FI EN
Aloita ilmainen kokeilu

Lakipykälät

Tietosuojaseloste

Päivitetty viimeksi: 2026-05-24

Miten Pisteo käsittelee henkilötietoja, mitä keräämme, miksi, kenelle jaamme ja mitkä oikeudet sinulla on GDPR:n nojalla.

Tietosuojaseloste

Tämä seloste kertoo, miten Pisteo käsittelee henkilötietoja. Se kattaa kaiken, mitä teemme rekisterinpitäjänä omasta puolestamme, ja viittaa siihen, mitä teemme ravintoloiden lukuun käsittelijänä.

Mikäli olet asiakas, joka käytti Pisteoa ravintolassa, suurin osa sinua koskevista tiedoista on ravintolan, ei meidän, hallussa. Ravintola on oma rekisterinpitäjänsä omasta asiakassuhteestaan ja sinulle lähettämästään markkinoinnista. Me olemme käsittelijä, joka pyörittää teknologiaa.

1. Kuka on vastuussa

Tämän selosteen rekisterinpitäjä on:

Easy Host Oy (aputoiminimi Pisteo) Y-tunnus: 3288005-7 Kotipaikka: Helsinki, Suomi Sähköposti: [email protected] WhatsApp: +358 40 923 3586

Niiden tietojen osalta, joita käsittelemme ravintolan lukuun (esimerkiksi kyseisen ravintolan asiakasmarkkinointilista), ravintola on rekisterinpitäjä ja me toimimme heidän käsittelijänään henkilötietojen käsittelyä koskevan sopimuksen mukaisesti.

2. Kaksi roolia selkokielellä

  • Rekisterinpitäjä ravintolasuhteessa. Kun ravintola rekisteröityy Pisteoon, olemme rekisterinpitäjä ravintolan tilin osalta: yritystiedot, yhteyshenkilöt, laskutus, tukihistoria, ylläpitosovelluksen käytön analytiikka ja niin edelleen.
  • Käsittelijä asiakastietojen osalta. Kun asiakkaat käyttävät asiakassovellusta ravintolassa, syntyvät henkilötiedot (tilaukset, maksujen metatiedot Stripen kautta, valinnainen sähköposti kuiteille, valinnainen markkinointisuostumus) kuuluvat ravintolalle. Käsittelemme niitä heidän ohjeidensa mukaan.

Stripe ja tietyt muut kumppanit voivat toimia itsenäisinä rekisterinpitäjinä omassa petostentorjunta-, rahanpesun estämis- ja sääntelytyössään. Listaamme heidät alla.

3. Mitä keräämme

3.1 Ravintolan tilitiedot

  • Yrityksen nimi, Y-tunnus, osoite, ALV-tiedot
  • Kutsumiesi käyttäjien nimet, sähköpostit ja roolit (Omistaja, Manageri, Henkilökunta)
  • Kirjautumisen metatiedot (Google-tilin tunnus, istuntotunnukset, kirjautumisajat)
  • Brändäys (logo, värit)
  • Menusisältö, pöytäjärjestely, aukioloajat, keittiön tulostimen konfiguraatio
  • Stripe Connect Express -tilin tunniste
  • Tilausjärjestely, laskutushistoria, laskut
  • Tukikirjeenvaihto kanssamme

3.2 Maksun metatiedot

Emme näe tai tallenna täydellisiä korttinumeroita. Stripe hallinnoi korttitietoja. Tallennamme:

  • PaymentIntent-tunnisteet ja transaktioviitteet
  • Summa, valuutta ja aikaleima
  • Maksutavan tyyppi (Apple Pay, MobilePay, kortti)
  • Kortin neljä viimeistä numeroa soveltuvin osin
  • Palautustiedot

3.3 Asiakastiedot (ravintolan lukuun)

  • Tilauksen sisältö, pöytänumero, tilauksen aika, erityisohjeet
  • Valinnainen sähköposti, jos asiakas pyytää kuittia tai antaa markkinointisuostumuksen
  • Valinnainen nimi tilauslapulla
  • Kanta-asiakasleimat, jos asiakas liittyy ohjelmaan
  • Markkinointisuostumusten tiedot

Emme käytä analytiikkaa tai käyttäytymisen seurantaa asiakassovelluksessa. Ei PostHogia, ei mainoksia, ei kolmannen osapuolen seurantaa asiakaspuolella.

