Viimeksi päivitetty: 18.11.2025
Tässä tietosuojaselosteessa kerrotaan, miten NoCFO Oy käsittelee henkilötietoja silloin, kun se toimii rekisterinpitäjänä oman liiketoimintansa, asiakassuhteiden ja palvelun ylläpidon yhteydessä. Selosteessa kuvataan myös se, miten käsittelemme asiakkaiden palveluun tallentamia henkilötietoja silloin, kun toimimme henkilötietojen käsittelijänä asiakkaan lukuun.
Kun NoCFO käsittelee henkilötietoja oman liiketoimintansa, asiakasviestinnän, palvelun ylläpidon tai markkinoinnin yhteydessä, NoCFO toimii näiden tietojen rekisterinpitäjänä. Rekisterinpitäjänä käsiteltävät tiedot koskevat NoCFO:n asiakkaita, palvelun käyttäjiä ja potentiaalisia asiakkaita sekä palvelun verkkosivujen ja sovellusten vierailijoita. Nämä tiedot ovat erillisiä niistä henkilötiedoista, joita asiakkaat tallentavat palveluun kirjanpidollisia tai muita omia tarkoituksiaan varten. Palveluun tallennettuja tietoja käsitellään erikseen kohtien 3 ja Liitteen henkilötietojen käsittelystä mukaisesti.
Rekisterinpitäjänä NoCFO kerää ja käsittelee asiakkaiden ja käyttäjien perustietoja, kuten nimi- ja yhteystietoja, organisaatiotietoja, maksamiseen ja laskutukseen liittyviä tietoja, asiakassuhteeseen liittyvää viestintää ja sopimusdokumentaatiota. Lisäksi käsittelemme palvelun käyttöön liittyviä teknisiä tietoja, kuten IP-osoitteita, lokitietoja, istuntotunnisteita, laitetietoja, virheilmoituksia ja muita teknisiä tapahtumatietoja, joita syntyy palvelua käytettäessä. Tämän lisäksi hyödynnämme verkkosivustojen ja sovellusten evästeitä, joista kerrotaan tarkemmin erillisessä evästeselosteessa.
Rekisterinpitäjänä tapahtuva henkilötietojen käsittely on tarpeen palveluiden tarjoamiseksi, asiakasviestinnän hoitamiseksi, asiakassuhteiden ylläpitämiseksi, palvelun ja liiketoiminnan kehittämiseksi sekä markkinointitarkoituksiin. Käsittelyn oikeusperusteina ovat asiakkaan ja NoCFO:n välinen sopimussuhde, NoCFO:n oikeutettu etu kehittää palvelua ja ylläpitää asiakassuhteita sekä lainsäädännön edellyttämät velvoitteet, kuten kirjanpitolain mukainen tietojen säilytysvelvollisuus. Joissakin tilanteissa käsittely perustuu rekisteröidyn antamaan suostumukseen, jonka rekisteröity voi milloin tahansa peruuttaa.
Henkilötiedot säilytetään rekisterinpitäjänä niin kauan kuin se on tarpeellista käsittelyn tarkoitusten toteuttamiseksi. Asiakassuhteeseen liittyvät tiedot poistetaan viimeistään kolmen kuukauden kuluttua asiakassuhteen päättymisestä, ellei tietojen säilyttäminen ole välttämätöntä lainsäädännön tai NoCFO:n oikeutetun edun perusteella. Suostumukseen perustuvat tiedot poistetaan, kun suostumus peruutetaan. NoCFO:n omat kirjanpitoaineistot säilytetään lain edellyttämän ajan.
Rekisterinpitäjänä NoCFO toteuttaa henkilötietojen käsittelyn teknisesti ja organisatorisesti turvallisella tavalla, ja käsittelee tietoja vain siinä laajuudessa, kuin se on palvelun toimittamisen, ylläpidon ja kehittämisen kannalta tarpeellista. Palveluun tallennettujen asiakkaiden henkilötietojen käsittelyä tämä kohta ei koske, vaan ne käsitellään erillisin periaattein kohtien 3 ja sopimuksen Liitteen mukaisesti.
Kun asiakas käyttää NoCFO-palvelua tallentaakseen taloushallinnon, kirjanpidon, asiakasrekisterin tai muun toimintansa yhteydessä syntyneitä henkilötietoja, asiakas toimii näiden tietojen rekisterinpitäjänä ja NoCFO henkilötietojen käsittelijänä. Näiden tietojen käsittely perustuu asiakkaan ja NoCFO:n väliseen sopimussuhteeseen sekä siihen sisältyvään Liitteeseen henkilötietojen käsittelystä, jota noudatetaan kaikessa asiakkaan puolesta tapahtuvassa henkilötietojen käsittelyssä. NoCFO käsittelee tietoja asiakkaan dokumentoitujen ohjeiden mukaisesti ja siinä laajuudessa kuin palvelun toimittaminen, ylläpito ja turvallisuus sitä edellyttävät.
Palveluun tallennettavia henkilötietoja voivat olla esimerkiksi tositteet, kuitit, laskut, myynti- ja ostotiedot, tiliotteet ja pankkitapahtumat sekä asiakkaan omasta asiakasrekisteristä peräisin olevat tiedot. Näiden tietojen omistajuus säilyy asiakkaalla, eikä NoCFO käytä niitä omiin erillisiin tarkoituksiinsa ilman sopimukseen perustuvaa oikeutta.
Osana palvelun kehittämistä ja automaation parantamista NoCFO voi käsitellä palveluun tallennettuja henkilötietoja myös palvelun analysoimiseksi ja parantamiseksi. Tämä käsittely voi sisältää esimerkiksi kuitteihin, tositteisiin, asiakirjoihin ja tapahtumadataan kohdistuvaa luokittelua, mallintamista, koneoppimisen koulutusta tai muita kehittämistoimia. Tätä käsittelyä ohjaa NoCFO:n oikeutettu etu kehittää ja ylläpitää palvelua sekä parantaa sen laatua, automatisointia ja luotettavuutta. Käsittely tapahtuu aina sopimuksen sekä Liitteen henkilötietojen käsittelystä mukaisesti, eikä NoCFO koskaan käytä dataa tavalla, joka olisi ristiriidassa asiakkaan rekisterinpitäjäroolin tai lain asettamien velvoitteiden kanssa.
Palvelun kehittämiseksi tapahtuva käsittely ei rajoita asiakkaan oikeutta omiin tietoihinsa, eikä se muuta rekisterinpitäjän ja käsittelijän välistä roolijakoa. NoCFO toteuttaa tällaisen käsittelyn teknisesti ja organisatorisesti siten, että tietosuoja ja tietoturva toteutuvat korkealla tasolla.
NoCFO säilyttää henkilötietoja ensisijaisesti Euroopan talousalueella. Jos henkilötietoja siirretään palveluntarjoajien kautta EU- tai ETA-alueen ulkopuolelle, siirrot toteutetaan aina lainsäädännön edellyttämää tietosuojan tasoa noudattaen. Käytämme siirroissa muun muassa Euroopan komission hyväksymiä mallisopimuslausekkeita ja hyödynnämme EU–US Data Privacy Framework -järjestelmää niissä tilanteissa, joissa vastaanottaja on siihen liittynyt.
NoCFO käyttää luotettavia ja valtuutettuja palveluntarjoajia palvelun tuottamiseen ja ylläpitämiseen. Tällaisia palveluntarjoajia voivat olla esimerkiksi pilvipalvelut, asiakastuen järjestelmät, maksupalvelut ja tekniset infrastruktuuritoimittajat. Palveluntarjoajat voivat käsitellä henkilötietoja vain siinä laajuudessa kuin se on välttämätöntä niiden tarjoamien palveluiden toteuttamiseksi, ja heidän kanssaan on sovittu asianmukaisista tietosuojaa koskevista velvoitteista.
Henkilötietoja voidaan luovuttaa myös viranomaisille silloin, kun luovutus perustuu pakottavaan lainsäädäntöön tai viranomaisen määräykseen. Yrityskauppojen tai muiden vastaavien järjestelyjen yhteydessä tietoja voidaan tarvittaessa siirtää asianomaisille osapuolille, kuitenkin aina luottamuksellisuutta noudattaen. Lisäksi henkilötietoja voidaan luovuttaa kolmansille osapuolille rekisteröidyn antaman nimenomaisen suostumuksen perusteella.
Rekisteröidyllä on oikeus saada tieto siitä, mitä häntä koskevia henkilötietoja NoCFO käsittelee, ja pyytää tietojen oikaisemista, poistamista tai käsittelyn rajoittamista. Rekisteröity voi tietyissä tilanteissa vastustaa henkilötietojen käsittelyä, erityisesti silloin kun kyse on suoramarkkinoinnista. Lisäksi rekisteröidyllä on oikeus saada tietonsa siirretyssä, jäsennellyssä muodossa sekä oikeus peruuttaa suostumuksensa milloin tahansa. Pyynnöt tulee toimittaa rekisterinpitäjälle ja niissä tulee yksilöidä riittävät tiedot henkilöllisyyden varmentamiseksi.
NoCFO voi lähettää asiakkailleen palveluihin liittyviä tiedotteita ja markkinointiviestejä. Rekisteröidyllä on oikeus kieltää suoramarkkinointi ottamalla yhteyttä NoCFOon tai käyttämällä markkinointiviestien yhteydessä olevaa peruutustoimintoa.
NoCFO huolehtii henkilötietojen turvallisesta käsittelystä teknisten, organisatoristen ja hallinnollisten suojatoimien avulla. Tavoitteena on varmistaa tietojen luottamuksellisuus, eheys ja saatavuus. Henkilötietoja käsittelevät vain ne henkilöt, joilla on siihen työtehtäviensä perusteella oikeus.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, mikäli hän katsoo, että henkilötietoja käsitellään vastoin sovellettavaa tietosuojalainsäädäntöä. Suomessa valvontaviranomainen on Tietosuojavaltuutetun toimisto (https://tietosuoja.fi)