Tietosuojaseloste

Rekisterinpitäjä

RekoTori-palvelua ylläpitää MKstack (y-tunnus: 3610698-2). Olemme sitoutuneet suojaamaan käyttäjiemme yksityisyyttä EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Tietosuoja-asioissa toimivaltainen valvontaviranomainen on Suomen Tietosuojavaltuutetun toimisto (tietosuoja.fi), johon voit milloin tahansa tehdä valituksen.

Käsitteet

Tässä selosteessa käytetään seuraavia käsitteitä:

• Asiakas — palveluun rekisteröitynyt käyttäjä, joka tilaa tuotteita.
• Tuottaja — palveluun rekisteröitynyt käyttäjä, joka edustaa elintarvikkeita myyvää yritystä.
• Rinki — paikallinen REKO-rinki, jolla on omat ylläpitäjät, tapahtumat ja jäsenet.
• Tapahtuma — yksittäinen REKO-noutotilaisuus, johon tuottajat lisäävät tarjouksia.
• Tilaus — yhden asiakkaan ostos yhdeltä tuottajalta yhdessä tapahtumassa.

Mitä tietoja käsittelemme

Käsittelemme seuraavia tietoja palvelun toiminnan mahdollistamiseksi:

Käyttötarkoitukset ja oikeusperusteet

Käsittelemme tietoja seuraaviin tarkoituksiin GDPR:n 6 artiklan mukaisilla oikeusperusteilla:

• Sopimuksen täytäntöönpano (6.1 b): tilin luonti, tilausten välitys tuottajalle ja noudon järjestäminen.
• Oikeutettu etu (6.1 f): tietoturva, väärinkäytösten esto, tarkastuslokit, palvelun kehittäminen ja perustason käyttötilastot.
• Suostumus (6.1 a): vapaaehtoiset sähköposti-ilmoitukset, joista voit luopua milloin tahansa profiilisi ilmoitusasetuksista.
• Lakisääteinen velvoite (6.1 c): mahdolliset viranomaisten tietopyynnöt esimerkiksi elintarviketurvallisuuteen liittyen.

Kirjautuminen

Voit kirjautua sähköpostilla ja salasanalla tai Google- tai Facebook-tilillä. OAuth-palveluista saamme nimesi, sähköpostiosoitteesi ja profiilikuvasi — emme salasanaasi tai muita tietojasi. Google ja Meta voivat oman tietosuojakäytäntönsä mukaisesti siirtää kirjautumiseen liittyviä metatietoja Yhdysvaltoihin EU–US Data Privacy Framework -järjestelyn nojalla.

Tietojen jakaminen käyttäjien välillä

Emme myy tai luovuta henkilötietojasi mainos- tai analytiikkayrityksille. Palvelun käyttö edellyttää kuitenkin tiettyjen tietojen näkymistä toisille käyttäjille:

• Tuottaja näkee asiakkaan nimen sekä mahdollisen tilausviestin niiden tilausten osalta, jotka asiakas on tehnyt kyseiselle tuottajalle.
• Mikäli tuottaja syöttää manuaalisesti paikan päällä asiakkaan tilauksen, tuottaja tallentaa asiakkaan nimen ja antamansa puhelinnumeron tilauksen yhteyteen.
• Tuottaja voi pyytää erikseen asiakkaan sähköpostiosoitetta ja kirjautumistapaa palvelun kautta, mutta vain silloin kun asiakkaalla on aktiivinen tilaus kyseisellä tuottajalla samassa tapahtumassa. Pyynnöt on rajattu (60 pyyntöä/tunti pehmeä raja, 200/tunti kova raja) ja kirjataan tarkastuslokiin.
• Tuottaja saa käyttää asiakkaan yhteystietoja ainoastaan kyseisen tilauksen toimittamiseen. Markkinointi, tietojen luovutus eteenpäin tai muu käyttö on käyttöehtojen vastaista.
• Asiakkaalle näkyy tuottajan yritysnimi, y-tunnus, käyntiosoite, yhteystiedot, kuvaus ja hyväksytyt maksutavat (esim. käteinen, MobilePay, tilisiirto). Tarkat maksutiedot kuten IBAN tai MobilePay-numero näytetään vasta tilauksen tekemisen jälkeen tilausvahvistuksessa ja omissa tilauksissa.
• Ringin ylläpitäjä näkee oman ringin jäsenten näyttönimen, roolin ja tilan ringin hallintaa varten.
• Palvelun ylläpitäjillä on tekninen pääsy tarkastuslokeihin ja tietoihin tietoturvatutkimuksia ja vakavien väärinkäytösten selvittämistä varten.

Alihankkijat ja tietojen siirto

Käytämme seuraavia alihankkijoita palvelun tuottamisessa:

• Supabase (tietokanta, autentikaatio, tiedostotallennus) — palvelimet EU:ssa (Frankfurt).
• Vercel (palvelun isännöinti, käyttölokit) — EU-alueen sijoittelu.
• Sentry (virhevalvonta) — EU-alueen sijoittelu, käsittelee virhetiedot ja käyttäjätunnisteen ongelmien selvittämistä varten.
• Google OAuth — kirjautumiseen, mahdollinen siirto Yhdysvaltoihin DPF-järjestelyn nojalla.
• Meta/Facebook OAuth — kirjautumiseen, mahdollinen siirto Yhdysvaltoihin DPF-järjestelyn nojalla.
• Sähköpostien lähetys tapahtuu Supabase Authin oletustoimittajan kautta (esimerkiksi vahvistus- ja palautusviestit).

Tietojen säilytys ja turvallisuus

Tiedot tallennetaan Supabasen EU-palvelimille. Käytämme TLS-salausta tiedonsiirrossa, salausta levossa, tietokantatason rivikohtaista pääsynhallintaa (RLS), tarkastuslokeja ja nopeusrajoituksia herkkien rajapintojen kuten asiakastiedon haun osalta.

Tietojen säilytysajat

• Tilitiedot, profiilitiedot ja jäsenyydet säilytetään niin kauan kuin tilisi on aktiivinen.
• Tarkastuslokit säilytetään 12 kuukautta, jonka jälkeen ne poistetaan automaattisesti.
• Kun poistat tilisi: profiili, jäsenyydet ja yrityksen jäsenyytesi poistetaan välittömästi. Vahvistetut tilauksesi perutaan ja varatut määrät vapautetaan ennen poistoa. Aiemmat tilauskirjaukset säilyvät tuottajan kirjanpitoa ja verovelvoitteita varten anonyyminä — sinun tunnistetiedot poistetaan tilausriviltä.
• Jos olet yrityksen ainoa jäsen, yritys merkitään passiiviseksi (soft delete) ja sen tuotteet deaktivoidaan.

Evästeet ja paikallinen tallennus

Käytämme vain palvelun toiminnan kannalta välttämättömiä evästeitä ja paikallista tallennusta. Emme käytä seuranta-, mainos- tai profilointievästeitä emmekä kolmannen osapuolen analytiikkaa.

• Supabasen istuntoevästeet — pitävät sinut kirjautuneena.
• NEXT_LOCALE-eväste — muistaa kielivalintasi (voimassa 1 vuosi).
• auth_redirect-eväste — lyhytaikainen, ohjaa kirjautumisen jälkeen oikeaan paikkaan (esim. kutsulinkit).
• localStorage: ostoskorin sisältö (rekotori-cart) selaimessasi sekä sijaintikyselyn vastaus, jotta emme pyydä sitä uudelleen.

Oikeutesi

GDPR:n mukaisesti sinulla on oikeus:

• Saada pääsy omiin tietoihisi (lataa profiilisivulta JSON-vientinä).
• Korjata virheelliset tiedot profiilisivulla.
• Pyytää tietojesi poistamista (tee se itse profiilisivulla).
• Saada tietosi siirrettävässä muodossa (sama JSON-vienti).
• Vastustaa käsittelyä tai pyytää sen rajoittamista.
• Peruuttaa antamasi suostumus, esimerkiksi sähköposti-ilmoituksiin, milloin tahansa.
• Tehdä valitus Tietosuojavaltuutetun toimistolle (tietosuoja.fi), jos koet, että käsittelemme tietojasi GDPR:n vastaisesti.

Suurin osa oikeuksista on suoraan käytettävissä profiilisivun kohdassa "Tietojen hallinta (GDPR)". Muissa pyynnöissä otathan yhteyttä info@rekotori.fi.

Jos sinulla ei ole RekoTori-tiliä mutta tuottaja on syöttänyt yhteystietosi manuaalisesti tilaukseen (esim. puhelimitse tehty tilaus), voit pyytää tietojesi poistamista ottamalla yhteyttä osoitteeseen info@rekotori.fi.

Alaikäiset

Palvelu on tarkoitettu vähintään 16-vuotiaille käyttäjille. Alle 16-vuotiaan tilin luominen edellyttää huoltajan suostumusta ja huoltajan luomaa tiliä. Emme tietoisesti kerää tietoja alle 16-vuotiailta — jos tällaista tietoa havaitaan, se poistetaan.

Tietojen siirto EU:n ulkopuolelle

Pääjärjestelmämme (Supabase, Vercel, Sentry) toimivat EU/ETA-alueella. OAuth-kirjautumisen yhteydessä Google ja Meta voivat käsitellä tietoja Yhdysvalloissa EU–US Data Privacy Framework -järjestelyn ja vakiosopimuslausekkeiden nojalla.

Tietoturvaloukkaukset

Mikäli henkilötietojesi tietoturva vaarantuu, ilmoitamme siitä Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa havainnosta GDPR:n 33 artiklan mukaisesti. Jos loukkaus aiheuttaa korkean riskin oikeuksillesi, ilmoitamme siitä myös sinulle suoraan ilman aiheetonta viivytystä.

Muutokset tietosuojaselosteeseen

Voimme päivittää tätä tietosuojaselostetta tarvittaessa. Merkittävistä muutoksista ilmoitamme palvelussa ja tarvittaessa sähköpostitse ennen voimaantuloa.

Yhteystiedot

Tietosuojaan liittyvissä kysymyksissä ja oikeuksien käytössä voit ottaa yhteyttä:

MKstack
info@rekotori.fi