Tietosuojaseloste / Privacy Policy
Tietosuojaseloste — Talent-IT Oy (resourcing.app)
Voimaantulopäivä: 9. syyskuuta 2025
1) Keitä olemme (rekisterinpitäjän tiedot)
Rekisterinpitäjä: Talent-IT Oy (Y-tunnus 3548052-6)
Rekisteröity osoite: Mesiheinänkatu 16, 33340 Tampere, Suomi
Yhteydenotot: support@resourcing.app
Tietosuojavastaava: Ei nimetty
Tämä tietosuojaseloste kuvaa, miten käsittelemme henkilötietoja, kun ylläpidämme resourcing.app -palvelua (”Palvelu”). Seloste kattaa käsittelyn, jossa Talent-IT Oy toimii rekisterinpitäjänä. Kun käsittelemme tietoja Organisaation puolesta, toimimme Organisaation dokumentoitujen ohjeiden mukaisesti (ks. §2 ja §10).
2) Roolit ja soveltamisala (rekisterinpitäjä vs. käsittelijä)
- Tilidata ja laite-/käyttötiedot: Talent-IT Oy toimii rekisterinpitäjänä.
- Organisaatiotiedot (esim. jäsenten työkokemus, koulutus, taidot, projektit, työtunnit): Organisaatio toimii rekisterinpitäjänä ja Talent-IT Oy henkilötietojen käsittelijänä Organisaation dokumentoitujen ohjeiden mukaisesti.
Palvelu on tarkoitettu organisaatioiden ammatilliseen käyttöön, eikä sitä tarjota suoraan lapsille.
3) Määritelmät (selkokielellä)
- Organisaatio: Yritysasiakkaan työtila, jota hallinnoi Organisaatio (esimerkiksi asiakkaan nimeämät ylläpitäjät).
- Tilidata (rekisterinpitäjä): etunimi, sukunimi, sähköposti, salasanatiiviste tai SSO-tunnisteet, laskutuksen yhteyshenkilö, yrityksen nimi.
- Organisaatiotiedot (käsittelijä): Organisaatioon liitetty ammattiprofiilitieto, kuten työkokemus, koulutus, taidot, projektit ja työtunnit.
- Laite-/käyttötiedot (rekisterinpitäjä): IP-osoite, otsaketiedot, käyttäjäagentti, kaatumislokit, tapahtumatelemetria, arvioitu sijainti IP:stä (vianmääritys/turva).
- Tukitiedot (rekisterinpitäjä): viestintä tukipyynnöissä (esimerkiksi sähköposti).
4) Miten keräämme tietoja
- Sinulta: kun luot tilin, kirjaudut sisään, käytät Palvelua tai otat yhteyttä tukeen.
- Organisaatioltasi: esimerkiksi kutsut ja käyttöoikeuksien määrittely.
- Valitsemiltasi SSO-palveluntarjoajilta: vastaanotamme etu- ja sukunimen sekä sähköpostiosoitteen tunnistautumista varten.
- Automaattisesti: laite-/käyttötietoja turvallisuuden, luotettavuuden ja vianmäärityksen tarpeisiin.
5) Käsittelyn tarkoitukset ja oikeusperusteet (GDPR 6, 13–14 artikla)
| Tarkoitus | Tiedot | Oikeusperuste |
|---|---|---|
| Palvelun tarjoaminen, tunnistautuminen, tilinhallinta | Tilidata; laite-/käyttötiedot (tarpeellisilta osin) | Sopimus (6(1)(b)) |
| Turvallisuus, väärinkäytösten ehkäisy, tapausten selvitys, lokitus | Laite-/käyttötiedot; rajattu tilidata | Oikeutettu etu (6(1)(f)) |
| Laskutus ja kirjanpito, vero- ja tilivelvoitteet | Tilidata (laskutuksen yhteyshenkilö, yritystiedot) | Lakisääteinen velvoite (6(1)(c)) |
| Tuki ja palveluviestintä | Tilidata; tukitiedot | Oikeutettu etu tai sopimus |
| Tuotteen luotettavuus ja laatu | Laite-/käyttötiedot | Oikeutettu etu (6(1)(f)) |
| Yhdistetyt/anonymisoidut näkymät ilman yksilöitävyyttä | Johdettu laite-/käyttötiedoista ja käyttötavoista | Oikeutettu etu (6(1)(f)); tulos ei henkilödataa |
Organisaatiotietoja käsitellään vain Organisaation dokumentoitujen ohjeiden mukaisesti (käsittelijän rooli). Voit tietyissä tapauksissa vastustaa oikeutettuun etuun perustuvaa käsittelyä (ks. §10).
6) Evästeet ja seuranta
Käytämme tällä hetkellä vain ehdottoman välttämättömiä evästeitä. Emme aseta analytiikka-, markkinointi-, A/B-testaus- tai sessio-toistoevästeitä, emmekä siksi näytä suostumusbanneria.
7) Vastaanottajat, alikäsittelijät ja hosting
Voimme käyttää valittuja alikäsittelijöitä Palvelun tuottamisessa. Kukin alikäsittelijä toimii ainoastaan ohjeidemme mukaisesti kirjallisin tietojenkäsittelyehdoin.
Isännöinti ja tallennus: ensisijainen infrastruktuurimme sijaitsee EU/ETA-alueella.
Kansainväliset siirrot: jos henkilötietoja siirretään EU/ETA-alueen ulkopuolelle, käytämme pätevää siirtomekanismia (esim. riittävyyspäätös tai vakiosopimuslausekkeet) ja tarvittaessa toteutamme lisäsuojatoimia.
Tiedot alikäsittelijöistä ja mahdollisesta muutosilmoittelusta määritellään Organisaation kanssamme tekemässä sopimuksessa.
8) Turvallisuus (GDPR 32 artikla)
Sovellamme riskitasoon nähden asianmukaisia teknisiä ja organisatorisia toimenpiteitä. Lisätietoja on saatavilla pyydettäessä.
9) Säilytys ja poistaminen
- Rekisterinpitäjän tiedot (esim. tilidata, laite-/käyttötiedot, tukitiedot): säilytämme henkilötietoja niin kauan kuin on tarpeen Palvelun tuottamiseksi, turvallisuuden ja luotettavuuden varmistamiseksi, tuen antamiseksi sekä lakien ja määräysten noudattamiseksi. Kun tietoja ei enää tarvita, poistamme ne tai anonymisoimme peruuttamattomasti.
- Tilidata: säilytetään tilin voimassaolon ajan ja sen jälkeen vain siltä osin kuin on tarpeen (esim. vero-/kirjanpitovelvoitteet), turvallisuus, petosten estäminen tai riidanratkaisu.
- Laite-/käyttötiedot: säilytetään ajan, joka on tarkoituksenmukainen turvallisuus-, diagnostiikka- ja luotettavuustarpeisiin; sen jälkeen poistetaan tai yhdistetään/anonymisoidaan.
- Tukitiedot: säilytetään osana sähköpostiarkistoamme niin kauan kuin on tarpeen pyyntösi käsittelemiseksi ja palvelun laadun, turvallisuuden sekä lakisääteisten/vaatimustenmukaisuuskäytäntöjen edellyttämien tietueiden ylläpitämiseksi; tarkistamme ja poistamme tarpeettomat tiedot säännöllisesti.
- Käsittelijän tiedot (Organisaatiotiedot): käsittelemme ja säilytämme Organisaatiotietoja vain Organisaation dokumentoitujen ohjeiden ja Organisaation kanssa tehdyn sopimuksen mukaisesti (esim. poistaminen tai palautus päättymisen tai ohjeen perusteella).
- Varmuuskopiot: ylläpidämme kiertäviä varmuuskopioita toimintavarmuuden takaamiseksi. Poistot aktiivisista järjestelmistä heijastuvat varmuuskopioihin niiden vanhetessa; varmuuskopioita käytetään vain palautukseen tai testaukseen.
- Säilytämme rajattuja tietoja pidempään, jos se on kohtuudella tarpeen oikeudellisten vaateiden laatimiseksi, esittämiseksi tai puolustamiseksi tai lakisääteisten velvoitteiden täyttämiseksi.
10) Oikeutesi (GDPR 12–23 artikla)
Voit käyttää oikeuksiasi lähettämällä sähköpostin osoitteeseen support@resourcing.app. Varmennamme pyynnöt sähköpostivahvistuksella ja tarvittaessa Organisaation ylläpitäjän vahvistuksella. Tavoitteemme on vastata kuukauden kuluessa (12 artikla 3 kohta).
Oikeuksiisi kuuluvat: tarkastusoikeus, oikaisu, poistaminen, käsittelyn rajoittaminen, vastustamisoikeus (oikeutettuun etuun perustuva käsittely) sekä tietojen siirto-oikeus (soveltuvin osin).
Organisaatiotietojen osalta käsittelemme tietoja Organisaation puolesta. Välitämme pyyntösi Organisaatiolle (rekisterinpitäjä) ja tuemme heitä vastauksessa.
Voit tehdä valituksen paikalliselle viranomaiselle.
11) Erityiset henkilötietoryhmät ja kielletty sisältö
Älä lataa tai syötä Palveluun erityisiin henkilötietoryhmiin kuuluvia tietoja (esim. terveystiedot, ammattiliiton jäsenyys, biometriset tunnisteet).
12) Viranomais- ja oikeudelliset pyynnöt
Arvioimme pyyntöjen lainmukaisuuden, rajaamme luovutuksen vain välttämättömään ja ilmoitamme asiasta kyseiselle Organisaatiolle, ellei laki kiellä ilmoittamista.
13) Tietoturvaloukkausilmoitukset
Jos saamme tietoomme henkilötietojen tietoturvaloukkauksen, joka koskee Organisaatiotietoja, ilmoitamme Organisaatiolle (rekisterinpitäjä) ilman aiheetonta viivytystä, jaamme saatavilla olevat tiedot ja teemme yhteistyötä GDPR:n edellyttämällä tavalla. Kun toimimme rekisterinpitäjänä (esim. Tilidata), ilmoitamme viranomaisille/rekisteröidyille lain edellyttämällä tavalla.
14) Muutokset tähän tietosuojaselosteeseen
Voimme päivittää tätä selostetta ajoittain. Julkaisemme päivitetyn version uudella voimaantulopäivällä.
Privacy Policy — Talent-IT Oy (resourcing.app)
Effective date: 9 September 2025
In case of conflict the Finnish version prevails.
1) Who we are (Controller details)
Controller: Talent-IT Oy (Business ID 3548052-6)
Registered address: Mesiheinänkatu 16, 33340 Tampere, Finland
Public contact: support@resourcing.app
Data Protection Officer (DPO): Not appointed
This Privacy Policy explains how we process personal data when we operate resourcing.app (the “Service”). It covers processing where Talent-IT Oy acts as controller. For data we process on behalf of an Organization, we act on the Organization’s documented instructions (see §2 and §10).
2) Roles & scope (controller vs. processor)
- Account Data and Device/Usage Data: Talent-IT Oy is controller.
- Organization Data (e.g., members’ work experience, education, skills, projects, work hours): the Organization is controller and Talent-IT Oy is processor acting on the Organization’s documented instructions.
The Service is intended for professional use by organizations and is not offered directly to children.
3) Definitions (plain language)
- Organization: A business-customer workspace administered by the Organization (for example, customer-appointed administrators).
- Account Data (controller): first name, last name, email, password hash or SSO IDs, billing contact, company name.
- Organization Data (processor): professional data linked to an Organization, such as work experience, education, skills, projects, work hours.
- Device/Usage Data (controller): IP address, headers, user-agent, crash logs, event telemetry, approximate location from IP (for debugging/security).
- Support Data (controller): communications in support requests (for example, email).
4) How we collect data
- From you: when creating an account, signing in, using the Service, or contacting support.
- From your Organization: for example, invitations and access configuration.
- From SSO providers you choose: we receive first name, last name, and email to authenticate you.
- Automatically: Device/Usage Data for security, reliability, and debugging.
5) Purposes and lawful bases (GDPR Arts. 6, 13–14)
| Purpose | Data | Lawful basis |
|---|---|---|
| Provision of the Service, user authentication, account administration | Account Data; Device/Usage Data (to the extent necessary) | Contract (Art. 6(1)(b)) |
| Security, fraud/abuse prevention, incident investigation, logging | Device/Usage Data; limited Account Data | Legitimate interests (Art. 6(1)(f)) |
| Billing and invoicing, tax and accounting | Account Data (billing contact, company details) | Legal obligation (Art. 6(1)(c)) |
| Support and service communications | Account Data; Support Data | Legitimate interests or Contract |
| Product reliability and quality | Device/Usage Data | Legitimate interests (Art. 6(1)(f)) |
| Aggregated/anonymous insights that cannot identify individuals | Derived from Device/Usage Data and use patterns | Legitimate interests (Art. 6(1)(f)); results are non-personal |
Organization Data is processed only on the Organization’s documented instructions (processor role). You may object to processing based on legitimate interests where applicable (see §10).
6) Cookies and tracking
We currently use only strictly necessary cookies. We do not set analytics, marketing, A/B testing, or session-replay cookies and therefore do not show a consent banner.
7) Recipients, subprocessors and hosting
We may engage vetted subprocessors to help deliver the Service. Each subprocessor acts only on our instructions under written data-processing terms.
Hosting and storage: our primary infrastructure is in the EU/EEA.
International transfers: if personal data is transferred outside the EEA, we will use a valid transfer mechanism (for example, an adequacy decision or Standard Contractual Clauses) and, where required, implement supplementary measures.
Details about subprocessors and any change-notification are set out in the Organization’s agreement with us.
8) Security (GDPR Art. 32)
We implement technical and organizational measures appropriate to risk. Further details are available on request.
9) Retention and deletion
- Controller data (for example, Account Data, Device/Usage Data, Support Data): We retain personal data for as long as necessary to provide the Service, ensure security and reliability, support you, and comply with legal and regulatory requirements. After it is no longer needed for these purposes, we delete or irreversibly anonymize it.
- Account Data: kept while the account is active and thereafter only as needed for compliance (e.g., tax/accounting), security, fraud prevention, or dispute resolution.
- Device/Usage Data: kept for a period appropriate to security, diagnostics, and service reliability, then deleted or aggregated/anonymized.
- Support Data: retained as part of our email archive for as long as needed to handle your request and maintain necessary records for service quality, security, and legal/compliance; we periodically review and delete where no longer needed.
- Processor data (Organization Data): We process and retain Organization Data only on the Organization’s documented instructions and as set out in the Organization’s agreement with us (for example, deletion or return on termination or instruction).
- Backups: We maintain rolling backups for resilience. Deletions from active systems take effect as backups naturally expire; backups are accessed only for disaster recovery or testing.
- We may retain limited information where reasonably necessary to establish, exercise, or defend legal claims or to comply with legal obligations.
10) Your rights (GDPR Arts. 12–23)
You can exercise your rights by emailing support@resourcing.app. We verify requests via email challenge and, where relevant, Organization admin verification. We aim to respond within one month (Art. 12(3)).
Your rights include: access, rectification, erasure, restriction, objection (to legitimate-interest processing), and data portability (where applicable).
For Organization Data, we process it on behalf of your Organization. We will forward your request to the Organization (controller) and support them in responding.
You may lodge a complaint with your local authority.
11) Special-category data and prohibited content
Do not upload or enter special-category data (e.g., health data, union membership, biometric identifiers) into the Service.
12) Government and legal requests
We review the legality of requests, limit disclosure to what is required, and notify the affected Organization unless prohibited by law.
13) Breach notification
If we become aware of a personal-data breach affecting Organization Data, we will notify the Organization (controller) without undue delay, sharing available information and cooperating as required by GDPR. Where we act as controller (for example, Account Data), we will notify authorities/data subjects as required by law.
14) Changes to this Policy
We may update this Policy from time to time. We will post the updated version with a new effective date.