Tietosuojakäytäntö

Päivitetty: 2. huhtikuuta 2026

Lyhyesti: Popit käsittelee tallentamasi valokuvat, äänimuistiot, asiakirjat ja linkit poimiakseen niistä hyödyllistä tietoa sinulle. Kaikki tiedot tallennetaan EU:n alueella, niitä ei koskaan myydä mainostajille, ja voit poistaa kaiken milloin tahansa.

1. Keitä olemme

Popit-sovellusta ylläpitää Tohmoco Oy, Suomeen rekisteröity yritys. Olemme henkilötietojesi rekisterinpitäjä, kun käytät Popit-sovellusta.

Yhteystiedot: info@tohmoco.fi

2. Mitä tietoja keräämme

Tiedot, jotka annat itse

  • Tallennettu sisältö ("popit"): Valokuvat, äänitallenteet (muunnetaan tekstiksi), tekstimuistiinpanot, PDF-asiakirjat ja linkit, jotka päätät tallentaa. Tämä voi sisältää kuvia kuiteista, laskuista, resepteistä, takuuasiakirjoista tai muusta henkilökohtaisesta materiaalista.
  • Tilitiedot: Sähköpostiosoite ja näyttönimi, jotka annat suoraan tai Google- tai Apple-kirjautumisen kautta.
  • Profiiliasetukset: Kieli, aikavyöhyke, ilmoitusasetukset ja tallennusasetukset.

Automaattisesti kerättävät tiedot

  • Sijainti (valinnainen): Jos otat sijaintiominaisuudet käyttöön, yksittäinen GPS-lukema tallennetaan tallennushetkellä. Popit ei seuraa sijaintiasi jatkuvasti. Sijaintiominaisuudet ovat valinnaisia ja oletuksena pois käytöstä.
  • Kaatumisraportit: Laitteen malli, käyttöjärjestelmäversio ja kaatumisten pinovedokset kerätään Firebase Crashlyticsin kautta vakauden seurantaa varten. Käyttäytymisanalytiikkaa ei kerätä.
  • Push-ilmoitustunnisteet: Laitetunnisteita, joita käytetään määrittämiesi muistutusten ja ilmoitusten toimittamiseen.

Tekoälyn johtamat tiedot

  • Sisältötyypin luokittelu (kuitti, lasku, resepti, tapahtuma, tehtävä, takuu jne.)
  • Poimitut tiedot: kauppanimet, summat, päivämäärät, ainesosat, tapahtumatiedot, sijainnit
  • Tekoälyn tuottamat yhteenvedot ja ehdotetut toiminnot (muistutukset, ostoslistat, kalenteritapahtumat)

Mitä emme kerää

  • Emme käytä mainosseurantaa emmekä kerää mainostunnisteita.
  • Emme kerää käyttäytymisanalytiikkaa tai käyttötapahtumia (Firebase Analyticsia ei käytetä).
  • Emme pääse käsiksi yhteystietoihisi, kalenteriisi tai kuvagalleriaasi muutoin kuin Popitin kanssa jakamasi yksittäisten kohteiden osalta.

3. Miten käytämme tietojasi

Palvelun toteuttamiseksi (sopimuksen täyttäminen — GDPR 6 artikla 1 kohta b)

  • Tallennetun sisällön analysointi tekoälyllä päivämäärien, summien, muistutusten ja muun jäsennellyn tiedon poimimiseksi.
  • Ostoslistojen, muistutusten, takuuseurannan ja kalenteritapahtumien luominen tallenteistasi.
  • Tallennetun sisällön hakutoiminnon tarjoaminen.
  • Tilisi ja tilauksesi hallinta.

