Tietosuojakäytäntö

1. Rekisterinpitäjä

Tämän palvelun rekisterinpitäjä on Badger Works Oy, Suomeen rekisteröity yritys (Y-tunnus tulossa). Kaikissa tietosuojaan liittyvissä tiedusteluissa voit ottaa yhteyttä tietosuojavastaavaan osoitteessa privacy@bigg.fi. Pienenä organisaationa meillä ei ole lakisääteistä velvollisuutta nimittää tietosuojavastaavaa (DPO) GDPR:n artiklan 37 nojalla, mutta kaikkia tietosuoja-asioita käsitellään samalla huolellisuudella ja ne voidaan osoittaa edellä mainittuun sähköpostiosoitteeseen.

2. Kerättävät tiedot

Keräämme ja käsittelemme seuraavia henkilötietoryhmiä:

• Tilitiedot — käyttäjänimi, sähköpostiosoite ja salattu salasana, jotka kerätään rekisteröitymisen yhteydessä. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Profiilitiedot — valinnaiset kentät: etunimi, toiset nimet, sukunimi, kutsumanimi, radioamatööritunnus, maa, puhelinnumero, sukupuoli, profiilikuva, henkilökohtainen motto, aikavyöhyke, sääkaupunki ja sijaintikoordinaatit, sekä sähkön marginaaliasetus. Nämä ovat täysin vapaaehtoisia. Oikeusperuste: suostumus (GDPR art. 6(1)(a)) — voit poistaa nämä milloin tahansa profiiliasetuksistasi.
• Käyttäjien tuottama sisältö — kommentit, julkaisut, henkilökohtaiset lainaukset, viestit, lohkoviestit, reaktiot, ilmoitukset, tuotelistakohteet ja muu luomasi sisältö. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Sosiaalisen verkoston tiedot — ystävyyssuhteet, seuraukset, kirjanmerkit, tykkäykset ja lohkovaraukset luovat yhteyksiä tilisi ja muiden käyttäjien tai sisällön välille. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Paikkatiedot — kun varaat BiggBlock-lohkon, lohkon koordinaatit tallennetaan ja yhdistetään julkisesti käyttäjänimeesi. Lohkokoordinaatit ovat karkeaa tarkkuutta (~0,83 m). Emme kerää tai tallenna tarkkaa GPS-sijaintiasi. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Online-tila ja kirjoitusindikaattorit — reaaliaikainen online/offline-tila ja kirjoitusindikaattorit välitetään WebSocket-yhteyksien kautta. Tätä dataa ei tallenneta pysyvästi. Voit kieltäytyä online-tilasi jakamisesta muille käyttäjille profiiliasetuksissasi; ylläpitäjät ja moderaattorit säilyttävät kuitenkin näkyvyyden online-tilaasi moderointia ja käyttäjätukea varten (GDPR art. 6(1)(f) — oikeutettu etu alustan turvallisuuden ja käyttäjätuen vuoksi).
• Käyttötiedot — palvelinlokit sisältäen IP-osoitteen, käyttäjäagentin, aikaleimat ja pyyntöpolut. Oikeusperuste: oikeutettu etu (GDPR art. 6(1)(f)) turvallisuuden, väärinkäytön estämisen ja virheenkorjauksen vuoksi.
• Kaksivaiheinen tunnistautuminen — TOTP-salaisuus ja varakoodit, jos otat kaksivaiheisen tunnistautumisen käyttöön. Tallennetaan salattuna. Oikeusperuste: suostumus (GDPR art. 6(1)(a)). Voit poistaa 2FA:n käytöstä milloin tahansa peruuttaaksesi suostumuksesi ja poistaaksesi nämä tiedot.
