollistamiseksi käsittelemme muun muassa seuraavia tietoja Loppukäyttäjistämme: nimi, sähköpostiosoite, sopimussuhdetta koskevat tiedot, palvelun käyttöä koskevat loki- ja muut vastaavat tekniset tiedot sekä maksukorttitiedot. Kumppaniemme ja Yritysasiakkaiden osalta saatamme käsitellä lisäksi laskutuksen ja sopimusvelvoitteiden täyttämisen kannalta tarpeellisia tietoja. Näitä tietoja saamme Loppukäyttäjiltä, Kumppaneilta ja Yritysasiakkailta sekä palvelumme lokitiedoista.

Sovelluskehittäjän Asiakkaiden osalta käsittelemme lähinnä Sovelluskehittäjän Asiakkaan maksukortilta ilmeneviä tietoja ja ne tiedot saamme suoraan Sovelluskehittäjältä.

Loppukäyttäjien ja Sovelluskehittäjien Asiakkaiden maksukorttien henkilökohtaiset tunnisteet (eli maksukortin ID/token) saamme luotettavalta maksupalvelun tuottajalta. Maksukortin tunnisteen avulla pystymme tunnistamaan Loppukäyttäjiä ja Sovelluskehittäjän Asiakkaita koskevat kuitit.

Osto- ja maksutapahtumien suhteen käsittelemme muun muassa seuraavia tietoja Loppukäyttäjiemme ja Sovelluskehittäjän Asiakkaiden osalta: myyjä yhteystietoineen, ostokset hintoineen ja veroineen, kuitinantoajankohta, kuitin arkistointitunnus/viite ja ostoksen yhteydessä käytetty maksukortti sekä muut kuitilta tavanomaisesti ilmenevät tiedot. Näitä tietoja saamme ReceiptHeroa hyödyntäviltä Elinkeinonharjoittajilta sekä maksupalveluntarjoajilta.

4. Mihin tarkoituksiin tietoja käytetään ja mikä on käsittelyn oikeusperusta?
ReceiptHeron Loppukäyttäjien kohdalla käsittelemme tietoja ReceiptHeron toiminnan mahdollistamiseksi (ks. tarkemmin kohta 2 yllä) sekä muiden sopimusvelvoitteidemme täyttämiseksi ja pitääksemme yhteyttä Loppukäyttäjiimme, Kumppaneihimme ja Yritysasiakkaisiimme. Tämä käsittely perustuu sopimukseen. Emme käsittele Loppukäyttäjiemme tietoja profilointia tai automaattista päätöksentekoa varten.

Käsittelemme tietoja jossain määrin myös suoramarkkinointitarkoituksiin. Käsittelyn perustana on tällöin oikeutettu etumme. Voimme lähettää esimerkiksi asiakasviestintää päivittääksemme tietojamme, sillä Loppukäyttäjillämme tulee aina olla ajantasainen tieto ReceiptHeroa hyödyntävistä Kumppaneista, jotta Loppukäyttäjämme voivat vaikuttaa tietojensa käsittelyyn (ks. tarkemmin kohta 7 alla).

Siltä osin kuin suoramarkkinointi edellyttää Loppukäyttäjän nimenomaista suostumusta, pyydämme sen ReceiptHeroon rekisteröitymisen yhteydessä ja se on peruttavissa milloin tahansa. Huomioithan kuitenkin, että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen, eikä estä meitä lähettämästä Loppukäyttäjillemme ReceiptHeron käyttämisen kannalta tarpeellisia tietoja tai tiedotteita.

Yritysasiakkaiden ja Kumppanien tietoja käsittelemme myös laskutustarkoituksiin, jolloin käsittely perustuu lakisääteisten velvoitteiden noudattamisen varmistamiseen.

Siltä osin kuin toimimme käsittelijöinä Sovelluskehittäjän Asiakkaiden henkilötiedoille, käsittelyn tarkoituksena ReceiptHeron sekä Sovelluskehittäjän toiminnan mahdollistaminen ja se perustuu Sovelluskehittäjän ja Sovelluskehittäjän Asiakkaan väliseen sopimukseen. Siltä osin kuin käsittelemme Elinkeinonharjoittajien Muita Asiakkaita koskevia kuitteja, tietojen käsittely perustuu Elinkeinonharjoittajien lakisääteisten velvoitteiden noudattamiseen tai oikeutettuun etuun. Lisätietoja Sovelluskehittäjien Asiakkaiden sekä Elinkeinonharjoittajan Muiden Asiakkaiden henkilötietojen käsittelystä saat kyseiseltä Sovelluskehittäjältä tai Elinkeinonharjoittajalta.

5. Kenelle tietojasi välitetään tai siirretään?
Välitämme sähköisiä kuitteja Kumppanisovelluksiimme sekä Loppukäyttäjiemme niin halutessa heidän henkilökohtaisiin viestintävälineisiinsä (kuten Loppukäyttäjän sähköpostiosoite tai Facebook Messenger -sovellus). Loppukäyttäjiämme sähköiset kuitit välitämme niihin Kumppanisovelluksiin, joissa Loppukäyttäjämme on aktivoinut ReceiptHeron sillä maksukortilla tai muulla henkilökohtaisella tunnisteella (esim. sähköpostiosoite), jota Loppukäyttäjä on hyödyntänyt kyseisen ostotapahtuman yhteydessä. Sovelluskehittäjän Asiakkaiden sähköiset kuitit välitämme niihin Kumppanisovelluksiin tai muihin sovelluksiin, joihin Sovelluskehittäjä on ohjeistanut meitä välittämään Sovelluskehittäjän Asiakkaiden sähköiset kuitit.

Lisäksi voimme toimittaa maksukorttitietoja luotettaville maksupalveluiden tuottajille ReceiptHeron toiminnan mahdollistamiseksi. Tämän myötä voimme tunnistaa Loppu- käyttäjiemme ja Sovelluskehittäjien Asiakkaiden sähköiset kuitit ja välittää ne eteenpäin edellä kuvatulla tavalla. Maksukorttitietojen käsittely tapahtuu PCI DSS -standardin mukaisesti.

Käsittelemme henkilötietoja myös kolmansien osapuolten tarjoamien palveluiden avulla. Hyödynnämme esimerkiksi Loppukäyttäjien hallinnointiin ja heille suuntautuvaan viestintään kolmansien osapuolten asiakastietojärjestelmiä. Käsittelemiemme tietojen tallentamiseen ja varmuuskopiointiin hyödynnämme vastaavasti kolmansien osapuolten tallennustilapalveluita. Tämän vuoksi näillä kolmansilla osapuolilla on pääsy käsittelemiimme henkilötietoihin. Nämä kolmannet osapuolet toimivat henkilötietojen käsittelijöinä, eivätkä he saa käyttää tietoja omiin tarkoituksiinsa. Olemme solmineet kolmansien osapuolten kanssa käsittelijäsopimukset, joissa varmistetaan, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.

Osa palveluntarjoajistamme toimii EU/ETA-alueen ulkopuolella. Hyödynnämme EU:n komission mallilausekkeita tai Privacy Shield -mekanismia, jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella. Lisätietoja tästä saat tarvittaessa ottamalla meihin yhteyttä (ks. yhteystiedot kohdasta 9 alla).

6. Miten tietojasi suojellaan?
Noudatamme henkilötietojen käsittelyssä tavanomaisia fyysisiä ja organisatorisia suojatoimenpiteitä, kuten välitettävien tietojen salausta ja rajattua varmuuskopiointia, lukittuja tiloja ja suojattua pääsynhallintaa. Maksukorttitietojen käsittelyssä noudatamme lisäksi PCI DSS -standardia. Lisäksi, jotta henkilötietojen luvattomalta käytöltä, muutoksilta ja väärinkäytöksiltä vältytään, henkilötietoja saavat käsitellä vain sellaiset työntekijämme ja edustajamme, joilla on siihen ReceiptHeron tuottamisen vuoksi tarvetta.

7. Millaisia vaikutusmahdollisuuksia rekisteröidyillä on ja mitkä ovat rekisteröityjen oikeudet?
Loppukäyttäjämme ja Sovelluskehittäjän Asiakkaat voivat vaikuttaa tietojensa käsittelyyn ReceiptHeron käyttöä koskevilla valinnoillaan. Esimerkiksi jos Loppukäyttäjä ei aktivoi ReceiptHeroa tietyssä Kumppanisovelluksessa, Loppukäyttäjän kuitteja tai muita tietoja ei välitetä kyseiselle Kumppanisovellukselle. Vastaavasti jos Loppukäyttäjä tai Sovelluskehittäjän Asiakas ei hyödynnä ReceiptHeroon liitettyä maksukorttia tai muuta tunnistetta (esim. sähköpostiosoite) tietyn ostotapahtuman yhteydessä, kyseisestä ostotapahtumasta ei muodostu ReceiptHeron välittämää sähköistä kuittia.

Loppukäyttäjien ja Sovelluskehittäjän Asiakkaiden on kuitenkin syytä huomata, että jos he hyödyntävät ReceiptHeroon liitettyä maksukorttia tai muuta tunnistetta (esim. sähköpostiosoite) sellaisen Elinkeinonharjoittajan kohdalla, joka tarjoaa sähköisiä kuitteja ReceiptHeron avulla, kyseistä ostotapahtumaa koskeva sähköinen kuitti välitetään au- tomaattisesti yllä kohdan 5 mukaisesti.

