Suurennettu kuva

Tietosuojaseloste

Tämä tietosuojaseloste on laadittu seuraavien säädösten mukaisesti:

  • EU:n yleinen tietosuoja-asetus (EU) 2016/679 (GDPR)
  • Tietosuojalaki (1050/2018)
  • Laki sähköisen viestinnän palveluista (917/2014)

1. REKISTERINPITÄJÄ

Nimi

Luma Creative Oy 

Y-tunnus

2861814-4

Postiosoite

Isokatu 1 B LT 4, 90100 Oulu

Puhelin

045 661 6514

Verkkosivut

lumacreative.fi

REKISTERIASIOISTA VASTAAVA HENKILÖ
Nimi: Hannu Rantakallio
Puhelinnumero: 045 661 6514
Sähköposti: hannu@lumacreative.fi

2. REKISTERÖIDYT

Tämä tietosuojaseloste koskee seuraavia ryhmiä:

  • Asiakkaat ja heidän yhteyshenkilönsä
  • Potentiaaliset asiakkaat ja yhteydenottopyyntöjen lähettäjät
  • Uutiskirjeen tilaajat
  • Verkkosivuston käyttäjät
  • Markkinointi- ja outreach-kampanjoiden vastaanottajat (kun kampanjoita toteutetaan omissa nimissämme)

3. HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA PERUSTE

3.1 Asiakkaat ja yhteyshenkilöt

Käsittelyn tarkoitus: asiakassopimuksen täytäntöönpano, asiakaspalvelu, projektien toteuttaminen, laskutus ja asiakassuhteen ylläpito.

Käsittelyperuste: sopimuksen täytäntöönpano (GDPR 6.1.b) ja oikeutettu etu (GDPR 6.1.f).


3.2 Potentiaaliset asiakkaat ja yhteydenottopyynnöt

Käsittelyn tarkoitus: yhteydenottopyyntöihin vastaaminen ja mahdollisen asiakassuhteen aloittaminen.

Käsittelyperuste: oikeutettu etu (GDPR 6.1.f) tai suostumus (GDPR 6.1.a).

3.3 Uutiskirjeen tilaajat

Käsittelyn tarkoitus: markkinointiviestinnän lähettäminen uutiskirjeen muodossa.

Käsittelyperuste: suostumus (GDPR 6.1.a).

3.4 Verkkosivuston käyttäjät

Käsittelyn tarkoitus: verkkosivuston toiminnan analysointi, kävijämäärien seuranta ja sisällön kehittäminen.

Käsittelyperuste: oikeutettu etu (GDPR 6.1.f) ja suostumus evästeisiin.

3.5 Markkinointi- ja outreach-kampanjat 

Toteutamme outreach- ja markkinointikampanjoita kahdessa roolissa:

  a) Rekisterinpitäjänä — omat kampanjamme

Kun lähetämme markkinointi- tai outreach-viestejä omissa nimissämme potentiaalisille asiakkaille, käsittelyperuste on oikeutettu etu (GDPR 6.1.f). Vastaanottajat ovat aina yritysten edustajia työtehtävissään, ja viestien sisältö liittyy heidän työrooliinsa. Jokaisessa viestissä on selkeä mahdollisuus kieltäytyä jatkoviesteistä.

  b) Käsittelijänä — asiakkaiden kampanjat

Kun toteutamme outreach- tai markkinointikampanjoita asiakkaidemme puolesta, asiakas on rekisterinpitäjä ja Luma toimii GDPR:n mukaisena käsittelijänä. Käsittelystä tehdään aina erillinen käsittelysopimus (Data Processing Agreement, DPA).