Palvelun parantamiseksi (oikeutettu etu — GDPR 6 artikla 1 kohta f)

  • Tekoälykäsittelyn metatietojen kirjaaminen (toimintotyyppi, tokenmäärä, onnistuminen/epäonnistuminen) laadunvalvontaa varten. Varsinaista sisältöä ei tallenneta näihin lokeihin — ainoastaan tiivisteitä ja metatietoja.
  • Kaatumisten ja teknisten virheiden diagnosointi Crashlyticsin avulla.
  • Käyttäjien tekemien korjausten tallentaminen tekoälyn tuloksiin (esim. tyypin muutokset) tarkkuuden parantamiseksi. Vain korjausten metatiedot tallennetaan, ei raakasisältöä.

Suostumuksellasi (GDPR 6 artikla 1 kohta a)

  • Push-ilmoitusten lähettäminen määrittämistäsi muistutuksista.
  • Sijaintitietojen kerääminen ja käyttäminen sijaintiin perustuviin ominaisuuksiin ja muistutuksiin.

4. Tekoälykäsittely

Popit käyttää Google Vertex AI:ta (Gemini-mallit) tallentamasi sisällön analysointiin. Käsittely tapahtuu EU:n alueella sijaitsevilla palvelimilla (Belgia, europe-west1). Sisältöäsi käsitellään ainoastaan palvelun tuottamiseksi sinulle.

Tietojasi ei koskaan käytetä tekoälymallien kouluttamiseen. Tämä on nimenomaisesti taattu Google Cloudin tietojenkäsittelysopimuksessa.

Tekoälypoiminta on automatisoitua ja voi olla epätarkkaa. Tarkista tärkeät tiedot (kuten takuun päättymispäivät, eräpäivät tai rahasummat) alkuperäisistä asiakirjoista. Popit ei korvaa ammattimaista talous-, laki- tai lääketieteellistä neuvontaa.

5. Tietojen jakaminen ja kolmannet osapuolet

Emme myy henkilötietojasi. Emme näytä mainoksia. Emme jaa tietoja mainostajille tai tietovälittäjille.

Jaamme tietoja ainoastaan seuraavien palveluntarjoajien kanssa, jotka toimivat tiukkojen tietojenkäsittelysopimusten alaisina:

  • Supabase (EU — Irlanti): Tietokanta, todentaminen ja tiedostojen tallennus. Kaikki käyttäjätiedot tallennetaan tänne rivitason suojauksella, joka varmistaa käyttäjäkohtaisen tietojen eristyksen.
  • Google Vertex AI (EU — Belgia): Tekoälypohjainen sisältöanalyysi. Vastaanottaa tallennettua sisältöä (kuvat, teksti, PDF-tiedostot) käsittelyä varten. Ei vastaanota käyttäjätunnisteita tai sähköpostiosoitteita. Asiakastietoja ei käytetä mallien kouluttamiseen.
  • Firebase Cloud Messaging (Google): Push-ilmoitusten toimitus. Vastaanottaa laitetunnisteita ja ilmoitusten sisältöä.
  • Firebase Crashlytics (Google): Kaatumisraportointi tuotantojulkaisuissa. Vastaanottaa kaatumisvedoksia ja laitetietoja.
  • RevenueCat: Tilausten hallinta. Vastaanottaa anonyymin käyttäjätunnisteen ja tilauksen elinkaaren tapahtumia. Ei vastaanota sähköpostia, nimeä tai tallennettua sisältöä.
  • Apple App Store / Google Play Store: Käsittelevät kaiken maksuliikenteen. Emme koskaan näe tai tallenna maksukorttitietoja.

Saatamme myös luovuttaa tietoja, jos Suomen tai EU:n lainsäädäntö sitä edellyttää tai käyttäjiemme oikeuksien ja turvallisuuden suojaamiseksi.

6. Kansainväliset tiedonsiirrot

Keskeinen tietojenkäsittely tapahtuu EU:n alueella:

  • Tietokanta ja tallennus: Supabase, EU (Irlanti)
  • Tekoälykäsittely: Google Vertex AI, EU (Belgia)

Osa tukipalveluista edellyttää tiedonsiirtoja Yhdysvaltoihin:

  • Push-ilmoitusten toimitus (Firebase Cloud Messaging)
  • Kaatumisraportointi (Firebase Crashlytics)
  • Tilausten hallinta (RevenueCat)
  • Todentaminen (Google/Apple OAuth)

Kaikki siirrot Yhdysvaltoihin katetaan Euroopan komission hyväksymillä vakiosopimuslausekkeilla (SCC).

