Tietosuojaseloste
Päivitetty 2026-06-21. Versio 1.2.
1. Rekisterinpitäjä
Finakai Oy (Y-tunnus: 3596046-6)
Kotipaikka: Suomi
Yhteyshenkilö tietosuoja-asioissa:
- Sähköposti: kai@finakai.fi
Finakai Oy on EU:n yleisen tietosuoja-asetuksen (GDPR) tarkoittama rekisterinpitäjä RangeStat-palvelussa käsiteltäville henkilötiedoille.
2. Mitä henkilötietoja käsittelemme
Käsittelemme seuraavia tietoja siinä laajuudessa kuin kilpailun järjestäjä (admin) niitä järjestelmään syöttää tai siinä luo:
- Kilpailijan koko nimi (etu- ja sukunimi)
- Nimimerkki (alias) — joko admin tai järjestelmä luo
- Stage-kohtaiset tulokset, aika, virheet, DQ-merkinnät
- Valinnainen puhelinnumero (yhteydenottoa varten)
- Valinnainen sähköpostiosoite (PIN-palautusta ja tuloslinkin jakamista varten)
- Käyttäjätilin sähköpostiosoite ja salasana sähköpostipohjaisessa kirjautumisessa; salasana tallennetaan argon2-hash-muodossa, ja salasanan palautuslinkit ovat kertakäyttöisiä sekä määräaikaisia.
- Google OAuth -tunnistetiedot admin- ja kirjuri-kirjautumisessa (sub-tunniste, sähköpostiosoite, näyttönimi)
- Päätelaitteen tunniste + viimeksi nähty -aikaleima (mobiilisovelluksen pariliitos)
- IP-osoite ja User-Agent palvelimen lokeissa palvelun julkisessa osoitteessa (rangestat.com, UpCloudin palvelimella Helsingissä) sekä Cloudflaren nimipalvelun (DNS) lokeissa
Emme käsittele erityisiä henkilötietoryhmiä (terveystietoja, poliittisia mielipiteitä jne.).
3. Käsittelyn tarkoitus ja oikeusperuste
Tarkoitukset:
- SRA-kilpailujen järjestäminen ja tulosten kirjaaminen (kisajärjestäjän ja kirjaajan työkalu)
- Mobiilisovelluksen testaaminen julkisella infrastruktuurilla, kun tukiverkkoa ei voi vaatia testaajilta
- Tulosten julkaisu kilpailijoille ja katsojille (nimimerkkipainotteisesti)
- Tietoturva ja väärinkäytön estäminen (kirjautumislokit, väärin syötettyjen PIN-koodien hidastus)
Oikeusperuste:
- Sopimus tai sopimuksen valmistelu (GDPR 6 art. 1(b)) — kilpailujärjestäjän ja kilpailijan välinen kisaosallistuminen.
- Oikeutettu etu (GDPR 6 art. 1(f)) — tietoturvalokien säilytys ja väärinkäytön ehkäisy.
4. Vastaanottajat ja alikäsittelijät
RangeStat käyttää seuraavia alikäsittelijöitä (henkilötietojen käsittelijöitä). Kunkin kohdalla on mainittu käsittelyn tarkoitus, tietojen sijainti ja mahdollinen siirtomekanismi EU/ETA-alueen ulkopuolelle:
- UpCloud Ltd (Helsinki, Suomi) — palvelun ja tietokannan tuotantokäyttö (rangestat.com); käsittely tapahtuu EU/ETA-alueella, eikä erillistä siirtomekanismia tarvita
- Brevo (Sendinblue SA) (Pariisi, Ranska (EU)) — transaktiosähköpostien (esim. PIN-palautukset ja tuloslinkit) toimitus osoitteesta noreply@rangestat.com; käsittely tapahtuu EU/ETA-alueella, eikä erillistä siirtomekanismia tarvita
- Cloudflare, Inc. (USA) — rangestat.com-osoitteen nimipalvelu (DNS) sekä saapuvien sähköpostien välitys (info@/support@); siirtoperuste vakiosopimuslausekkeet (SCC). Cloudflare ei välitä eikä tallenna palvelun sovellusliikennettä (DNS-only / grey cloud)
- Anthropic, PBC (USA) — tekoälyominaisuudet vain jos kilpailun admin on ne erikseen valinnut käyttöön (kilpailukohtainen valinta); siirtoperuste vakiosopimuslausekkeet (SCC)
- Google LLC (USA) — Google-kirjautuminen (OAuth-tunnistautuminen); siirtoperuste vakiosopimuslausekkeet (SCC)
- Telegram FZ-LLC (Yhdistyneet arabiemiirikunnat) — tulosraporttien lähetys kilpailun Telegram-kanavalle; käytössä vain, jos kilpailun admin on ottanut Telegram-raportoinnin käyttöön
Tietoja ei myydä, vuokrata tai luovuteta markkinointitarkoituksiin.
EU/ETA:n ulkopuolelle siirrettävät tiedot perustuvat Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (SCC, GDPR luku V).
