Gunvald

Privacy Policy / Tietosuojaseloste

Tämä tietosuojaseloste kertoo, miten Kasvialusta Oy (”Gunvald”) kerää, käyttää ja suojaa käyttäjien henkilötietoja GDPR:n ja Suomen lainsäädännön mukaisesti. Alta löydät erilliset suomen- ja englanninkieliset versiot sekä vastaukset yleisimpiin kysymyksiin.

Viimeksi päivitetty 15.10.2025Last updated 15 October 2025

Suomenkielinen tietosuojaseloste

Voit esittää tietosuojaa koskevat kysymykset ja pyynnöt osoitteeseen support@gunvald.fi tai puhelimitse numeroon +358 45 200 6802. Vastaamme pyyntöihin 30 päivän kuluessa.

Rekisterinpitäjä ja yhteystiedot

Kasvialusta Oy (”Gunvald”) toimii palvelun rekisterinpitäjänä. Olemme vastuussa henkilötietojen käsittelystä, joka liittyy Gunvald-palvelun tarjoamiseen ja ylläpitoon.

  • Yritys: Kasvialusta Oy (Y-tunnus 1234567-8)
  • Käyntiosoite: Sippulantie 4 A 18, 40520 Jyväskylä, Suomi
  • Sähköposti: support@gunvald.fi
  • Puhelin: +358 45 200 6802

Voit käyttää yllä olevia yhteystietoja myös tietosuoja-asioihin liittyviin pyyntöihin.

Mitä tietoja keräämme

Keräämme henkilötietoja ainoastaan palvelun toteuttamisen, asiakassuhteen hoitamisen sekä lainmukaisten velvoitteiden täyttämisen kannalta tarpeellisessa laajuudessa.

Identiteetti- ja yhteystiedot

  • Nimi, sähköpostiosoite ja yrityksen perustiedot
  • Clerkin hallinnoimat kirjautumistiedot (salasanat tallentuvat hash-muodossa eikä niitä säilytetä Gunvaldin järjestelmissä)

Profiili- ja asetustiedot

  • Yrityksen kuvaus, toimiala, kohderyhmät ja brändin ohjearvot
  • Sisältöpreferenssit, julkaisutavoitteet ja kampanjatiedot

Sisältö ja media

  • Luodut postaukset, luonnokset, julkaisutekstit ja hashtagit
  • Ladatut kuvat ja tekoälyn tuottamat kuvatiedostot

Käyttö- ja lokitiedot

  • Ajastukset ja työjonot (Supabase)
  • Tekniset tunnistetiedot (IP-osoite, selainversio, käyttöjärjestelmä)
  • Virhe- ja suorituskykylokit (Sentry, PostHog) pseudonymisoiduilla tunnisteilla

Laskutus- ja sopimustiedot

  • Stripe-asiakastunnus, tilausstatus ja maksutapahtumien metatiedot
  • Laskut ja kuitit (säilytetään kirjanpitolain mukaisesti)

Viestintä ja tukipyynnöt

  • Yhteydenotot ja tukitiketit support@gunvald.fi -osoitteeseen
  • Tietosuoja- ja DSAR-pyynnöt auditointitietoineen

Tietojen käyttötarkoitukset

Käytämme kerättyjä tietoja seuraaviin tarkoituksiin:

  • Palvelun tarjoaminen ja käyttäjätunnusten hallinta
  • Sisältöjen suunnittelu, ajastus, julkaisu ja analytiikka
  • Laskutus, maksujen käsittely ja tilauksen ylläpito
  • Teknisen tuen ja asiakasviestinnän tarjoaminen
  • Palvelun kehityshankkeet ja käyttökokemuksen parantaminen
  • Väärinkäytösten ja tietoturvapoikkeamien ennaltaehkäisy
  • Lakien ja viranomaismääräysten noudattaminen (esim. kirjanpito)

Tietojen luovutukset ja alikäsittelijät

Hyödynnämme luotettavia palveluntarjoajia palvelun toteuttamisessa. Jokaisen toimijan kanssa on solmittu tietojenkäsittelysopimus (DPA), ja heidän ajantasainen listansa ylläpidetään `docs/gdpr/dpa-summary.md` -tiedostossa.

Keskeiset alikäsittelijät
PalveluKuvausSijainti / siirtomekanismi
ClerkAutentikointi ja istunnotEU/USA – SCC:t
SupabaseTietokanta ja tallennusEU (Frankfurt)
StripeLaskutus ja maksutEU/USA – SCC:t
CloudinaryMediatiedostotEU/USA – SCC:t
OpenAISisällön generointiUSA – SCC:t
MetaFacebook/Instagram-julkaisutEU/USA – SCC:t
SentryVirhelokitEU/USA – SCC:t
PostHogTuoteanalytiikkaEU (alueellinen instanssi)
ResendTransaktionaaliset sähköpostitEU/USA – SCC:t
Railway & VercelTaustatyöt ja hostingEU/USA – SCC:t

Lisäksi hyödynnämme yksittäisiä muita alihankkijoita infrastruktuurin ylläpitoon; lista päivitetään aina ennen uuden palveluntarjoajan käyttöönottoa.

Säilytysajat

Säilytämme henkilötietoja vain niin kauan kuin se on tarpeen käyttötarkoitusten toteuttamiseksi tai lain niin edellyttäessä. Yksityiskohtainen taulukko löytyy `docs/gdpr/retention-policy.md` -tiedostosta.

  • Käyttäjätili ja profiilitiedot: 30 päivää tilin poiston jälkeen, minkä jälkeen tiedot poistetaan ajastetusti.
  • Lataamasi media ja sisältö: poistetaan samalla ajastetulla kierrolla kuin käyttäjätili.
  • Stripe-laskut ja maksutapahtumat: säilytys 6 vuotta kirjanpitolain nojalla (henkilötiedot minimoidaan).
  • Analytiikka (PostHog): 12 kuukautta, jonka jälkeen data anonymisoidaan tai poistetaan.
  • Virhelokit (Sentry): 90 päivää.

Käyttäjän oikeudet

Voit käyttää GDPR:n mukaisia oikeuksiasi ottamalla yhteyttä osoitteeseen support@gunvald.fi tai käyttämällä palveluun toteutettuja toiminnallisuuksia (tulossa roadmapin seuraavissa vaiheissa).

  • Oikeus saada pääsy tietoihin ja kopio kerätyistä tiedoista (data export).
  • Oikeus oikaista virheelliset tai puutteelliset tiedot.
  • Oikeus poistoon (“oikeus tulla unohdetuksi”) lain sallimissa rajoissa.
  • Oikeus rajoittaa käsittelyä tietyissä tilanteissa.
  • Oikeus vastustaa käsittelyä, esimerkiksi suoramarkkinointia.
  • Oikeus siirtää tiedot järjestelmästä toiseen.
  • Oikeus peruuttaa suostumus milloin tahansa (ei vaikuta aiemmin tehtyyn käsittelyyn).

Vastaamme kaikkiin pyyntöihin viimeistään 30 päivän kuluessa ja kirjaamme toteutetut toimet audit-lokiin.

Evästeet ja analytiikka

Käytämme välttämättömiä evästeitä palvelun toiminnan mahdollistamiseksi sekä erillisen suostumuksen perusteella analytiikka- ja markkinointievästeitä. Voit hallita valintoja evästeasetuksista sekä selaimen asetuksista.

  • Välttämättömät evästeet: istunto ja CSRF-suojaus
  • Analytiikka: PostHog (anonymisoidut tunnisteet)
  • Markkinointi: otetaan käyttöön vain erillisen opt-in -suostumuksen perusteella

Katso tarkemmat tiedot evästekäytännöstä sivulta /help/support/legal/cookies.

Tietojen siirrot EU/ETA-alueen ulkopuolelle

Osa alikäsittelijöistämme sijaitsee EU/ETA-alueen ulkopuolella. Varmistamme tietojen suojan käyttämällä Euroopan komission hyväksymiä vakiolausekkeita (SCC) ja tarvittaessa täydentäviä suojatoimia (esim. pseudonymisointi).

Tietojen siirrot ja suojausmekanismit on kuvattu tarkemmin DPA-yhteenvedossa.

Tietoturva

  • Kaikki liikenne salataan (TLS).
  • Käyttöoikeudet rajataan vähimmäistarpeen periaatteella; pääsynhallinta auditoidaan säännöllisesti.
  • Supabase ja Clerk käyttävät rivitason suojausta (RLS) ja monivaiheista tunnistautumista.
  • Virhelokit suodatetaan henkilökohtaisista tiedoista ennen lähetystä.
  • Teemme vuosittain tietoturvaharjoituksia (tabletop) ja seuraamme haavoittuvuuksia.

Muutokset tähän tietosuojaselosteeseen

Päivitämme tietosuojaselostetta aina, kun toimintaamme tai tietosuojakäytäntöjämme muutetaan. Merkittävistä muutoksista ilmoitetaan palvelussa tai sähköpostitse. Historiatiedot tallennetaan `docs/gdpr/evidence/changelog.md` -tiedostoon.

Tämä seloste on osa sopimusehtojamme. Mahdolliset muutokset dokumentoidaan sisäiseen tarkistuslistaan.

Privacy Policy (English)

You can reach our privacy team at support@gunvald.fi or by phone at +358 45 200 6802. We respond to data subject requests within 30 days.

