GDPR

TIETOSUOJASELOSTE JA KÄYTTÖEHDOT

1. Rekisterinpitäjä

Yritys: FSG Financial Services Group Oy

Y-tunnus: 3476445-5

Osoite: Helsinki, Suomi

Sähköposti: info@trustyfinance.fi

Puhelin: +358 40 042 9736

2. Yhteyshenkilö tietosuoja-asioissa

Nimi: Alexander Laroma

Tietosuojavastaava (Data Protection Officer, DPO)

Sähköposti: alexander.laroma@trustyfinance.fi

Puhelin: +358 40 042 9736

3. Rekisterien nimet

  • FSG Financial Services Group Oy:n asiakasrekisteri
  • FSG Financial Services Group Oy:n markkinointi- ja viestintärekisteri
  • FSG Financial Services Group Oy:n verkkosivuston käyttäjärekisteri
  • FSG Financial Services Group Oy:n kumppani- ja sopimusrekisteri
  • FSG Financial Services Group Oy:n työnhakijarekisteri
  • FSG Financial Services Group Oy:n asiakaspalvelurekisteri

4. Henkilötietojen käsittelyn tarkoitukset rekistereittäin

Asiakasrekisteri

  • Rahoituspalveluiden tarjoaminen ja välitys
  • Lainanhakuprosessien käsittely
  • Luottokelpoisuuden arviointi
  • Sopimusten tekeminen ja täytäntöönpano
  • Maksujen käsittely ja laskutus
  • Asiakassuhteen hoitaminen
  • Lakisääteisten velvoitteiden täyttäminen

Markkinointi- ja viestintärekisteri

  • Suoramarkkinointi (suostumuksen perusteella)
  • Uutiskirjeiden lähettäminen
  • Asiakasviestintä ja tiedottaminen
  • Palveluiden kehittäminen
  • Asiakastyytyväisyyskyselyt
  • Markkinointikampanjoiden kohdentaminen

Verkkosivuston käyttäjärekisteri

  • Verkkosivuston toiminnallisuuden varmistaminen
  • Käyttäjäkokemuksen parantaminen
  • Kävijätilastojen kerääminen
  • Analytiikka ja raportointi
  • Evästeiden hallinta
  • Tekninen ylläpito ja tietoturva

Kumppani- ja sopimusrekisteri

  • Yhteistyösopimusten hallinta
  • Kumppaniverkoston ylläpito
  • Provisioiden laskenta ja maksaminen
  • Yhteistyön kehittäminen
  • Laadunvalvonta
  • Lakisääteisten velvoitteiden täyttäminen

Työnhakijarekisteri

  • Rekrytointiprosessin hoitaminen
  • Työhakemusten käsittely
  • Haastattelujen järjestäminen
  • Soveltuvuuden arviointi
  • Yhteydenpito hakijoihin
  • Tilastointi ja raportointi

Asiakaspalvelurekisteri

  • Asiakaspalvelun toteuttaminen
  • Yhteydenottoihin vastaaminen
  • Palautepalauteiden käsittely
  • Reklamaatioiden käsittely
  • Palvelun laadun parantaminen
  • Koulutus ja kehittäminen

5. Henkilötietojen käsittelyn oikeusperusteet

Henkilötietoja käsitellään seuraavilla GDPR:n mukaisilla oikeusperusteilla:

Sopimus (GDPR 6(1)(b))

Henkilötietojen käsittely on tarpeen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi.

Lakisääteinen velvoite (GDPR 6(1)(c))

Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, kuten kirjanpitolaki, rahanpesulaki ja luottolaitoslaki.

Oikeutettu etu (GDPR 6(1)(f))

Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, kuten asiakassuhteen hoito, petosten ehkäisy ja yrityksen liiketoiminnan harjoittaminen.

Suostumus (GDPR 6(1)(a))

Rekisteröidyn antama nimenomainen suostumus henkilötietojensa käsittelyyn, erityisesti markkinointitarkoituksiin. Suostumuksen voi peruuttaa milloin tahansa.

6. Rekisterien tietosisältö

Asiakasrekisteri

Perustiedot

  • Nimi
  • Henkilötunnus
  • Syntymäaika
  • Kansalaisuus

Yhteystiedot

  • Osoite
  • Puhelinnumero
  • Sähköpostiosoite

Taloudelliset tiedot

  • Tulotiedot
  • Varallisuustiedot
  • Velkatiedot
  • Luottotiedot
  • Maksukäyttäytyminen

Yritystiedot

  • Yrityksen nimi ja Y-tunnus
  • Asema yrityksessä
  • Osakkeenomistustiedot

Sopimushistoria

  • Aikaisemmat sopimukset
  • Palveluhistoria
  • Lainapäätökset

Markkinointi- ja viestintärekisteri

Perustiedot

  • Nimi
  • Yhteystiedot

Suostumukset

  • Markkinointisuostumukset
  • Suostumuksen antamisajankohta
  • Suostumuksen peruutukset