3.4 Tekniset ja tietoturvatiedot

  • IP-osoite ja selaimen perustiedot, käsitellään hetkellisesti tietoturvan ja petostentorjunnan vuoksi
  • Merkittävien hallintatoimien tarkastuslokit (palautukset, menun muutokset, roolimuutokset)
  • Sentryn keräämät virheraportit (konfiguroimme Sentryn poistamaan henkilötiedot mahdollisuuksien mukaan)

3.5 Ylläpitosovelluksen tuoteanalytiikka

Käytämme PostHogia (EU Cloud) ymmärtääksemme, miten ravintoloiden ylläpitäjät käyttävät ylläpitosovellusta. Seuraamme tapahtumia kuten “menu julkaistu”, “menun tuonti valmis”, “tilaus päivitetty”. Emme seuraa asiakkaita.

3.6 Markkinointitiedot osoitteessa pisteo.io

Jos liityt uutiskirjeeseemme tai täytät lomakkeen osoitteessa pisteo.io, keräämme sähköpostiosoitteesi ja antamasi tiedot ja käytämme niitä pyytämäsi sisällön lähettämiseen.

4. Miksi käytämme tietoja ja millä oikeusperusteella

TarkoitusOikeusperuste
Pisteon palvelun tarjoaminen ravintolalleGDPR 6(1)(b), sopimuksen täyttäminen
Asiakkaiden tilausten ja maksujen käsittely ravintolan lukuunGDPR 6(1)(b), asiakkaan ja ravintolan välisen sopimuksen täyttäminen
Kuittien ja markkinointiviestien lähettäminen, joihin asiakkaat antavat suostumuksenGDPR 6(1)(a), suostumus, joka annetaan ravintolalle Pisteon käyttöliittymässä
Käyttäjien tunnistautuminen ja palvelun suojaaminenGDPR 6(1)(f), oikeutettu etu alustan suojaamisessa
Laskutus, laskujen ja verotietojen säilytysGDPR 6(1)(c), Suomen kirjanpito- ja verolainsäädännön mukainen oikeudellinen velvoite
AsiakastukiGDPR 6(1)(b) ja (f)
Ylläpitosovelluksen tuoteanalytiikkaGDPR 6(1)(f), oikeutettu etu tuotteen kehittämisessä
Markkinointi osoitteessa pisteo.ioGDPR 6(1)(a), suostumus

Ravintoloiden asiakkailleen lähettämien markkinointiviestien osalta ravintola on rekisterinpitäjä ja oikeusperuste on asiakkaan ravintolalle antama suostumus. Me toimimme käsittelijänä.

5. Kuinka kauan säilytämme tietoja

  • Ravintolan tilitiedot: sopimuksen voimassaolon ajan, sen jälkeen enintään 24 kuukautta, ellei säilytys ole välttämätöntä kirjanpito- tai verolainsäädännön takia.
  • Laskutustiedot, laskut, maksutiedot: kuusi vuotta tilikauden päättymisestä Suomen kirjanpitolain mukaisesti.
  • Asiakkaiden tilaus- ja maksutiedot (ravintolan lukuun): kuusi vuotta tilikauden päättymisestä kirjanpitoa varten.
  • Asiakkaan sähköposti pelkästään kuittia varten: poistetaan 90 päivän kuluessa, ellei se ole sidottu tilaustietoon, joka meidän on säilytettävä.
  • Markkinointisuostumus ja sähköposti: säilytetään, kunnes asiakas peruuttaa suostumuksen tai ravintola poistaa listan.
  • Istuntoeväste: vain istunnon ajan.
  • Tietoturva- ja petoslokit: enintään 12 kuukautta.
  • Tukiviestit: enintään 24 kuukautta viimeisestä viestistä.

Sopimuksen päättyessä poistamme tiedot käyttöehdoissa ja henkilötietojen käsittelyä koskevassa sopimuksessa annetun aikataulun mukaan, lukuun ottamatta lain edellyttämiä tietoja.

6. Kenelle jaamme tietoja

Jaamme henkilötietoja vain, kun se on tarpeen palvelun pyörittämiseen tai kun laki sitä edellyttää.

6.1 Alikäsittelijät

Käytämme seuraavia alikäsittelijöitä:

  • Stripe Payments Europe Ltd (Irlanti) — maksunkäsittely ja Stripe Connect Express
  • Cloudflare R2 (EU-alue) — kuvavarastointi
  • Railway (Yhdysvalloista, EU-aluevalinta käytettävissä) — sovelluksen isännöinti ja hallinnoitu PostgreSQL
  • Resend (Yhdysvallat) — transaktio- ja markkinointisähköpostien lähetys, EU:n vakiosopimuslausekkeiden (SCC) alaisuudessa
  • PostHog (EU Cloud) — ylläpitosovelluksen tuoteanalytiikka; asiakkaita ei seurata
  • Sentry (Yhdysvallat) — virhevalvonta, SCC:n alaisuudessa
  • Anthropic (Yhdysvallat) — Claude menun tuontiin ja Menu Performance Reportiin. Asiakkaiden henkilötietoja ei lähetetä Anthropicille. SCC:n alaisuudessa.
  • OpenAI (Yhdysvallat) — toissijainen luonnollisen kielen käsittelypalveluntarjoaja, käytetään vain kun tietty ominaisuus on merkittävästi parempi. Asiakkaiden henkilötietoja ei lähetetä. SCC:n alaisuudessa.
  • GitHub (Yhdysvallat) — vain koodin isännöinti. Asiakas- tai asiakastietoja ei tallenneta GitHubiin.

6.2 Itsenäiset rekisterinpitäjät

  • Stripe on myös itsenäinen rekisterinpitäjä omassa petostentorjunta-, rahanpesun estämis- ja sääntelytyössään.

6.3 Viranomaiset

Jaamme tietoja viranomaisille (poliisi, vero, tietosuojaviranomainen), kun laki sitä edellyttää.

6.4 Mitä emme tee koskaan

Emme myy henkilötietoja. Emme käytä niitä mainontaan. Emme käytä yhden ravintolan asiakaslistaa muiden Pisteon ravintoloiden markkinointiin näille asiakkaille.

7. Kansainväliset siirrot

Suurin osa infrastruktuuristamme toimii EU:ssa. Mikäli tietoja siirretään ETA:n ulkopuolelle (pääosin Yhdysvalloista oleville käsittelijöille), nojaudumme EU:n komission vakiosopimuslausekkeisiin (SCC, 2021/914) ja tarvittaessa täydentäviin suojatoimiin.

Nykyiset Yhdysvaltoihin tehtävät siirrot:

  • Railway-isännöinti, EU-aluevalinta käytössä mahdollisuuksien mukaan
  • Resend sähköpostien toimitukseen
  • Sentry virhevalvontaan
  • Anthropic menun jäsentämiseen ja Performance Reporttiin
  • OpenAI toissijaisena palveluna

Tarkistamme näiden siirtojen oikeusperustan säännöllisesti.

8. Sinun oikeutesi

Sinulla on seuraavat oikeudet GDPR:n nojalla:

  • Tarkastus (16 art.): kysy, mitä sinusta on tallennettu, ja saa kopio
  • Oikaisu (16 art.): korjaa virheelliset tiedot
  • Poisto (17 art.): pyydä meitä poistamaan tiedot, lakisääteisten säilytysvelvoitteiden mukaisesti
  • Rajoitus (18 art.): pyydä meitä keskeyttämään käsittely
  • Siirrettävyys (20 art.): saa tietosi siirrettävissä, koneellisesti luettavassa muodossa
  • Vastustaminen (21 art.): vastusta oikeutettuun etuun perustuvaa käsittelyä
  • Suostumuksen peruuttaminen (7(3) art.): milloin tahansa, vaikuttamatta aiempaan lailliseen käsittelyyn
  • Et joudu pelkästään automatisoidun päätöksenteon kohteeksi (22 art.): emme tee tällaisia päätöksiä sinusta

Oikeuksiesi käyttämiseksi lähetä sähköpostia osoitteeseen [email protected]. Vastaamme kuukauden kuluessa, maksutta tavanomaisissa tapauksissa.

Mikäli tietosi ovat ravintolan hallussa (esimerkiksi tilaushistoriasi kyseisessä ravintolassa), ota yhteyttä ravintolaan suoraan. Autamme ravintolaa vastaamaan pyyntöösi.

9. Valitukset

Voit tehdä valituksen tietosuojavaltuutetulle:

Tietosuojavaltuutetun toimisto Lintulahdenkuja 4, 00530 Helsinki [email protected] www.tietosuoja.fi

10. Evästeet ja seuranta

Katso täysi lista evästekäytännöstämme.

Lyhyesti: asiakassovellus käyttää yhtä välttämätöntä istuntoevästettä. Ei analytiikkaa, mainontaa eikä kolmannen osapuolen seurantaa asiakaspuolella. Ylläpitosovellus käyttää istuntotunnistautumista ja PostHog-tuoteanalytiikkaa.

11. Lapset

Pisteo on B2B-palvelu ravintoloille. Asiakassovellusta ei ole suunniteltu lapsille emmekä tietoisesti kerää henkilötietoja alle 16-vuotiailta. Mikäli uskot, että lapsi on antanut meille tietoja, ota yhteyttä ja poistamme ne.

12. Tietoturva

Suojaamme henkilötietoja teknisin ja organisatorisin toimin, mukaan lukien:

  • Salaus siirrossa (TLS 1.2 tai uudempi) kaikessa liikenteessä
  • Salaus levossa tietokannoille ja objektitallennukselle
  • Roolipohjainen pääsynhallinta monivaiheisella tunnistautumisella koko tuotantokäyttöä omaavalle henkilöstölle
  • Hallinnollisten toimien tarkastuslokit
  • Automatisoidut varmuuskopiot, joiden palautus on testattu
  • Haavoittuvuuksien valvonta ja riippuvuusskannaus
  • Turvallisuusperiaatteita noudattava kehitys, mukaan lukien koodikatselmointi
  • Häiriöiden vastesuunnitelma nimetyllä päivystäjällä

Tarkastamme tietoturvatoimet vähintään vuosittain ja päivitämme niitä alustan kehittyessä.

13. Tietoturvaloukkauksesta ilmoittaminen

Mikäli havaitsemme henkilötietojen tietoturvaloukkauksen, ilmoitamme asiasta vaikuttuneille ravintoloille ilman aiheetonta viivytystä ja 24 tunnin kuluessa. Ravintolat ilmoittavat tietosuojavaltuutetulle ja, kun se on välttämätöntä, vaikuttuneille asiakkaille. Loukkauksissa, jotka vaikuttavat Pisteon omiin rekisterinpitäjätietoihin, ilmoitamme tietosuojavaltuutetulle 72 tunnin kuluessa, kun GDPR:n 33. artiklan mukainen vaatimus täyttyy.

14. Selosteen muutokset

Mikäli muutamme tätä selostetta tavalla, joka vaikuttaa sinuun, julkaisemme uuden version osoitteessa pisteo.io/legal/privacy ja päivitämme “Päivitetty viimeksi” -päivämäärän. Olennaisista muutoksista ilmoitetaan ravintolan Omistajille sähköpostitse.

Easy Host Oy aputoiminimi Pisteo · Y-tunnus 3288005-7 · Helsinki, Suomi. Kysymyksiä? [email protected].