 

4. REKISTERIIN TALLENNETTAVAT TIEDOT

Rekisteriin voidaan tallentaa seuraavia tietoja:

Tieto

Asiakas

Käyttäjä

Nimi

x

x

Puhelinnumero

x

x

Sähköpostiosoite

x

x

Työnantaja

x

x

Rooli / titteli

x

x

Yhteydenpitohistoria

x

 

Laskutustiedot

x

 

Projektidata ja viestintä

x

 

IP-osoite

 

x

Evästetunnisteet

 

x

Verkkosivuston käyttötiedot

 

x

5. Säännönmukaiset tiedonlähteet

Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään:

  • Verkkosivuston lomakkeiden kautta (yhteydenotto, tarjouspyyntö, uutiskirjetilaus)
  • Asiakastapaamisissa ja sähköpostiviestinnässä
  • Sopimusneuvotteluissa ja projektien aikana

Potentiaalisten asiakkaiden tietoja voidaan kerätä myös julkisista lähteistä:

  • Yritysrekistereistä (PRH, Y-tunnus.fi)
  • LinkedIn ja muut julkiset ammatilliset profiilit
  • Yritysten verkkosivuilta julkisesti saatavilla olevat yhteystiedot
  • Toimialakohtaisista tietolähteistä, joissa tieto on julkista yritystoiminnan harjoittamiseen liittyen

6. Henkilötietojen säilytysaika

Tietoryhmä

Säilytysaika

Asiakassuhteen tiedot

Asiakassuhteen voimassaolon ajan + 6 vuotta laskutuksen päättymisestä (kirjanpitolaki)

Verkkosivulomakkeiden tiedot

1 vuosi lähetyksestä, jos asiakassuhdetta ei synny

Uutiskirjetilaajat

Tilauksen voimassaolon ajan, peruutus mahdollinen jokaisessa viestissä olevan linkin kautta

Potentiaaliset asiakkaat (markkinointi)

Enintään 24 kuukautta viimeisestä kontaktista, jonka jälkeen tiedot poistetaan tai anonymisoidaan

Verkkosivuanalytiikkadata

Käytetyn analytiikkapalvelun oletusasetusten mukaan, tyypillisesti 14–26 kuukautta

Outreach-kampanjoiden vastausdata

Aktiivisen kampanjajakson ajan + 12 kuukautta

Henkilötiedot poistetaan tai anonymisoidaan, kun säilyttämiselle ei ole enää laillista perustetta.

7. Tietojen vastaanottajat ja henkilötietojen käsittelijät

Käytössä olevat palveluntarjoajat:

Palvelu

Käyttötarkoitus

Google Workspace

Sähköposti, dokumenttien hallinta, kalenteri

Google Analytics

Verkkosivuston kävijädatan analytiikka

Google Ads / Google Search Console

Mainonta ja hakukonenäkyvyys

HubSpot

Asiakkuudenhallinta (CRM), lomaketiedot

Brevo (ent. Sendinblue)

Uutiskirjeet ja sähköpostimarkkinointi

Asana

Projektinhallinta ja tehtävien organisointi

Slack

Sisäinen viestintä ja asiakaskommunikaatio

Anthropic (Claude)

Tekoälyavusteinen sisällöntuotanto ja transkriptien analyysi

Noux Notetaker / Fireflies

AI-transkriptio tapaamisista

n8n

Automaatiotyökalu — markkinointi- ja outreach-prosessit

Airtable

Datan hallinta automaatiotyökaluissa

Opteo

Google Ads -kampanjoiden optimointi

Figma (sis. Figma AI)

Käyttöliittymäsuunnittelu

Cursor

Tekoälyavusteinen ohjelmointityökalu

Seravo

WordPress-verkkosivujen hosting

Procountor

Laskutus ja kirjanpito

8. Henkilötietojen siirto EU/ETA-alueen ulkopuolelle

Osa palveluntarjoajistamme voi siirtää tai käsitellä henkilötietoja EU/ETA-alueen ulkopuolella, erityisesti Yhdysvalloissa. Varmistamme siirrot lainsäädännön edellyttämin suojatoimin.

Käytössä olevat siirtomekanismit

  • EU–US Data Privacy Framework (DPF) — käytössä palveluntarjoajien kanssa, jotka ovat sertifioituja DPF-järjestelmään
  • Euroopan komission hyväksymät vakiosopimuslausekkeet (SCC, Standard Contractual Clauses)
  • Lisäsuojatoimet (tekninen ja organisatorinen) tarvittaessa Schrems II -tuomion mukaisesti

9. Rekisteröidyn oikeudet

EU:n tietosuoja-asetuksen mukaisesti rekisteröidyllä on seuraavat oikeudet. Oikeuksien käyttöä koskevat pyynnöt tulee tehdä osoitteeseen hannu@lumacreative.fi.

