Tietosuojaseloste — Avoinhakemus.fi
Dokumentin versio: 1.3
Päivitetty: 2026-04-14
Rekisterinpitäjä: Tukex (yksityinen elinkeinonharjoittaja / toiminimi)
1. Rekisterinpitäjä
- Toiminimi: Tukex (yksityinen elinkeinonharjoittaja)
- Y-tunnus: 3359661-3
- Osoite: Postiosoitetta ei julkaista tässä palvelussa, koska se on sama kuin rekisterinpitäjän kotiosoite. Yhteydenotot ja tietopyynnöt sähköpostitse alla. Y-tunnuksella voit tarkistaa julkiset perustiedot esim. Yritys- ja yhteisötietojärjestelmästä (YTJ).
- Tietosuoja- ja tietopyynnöt: info@avoinhakemus.fi
Rekisterinpitäjä vastaa siitä, miten tässä selosteessa kuvattuja henkilötietoja käsitellään Avoinhakemus.fi-palvelussa.
2. Soveltamisala
Tämä seloste kuvaa henkilötietojen käsittelyä Avoinhakemus.fi-verkkopalvelussa: työnhakijoiden avoimet hakemukset, yritysten käyttäjätilit ja tilaukset, sähköpostivälitys, maksaminen ja siihen liittyvät turvallisuustoimet.
Palvelu on suunnattu ensisijaisesti Suomessa toimiville työnantajille ja työnhakijoille (esim. työnhakuvelvoitteeseen liittyvä käyttö). Sivustoa voi teknisesti käyttää myös muualta, mutta rekisterinpitäjä ei aktiivisesti tarjoa palvelua EU/ETA-alueen ulkopuolelle.
3. Henkilöryhmät (rekisteröidyt)
- Työnhakijat, jotka lähettävät avoimia hakemuksia valitsemilleen yrityksille ilman erillistä työnhakijatiliä sovelluksessa.
- Yritysten käyttäjät (yhteyshenkilöt), jotka rekisteröityvät ja hallitsevat työnantajaprofiilia, postilaatikon asetuksia, tilausta ja muita tilitoimintoja.
4. Käsiteltävät henkilötiedot
4.1 Työnhakijan (hakemuksen lähettäjän) tiedot
Hakemuksen lähettämisen yhteydessä käsitellään muun muassa:
- etunimi, sukunimi ja sähköpostiosoite
- kunkin valitun yrityksen hakemusteksti
- valittujen vastaanottajayritysten tunnisteet ja nimet (lomakkeessa käytetyssä muodossa)
Palvelu ei luo pysyvää työnhakijaprofiilia tai hakijarekisterimerkintää sovelluksen tietokantaan tässä käyttötapauksessa. Tiedot käytetään PDF-liitteen muodostamiseen ja sähköpostiviestien lähettämiseen (yrityksille ja kopioina hakijalle) kuten kohdassa 6 kuvataan.
4.2 Yritystili ja työnantajaprofiili
Tyypillisesti käsitellään esimerkiksi:
- yrityksen nimi, Y-tunnus, maakunta, toimiala
- yhteyshenkilön etunimi, sukunimi ja sähköpostiosoite
- kirjautumistiedot (salasana tallennetaan käyttäjäjärjestelmän omalla tavallaan; Avoinhakemus-sovellus ei tallenna salasanaa selväkielisenä)
- tilatiedot kuten tili-/paketti-/tilaustila, laskutusjaksojen metatiedot ja niihin liittyvät aikaleimat
- ehtojen ja tietosuojaselosteen hyväksynnän aikaleima sekä mahdolliset hyväksytyt versiot
- vastaanottosähköposti: palvelussa muodostettu vastaanotto-osoite (tyypillisesti työnhakupostin verkkotunnuksen alla, esim. tyonhaut.fi) ja tekniset tunnukset lähetykseen (SMTP) salattuna Directuksessa
- hakemusilmoitukset (valinnainen): onko ilmoitukset päällä ja mihin osoitteeseen ilmoitus lähetetään (toteutuksessa sidottu yhteyshenkilön sähköpostiin; käyttäjä ei voi muuttaa osoitetta käyttöliittymästä)
- hakemusten lukumäärä: yrityskohtainen aggregaattilaskuri
applications_received_count(vain kokonaisluku; ei hakijan nimeä tai sähköpostia tähän tarkoitukseen)
4.3 Tekniset ja turvallisuuteen liittyvät tiedot
- Evästeet istunnon hallintaan (ks. kohta 12).
- IP-pohjainen käyttörajoitus (IP-osoite ja nimiavaruusavain), palvelinmuistissa tai Redis-tietokannassa (jos käytössä), aikakatkaistulla ikkunalla.
