Integritetspolicy

Personuppgiftsansvarig: Iotera Oy FO-nummer: 3454475-1 Adress: Tanhuankatu 63b, 33560 Tampere, Finland E-post: janne@iotera.fi Dataskyddsombud: Janne Kaikkonen E-post: janne@iotera.fi

Vi behandlar personuppgifter för följande ändamål: • Sammanställning och visning av skattedata för redovisningsbyråns kunder — brev, momsdeklarationer, förskottsskatter, inkomstregisteranmälningar och skattesammanfattningar hämtas från Skatteförvaltningens API:er. • Hantering av användarkonton och autentisering — registrering, inloggning, flerfaktorsautentisering och organisationshantering. • Suomi.fi-fullmaktshantering — förmedling av fullmaktsuppgifter mellan redovisningsbyrån och Skatteförvaltningen. • Underhåll, säkerhet och revision av tjänsten — insamling av användningsloggar, incidentutredning och uppfyllande av lagstadgade krav. • Efterlevnad av rättsliga skyldigheter — bokföringslagen, skatteprocedur och GDPR-krav.

Behandlingen av personuppgifter grundar sig på följande rättsliga grunder enligt GDPR: • Avtal (artikel 6(1)(b)) — Behandling av användardata är nödvändig för att fullgöra tjänsteavtalet. • Rättslig förpliktelse (artikel 6(1)(c)) — Insamling och lagring av revisionsloggar krävs enligt Suomi.fi-fullmakternas villkor och bokföringslagen. • Berättigat intresse (artikel 6(1)(f)) — Säkerställande av tjänstens säkerhet, förebyggande av missbruk och förbättring av tjänsten. • Samtycke (artikel 6(1)(a)) — Användning av kakor för analysändamål (om tillämpligt). Samtycke kan återkallas när som helst.

Användardata (redovisningsbyråns anställda): • Namn (förnamn, efternamn) • E-postadress • Lösenordshash — hanterad av Keycloak • Organisationsnamn, FO-nummer och adress • Användarroll inom organisationen • Inloggningshistorik och IP-adresser Kunddata (redovisningsbyråns kunder): • Företagsnamn och FO-nummer • Kontaktpersonens namn och uppgifter • Suomi.fi-fullmaktsdata och giltighet Skattedata (från Skatteförvaltningens API:er): • Skattebrev och meddelanden • Momsdeklarationer och beslut • Förskottsskattebeslut och betalningsstatus • Inkomstregisteranmälningar • Skattesammanfattningar och beslut Tekniska data: • IP-adress, webbläsartyp, operativsystem • Revisionsloggar (vem såg vems data, när) • Sessionsdata och kakor

Skattedata är ekonomiskt känsliga uppgifter, även om de inte faller under GDPR artikel 9. Den finska personbeteckningen är särskilt skyddad enligt § 29 i Finlands dataskyddslag. VeroNavi samlar inte in eller lagrar kundernas personbeteckningar. Kunder läggs till och skatteuppgifter hämtas enbart med FO-numret. Om en personbeteckning anges av misstag avvisar systemet den och den lagras inte.

Personuppgifter lämnas ut eller överförs till följande parter: • Skatteförvaltningen — hämtning av skattedata via mTLS-skyddade API:er • Suomi.fi / Myndigheten för digitalisering och befolkningsdata — fullmaktshantering • Hetzner Online GmbH — serverinfrastruktur och autentiseringstjänst (Keycloak) (finska servrar) • PostgreSQL-databas — i samma infrastruktur som autentiseringstjänsten Ett GDPR artikel 28-kompatibelt personuppgiftsbiträdesavtal har ingåtts med alla biträden.

Alla personuppgifter behandlas och lagras på servrar inom EU/EES (Hetzner, Finland). Autentiseringstjänsten (Keycloak) körs i samma infrastruktur. Skattedata överförs inte utanför EU/EES.

• Användardata — lagras så länge kontot är aktivt och 30 dagar efter radering. • Kunddata — lagras så länge kundrelationen varar. Raderade kunddata anonymiseras inom 90 dagar. • Skattedata — lagras innevarande år + 6 år enligt bokföringslagen. • Revisionsloggar — lagras i 10 år enligt Suomi.fi-villkor och bokföringslagen. • Tekniska loggar — lagras i 90 dagar. • Säkerhetskopior — raderas inom 30 dagar efter originaldata raderats.

Enligt GDPR har du följande rättigheter: • Rätt till tillgång (artikel 15) • Rätt till rättelse (artikel 16) • Rätt till radering (artikel 17) • Rätt till begränsning (artikel 18) • Rätt till dataportabilitet (artikel 20) • Rätt att göra invändningar (artikel 21) • Rätt att återkalla samtycke Begäranden skickas till janne@iotera.fi. Vi svarar inom 30 dagar. Om du anser att behandlingen strider mot dataskyddslagstiftningen kan du lämna in ett klagomål till Dataombudsmannens byrå: tietosuoja.fi tietosuoja@om.fi

Vi skyddar personuppgifter med följande tekniska och organisatoriska åtgärder: • Kryptering vid överföring (TLS 1.3) • mTLS-autentisering för Skatteförvaltningens API-anslutningar • Rollbaserad åtkomstkontroll (RBAC) • Omfattande revisionslogg för all dataåtkomst • Databas i EU med begränsad åtkomst • Lösenord lagrade som bcrypt-hashar (Keycloak) • Automatisk sessionsutgång • Regelbundna säkerhetsgranskningar

VeroNavi använder följande kakor: Nödvändiga kakor (inget samtycke krävs): • Sessionskaka — användaridentifiering efter inloggning • Språkinställning — komma ihåg valt språk • CSRF-skydd — formulärsäkerhet Analyskakor används för närvarande inte.

Vi förbehåller oss rätten att uppdatera denna integritetspolicy. Användare meddelas om väsentliga ändringar minst 30 dagar i förväg.

Iotera Oy E-post: janne@iotera.fi Adress: Tanhuankatu 63b, 33560 Tampere, Finland Vi svarar på alla dataskyddsbegäranden inom 30 dagar.