Viestintähistoria

  • Lähetetyt viestit
  • Avausprosentit
  • Klikkaukset
  • Kiinnostuksen kohteet

Verkkosivuston käyttäjärekisteri

Tekniset tiedot

  • IP-osoite
  • Evästeet
  • Selaintiedot
  • Laitteen tunnus
  • Käyttöjärjestelmä

Käyttötiedot

  • Vieraillut sivut
  • Käyntiaika
  • Klikkaukset
  • Lomakkeiden lähetykset

Kumppani- ja sopimusrekisteri

Yhteyshenkilötiedot

  • Nimi
  • Asema
  • Yhteystiedot

Sopimustiedot

  • Sopimukset
  • Provisiot
  • Laskutustiedot

Työnhakijarekisteri

Perustiedot

  • Nimi
  • Syntymäaika
  • Yhteystiedot

Hakemustiedot

  • CV
  • Hakemuskirje
  • Todistukset
  • Suositukset

Rekrytointiprosessi

  • Haastattelumuistiinpanot
  • Arvioinnit
  • Testit

Asiakaspalvelurekisteri

Yhteydenottotiedot

  • Nimi
  • Yhteystiedot
  • Asiakastunnus

Yhteydenotto

  • Viestin sisältö
  • Aikaleima
  • Käsittelijä
  • Ratkaisu

7. Säännönmukaiset tietolähteet rekistereittäin

Asiakasrekisteri

  • Asiakkaan itsensä antamat tiedot
  • Julkiset rekisterit (Kaupparekisteri, Väestötietojärjestelmä)
  • Luottotietorekisterit
  • Rahoituskumppanit
  • Verkkosivuston lomakkeet

Markkinointi- ja viestintärekisteri

  • Rekisteröidyn itsensä antamat tiedot
  • Tilauslomakkeet
  • Suostumuslomakkeet
  • Tapahtumat ja messut

Verkkosivuston käyttäjärekisteri

  • Evästeet
  • Analytiikkatyökalut (Google Analytics)
  • Palvelinlokit
  • Lomakkeiden lähetykset

Kumppani- ja sopimusrekisteri

  • Yhteistyökumppanit
  • Sopimukset
  • Liiketoimintarekisterit

Työnhakijarekisteri

  • Työnhakijan itsensä toimittamat tiedot
  • Rekrytointipalvelut
  • LinkedIn ja muut ammatilliset verkostot

Asiakaspalvelurekisteri

  • Yhteydenottolomakkeet
  • Sähköpostit
  • Puhelut
  • Chat-keskustelut

8. Henkilötietojen säännönmukaiset luovutukset ja siirrot

Henkilötietoja voidaan luovuttaa tai siirtää seuraaville tahoille:

Rahoitusyhtiöt ja pankit

Rahoitushakemusten käsittely ja lainapäätösten tekeminen

IT-palveluntarjoajat

Pilvipalvelut, tietokannat, sähköpostipalvelut (esim. AWS, Microsoft Azure, Supabase)

Maksunvälityspalvelut

Maksujen käsittely ja laskutus

Markkinointi- ja analytiikkapalvelut

Google Analytics, Meta Pixel, markkinointiautomaatio

Luottotietoyhtiöt

Luottotietojen tarkastaminen (Suomen Asiakastieto, Bisnode)

Viranomaiset

Lakisääteisten velvoitteiden täyttäminen (esim. Finanssivalvonta, poliisi, veroviranomaiset)

Tilintarkastajat ja lakimiehet

Tarkastukset ja lakisääteiset velvoitteet

8.5. Henkilötunnuksen (HETU) jakaminen rahoittajakumppaneille

Trusty Finance jakaa asiakkaan henkilötunnuksen (HETU) rahoittajakumppaneille vain asiakkaan nimenomaisella suostumuksella. Tämä osio kuvaa HETU-tietojen jakamisen toimintamallin ja tietosuojatoimenpiteet.

Suostumusprosessi

HETU-tiedot jaetaan rahoittajakumppaneille vain, jos asiakas on antanut nimenomaisen suostumuksen. Suostumus on: nimenomainen (erillinen suostumuslomake), tietoinen (asiakas ymmärtää mitä tietoja jaetaan ja miksi), vapaaehtoinen (asiakas voi kieltäytyä ilman että se vaikuttaa muuhun palveluun), ja peruutettavissa (asiakas voi perua suostumuksen milloin tahansa).

Turvallinen linkki

HETU-tiedot jaetaan turvallisen, aikarajoitetun linkin kautta. Linkki sisältää yksilöllisen tokenin (64-merkkinen satunnaisluku), aikarajoituksen (yleensä 7-30 päivää), latausrajoituksen (yleensä 1-10 katselukertaa), ja valinnaiset IP-rajoitukset. Linkki on käytännössä mahdoton arvata (2^256 mahdollisuutta).

Tietojen salaus

HETU-tiedot salataan AES-256-GCM -salauksella ennen jakamista. Salaus käyttää 256-bittistä avainta, satunnaista initialization vector (IV) -arvoa jokaiselle salaukselle, ja authentication tag -arvoa datan eheyden varmistamiseksi. Salausavain tallennetaan turvallisesti ympäristömuuttujaan eikä koskaan tietokantaan.

Pääsyn hallinta

Pääsy HETU-tietoihin on rajoitettu seuraavilla tavoilla: aikarajoitus (linkki vanhenee määritellyn ajan kuluttua), katselurajoitus (linkkiä voi käyttää vain rajoitetun määrän kertoja), yksittäiskäyttö (HETU-tiedot voidaan katsella vain kerran, jos asetettu), ja IP-rajoitukset (valinnainen). Kaikki pääsyt kirjataan audit-lokiin IP-osoitteineen, aikaleimoineen ja käyttäjätiedoilla.

Tietojen säilytys ja poistaminen

HETU-tiedot poistetaan automaattisesti vanhentumisen jälkeen. Tiedot voidaan poistaa manuaalisesti asiakkaan pyynnöstä. Audit-lokit säilytetään tietosuojalain mukaisesti. Asiakas voi pyytää HETU-tietojensa poistamista milloin tahansa.

Oikeusperusta

HETU-tietojen jakaminen perustuu asiakkaan suostumukseen (GDPR art. 6(1)(a)). Asiakas voi perua suostumuksen milloin tahansa, jolloin uudet pääsyt estetään.

Kumppanien velvoitteet

Rahoittajakumppanit ovat velvollisia käyttämään HETU-tietoja vain rahoitushakemuksen käsittelyyn, noudattamaan GDPR-vaatimuksia, poistamaan HETU-tiedot käsittelyn jälkeen, ja ilmoittamaan tietoturvaloukkauksista välittömästi.

Lisätietoja HETU-tietojen jakamisesta saat tietosuojavastaavalta: alexander.laroma@trustyfinance.fi

9. Tietojen säilytysajat rekistereittäin

Henkilötietoja säilytetään vain niin kauan kuin on tarpeellista käsittelyn tarkoituksen toteuttamiseksi tai lain vaatiman ajan.

Asiakasrekisteri

Asiakastiedot: Asiakassuhteen ajan + 10 vuotta sopimuksen päättymisestä

Kirjanpitolaki, vanhentumissäännökset

Lainanhakemukset: 6-10 vuotta hakemuksen tekemisestä

Lakisääteiset vaatimukset, riidanratkaisu

Markkinointi- ja viestintärekisteri

Markkinointitiedot: Suostumuksen voimassaoloajan tai kieltoon saakka

Suostumus, oikeutettu etu

Verkkosivuston käyttäjärekisteri

Evästeet: 6-24 kuukautta

Evästekäytännön mukainen aika

Analytiikkatiedot: 14 kuukautta

Google Analytics -asetukset

Anonyymit onboarding-käyttäjätilit: 7 päivää

Palvelun kokeilumahdollisuuden tarjoaminen ilman rekisteröitymistä. Tilapäiset tilit ja niihin liittyvä data (yritystiedot, analyysitulokset) poistetaan automaattisesti 7 päivän jälkeen, ellei käyttäjä rekisteröidy pysyväksi käyttäjäksi.

Kumppani- ja sopimusrekisteri

Sopimustiedot: Sopimuksen voimassaoloajan + 10 vuotta

Kirjanpitolaki, vanhentumissäännökset

Työnhakijarekisteri

Työnhakijoiden tiedot: 2 vuotta hakemuksen jättämisestä tai suostumuksen peruuttamiseen saakka

Mahdolliset tulevat rekrytoinnit

Asiakaspalvelurekisteri

Yhteydenotot: 3 vuotta viimeisestä yhteydenotosta

Asiakassuhteen hoito, laadunvalvonta

10. Tietoturva ja suojatoimenpiteet

Henkilötiedot suojataan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä luvattomalta pääsyltä, muuttamiselta, luovuttamiselta ja tuhoamiselta.

  • SSL/TLS-salattu tiedonsiirto (HTTPS)
  • Tietokantojen salaus levossa ja siirrossa
  • Palomuurit ja tunkeutumisen estojärjestelmät
  • Säännölliset tietoturva-auditoinnit
  • Pääsynhallinta ja käyttöoikeuksien rajoitus (Role-Based Access Control)
  • Kaksivaiheiset tunnistautumiset järjestelmissä (2FA)
  • Varmuuskopioinnit (säännöllinen backup-strategia)
  • Henkilökunnan tietosuojakoulutus (vuosittain)
  • Tietomurtotilanteisiin varautuminen (incident response plan)
  • Sopimukset alihankkijoiden kanssa (Data Processing Agreements)
  • