Privacy Policy
Last updated: June 2026
This Privacy Policy explains how Nexioris ("Nexioris", "we", "us", "our") collects, uses, stores and shares personal data when you use our software-as-a-service platform at nexioris.com and any associated subdomains (the "Service").
We take privacy seriously. If anything here is unclear, please contact us at matias@nexioris.com and we will help.
1. Who we are
Nexioris is operated by Nexioris Oy, a limited liability company incorporated in Finland with business identity code (Y-tunnus) 3635865-3, with its registered office in Helsinki.
For the purposes of the EU General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR"), we are the data controller for personal data of:
- People who visit our website
- People who sign up for an account
- People who contact us directly
We act as a data processor for personal data that our customers (renovation and construction firms) upload into the Service about their own clients, employees, subcontractors and suppliers. The customer firm is the controller of that data; we process it on their behalf under our Data Processing Agreement.
Our lead supervisory authority is the Finnish Office of the Data Protection Ombudsman (Tietosuojavaltuutettu), accessible at tietosuoja.fi.
2. What personal data we collect
2.1 Data you give us when signing up
- Your name and email address
- Your password (stored hashed, never in plain text)
- Your firm's name, address and trading details
- Optional: phone number, role within the firm
- Optional: profile photo
2.2 Data you give us when paying
- Billing address and contact name
- VAT number, where applicable
- Payment processing integration is coming soon. Currently invoiced manually.
- We retain transaction records (amount, date, invoice number) for accounting and tax purposes.
2.3 Data you create or upload while using the Service
This includes, but is not limited to:
- Information about your jobs, clients, suppliers, subcontractors and employees
- Estimates, invoices, purchase orders, supplier invoices, labour entries
- Photos, videos and documents uploaded to job records
- Schedule and assignment data
- Notes, comments and activity logs
Where this data describes other people (your clients, employees, suppliers, etc.), you are the controller and remain responsible for ensuring you have a lawful basis under the GDPR to upload it to us. We process it strictly on your instructions.
2.4 Data we collect automatically
- Technical data: IP address, browser type and version, operating system, device type, time zone, the pages you visit, the actions you take in the Service.
- Cookies and similar technologies: see Section 9 below.
- Error and performance data: when something breaks, we record the error and the steps that led to it, so we can fix it.
2.5 Data we do not collect
- We do not collect special categories of personal data under Article 9 GDPR (health, ethnicity, religion, sexual orientation, political opinions, biometric or genetic data, trade union membership) unless you choose to upload such information as part of a job record. We strongly recommend you do not.
- We do not collect data about you from third-party data brokers.
- We do not track you across other websites.
- We do not currently use analytics on nexioris.com. If we add analytics in future, we will update this policy and ask for your consent first.
3. How we use your data, and our lawful basis
We use personal data only for the purposes listed below. Each purpose has a lawful basis under Article 6 GDPR.
| Purpose | Lawful basis |
|---|---|
| Providing the Service to you (account creation, hosting your data, running the features) | Art. 6(1)(b) — performance of our contract with you |
| Sending essential service emails (password resets, billing receipts, security notices, service announcements) | Art. 6(1)(b) — contract / Art. 6(1)(f) — legitimate interest |
| Sending product update and marketing emails | Art. 6(1)(a) — consent. You can withdraw at any time via the unsubscribe link in every marketing email |
| Improving the Service (bug fixing, performance) | Art. 6(1)(f) — legitimate interest in running and improving our product |
| Customer support | Art. 6(1)(b) — contract / Art. 6(1)(f) — legitimate interest |
| Fraud prevention and security | Art. 6(1)(f) — legitimate interest in protecting our service and users |
| Accounting and tax record-keeping | Art. 6(1)(c) — legal obligation |
| Responding to legal requests | Art. 6(1)(c) — legal obligation |
We do not sell personal data to anyone, ever. We do not share personal data with advertising networks. We do not use personal data for automated decision-making that produces legal or similarly significant effects on you.
4. Who we share data with
We share personal data only with the following categories of recipient, and only as needed to run the Service:
4.1 Sub-processors
We use a small number of trusted service providers ("sub-processors") to operate the Service. Each is bound by a written data processing agreement that meets the requirements of Article 28 GDPR, and each processes data only on our instructions.
| Sub-processor | Purpose | Location |
|---|---|---|
| Railway | Hosting and database infrastructure | United States (transfer governed by Standard Contractual Clauses — see Section 5) |
| Google Workspace | Business email | EU and United States (transfer governed by Standard Contractual Clauses) |
| Netlify | Marketing website hosting | United States (transfer governed by Standard Contractual Clauses) |
Payment processing integration is coming soon. We will update this policy when a payment provider is added.
We may add further sub-processors as the Service evolves — for example, transactional email providers, document text-extraction services, or error monitoring tools. We will update this policy and notify customers at least 30 days in advance of any new sub-processor being added, with the right to object. A current and complete list of sub-processors is available on request.
4.2 Professional advisors
Our accountants, auditors and lawyers, where strictly necessary and bound by confidentiality.
4.3 Legal authorities
Where required to comply with a valid legal request (court order, regulatory request, etc.). We will narrow the scope of what we share to the minimum required and will notify you wherever lawfully possible.
4.4 In the event of a sale
If Nexioris is acquired by or merged with another company, personal data may be transferred as part of that transaction. We would notify you in advance and you would retain your GDPR rights, including the right to object to the transfer of your account.
5. International data transfers
Some of our sub-processors are based outside the European Economic Area (EEA), primarily in the United States. Where personal data is transferred outside the EEA, the transfer is protected by:
- An adequacy decision from the European Commission under Article 45 GDPR, where one applies, or
- Standard Contractual Clauses (SCCs) adopted by the European Commission under Article 46 GDPR, with appropriate supplementary measures where required.
We do not transfer personal data to countries without an adequate level of protection unless one of the above safeguards is in place. You can request a copy of the relevant safeguards by contacting us at matias@nexioris.com.
6. How long we keep data
We keep personal data only for as long as needed for the purpose we collected it.
| Data | Retention period |
|---|---|
| Account data while your account is active | For the duration of your account |
| Account data after you close your account | 30 days, then deleted (you can request immediate deletion) |
| Customer-uploaded business data (jobs, estimates, invoices, etc.) | For the duration of your account, then 30 days, then deleted |
| Backups | 30 days, then automatically discarded |
| Billing and transaction records | As required by Finnish accounting law (currently 6 years) |
| Support correspondence | 3 years from last interaction |
| Marketing email subscribers | Until you unsubscribe |
| Server logs | 90 days |
You can request earlier deletion at any time (see Section 8, "Your rights"). Where we are legally required to retain something longer (typically billing records for tax purposes), we will tell you which records we have kept and why.
7. How we protect your data
We use technical and organisational measures appropriate to the risk under Article 32 GDPR, including:
- All data in transit encrypted with TLS 1.2 or higher
- All data at rest encrypted on disk
- Passwords stored using strong one-way hashing
- Strict access controls — only personnel who need access have it
- Two-factor authentication on internal admin accounts
- Regular security updates to our infrastructure
- Daily database backups, encrypted
- Activity logging so we can detect unusual access patterns
- Regular review of our security posture
No system is perfectly secure. If a personal data breach occurs that is likely to result in a risk to your rights and freedoms, we will notify the competent supervisory authority within 72 hours as required by Article 33 GDPR, and we will notify you without undue delay where Article 34 applies.
8. Your rights under the GDPR
You have the following rights regarding your personal data, free of charge in most cases:
- Right of access (Art. 15) — get a copy of the personal data we hold about you
- Right to rectification (Art. 16) — correct inaccurate or incomplete data
- Right to erasure (Art. 17) — have your data deleted ("right to be forgotten"), subject to legal retention obligations
- Right to restriction (Art. 18) — limit how we process your data in certain circumstances
- Right to data portability (Art. 20) — receive your data in a structured, machine-readable format and transfer it elsewhere
- Right to object (Art. 21) — object to processing based on legitimate interest, including profiling
- Right to withdraw consent (Art. 7) — for processing based on consent, you can withdraw at any time
- Right not to be subject to automated decision-making (Art. 22) — we do not make such decisions, but you retain this right
- Right to lodge a complaint — with the Finnish Office of the Data Protection Ombudsman (tietosuoja.fi) or with the supervisory authority of your habitual residence
To exercise any of these rights, email us at matias@nexioris.com. We will respond within one month, extendable by two further months for complex requests (we will tell you if this is the case).
For account holders, many of these rights can also be exercised directly within the Service:
- View and edit your profile data in Settings
- Export your data via Settings → Export
- Delete your account via Settings → Delete account
9. Cookies and tracking
We use a minimal set of cookies. We do not use third-party advertising cookies or cross-site tracking. We do not run analytics on our marketing website (nexioris.com).
9.1 Strictly necessary cookies
Required for the Service to function (e.g. keeping you logged in, remembering your preferences). These do not require consent under the ePrivacy Directive.
9.2 Other cookies
We do not currently use any other categories of cookies. If we add any (for example, for embedded video, chat support, or product analytics), we will update this policy and ask for your consent first via a cookie banner.
You can disable cookies through your browser settings, though doing so may break parts of the Service.
10. Children
The Service is intended for use by businesses and is not directed at people under the age of 16. We do not knowingly collect personal data from anyone under 16. If you believe a child has provided us with personal data, please contact us and we will delete it.
11. Changes to this policy
We may update this Privacy Policy from time to time to reflect changes to the Service, our practices or applicable law. The "Last updated" date at the top of this policy indicates when it was last changed.
For material changes (those that meaningfully expand how we use your data), we will notify account holders by email at least 30 days before the change takes effect, and you will have the opportunity to close your account before the new terms apply.
12. Contact us
For any privacy question, request, or concern:
Email: matias@nexioris.com
We aim to respond to all privacy enquiries within 7 working days and to formal data subject requests within one month as required by the GDPR.
If you are not satisfied with our response, you have the right to lodge a complaint with the Finnish Office of the Data Protection Ombudsman (Tietosuojavaltuutettu) at tietosuoja.fi, or with the supervisory authority of your habitual residence in the EU.
Tietosuojaseloste
Päivitetty viimeksi: Kesäkuu 2026
Tämä tietosuojaseloste selittää, miten Nexioris ("Nexioris", "me", "meidän") kerää, käyttää, tallentaa ja jakaa henkilötietoja, kun käytät ohjelmistopalveluamme osoitteessa nexioris.com ja siihen liittyvillä aliverkkotunnuksilla ("Palvelu"). Suhtaudumme yksityisyyteen vakavasti. Jos jokin tässä on epäselvää, ota yhteyttä osoitteeseen matias@nexioris.com.
1. Keitä olemme
Nexioris Oy (Y-tunnus 3635865-3), suomalainen osakeyhtiö, kotipaikka Helsinki. EU:n yleisen tietosuoja-asetuksen (asetus (EU) 2016/679, "GDPR") tarkoittamana rekisterinpitäjänä toimimme seuraavien henkilötietojen osalta: verkkosivustomme vierailijat, tilin luoneet henkilöt sekä meihin suoraan yhteyttä ottaneet henkilöt. Toimimme tietojenkäsittelijänä asiakkaidemme (remontti- ja rakennusyritysten) Palveluun lataamien henkilötietojen osalta. Asiakasyritys on kyseisten tietojen rekisterinpitäjä ja me käsittelemme niitä heidän puolestaan tietojenkäsittelysopimuksemme mukaisesti. Johtava valvontaviranomainen on Suomen tietosuojavaltuutetun toimisto, joka on tavoitettavissa osoitteessa tietosuoja.fi.
2. Mitä henkilötietoja keräämme
2.1 Rekisteröitymisen yhteydessä antamasi tiedot
Nimesi ja sähköpostiosoitteesi, salasanasi (tallennettu hajautettuna, ei koskaan selkotekstinä), yrityksesi nimi, osoite ja kauppatiedot, valinnainen: puhelinnumero, rooli yrityksessä, valinnainen: profiilikuva.
2.2 Maksun yhteydessä antamasi tiedot
Laskutusosoite ja yhteyshenkilön nimi, ALV-numero tarvittaessa. Maksujen käsittely tapahtuu manuaalisesti toistaiseksi. Säilytämme tapahtumatiedot (summa, päivämäärä, laskunumero) kirjanpito- ja verotarkoituksia varten.
2.3 Palvelun käytön aikana luomasi tai lataamasi tiedot
Tämä sisältää muun muassa tiedot töistäsi, asiakkaistasi, toimittajistasi, alihankkijoistasi ja työntekijöistäsi, arviot, laskut, ostotilaukset, toimittajalaskut ja työtunnit, työmaille ladatut valokuvat, videot ja asiakirjat, aikataulu- ja tehtävätiedot sekä muistiinpanot, kommentit ja toimintalokit. Kun nämä tiedot koskevat muita henkilöitä, toimit rekisterinpitäjänä ja olet vastuussa siitä, että sinulla on lainmukainen käsittelyperuste.
2.4 Automaattisesti keräämämme tiedot
Tekniset tiedot: IP-osoite, selaimen tyyppi ja versio, käyttöjärjestelmä, laitetyyppi, aikavyöhyke, vierailemasi sivut ja Palvelussa tekemäsi toiminnot. Evästeet ja vastaavat teknologiat: katso kohta 9. Virhe- ja suoritustiedot: kun jokin menee pieleen, kirjaamme virheen ja siihen johtaneet vaiheet korjataksemme sen.
2.5 Tietoja, joita emme kerää
Emme kerää GDPR:n 9 artiklan mukaisia erityisiä henkilötietoja. Emme kerää tietoja kolmansilta osapuolilta. Emme seuraa sinua muilla verkkosivustoilla. Emme tällä hetkellä käytä analytiikkaa nexioris.com-sivustolla.
3. Miten käytämme tietojasi ja oikeudellinen perustamme
Käytämme henkilötietoja vain alla lueteltuihin tarkoituksiin. Kullakin tarkoituksella on GDPR:n 6 artiklan mukainen oikeudellinen peruste.
Palvelun tarjoaminen → Art. 6(1)(b) — sopimuksen täytäntöönpano
Välttämättömien palveluviestien lähettäminen → Art. 6(1)(b) — sopimus / Art. 6(1)(f) — oikeutettu etu
Tuotepäivitys- ja markkinointiviestien lähettäminen → Art. 6(1)(a) — suostumus
Palvelun parantaminen → Art. 6(1)(f) — oikeutettu etu
Asiakastuki → Art. 6(1)(b) — sopimus / Art. 6(1)(f) — oikeutettu etu
Petostentorjunta ja turvallisuus → Art. 6(1)(f) — oikeutettu etu
Kirjanpito ja veroasiakirjat → Art. 6(1)(c) — lakisääteinen velvollisuus
Oikeudellisiin pyyntöihin vastaaminen → Art. 6(1)(c) — lakisääteinen velvollisuus
Emme myy henkilötietoja kenellekään. Emme jaa henkilötietoja mainosverkostoille.
4. Kenen kanssa jaamme tietoja
4.1 Alikäsittelijät
Railway — Hosting ja tietokantainfrastruktuuri — Yhdysvallat (siirto vakiosopimuslausekkeiden nojalla)
Netlify — Markkinointisivuston hosting — Yhdysvallat (siirto vakiosopimuslausekkeiden nojalla)
Google Workspace — Yrityssähköposti — EU ja Yhdysvallat (siirto vakiosopimuslausekkeiden nojalla)
Saatamme lisätä alikäsittelijöitä palvelun kehittyessä. Ilmoitamme uusista alikäsittelijöistä vähintään 30 päivää etukäteen.
4.2 Ammattineuvojat
Kirjanpitäjämme, tilintarkastajamme ja lakimiehemme, siltä osin kuin se on ehdottomasti tarpeen ja he ovat salassapitovelvollisuuden alaisia.
4.3 Viranomaiset
Kun voimassa olevan oikeudellisen pyynnön noudattaminen sitä edellyttää.
4.4 Yrityskaupan yhteydessä
Jos Nexioris hankitaan tai se sulautuu toiseen yritykseen, henkilötietoja voidaan siirtää osana kyseistä transaktiota. Ilmoitamme sinulle etukäteen.
5. Kansainväliset tiedonsiirrot
Jotkin alikäsittelijämme sijaitsevat Euroopan talousalueen (ETA) ulkopuolella, pääasiassa Yhdysvalloissa. Tällaiset siirrot suojataan Euroopan komission vahvistamilla vakiosopimuslausekkeilla (SCC) GDPR:n 46 artiklan mukaisesti.
6. Kuinka kauan säilytämme tietoja
Tilitiedot tilin ollessa aktiivinen — Tilin voimassaoloajan
Tilitiedot tilin sulkemisen jälkeen — 30 päivää, sitten poistetaan
Asiakkaan lataamat liiketoimintatiedot — Tilin voimassaoloajan, sitten 30 päivää
Varmuuskopiot — 30 päivää
Laskutus- ja tapahtumatiedot — Suomen kirjanpitolain mukaisesti (tällä hetkellä 6 vuotta)
Tukiviestit — 3 vuotta viimeisestä vuorovaikutuksesta
Markkinointisähköpostin tilaajat — Peruutukseen asti
Palvelinlokit — 90 päivää
7. Miten suojaamme tietojasi
Käytämme GDPR:n 32 artiklan mukaisia teknisiä ja organisatorisia toimenpiteitä, mukaan lukien: kaikki siirrettävä tieto salattu TLS 1.2:lla tai uudemmalla, kaikki tallennettava tieto salattu levyllä, salasanat tallennettu vahvalla yksisuuntaisella hajautuksella, tiukat pääsynhallintakontrollit, kaksivaiheinen todennus sisäisissä järjestelmänvalvojan tileissä, säännölliset tietoturvapäivitykset, päivittäiset salatut tietokantavarmuuskopiot ja toimintalokit.
Jos tietoturvaloukkaus tapahtuu, ilmoitamme toimivaltaiselle valvontaviranomaiselle 72 tunnin kuluessa GDPR:n 33 artiklan mukaisesti.
8. Oikeutesi GDPR:n nojalla
Sinulla on seuraavat oikeudet henkilötietojesi osalta: oikeus saada pääsy tietoihin (15 art.), oikeus oikaista tiedot (16 art.), oikeus tietojen poistamiseen (17 art.), oikeus käsittelyn rajoittamiseen (18 art.), oikeus tietojen siirrettävyyteen (20 art.), oikeus vastustaa käsittelyä (21 art.), oikeus peruuttaa suostumus (7 art.), oikeus olla joutumatta automaattisen päätöksenteon kohteeksi (22 art.) sekä oikeus tehdä valitus Suomen tietosuojavaltuutetun toimistolle (tietosuoja.fi).
Voit käyttää näitä oikeuksia lähettämällä sähköpostia osoitteeseen matias@nexioris.com. Vastaamme kuukauden kuluessa.
9. Evästeet ja seuranta
Käytämme minimaalista määrää evästeitä. Emme käytä kolmannen osapuolen mainosevästeitä tai sivustojen välistä seurantaa.
9.1 Välttämättömät evästeet
Vaaditaan Palvelun toimintaan. Nämä eivät vaadi suostumusta sähköisen viestinnän tietosuojadirektiivin nojalla.
9.2 Muut evästeet
Emme tällä hetkellä käytä muita evästeluokkia. Jos lisäämme niitä, päivitämme tätä käytäntöä ja pyydämme suostumuksesi ensin.
10. Lapset
Palvelu on tarkoitettu yrityskäyttöön eikä se ole suunnattu alle 16-vuotiaille.
11. Muutokset tähän käytäntöön
Saatamme päivittää tätä tietosuojaselostetta ajoittain. Ilmoitamme olennaisista muutoksista sähköpostitse vähintään 30 päivää ennen muutosten voimaantuloa.
12. Ota yhteyttä
Tietosuojakysymyksissä: matias@nexioris.com. Pyrimme vastaamaan kaikkiin tietosuojakyselyihin 7 arkipäivän kuluessa.