• Tilaustiedot — lehtitilausten tiedot (laajuus, kesto, myöntänyt ylläpitäjä) ja koekoodien käyttötiedot (katsotut sivut). Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Lohkoketjun tapahtumatiedot — jokainen lohkovaraus tallennetaan tapahtumana kryptografiseen lohkoketjuun. Jokainen tapahtuma sisältää: järjestysnumeron, käyttäjätunnuksesi, lohko-osoitteen, valinnaisen viestisi, SHA-256-tapahtumahashin ja ketjun eheyshashin, joka kryptografisesti varmentaa kaikki aiemmat tapahtumat. Tämä tieto on julkisesti näkyvissä ja suunnitelmallisesti muuttumaton — sitä ei voi yksittäin muokata tai poistaa mitätöimättä koko ketjua. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)). Tilin poiston yhteydessä käyttäjätunnuksesi lohkoketjutietueissa anonymisoidaan, mutta kryptografinen ketjurakenne säilytetään.
• Mainintotiedot — kun muut käyttäjät @mainitsevat sinut kommenteissa, kommentin ja profiilisi välille luodaan linkki. Et voi estää muita mainitsemasta sinua, mutta voit ottaa meihin yhteyttä pyytääksesi tiettyjen mainintojen poistamista. Oikeusperuste: oikeutettu etu (GDPR art. 6(1)(f)).
• Palautetiedot — kun lähetät palautetta, viestisi ja keskusteluketju tallennetaan ja ovat ylläpitäjien ja moderaattoreiden saatavilla huolenaiheidesi käsittelemiseksi. Palauteketjut sisältävät käyttäjänimesi, viestin sisällön, aikaleimat ja ketjun tilan (GDPR art. 6(1)(b) — sopimuksen täytäntöönpano käyttäjätukea varten).
• Lintuhavaintotiedot — kun tallennat lintuhavainnon, tallennamme lajin nimen, tunnistuksen luottamuspisteen, maantieteelliset koordinaatit ja aikaleiman. Lajintunnistukseen käytetyt äänitallenteet käsitellään kokonaan selaimessasi käyttäen laitteen koneoppimista (BirdNET), eikä niitä koskaan lähetetä tai tallenneta palvelimillemme. Havainnot näkyvät muille käyttäjille kartalla. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Foorumitiedot — foorumin aiheet, vastaukset ja niihin liittyvät metatiedot (käyttäjänimi, aikaleimat, katselukerrat). Foorumiviestit ovat julkisia ja kaikkien käyttäjien nähtävissä. Tilin poistamisen yhteydessä foorumiviestit voidaan anonymisoida poistamisen sijaan keskustelun kontekstin säilyttämiseksi. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Pelitiedot — kun pelaat BBS-portaalin pelejä (kuten Legend of the Green Dragon), tallennamme hahmosi tilan: taso, kokemus, kulta, elämäpisteet, hyökkäys- ja puolustusarvot, varustetut esineet, lohikäärmetappojen lukumäärä ja vuorojen käyttö. Pelitapahtumat (tapot, kuolemat, tasojen nousut) kirjataan lokiin, joka on näkyvissä muille pelaajille. Pelihahmon tiedot on linkitetty käyttäjätiliisi. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).
• Aarre- ja lompakkotiedot — kun löydät aarteita lohkovaatimuksissa, tallennamme aarrevarastosi (löydetyt esineet, löytölohko, lohkoketjun järjestysnumero), BIGG Coins -lompakon (saldo, ansaitut yhteensä, käytetyt yhteensä) ja lompakkotapahtumahistorian (summat, tyypit, aikaleimat). Aarremyynnit välittäjille kirjataan myyntihinnan ja välittäjäviitteen kanssa. Kaikki aarre- ja lompakkotiedot on linkitetty käyttäjätiliisi. BIGG Coineilla ei ole todellista rahallista arvoa. Oikeusperuste: sopimuksen täytäntöönpano (GDPR art. 6(1)(b)).

3. Oikeusperusteiden yhteenveto

GDPR:n artiklan 6 mukaisesti käsittelemme henkilötietoja seuraavilla oikeusperusteilla:

• Sopimuksen täyttäminen (art. 6(1)(b)) — tilitiedot, käyttäjien luoma sisältö, sosiaalinen verkosto, paikkatieto (lohkovaraukset), lohkoketjukirjanpito, tilaukset, palaute, pelihahmon tiedot, aarrevarasto ja lompakkotapahtumat. Käsittely on tarpeen tarjotaksemme Palvelun, johon olet rekisteröitynyt.
• Suostumus (art. 6(1)(a)) — valinnaiset profiilitiedot, kaksivaiheinen tunnistautuminen. Voit peruuttaa suostumuksesi milloin tahansa poistamalla tiedot tai poistamalla ominaisuuden käytöstä ilman, että se vaikuttaa aiemman käsittelyn lainmukaisuuteen.
• Oikeutettu etu (art. 6(1)(f)) — palvelinlokit (tietoturva ja väärinkäytön esto), moderaattoreiden näkyvyys online-tilaan (alustan turvallisuus). Olemme suorittaneet tasapainotestit varmistaaksemme, etteivät nämä edut ohita perusoikeuksiasi.

4. Miten käytämme tietojasi

Käsittelemme henkilötietojasi seuraaviin tarkoituksiin:

• Tilisi luomiseen ja hallintaan, todentamiseen ja Palvelun tarjoamiseen.
• Käyttäjäsisältösi näyttämiseen muille käyttäjille Palvelun ydintoiminnallisuutena.
• Sosiaalisten yhteyksien ylläpitämiseen ja viestinnän mahdollistamiseen käyttäjien välillä.
• Palvelun suojaamiseen väärinkäytöltä, petoksilta ja luvattomalta käytöltä.
• Tilauspääsyn tarkistamiseen ja valvontaan digitaaliseen sisältöön.
• Pelietenemisen ylläpitoon, pelitoimintojen tarjoamiseen (taistelut, kaupat, tulostaulut) ja päivittäisten vuorojen nollaamiseen BBS-peleissä.
• Palvelun suorituskyvyn, vakauden ja käyttökokemuksen seurantaan ja parantamiseen.

Emme myy henkilötietojasi. Emme käytä tietojasi mainontaan tai profilointiin. Emme jaa tietojasi kolmansille osapuolille heidän markkinointitarkoituksiinsa.

5. Tietojen säilytys

• Tilitiedot säilytetään tilisi voimassaolon ajan. Tilin poiston jälkeen henkilötietosi poistetaan 30 päivän kuluessa.
• Valinnaiset profiilitiedot voidaan poistaa milloin tahansa profiiliasetuksista. Poisto on välitön.
• Käyttäjien tuottama sisältö (kommentit, julkaisut) voidaan anonymisoida poistamisen sijaan keskustelujen eheyden säilyttämiseksi. Yksityisviestit poistetaan tilisi mukana.
• Lohkovaraukset säilytetään tilisi voimassaolon ajan. Poistettaessa lohkosi vapautetaan ja viestisi poistetaan.
• Pelihahmon tiedot ja pelitapahtumaloki säilytetään tilisi keston ajan. Tilin poistamisen yhteydessä pelitiedot poistetaan pysyvästi.
• Aarrevarasto, lompakkosaldot ja tapahtumahistoria säilytetään tilisi keston ajan. Tilin poistamisen yhteydessä aarre- ja lompakkotiedot poistetaan pysyvästi. BIGG Coineilla ei ole todellista rahallista arvoa eikä niitä voi lunastaa.
• IP-osoitteita sisältäviä palvelinlokeja säilytetään enintään 90 päivää turvallisuus- ja virheenkorjaustarkoituksiin.
• Tilaustiedot ja koekoodien käyttötiedot säilytetään tilisi voimassaolon ajan ja enintään 12 kuukautta vanhenemisen jälkeen tarkastustarkoituksiin.

6. Oikeutesi GDPR:n nojalla

Yleisen tietosuoja-asetuksen mukaisesti sinulla on seuraavat oikeudet:

• Tarkastusoikeus — saat kopion henkilötiedoistasi (art. 15). Voit viedä tietosi profiilin "Lataa omat tietoni" -ominaisuudella.
• Oikaisuoikeus — voit korjata virheelliset henkilötiedot (art. 16). Voit muokata profiilitietojasi suoraan tiliasetuksissa.
• Poisto-oikeus — voit pyytää henkilötietojesi poistamista (art. 17). Voit poistaa tilisi profiiliasetuksista tai ottaa yhteyttä osoitteeseen privacy@bigg.fi. Tilin poiston yhteydessä palautetiedot anonymisoidaan tai poistetaan.
• Siirto-oikeus — voit saada tietosi jäsennellyssä, koneluettavassa muodossa (art. 20). Tietojen vienti -ominaisuus tarjoaa tämän.
• Vastustamisoikeus — voit vastustaa oikeutettuun etuun perustuvaa käsittelyä (art. 21). Ota yhteyttä osoitteeseen privacy@bigg.fi.
• Rajoittamisoikeus — voit pyytää käsittelyn rajoittamista tietyissä olosuhteissa (art. 18).
• Suostumuksen peruuttamisoikeus — kun käsittely perustuu suostumukseen (profiilitiedot, 2FA), voit peruuttaa suostumuksesi milloin tahansa poistamalla tiedot tai poistamalla ominaisuuden käytöstä. Peruuttaminen ei vaikuta aiemman käsittelyn lainmukaisuuteen.

Voit käyttää näitä oikeuksiasi ottamalla yhteyttä osoitteeseen privacy@bigg.fi. Vastaamme 30 päivän kuluessa GDPR art. 12 mukaisesti.

7. Evästeet, paikallinen tallennus ja selainrajapinnat

Käytämme vain toiminnallisia evästeitä ja paikallista/istuntomuistia. Emme käytä seuranta-, analytiikka- tai mainosevästeitä. Tallennamme: todennustunnisteen (JWT) evästeenä .bigg.fi-verkkotunnukselle (mahdollistaa kirjautumisen alidomeeneissa kuten bbs.bigg.fi, kids.bigg.fi ja doom.bigg.fi), kielivalinnan, teeman ja kirkkauden visuaalista ulkoasua varten, karttanäkymäasetukset, pallomaisen ulkoasun, BBS-teema-asetuksen, HAL-ominaisuusasetukset (puhetoiminnon, taustaäänen, äänenvoimakkuustasot, viimeisen äänen päivämäärän) ja väliaikaisen käyttöliittymätilan istuntomuistissa (esim. välimuistissa olevat API-vastaukset 5 minuutin voimassaoloajalla). HAL 9000 -ominaisuus on jokaisella sivulla pienenä interaktiivisena elementtinä. Se tunnistaa tyhjäkäyntiajan (hiiri/näppäimistö/vieritys-inaktiivisuus) täysin asiakaspuolella himmentääkseen indikaattorin 2 minuutin inaktiivisuuden jälkeen — tämä käyttää vain muistissa olevaa ajastinta, tyhjäkäyntitietoja ei tallenneta tai lähetetä. Aktivoituna se käyttää Web Speech API:a (teksti puheeksi lainauksille) ja Web Audio API:a (taustaäänimaailma ja päivittäinen Daisy Bell -melodian pääsiäismuna). Lainaukset valitaan kontekstuaalisesti nykyisen sivun perusteella ja voivat puhutella sinua käyttäjänimellä personointia varten — tämä ei ole profilointia eikä käyttäytymistietoja kerätä tai tallenneta. Kaikki ääni käsitellään kokonaan laitteellasi; äänitietoja ei lähetetä palvelimillemme. Äänenvoimakkuusasetukset tallennetaan paikalliseen muistiin. Koska kaikki evästeet ja paikallisen muistin kohteet ovat ehdottoman välttämättömiä palvelun toiminnalle, evästeilmoitusta ei vaadita ePrivacy-direktiivin mukaisesti.

8. Kolmannen osapuolen palvelut

Palvelu on vuorovaikutuksessa seuraavien kolmannen osapuolen palveluiden kanssa. Erottelemme palvelinpuolen kutsut (tietosi pysyvät meillä) ja selainpuolen kutsut (selaimesi ottaa suoraan yhteyttä palveluun):

Selainpuoli (laitteesi ottaa suoraan yhteyttä)

• OpenStreetMap — karttatiiilien renderöinti karttasivulla. Tiilipyynnöt tehdään suoraan selaimestasi, mikä voi paljastaa IP-osoitteesi OpenStreetMap-palvelimille.
• Nominatim (OpenStreetMap) — osoite-/sijaintihaku karttasivulla. Kirjoittamasi hakukyselyt lähetetään selaimestasi Nominatim-palvelimille. Käyttäjätunnisteita ei sisällytetä, mutta IP-osoitteesi näkyy heidän palvelimilleen.
• jsDelivr CDN — tarjoaa world-atlas TopoJSON -datan 3D-maapalloa varten. Yksi tiedosto haetaan; IP-osoitteesi näkyy CDN:lle.

Palvelinpuoli (henkilötietoja ei lähde palvelimiltamme)

• ip-api.com — valinnainen IP-pohjainen paikannus maatunnistusta varten. IP-osoitteesi lähetetään palvelinpuolella.
• CoinGecko / CoinCap — kryptovaluuttojen hintatiedot ticker-widgetiin. Henkilötietoja ei lähetetä.
• Yahoo Finance — osakehintatiedot ticker-widgetiin. Henkilötietoja ei lähetetä.
• sahkotin.fi — Suomen sähkön spot-hinnat. Henkilötietoja ei lähetetä.
• Wikipedia / Wikimedia — hakutulosten rikastaminen ja Tänään historiassa -tietojen synkronointi. Käyttäjätunnisteita ei sisällytetä.
• SearXNG / DuckDuckGo — verkkohakutoiminto. SearXNG on itseisännöity; DuckDuckGo on varatoteutus. Hakukyselyt lähetetään palvelinpuolella ilman käyttäjätunnisteita.
• Lehtiselain — digitoitu lehtisisältö tarjotaan palvelinpuolen välityspalvelimen kautta. Pääsy tarkistetaan tilaustilasi perusteella ennen sisällön toimittamista. Sivunäkymät lasketaan koekoodien käyttörajoituksia varten.
• Fingrid — Suomen sähköverkon tiedot (kulutus, tuotanto, tuuli, ydinvoima). Henkilötietoja ei lähetetä.
• XenoCanto — viiteäänitteet lintujen tunnistamiseen. Pyynnöt välitetään palvelimemme kautta. Henkilötietoja ei lähetetä.

9. Lasten tietosuoja

Palvelu ei ole suunnattu alle 13-vuotiaille lapsille. Emme tietoisesti kerää henkilötietoja alle 13-vuotiailta. 13 vuoden alaikäraja perustuu tietosuojalain 5 §:ään, joka toteuttaa GDPR art. 8:n Suomessa. Jos havaitsemme, että alle 13-vuotias on luonut tilin, poistamme tilin ja kaikki siihen liittyvät tiedot viipymättä. Jos uskot alle 13-vuotiaan käyttävän Palvelua, ota yhteyttä osoitteeseen privacy@bigg.fi.

10. Automaattinen päätöksenteko

Palvelu ei tee automaattista päätöksentekoa tai profilointia, joka tuottaisi oikeudellisia vaikutuksia tai vastaavasti merkittävästi vaikuttaisi sinuun (GDPR art. 22). Nopeusrajoitukset (esim. yksi lohkovaraus päivässä) koskevat kaikkia käyttäjiä yhtäläisesti eivätkä muodosta profilointia.

11. Tietoturva

Toteutamme asianmukaiset tekniset ja organisatoriset toimenpiteet: salaus siirron aikana (TLS/HTTPS Let's Encryptillä), salatut salasanat (bcrypt), salatut TOTP-salaisuudet, roolipohjainen pääsynhallinta, palvelinpuolen syötteiden validointi, parametrisoidut tietokantakyselyt injektioiden estämiseksi ja säännölliset ohjelmistopäivitykset. Tietokanta ei ole paljastettu julkiseen internetiin.

12. Tietoturvaloukkauksista ilmoittaminen

Henkilötietojen tietoturvaloukkauksen sattuessa, joka todennäköisesti aiheuttaa riskin oikeuksillesi ja vapauksillesi, ilmoitamme tietosuojavaltuutetulle 72 tunnin kuluessa GDPR art. 33 mukaisesti. Jos loukkaus todennäköisesti aiheuttaa korkean riskin sinulle, ilmoitamme myös suoraan sinulle viipymättä (GDPR art. 34).

13. Kansainväliset tiedonsiirrot

Tietosi tallennetaan ja käsitellään Euroopassa sijaitsevilla palvelimilla. Selainpuolen kolmannen osapuolen palvelut (OpenStreetMap, Nominatim, jsDelivr) voivat kulkea ETA-alueen ulkopuolisten palvelimien kautta — ne saavat vain IP-osoitteesi ja pyydetyn datan, eivät tilitietojasi. Emme siirrä henkilötietoja järjestelmällisesti ETA-alueen ulkopuolelle.

14. Muutokset tähän selosteeseen

Voimme päivittää tätä tietosuojakäytäntöä ajoittain. Olennaisista muutoksista ilmoitetaan Palvelussa ja päivittämällä versiopäivämäärä. Emme takautuvasti heikennä oikeuksiasi tämän käytännön nojalla ilman nimenomaista suostumustasi.

15. Valvontaviranomainen

Jos uskot tietosuojaoikeuksiasi loukatun, sinulla on oikeus tehdä valitus tietosuojavaltuutetun toimistolle. Osoite: Lintulahdenkuja 4, 00530 Helsinki. Sähköposti: tietosuoja@om.fi. Verkkosivusto: tietosuoja.fi.

16. Yhteystiedot

Kaikissa tätä tietosuojakäytäntöä tai henkilötietojasi koskevissa kysymyksissä tai pyynnöissä ota yhteyttä osoitteeseen privacy@bigg.fi. Pyrimme vastaamaan kaikkiin pyyntöihin 30 päivän kuluessa.