Data Controller & Contact Details

Kasvialusta Oy ("Gunvald") acts as the data controller for the Gunvald service. We are responsible for processing personal data on behalf of our customers and users.

  • Company: Kasvialusta Oy (Business ID 1234567-8)
  • Registered office: Sippulantie 4 A 18, 40520 Jyväskylä, Finland
  • Email: support@gunvald.fi
  • Phone: +358 45 200 6802

Use the contact details above for any privacy-related questions or data subject requests.

Personal Data We Collect

We only collect personal data that is necessary to operate the service, maintain the customer relationship, and comply with legal obligations.

Identity & Contact Data

  • Name, email address, and company information
  • Authentication data managed by Clerk (passwords are hashed; Gunvald never stores plaintext passwords)

Profile & Configuration Data

  • Brand guidelines, industry, target audiences, posting preferences
  • Campaign objectives and scheduling preferences

Content & Media

  • Drafted and published posts, generated captions, hashtags
  • Uploaded images and AI-generated media files

Usage & Technical Logs

  • Scheduling queues and status information
  • Technical identifiers (IP address, browser version, operating system)
  • Error and performance logs (Sentry, PostHog) with pseudonymised IDs

Billing & Contract Data

  • Stripe customer ID, subscription status, transaction metadata
  • Invoices and receipts retained under accounting law

Support & Communications

  • Inquiries and support tickets sent to support@gunvald.fi
  • Records of privacy and DSAR requests including audit trail entries

Why We Process Personal Data

  • To provide, secure, and maintain the Gunvald service
  • To generate, schedule, and publish content on behalf of customers
  • To manage billing, subscriptions, and payments
  • To deliver technical support and customer communications
  • To improve the product and develop new features
  • To detect, investigate, and prevent fraud or abuse
  • To fulfil statutory obligations such as accounting and tax reporting

Processors & Disclosures

We rely on trusted sub-processors to offer the Gunvald service. Up-to-date details and evidence of signed DPAs are kept in `docs/gdpr/dpa-summary.md`.

Key sub-processors
ServicePurposeLocation / safeguards
ClerkAuthentication & sessionsEU/US – SCCs
SupabaseDatabase & storageEU (Frankfurt)
StripeBilling & paymentsEU/US – SCCs
CloudinaryMedia storage & CDNEU/US – SCCs
OpenAIContent generationUS – SCCs
MetaFacebook/Instagram publishingEU/US – SCCs
SentryError monitoringEU/US – SCCs
PostHogProduct analyticsEU (regional instance)
ResendTransactional emailEU/US – SCCs
Railway & VercelBackground jobs & hostingEU/US – SCCs

We evaluate and document any new vendor before onboarding them into production.

Retention Periods

We retain personal data only for as long as necessary and in line with documented retention schedules (`docs/gdpr/retention-policy.md`).

  • Account and profile data: deleted 30 days after an account deletion request.
  • Uploaded media and generated content: deleted together with the user account.
  • Billing records: retained for six years to meet statutory accounting requirements (personal data minimised where possible).
  • Analytics (PostHog): kept for 12 months before anonymisation or deletion.
  • Error logs (Sentry): retained for 90 days.

Your Rights

You can exercise your rights under GDPR by contacting support@gunvald.fi or using the forthcoming in-product tooling (export/delete) described in our roadmap.

  • Right of access and data portability
  • Right to rectification
  • Right to erasure (subject to legal exceptions)
  • Right to restriction of processing
  • Right to object, including to direct marketing
  • Right to withdraw consent at any time
  • Right to lodge a complaint with a supervisory authority

Cookies & Analytics

We use strictly necessary cookies to operate the service and, with consent, optional analytics or marketing cookies.

  • Necessary: session management and CSRF protection
  • Analytics: PostHog (hashed identifiers)
  • Marketing: disabled by default; enabled only with explicit opt-in

See /help/support/legal/cookies for a detailed cookie list and instructions.

International Transfers

When data is transferred outside the EU/EEA, we rely on Standard Contractual Clauses (SCCs) and supplementary safeguards such as pseudonymisation.

Transfer details are documented in each processor’s DPA.

Security Measures

  • TLS encryption for all data in transit
  • Role-based access control and least-privilege principles
  • Supabase row-level security and Clerk MFA for administrative users
  • Automated scrubbing of personal data from error logs
  • Regular security reviews, tabletop exercises, and vulnerability monitoring

Policy Updates

We update this policy whenever our practices change. Significant changes are communicated in-app or via email. Revision history is stored in `docs/gdpr/evidence/changelog.md`.

This policy forms part of our contractual terms. Revision history is available on request.

Gunvald - Someautomaatiotyökalu PK-yrityksille (FB & IG)