7. Tietojen säilytys

Säilytämme tallentamasi sisällön ja tilitietosi niin kauan kuin tilisi on aktiivinen. Voit poistaa yksittäisiä tallenteita tai koko tilisi milloin tahansa sovelluksen asetuksista.

Kun poistat tilisi, kaikki tiedot poistetaan pysyvästi: mediatiedostot, kaikki tietokantatietueet (popit, toiminnot, kokoelmat, profiilit, push-tunnisteet, lokit) sekä todentamistietueesi. Tämä on peruuttamatonta.

8. Tietoturva

  • Salaus levossa (AES-256) ja siirron aikana (TLS/HTTPS) kaikille tiedoille.
  • Rivitason suojaus (Row-Level Security), joka varmistaa, että jokainen käyttäjä pääsee käsiksi vain omiin tietoihinsa.
  • Mediatiedostot tallennetaan yksityisiin säiliöihin lyhytkestoisilla allekirjoitetuilla URL-osoitteilla (1 tunnin voimassaolo).
  • JWT-pohjainen todentaminen vaaditaan kaikkeen rajapintakäyttöön.
  • Laitteellesi ei tallenneta pysyviä paikallisia tietoja — kaikki välimuistit ovat vain muistissa ja tyhjennetään uloskirjautumisen yhteydessä.

Mikään järjestelmä ei ole täysin turvallinen. Jos tietomurto tapahtuu ja se aiheuttaa riskin oikeuksillesi, ilmoitamme siitä sinulle ja tietosuojavaltuutetun toimistolle 72 tunnin kuluessa GDPR:n edellyttämällä tavalla.

9. Oikeutesi GDPR:n nojalla

EU:n/ETA:n alueella sinulla on rekisteröitynä seuraavat oikeudet:

  • Oikeus saada pääsy tietoihin: Näe kaikki tietosi sovelluksessa tai pyydä kopio niistä.
  • Oikeus tietojen oikaisuun: Korjaa virheelliset henkilötiedot.
  • Oikeus tietojen poistamiseen: Poista tilisi ja kaikki siihen liittyvät tiedot.
  • Oikeus käsittelyn rajoittamiseen: Pyydä meitä keskeyttämään tietojesi käsittely.
  • Oikeus tietojen siirrettävyyteen: Vie tietosi koneellisesti luettavassa muodossa.
  • Vastustamisoikeus: Vastusta oikeutettuun etuun perustuvaa käsittelyä.
  • Oikeus peruuttaa suostumus: Peruuta suostumuksesi sijainti- ja ilmoitusominaisuuksien osalta milloin tahansa.

Käyttääksesi mitä tahansa näistä oikeuksista ota meihin yhteyttä sähköpostitse osoitteeseen info@tohmoco.fi. Vastaamme 30 päivän kuluessa.

Sinulla on myös oikeus tehdä valitus tietosuojavaltuutetun toimistolle (tietosuoja.fi).

10. Lasten tietosuoja

Popit ei ole suunnattu alle 16-vuotiaille (EU) tai alle 13-vuotiaille (Yhdysvallat). Emme tietoisesti kerää henkilötietoja lapsilta. Jos havaitsemme, että alaikäisen tietoja on kerätty, ne poistetaan viipymättä.

11. Muutokset tähän käytäntöön

Saatamme päivittää tätä tietosuojakäytäntöä aika ajoin. Ilmoitamme merkittävistä muutoksista sovelluksen kautta tai sähköpostitse. Tämän sivun yläosassa oleva päivämäärä kertoo, milloin käytäntöä on viimeksi päivitetty.

12. Yhteystiedot

Tietosuojaa koskevissa kysymyksissä, pyynnöissä tai huolenaiheissa:

Kokeile Popitia