Tarkastusoikeus

Oikeus saada tietää, käsitelläänkö sinusta henkilötietoja, ja jos käsitellään, saada itseäsi koskevat tiedot.

Oikaisuoikeus

Oikeus pyytää virheellisten tai puutteellisten henkilötietojen oikaisua tai täydennystä.

Poisto-oikeus (oikeus tulla unohdetuksi)

Oikeus pyytää tietojen poistamista, kun käsittelylle ei ole enää laillista perustetta.

Käsittelyn rajoittamisoikeus

Oikeus pyytää käsittelyn rajoittamista tietyissä tilanteissa, esimerkiksi kun tietojen oikeellisuus on kiistanalainen.

Vastustamisoikeus

Oikeus vastustaa henkilötietojen käsittelyä, joka perustuu oikeutettuun etuun, kuten suoramarkkinointia.

Suoramarkkinointikielto

Oikeus kieltää tietojen käyttäminen suoramarkkinointiin koska tahansa.

Oikeus siirtää tiedot järjestelmästä toiseen

Oikeus saada itseäsi koskevat tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

Valitusoikeus

Oikeus tehdä valitus valvontaviranomaiselle, jos koet, että henkilötietojesi käsittelyssä rikotaan tietosuojalainsäädäntöä. Suomessa valvontaviranomainen on tietosuojavaltuutetun toimisto (tietosuoja.fi).

10. Automatisoitu päätöksenteko ja profilointi

Emme tee rekisteröityjä koskevia automatisoituja päätöksiä, joilla olisi merkittävää vaikutusta heidän oikeuksiinsa tai etuihinsa GDPR:n 22 artiklan tarkoittamalla tavalla.

Käytämme tekoälyä sisällöntuotannon tukena ja markkinoinnin optimoinnissa, mutta tekoälyn tuottamat ehdotukset ja analyysit käyvät aina läpi ihmisen arvioinnin ennen toimenpiteitä.

11. Rekisterin suojauksen periaatteet

Henkilötietojen turvallinen käsittely on meille tärkeää. Käytämme seuraavia suojatoimia:

  • Järjestelmien käyttö edellyttää henkilökohtaisia käyttäjätunnuksia ja salasanoja
  • Pääsy tietoihin on rajattu vain niille työntekijöille, jotka tarvitsevat tietoja työtehtäviensä hoitamiseen
  • Käytössä on monivaiheinen tunnistautuminen kriittisissä järjestelmissä
  • Tietoliikenne salataan TLS-salauksella
  • Henkilötietoja sisältävät rekisterit sijaitsevat suojatuissa pilvipalveluissa
  • Manuaaliset asiakirjat (sopimukset) säilytetään lukituissa tiloissa
  • Rekistereistä otetaan säännölliset varmuuskopiot
  • Henkilökunta on koulutettu tietosuojaan ja salassapitovelvollisuuteen

12. Evästeet

Käytämme verkkosivuillamme evästeitä ja vastaavia teknologioita. Sivuilla on evästesuostumustyökalu, jonka kautta voit hallita evästeitä.

Käytössä olevat evästekategoriat:

Välttämättömät evästeet

Sivuston toiminnan kannalta välttämättömiä — esimerkiksi istuntotunnisteet ja evästesuostumuksen tallennus. Eivät vaadi suostumusta.

Tilastoevästeet (analytiikka)

Auttavat ymmärtämään, miten kävijät käyttävät sivustoa. Käytämme mm. Google Analyticsia. Edellyttävät suostumusta.

Markkinointievästeet

Käytetään mainonnan kohdentamiseen ja markkinoinnin tehokkuuden mittaamiseen. Käytämme mm. Google Ads -, Meta- ja LinkedIn-pikseleitä. Edellyttävät suostumusta.

Voit muuttaa evästeasetuksiasi koska tahansa sivuston evästetyökalun kautta tai selaimesi asetuksista.

13. Tietosuojaselosteen muutokset

Pidätämme oikeuden muuttaa tietosuojaselostetta esimerkiksi lainsäädännön muuttuessa tai palveluntarjoajiemme muuttuessa. Merkittävistä muutoksista ilmoitamme rekisteröidyille tarpeen mukaan.

Tietosuojaseloste on viimeksi päivitetty: 27.5.2026