- Kertakäyttöiset tunnisteet sähköpostin vahvistukseen ja sähköpostiosoitteen vaihtoon (Redis tai prosessimuisti), voimassa enintään 24 tuntia tai kunnes tunniste käytetään kerran; salasanan palautuksessa käytetään lyhyempää voimassaoloaikaa (tyypillisesti noin tunti).
- Lokitiedot palvelimilla ja alikäsittelijöillä (laajuus ja säilytys riippuvat ympäristöstä; dokumentoi käyttöönotossa).
5. Käsittelyn tarkoitukset ja oikeusperusteet (yleiskuvaus)
Alla on kuvattu käsittelyn tarkoitukset ja tyypilliset GDPR-oikeusperusteet.
| Tilanne | Tyypilliset tarkoitukset | Tyypilliset oikeusperusteet (GDPR) |
|---|---|---|
| Yrityksen rekisteröinti, kirjautuminen, profiili, tilaus | Palvelun tarjoaminen, sopimuksen täyttäminen, tietoturva | Sopimus; oikeutettu etu (turvallisuus) |
| Avoimien hakemusten lähetys | Hakemuksen välittäminen valituille työnantajille; vahvistuskopiot | Toimet rekisteröidyn pyynnöstä; oikeutettu etu; työnantaja erillisenä rekisterinpitäjänä vastaanottamalleen sisällölle |
| Sähköpostin vahvistus ja tilin suojaaminen | Tilin ja viestinnän luotettavuus | Sopimus / oikeutettu etu (tietoturva) |
| Käyttörajoitukset ja väärinkäytön esto | Palvelun ja käyttäjien suojaaminen | Oikeutettu etu |
| Maksut (Paytrail) | Tilauksen maksaminen | Sopimus / maksuliikenne |
| Hakemusten lukumäärä (aggregaatti) | Yrityksille kevyt tilastotieto ilman hakijakohtaista seurantaa | Oikeutettu etu |
Erilliset rekisterinpitäjät: Valitsemasi yritys vastaanottaa hakemuksesi sähköpostitse (mukaan lukien PDF). Kukin yritys käsittelee oman kopionsa omissa tarkoituksissaan ja vastaa omista tietosuojaselosteistaan ja säilytyksestään.
6. Henkilötietojen käsittely käytännössä (nykyinen toteutus)
- Hakemukset: Kullekin valitulle, aktiiviselle maksavalle yritykselle lähetetään viesti osoitteeseen receiving_email ja PDF-liite, jossa on hakijan nimi, sähköposti ja hakemusteksti. Hakijalle lähetetään vahvistusviesti (liitteineen) ja kiitosviestit toteutuksen mukaisesti.
- Analytiikka sovelluksessa: Tietokantaan päivitetään vain yrityskohtainen laskuri
applications_received_count. Hakijan nimeä tai sähköpostia ei tallenneta analytiikkaa varten. - Vastaanotto-osoitteet: Alias generoidaan törmäysturvallisesti; Y-tunnusta ei käytetä aliasstrategiassa.
- Oma tili: Yrityskäyttäjä voi hallita profiilia, salasanaa, tilausta, postilaatikon aktivointia ja nähdä aggregoidun hakemusluvun käyttöliittymässä.
7. Tietojen luovutukset ja henkilötietojen käsittelijät
Tietoja käsitellään rekisterinpitäjän lukuun toimivissa palveluissa ja infrastruktuurissa, sekä viestien välityksessä:
- Directus — käyttäjät, yritystiedot ja liittyvät kentät.
- SMTP / sähköpostipalvelut — viestien lähetys (vahvistukset, hakemukset, ilmoitukset jne.).
- Postilaatikkopalvelu — yritysten vastaanottopostilaatikot luodaan palveluun määritetylle postipalvelimelle (IMAP/SMTP-isäntä näkyy esim. sähköpostiohjeissa).
- Redis (valinnainen) — käyttörajoitukset ja tunnisteet, kun
REDIS_URLon asetettu; muuten vastaavat mekanismit voivat käyttää palvelinmuistia. - Paytrail — maksun käynnistäminen ja tilakutsut (webhook).
- Sovelluksen hosting — Nuxt-sovelluksen ja liittyvien komponenttien sijainti valitun palveluntarjoajan mukaan.
Rekisterinpitäjä käyttää henkilötietojen käsittelijöiden kanssa asianmukaisia sopimuksia ja ohjeita silloin, kun ne käsittelevät henkilötietoja rekisterinpitäjän lukuun.
Yritysasiakas voi pyytää henkilötietojen käsittelyä koskevaa DPA-liitettä tilanteissa, joissa Tukex käsittelee henkilötietoja yritysasiakkaan lukuun. Vakiomuotoinen DPA on saatavilla osoitteessa /dpa tai pyynnöstä sähköpostitse osoitteesta info@avoinhakemus.fi.
8. Tietojen siirrot EU/ETA-alueen ulkopuolelle
Henkilötietoja käsitellään ensisijaisesti EU/ETA-alueella. Jos jokin palveluntarjoaja käsittelee tietoja EU/ETA-alueen ulkopuolella, rekisterinpitäjä käyttää sovellettavan lain edellyttämiä siirtomekanismeja, kuten vakiosopimuslausekkeita, silloin kun niitä tarvitaan.
9. Säilytysajat
| Tiedot | Tyypillinen säilytys |
|---|---|
| Yritys- ja käyttäjätilitiedot Directuksessa | Kunnes käyttäjä poistaa tilin (ks. alla) tai rekisterinpitäjä poistaa passiiviset tiedot sisäisen käytännön mukaan |
| Hakijan viestin sisältö sovelluksen tietokannassa | Ei säilytetä hakijarekisterinä; sisältö voi esiintyä sähköpostijärjestelmissä lähetyksen jälkeen |
| Käyttörajoitustiedot | Aktiivisen ikkunan pituus (esim. usein noin 15 minuuttia rekisteröinnissä; toteutus käyttää vanhenevia laskureita) |
| Vahvistus- ja sähköpostinvaihtotunnisteet | Enintään 24 h tai kunnes kertakäyttöinen tunniste kulutetaan |
| Salasanan palautustunnisteet | Tyypillisesti noin tunti tai kunnes kertakäyttöinen tunniste kulutetaan |
| Maksutiedot | Kirjanpito- ja verolainsäädännön sekä Paytrail-/sopimusehtojen mukaan |
| Palvelinlokit | Hosting-palvelun asetusten mukaan |
Tilinpoisto (käyttöliittymässä, jos tarjolla) pyrkii poistamaan postilaatikon postipalvelimelta, yritystiedot Directuksesta ja käyttäjätiedon. Tietoja voidaan kuitenkin säilyttää siltä osin kuin laki, kirjanpitovelvoitteet, varmuuskopiot tai tietoturvalokit sitä edellyttävät.
10. Rekisteröidyn oikeudet
Sovellettavan lain (ml. GDPR) mukaan rekisteröidyllä voi olla muun muassa oikeus tarkastaa, oikaista, poistaa ja rajoittaa käsittelyä, vastustaa käsittelyä sekä siirtää tietoja järjestelmästä toiseen, kun lain edellytykset täyttyvät.
- Yrityskäyttäjä voi päivittää osaa tiedoista Oma tili -alueella; salasana- ja sähköpostimuutokset omissa vaiheissaan.
- Työnhakija ei käytä omaa kirjautumista; tarkastus-, oikaisu- ja muut pyynnöt: info@avoinhakemus.fi. Vastataan kohtuullisessa ajassa, pääsääntöisesti enintään noin 30 päivässä, jollei laista muu johdu.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutettu, tietosuoja.fi).
11. Tietoturva (tiivistelmä)
- HttpOnly-evästeet käyttö- ja päivitystunnisteille; erillinen ei-HttpOnly
directus_session-merkintä käyttöliittymän tilan näyttämiseen - Same-origin -tarkistukset herkillä muuttavilla pyynnöillä
- Keskitetty käyttörajoitus herkissä rajapinnoissa
- Allekirjoitetut maksupyynnöt ja Paytrail-webhookien tarkistus
- Yrityskohtaisten toimintojen valtuutus
- Syötteiden validointi ja hakemusten kokorajat
- Postilaatikkosalasanan salattu tallennus Directuksessa
12. Evästeet ja paikallinen tallennus
directus_access_token— HttpOnly, tunnistautuminendirectus_refresh_token— HttpOnly, istunnon uusiminendirectus_session— ei-HttpOnly, arvo1, ei salaisuus; näyttää kirjautumistilan käyttöliittymässä
Kirjautuneella käyttäjällä sessionStorage voi sisältää lyhytikäisen (muutaman minuutin) välimuistin tilitiedoista API-kutsujen vähentämiseksi; se tyhjennetään uloskirjautumisen tai tilitietojen nollauksen yhteydessä asiakaspuolella.
Kolmansien osapuolten mainontaevästeitä ei kuvata nykyisessä toteutuksessa.
13. Automaattinen päätöksenteko
Palvelu ei nykyisen laajuuden mukaan käytä automaattista päätöksentekoa tai profilointia GDPR:n 22 artiklan merkityksessä.
14. Muutokset selosteeseen
Olennaisista muutoksista päivitetään tämä dokumentti ja tarvittaessa ilmoitetaan käyttäjille (esim. palvelussa).