5. Säilytysaika
| Tieto | Säilytysaika |
|---|---|
| Kilpailutiedot (kilpailut, stage, tulokset, kilpailijat) | Toistaiseksi — admin voi poistaa kilpailun jolloin tiedot poistuvat kaskadina |
| Audit-lokit (kirjautumiset, PIN-yritykset, hallintatoimet) | 90 päivää |
| Refresh-tokenit mobiilipariliitokselle | Poistetaan, kun laite on ollut käyttämättä 30 päivää |
| PIN-palautusyritysten rate-limit -kirjanpito | 60 minuuttia |
| Palvelimen pääsylokit (IP, User-Agent) | Enintään 30 päivää (UpCloudin palvelimella) |
| Cloudflaren DNS-lokit (kyselyn metatiedot) | Cloudflaren säilytyskäytäntöjen mukaan |
| Brevon sähköpostin toimituslokit | Noin 30 päivää (Brevon säilytyskäytäntöjen mukaan) |
Rekisterinpitäjä arvioi säilytysajat uudelleen vuosittain.
6. Rekisteröidyn oikeudet
Sinulla on EU:n tietosuoja-asetuksen nojalla seuraavat oikeudet:
- Tarkastusoikeus — pyytää kopio sinusta käsitellyistä tiedoista
- Oikaisuoikeus — pyytää virheellisen tiedon korjaamista
- Poisto-oikeus ("right to be forgotten") — pyytää tietojen poistoa, ellei säilyttämiselle ole laillista perustetta
- Käsittelyn rajoittaminen — pyytää käsittelyn rajoittamista riitatilanteessa
- Vastustamisoikeus — vastustaa oikeutettuun etuun perustuvaa käsittelyä
- Valitusoikeus valvontaviranomaiselle — Tietosuojavaltuutetun toimisto, PL 800, 00531 Helsinki (tietosuoja@om.fi, https://tietosuoja.fi)
Pyynnöt osoitetaan: kai@finakai.fi. Vastaamme pyyntöön kuukauden kuluessa. Jos pyyntö koskee toisen seuran ylläpitämää kilpailua, ohjaamme pyynnön kyseiselle adminille.
7. Tietoturva
- Liikenne salataan TLS:llä (HTTPS); TLS päätetään palvelun omalla palvelimella (UpCloud, Helsinki).
- Palvelua isännöidään EU/ETA-alueella UpCloudin palvelimella Helsingissä, ja tietokanta on suojattu rivitason käyttöoikeuksilla.
- Mobiilipariliitos käyttää laitekohtaisia, kierreteltäviä refresh-tokeneita.
- PIN-koodit tallennetaan argon2-hash-muodossa.
- Käyttäjätilien salasanat tallennetaan argon2-hash-muodossa, ja salasanan palautuslinkit ovat kertakäyttöisiä sekä määräaikaisia.
- Palvelimen ylläpitoon (SSH ja varmuuskopiot) pääsee vain erillisen yksityisen hallintaverkon (Tailscale) kautta.
- Käyttäjien sähköpostit eivät päädy strukturoituihin lokeihin selväkielisinä (sha256-hash + 8 ensimmäistä merkkiä).
8. Evästeet ja vastaavat teknologiat
RangeStat asettaa vain ehdottoman välttämättömiä istuntoevästeitä (rs_session, rs_superadmin_session). Evästeitä ei käytetä markkinointiin, analytiikkaan tai profilointiin.
Tällä perusteella erillistä evästesuostumus-bannerointia ei käytetä (ks. tarkempi perustelu §8.1).
8.1 Evästebannerin tarpeellisuusarvio (ARCH 2026-06-04)
Sähköisen viestinnän tietosuojadirektiivin (ePrivacy, 2002/58/EY, Suomessa Sähköisen viestinnän palveluista annetun lain 205 §) mukaan evästesuostumus vaaditaan vain, jos eväste ei ole ehdottoman välttämätön käyttäjän pyytämän palvelun toteuttamiseksi.
RangeStatin asettamat evästeet:
| Eväste | Tarkoitus | Välttämätön? |
|---|---|---|
| rs_session | Käyttäjän kirjautumisistunto (PIN tai Google) | Kyllä |
| rs_superadmin_session | Superadmin-istunto | Kyllä |
Ei kolmannen osapuolen analytiikkaa (Google Analytics, Plausible, Matomo, Mixpanel jne. eivät ole käytössä).
Ei seurantapikseleitä, mainossolmuja tai social-plugineita.
Päätös: Evästebanneri ei ole pakollinen. Tietosuojaseloste mainitsee evästeet §8:ssa, mikä riittää informointivelvoitteen täyttämiseen ehdottoman välttämättömien evästeiden osalta.
Eskalaatiotrigger: Jos järjestelmään lisätään analytiikkaa, A/B-testaus, kolmannen osapuolen widgetejä tai vastaavia ei-välttämättömiä evästeitä, banneri on otettava käyttöön ja tämä arvio päivitettävä.
9. Muutokset tähän selosteeseen
Päivitämme selosteen, kun käsittelyssä tapahtuu olennaisia muutoksia (uusi alikäsittelijä, uusi käsittelytarkoitus, uusi tietoluokka). Muutoshistoria löytyy versionhallinnasta.
10. Yhteydenotto
Tietosuojaa koskevat pyynnöt ja kysymykset: