Tietosuojaseloste Moovy Green
Voimassa alkaen: 27.10.2025
Versio: 1.0
1. Rekisterinpitäjä
Moovy Oy
Y-tunnus: 3375902-1
c/o Finnpark Oy
PL 15
33211 TAMPERE
Yhteystiedot tietosuoja-asioissa:
Sähköposti: asiakaspalvelu@moovy.fi
Puhelin: +358 3 387 800
Moovy Oy on osa Finnpark-konsernia.
2. Palvelun kuvaus
Moovy Green on mobiilisovellus, joka mahdollistaa kestävän liikkumisen yhdistämällä liityntäpysäköinnin ja joukkoliikenteen. Palvelu tarjoaa käyttäjille mahdollisuuden:
- Varata liityntäpysäköintipaikkoja kumppaneiden pysäköintialueilla
- Ostaa joukkoliikenteen lippuja
- Seurata oman liikkumisen ympäristövaikutuksia (CO2-säästöt)
- Hallita omia ajoneuvotietoja ja matkahistoriaa
3. Käsiteltävät henkilötiedot
3.1 Tiliä luotaessa kerättävät tiedot
Tietolähde: Käyttäjä antaa tiedot itse sovelluksessa
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Sähköpostiosoite | Tilin tunnistaminen, kirjautuminen, viestintä | Sopimus (Art. 6(1)(b)) |
| Puhelinnumero | Käyttäjän tunnistaminen, asiakaspalvelu, tärkeät ilmoitukset | Sopimus (Art. 6(1)(b)) |
| Salasana (hajautettu) | Tilin suojaus ja autentikointi | Sopimus (Art. 6(1)(b)) |
3.2 Ajoneuvotiedot
Tietolähde: Käyttäjä syöttää tiedot
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Rekisteritunnus (esim. ABC-123) | Ajoneuvon tunnistaminen pysäköintialueella, varausten hallinta | Sopimus (Art. 6(1)(b)) |
| Ajoneuvon merkki ja malli | Ajoneuvon identifiointi, käyttäjäkokemus | Sopimus (Art. 6(1)(b)) |
| Ajoneuvon koko | CO2-päästölaskenta | Oikeutettu etu (Art. 6(1)(f)) |
| Käyttövoima | CO2-päästölaskenta | Oikeutettu etu (Art. 6(1)(f)) |
| Kulutus (l/100 km tai kWh/100 km) | CO2-päästölaskenta | Oikeutettu etu (Art. 6(1)(f)) |
Oikeutetun edun arviointi: CO2-päästölaskennan mahdollistaminen on palvelun ydinominaisuus, joka tukee ympäristötietoista liikkumista. Käyttäjä voi halutessaan kytkeä ominaisuuden pois päältä.
3.3 Osoitetiedot
Tietolähde: Käyttäjä syöttää tiedot
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Kotiosoite | Matkan suunnittelun helpottaminen, lähtöpaikan esilataus | Sopimus (Art. 6(1)(b)) |
| Työpaikan osoite | Matkan suunnittelun helpottaminen, määränpään esilataus | Sopimus (Art. 6(1)(b)) |
3.4 Matkatiedot ja varaukset
Tietolähde: Käyttäjä syöttää tiedot ja palvelu generoi osia automaattisesti
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Lähtöpaikka (osoite) | Matkan kirjaus, reittitiedot | Sopimus (Art. 6(1)(b)) |
| Määränpää (osoite) | Matkan kirjaus, reittitiedot | Sopimus (Art. 6(1)(b)) |
| Liityntäpysäköintialue | Varauksen toteutus, pysäköintipaikan osoitus | Sopimus (Art. 6(1)(b)) |
| Varauksen alkamisaika | Pysäköintivarauksen hallinta | Sopimus (Art. 6(1)(b)) |
| Varauksen päättymisaika | Pysäköintivarauksen hallinta | Sopimus (Art. 6(1)(b)) |
| Matkahistoria | Käyttöhistorian näyttäminen, palvelun kehittäminen | Oikeutettu etu (Art. 6(1)(f)) |
| Säästetty CO2 (kg) | Ympäristövaikutusten visualisointi | Oikeutettu etu (Art. 6(1)(f)) |
3.5 Sijaintitiedot
Tietolähde: Laitteen GPS-anturi
| Tietokenttä | Käyttötarkoitus | Oikeusperusta | Käsittelyajankohta |
|---|---|---|---|
| Laitteen GPS-sijainti | Lähtöpaikan ja määränpään automaattinen täyttö, lähimpien pysäköintialueiden näyttäminen | Suostumus (Art. 6(1)(a)) | Vain kun käyttäjä on antanut sijaintiluvan ja varauksen aikana |
Huomio: Sijaintitietoja kerätään ainoastaan, kun käyttäjä on antanut sovellukselle sijaintiluvan ja käyttää aktiivisesti palvelua (ei taustalla). Käyttäjä voi milloin tahansa peruuttaa sijaintiluvan laitteen asetuksista.
3.6 Maksutiedot
Tietolähde: Käyttäjä syöttää maksukortin tiedot
| Tietokenttä | Käyttötarkoitus | Oikeusperusta | Käsittelijä |
|---|---|---|---|
| Maksukortin numero (tokenoitu) | Maksujen käsittely | Sopimus (Art. 6(1)(b)) | Stripe |
| Voimassaoloaika | Maksutapahtumien vahvistus | Sopimus (Art. 6(1)(b)) | Stripe |
| CVC-koodi | Maksutapahtumien vahvistus (ei tallenneta) | Sopimus (Art. 6(1)(b)) | Stripe (ei tallenneta) |
| Kortin haltijan nimi | Joukkoliikenneliput (Waltti-vaatimus) | Sopimus (Art. 6(1)(b)) | Stripe & Waltti |
Huomio: Moovy Oy ei säilytä täydellisiä maksukorttitietoja. Maksutiedot käsitellään PCI DSS -standardin mukaisesti Stripen kautta. Moovy tallentaa ainoastaan tokenoidun viitteen maksukorttiin ja kortin viimeiset 4 numeroa käyttäjän tunnistamista varten.
3.7 Markkinointiviestintä
Tietolähde: Käyttäjän suostumus
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Sähköpostiosoite | Markkinointiviestit, uutiset, tarjoukset | Suostumus (Art. 6(1)(a)) |
| Puhelinnumero | Markkinointiviestit (mikäli erikseen suostuttu) | Suostumus (Art. 6(1)(a)) |
Huomio: Suostumus markkinointiviesteihin pyydetään erikseen. Käyttäjä voi milloin tahansa peruuttaa suostumuksen sovelluksen asetuksista tai viestin lopussa olevasta linkistä.
3.8 Automaattisesti kerättävät tekniset tiedot
Tietolähde: Palvelun käyttö,
| Tietokenttä | Käyttötarkoitus | Oikeusperusta |
|---|---|---|
| Laitetyyppi ja käyttöjärjestelmä | Tekninen tuki, yhteensopivuus | Oikeutettu etu (Art. 6(1)(f)) |
| Sovelluksen versio | Tekninen tuki, virheiden korjaus | Oikeutettu etu (Art. 6(1)(f)) |
| IP-osoite | Tietoturva, väärinkäytösten estäminen | Oikeutettu etu (Art. 6(1)(f)) |
| Käyttöloki | Tietoturva, palvelun kehittäminen | Oikeutettu etu (Art. 6(1)(f)) |
| Virheraportit ja kaatumislokitiedot | Palvelun laadun varmistaminen | Oikeutettu etu (Art. 6(1)(f)) |
4. Henkilötietojen käsittelyn tarkoitukset ja oikeusperusteet
4.1 Sopimusperusteinen käsittely (GDPR Art. 6(1)(b))
Käsittelemme henkilötietoja, jotka ovat välttämättömiä palvelusopimuksen täyttämiseksi:
- Käyttäjätilin luominen ja hallinta
- Liityntäpysäköinnin varaukset ja hallinta
- Joukkoliikenteen lippujen myynti
- Maksujen käsittely
- Asiakaspalvelun tarjoaminen
4.2 Suostumukseen perustuva käsittely (GDPR Art. 6(1)(a))
Käsittelemme seuraavia tietoja ainoastaan käyttäjän nimenomaisen suostumuksen perusteella:
- Sijaintitiedot: Käyttäjä antaa sijaintiluvan laitteen asetuksissa
- Markkinointiviestit: Käyttäjä antaa suostumuksen tilauksen yhteydessä tai profiiliasetuksissa
Suostumuksen voi peruuttaa milloin tahansa ilman, että se vaikuttaa suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
4.3 Oikeutettuun etuun perustuva käsittely (GDPR Art. 6(1)(f))
Käsittelemme tiettyjä henkilötietoja oikeutetun etumme perusteella seuraavissa tarkoituksissa:
Palvelun kehittäminen ja parantaminen
- Käsiteltävät tiedot: Matkahistoria, käyttötilastot
- Tasapainotestaus: Käyttäjien edut eivät syrjäytä tätä etua, koska tiedot käsitellään aggregoituina ja palvelun parantaminen hyödyttää kaikkia käyttäjiä.
CO2-päästölaskenta ja ympäristövaikutusten raportointi
- Käsiteltävät tiedot: Ajoneuvotiedot, matkatiedot
- Tasapainotestaus: Tämä on palvelun ydinominaisuus, joka edistää ympäristötietoista liikkumista. Käyttäjä voi kytkeä ominaisuuden pois päältä.
Tietoturva ja väärinkäytösten estäminen
- Käsiteltävät tiedot: IP-osoitteet, käyttöloki, virheraportit
- Tasapainotestaus: Tietoturvan ylläpitäminen on välttämätöntä kaikkien käyttäjien etujen suojaamiseksi.
4.4 Lakisääteinen velvoite (GDPR Art. 6(1)(c))
Käsittelemme henkilötietoja lakisääteisten velvoitteiden noudattamiseksi:
- Kirjanpitovelvoitteet (Kirjanpitolaki)
- Verotusta koskevat velvoitteet
- Kuluttajansuojalain mukaiset velvoitteet
5. Henkilötietojen vastaanottajat ja siirrot
5.1 Sisäiset vastaanottajat
Moovy Oy:n sisällä henkilötietoja käsittelevät:
- Asiakaspalveluhenkilöstö
- IT- ja kehitystiimi
- Taloushallintohenkilöstö
Kaikki henkilöstö on sitoutettu salassapitoon.
5.2 Ulkopuoliset henkilötietojen käsittelijät (GDPR Art. 28)
Käytämme seuraavia henkilötietojen käsittelijöitä:
| Käsittelijä | Rooli | Sijainti |
|---|---|---|
| Google Cloud Platform (GCP) | Pilvi-infrastruktuuri, datan säilytys | EU |
| Stripe, Inc. | Maksujen käsittely | EU / USA |
| Waltti-järjestelmä | Joukkoliikenteen lipunmyynti | EU |
Maksujen käsittelyssä käytämme Stripe Payments Europe Limited -palvelua (rekisteröity Irlantiin).
Stripe voi siirtää ja käsitellä tietoja myös sen konserniyhtiöiden toimesta EU:n ulkopuolella, kuten Yhdysvalloissa, maksupalvelun tuottamiseksi.
Stripe noudattaa EU:n yleistä tietosuoja-asetusta (GDPR) ja käyttää EU:n komission hyväksymiä mallisopimuslausekkeita (Standard Contractual Clauses, SCC) varmistaakseen henkilötietojen asianmukaisen suoja. Stripe vastaa maksutietojen turvallisesta käsittelystä PCI DSS -standardien mukaisesti.
5.3 Kolmannet osapuolet ja kumppanit
| Vastaanottaja | Tarkoitus | Oikeusperuste |
|---|---|---|
| Pysäköintialueiden kumppanit | Pysäköintivarausten toteutus, ajoneuvon tunnistaminen | Sopimus (Art. 6(1)(b)) |
| Viranomaiset | Lakisääteiset velvoitteet, viranomaispyynnöt | Lakisääteinen velvoite (Art. 6(1)(c)) |
5.4 Tietojen siirrot EU:n/ETA:n ulkopuolelle
Stripe (USA)
Maksujen käsittely voi sisältää tietojen siirtoja Yhdysvaltoihin. Siirrot toteutetaan EU:n komission hyväksymien vakiolausekkeiden (Standard Contractual Clauses, SCC) perusteella. Stripe on sertifioitu Data Privacy Framework (DPF) -ohjelman mukaisesti.
6. Henkilötietojen säilytysajat
| Tietoryhmä | Säilytysaika | Peruste |
| Käyttäjätilin perustiedot | Tilin olemassaolon ajan + 12 kk tilin sulkemisen jälkeen | Sopimus, asiakassuhteen hallinta |
| Matkahistoria ja CO2-tiedot | Tilin olemassaolon ajan + 12 kk | Palvelun tarjoaminen, käyttäjäkokemus |
| Varaushistoria | 36 kuukautta varauksen päättymisestä | Reklamaatiot, asiakaspalvelu |
| Maksutapahtumat | 6 vuotta (kirjanpitolaki) | Lakisääteinen velvoite |
| Asiakaspalvelun yhteydenotot | 24 kuukautta | Asiakaspalvelun laatu |
| Markkinointisuostumukset | Suostumuksen peruuttamiseen asti tai 24 kk viimeisestä käytöstä | Suostumus |
| Tekninen lokitieto | 12 kuukautta | Tietoturva, virheiden korjaus |
| Sijaintitiedot | Ei tallenneta pysyvästi, käytetään vain reaaliajassa | Palvelun tarjoaminen, käyttäjäkokemus, Suostumus |
Anonymisointi
Säilytysajan päätyttyä henkilötiedot joko poistetaan tai anonymisoidaan siten, ettei niitä voida enää yhdistää tiettyyn henkilöön. Anonymisoituja tietoja voidaan käyttää tilastollisiin tarkoituksiin määräämättömän ajan.
Pidennetty säilytys
Henkilötietoja voidaan säilyttää pidempään, mikäli:
- Oikeudellinen vaatimus tai viranomaispyyntö sitä edellyttää
- Käyttäjä on antanut suostumuksen pidempään säilytykseen
- Tiedot ovat välttämättömiä oikeusvaatimuksen laatimiseksi tai puolustautumiseksi
7. Rekisteröidyn oikeudet
Sinulla on seuraavat oikeudet henkilötietojesi käsittelyyn liittyen (GDPR luku III):
7.1 Oikeus saada pääsy tietoihin (Art. 15)
Sinulla on oikeus saada tieto siitä, käsitelläänkö henkilötietojasi, ja jos käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraaviin tietoihin:
- Käsittelyn tarkoitukset
- Henkilötietoryhmät
- Tietojen vastaanottajat
- Säilytysaika
- Rekisteröidyn oikeudet
Toteutus: Voit tarkastella suurinta osaa tiedoistasi suoraan sovelluksen ”Oma profiili” -osiossa. Voit pyytää täydellisen tietopaketin ottamalla yhteyttä osoitteeseen asiakaspalvelu@moovy.fi.
Maksu: Ensimmäinen tietopyyntö on maksuton. Toistuvista tai selvästi perusteettomista pyynnöistä voimme periä hallinnollisen maksun.
7.2 Oikeus tietojen oikaisemiseen (Art. 16)
Sinulla on oikeus vaatia, että virheelliset henkilötietosi oikaistaan viipymättä. Voit päivittää useimmat tiedot suoraan sovelluksessa (”Oma profiili” → ”Muokkaa tietoja”).