Yllä mainittujen seikkojen vuoksi tiedotamme Loppukäyttäjiämme aina, kun uusi Elinkeinonharjoittaja ryhtyy hyödyntämään ReceiptHeroa tai kun ReceiptHero on mahdollista aktivoida uuden Kumppanisovelluksen yhteydessä. Näin Loppukäyttäjämme saavat ajantasaista tietoa siitä, mistä ostoksista on mahdollista saada ReceiptHeron tuottama sähköinen kuitti ja millaisiin Kumppanisovelluksiin se on mahdollista välittää.

ReceiptHeroa hyödyntävät Elinkeinonharjoittajat ja Sovelluskehittäjät ovat osaltaan huomioineet ReceiptHeron toimintaperiaatteet sekä henkilötietojen käsittelyssä noudatettavat käytänteet. Kuten yllä on mainittu, Elinkeinonharjoittajien Muiden Asiakkaiden kuitit poistamme viiden (5) arkipäivän kuluessa ne saatuamme ja Sovelluskehittäjän Asiakkaan kuitteja sekä tietoja käsittelemme vain Sovelluskehittäjän kanssa sovitulla tavalla. Elinkeinonharjoittajat ja Sovelluskehittäjät vastaavat osaltaan omien asiakkaidensa riittävästä ja oikea-aikaisesta informoimisesta.

Lopuksi haluamme muistuttaa, että takaamme rekisteröidyille kaikki heille lain mukaan kuuluvat oikeudet. Näitä ovat erityisesti tiedonsaantioikeus, tarkastusoikeus, oikeus saada tietonsa korjatuiksi ja siirretyiksi, oikeus tulla unohdetuksi, ja kielto-oikeus. Rekisteröidyn oikeus saada tietonsa poistetuksi ei kuitenkaan ole poikkeukseton. Voimme olla poistamatta tietoja, jos niiden käsittely on tarpeen esimerkiksi lakisääteisen velvoitteen noudattamiseksi. Emme kuitenkaan käsittele sellaisia oikeutettuun etuun perustuvia henkilötietoja, jos rekisteröity vastustaa tietojensa käsittelyä.

Jos rekisteröity haluaa käyttää hänelle tietosuojalainsäädännön mukaan kuuluvia oikeuksia, hänen tulee olla yhteydessä meihin kirjallisesti sillä tavoin luotettavasti, että voimme tunnistaa rekisteröidyn, tai tulla henkilökohtaisesti käymään toimipaikassamme. Saatamme joutua kysymään rekisteröidyltä lisätietoja sen varmistamiseksi, että olemme tunnistaneet rekisteröidyn riittävästi ja jotta osaamme tunnistaa rekisteröityyn liittyvät tiedot. Yhteystietomme ilmenevät alta kohdasta 9.

Jos rekisteröity kokee, että olemme käsitelleet henkilötietoja vastoin tietosuojalainsäädäntöä, rekisteröity voi tehdä valituksen tietosuojaviranomaiselle (www.tietosuoja.fi).

8. Tietojen säilyttäminen ja tuhoaminen
Poistamme Loppukäyttäjiämme koskevat tiedot, jos rekisteröity ei ole käyttänyt ReceiptHeroa millään tavalla 5 vuoden ajan. Seuraamme tietojen käyttöä vähintään kerran vuodessa poistotarpeen määrittelemiseksi. Jos henkilötietoja on tarpeen säilyttää lakisääteisten velvollisuuksien täyttämiseksi (esim. kirjanpitoon liittyvät velvollisuudet) säilytysaika on 10 vuotta tai laissa nimenomaisesti säädetty muu aika. Poistamisen sijasta voimme myös anonymisoida tiedot.

Yllä mainittu soveltuu myös Sovelluskehittäjien Asiakkaita koskeviin tietoihin, jotka kuitenkin poistamme aina, jos Sovelluskehittäjä sitä pyytää tai jos sopimuksemme Sovelluskehittäjän kanssa päättyy.

Elinkeinonharjoittajan Muita Asiakkaita koskevat sähköiset poistamme viiden (5) arkipäivän kuluessa ne saatuamme.

9. Kehen voin olla yhteydessä?
ReceiptHeron tietosuoja-asioiden osalta voit milloin tahansa olla meihin yhteydessä sähköpostitse (joel@receipthero.io).

Mikäli kysymyksesi koskee yksittäistä Kumppania tai heidän tuottamia palveluita, niin sinun kannattaa olla suoraan yhteydessä kyseiseen Kumppaniin.

ReceiptHero Oy, y-tunnus 2943241-3