7.3 Oikeus tietojen poistamiseen (Art. 17)
Sinulla on oikeus vaatia henkilötietojesi poistamista, jos:
- Tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin
- Peruutat suostumuksesi eikä käsittelyyn ole muuta laillista perustetta
- Vastustat käsittelyä eikä käsittelyyn ole oikeutettua perustetta
- Henkilötietoja on käsitelty lainvastaisesti
- Tiedot on poistettava lakisääteisen velvoitteen noudattamiseksi
Rajoitukset: Emme voi poistaa tietoja, jos käsittely on tarpeen:
- Lakisääteisen velvoitteen noudattamiseksi (esim. kirjanpitolaki)
- Oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Toteutus: Voit pyytää poistoa asiakaspalvelu@moovy.fi.
7.4 Oikeus käsittelyn rajoittamiseen (Art. 18)
Sinulla on oikeus vaatia käsittelyn rajoittamista, jos:
- Kiistät henkilötietojen paikkansapitävyyden
- Käsittely on lainvastaista, mutta et halua tietoja poistettavan
- Tarvitset tietoja oikeusvaateen laatimiseen
- Olet vastustanut käsittelyä ja odotetaan, syrjäytetäänkö oikeutetut perusteet
7.5 Oikeus siirtää tiedot järjestelmästä toiseen (Art. 20)
Sinulla on oikeus saada koneluettavassa muodossa henkilötiedot, jotka olet antanut meille ja joita käsitellään:
- Suostumukseen tai sopimukseen perustuen
- Automaattisesti
Toteutus: Voit pyytää tietojasi JSON-muodossa osoitteesta asiakaspalvelu@moovy.fi. Toimitamme tiedot 30 päivän kuluessa vahvistetusta pyynnöstä.
7.6 Vastustamisoikeus (Art. 21)
Sinulla on oikeus vastustaa henkilötietojesi käsittelyä, joka perustuu:
- Oikeutettuun etuun (Art. 6(1)(f)): Voit vastustaa esim. suoramarkkinointia tai profilointia
- Suoramarkkinointiin: Voit kieltäytyä markkinointiviestinnästä milloin tahansa
Toteutus: Voit hallita asetuksia sovelluksessa tai lähettää vastustamisilmoituksen osoitteeseen asiakaspalvelu@moovy.fi.
7.7 Oikeus olla joutumatta automatisoitujen yksittäispäätösten kohteeksi (Art. 22)
Moovy Green -palvelussa ei tehdä automaattisia päätöksiä, jotka vaikuttaisivat merkittävästi sinuun tai aiheuttaisivat oikeusvaikutuksia. CO2-laskelmat ovat informatiivisia eivätkä vaikuta palvelun saatavuuteen.
7.8 Oikeus tehdä valitus valvontaviranomaiselle (Art. 77)
Sinulla on oikeus tehdä valitus valvontaviranomaiselle, jos katsot, että henkilötietojesi käsittely rikkoo tietosuoja-asetusta.
Suomen valvontaviranomainen:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Vaihde: 029 566 6700
Sähköposti: tietosuoja@om.fi
Verkkosivu: https://tietosuoja.fi
8. Tietoturva ja suojatoimenpiteet
Moovy Oy toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi (GDPR Art. 32):
8.1 Tekniset suojatoimenpiteet
- Salaus: Kaikki tiedonsiirto salataan TLS 1.2+ -protokollalla
- Salasanat: Salasanat hajautetaan käyttäen bcrypt-algoritmia, alkuperäisiä salasanoja ei tallenneta
- Tietokantasalaus: Herkkä data (esim. henkilötiedot) salataan tietokannassa (encryption at rest)
- Palomuuri ja pääsynhallinta: Infrastruktuuri on suojattu palomuurilla ja pääsynhallintalistauksilla
- Lokitus: Kaikki pääsy henkilötietoihin lokitetaan ja lokeja seurataan
8.2 Organisatoriset suojatoimenpiteet
- Pääsynrajoitus: Henkilötietoihin pääsy vain niiden työntekijöiden osalta, joiden tehtävät sitä edellyttävät
- Salassapitositoumukset: Kaikki henkilöstö on sitoutettu salassapitoon
- Tietosuojakoulutus: Säännöllinen GDPR-koulutus henkilöstölle
- Sopimussuojaukset: Kaikki henkilötietojen käsittelijät sitoutettu Art. 28 mukaisilla sopimuksilla
- Tietoturvapoikkeamien hallinta: Dokumentoitu prosessi tietoturvapoikkeamien havaitsemiseksi ja hallitsemiseksi
8.3 Tietoturvaloukkauksiin reagointi (Art. 33-34)
Jos henkilötietojen tietoturvaloukkaus tapahtuu:
- Ilmoitus valvontaviranomaiselle: 72 tunnin kuluessa tietoomme tulosta (Art. 33)
- Ilmoitus rekisteröidyille: Jos loukkaus aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille (Art. 34)
- Dokumentointi: Kaikki tietoturvaloukkaukset dokumentoidaan sisäisesti
9. Evästeet ja seuranta
Moovy Green -mobiilisovellus ei käytä selainpohjaisia evästeitä, mutta sovellus voi tallentaa paikallisia teknisiä tietoja laitteellesi seuraaviin tarkoituksiin:
9.1 Välttämättömät tekniset tiedot
- Istunnon hallinta: Kirjautumistietojen säilyttäminen (session token)
- Asetukset: Käyttäjän valitsemat asetukset (kieli, ilmoitukset)
- Välimuisti: Palvelun suorituskyvyn parantaminen
Nämä tiedot ovat välttämättömiä palvelun toiminnalle eikä niiden käyttöön pyydetä erillistä suostumusta.
10. Alaikäiset
Moovy Green -palvelu on tarkoitettu täysi-ikäisille käyttäjille (18 vuotta täyttäneet). Emme tietoisesti kerää henkilötietoja alle 18-vuotiailta ilman huoltajan suostumusta.
Jos huomaat, että alaikäinen on luonut tilin ilman huoltajan lupaa, pyydämme ottamaan yhteyttä: asiakaspalvelu@moovy.fi.
11. Tietosuojaselosteen muutokset
Moovy Oy varaa oikeuden päivittää tätä tietosuojaselostetta palvelun kehittyessä ja lainsäädännön muuttuessa.
Ilmoitus muutoksista:
- Merkittävistä muutoksista ilmoitetaan käyttäjille sähköpostitse ja/tai sovelluksen ilmoituksella
- Vähäisistä teknisistä päivityksistä ilmoitetaan päivittämällä ”Voimassa alkaen” -päivämäärää
- Käyttäjän odotetaan tutustuvan muutoksiin ennen palvelun jatkokäyttöä
- Jos muutokset edellyttävät uutta suostumusta, pyydämme sitä erikseen
Suosittelemme tarkistamaan tämän selosteen säännöllisesti.
12. Yhteystiedot ja yhteydenotto
Tietosuoja-asiat ja rekisteröidyn oikeuksien käyttö:
Moovy Oy
c/o Finnpark Oy
PL 15
33211 TAMPERE
Sähköposti: asiakaspalvelu@moovy.fi
Puhelin: +358 3 387 800
Tietosuojavastaava
Nimi: Mikko Paavola
Sähköposti: asiakaspalvelu@finnpark.fi
Puhelin: +358 3 387 800
13. Sovellettava lainsäädäntö
Tähän tietosuojaselosteeseen ja henkilötietojen käsittelyyn sovelletaan:
- EU:n yleinen tietosuoja-asetus (GDPR) 2016/679
- Suomen tietosuojalaki (1050/2018)
- Laki sähköisen viestinnän palveluista (917/2014)
- Muut soveltuvat Suomen ja EU:n tietosuojaa koskevat säädökset
Tämä tietosuojaseloste on laadittu noudattaen EU:n yleistä tietosuoja-asetusta (GDPR) ja Suomen tietosuojalakia.
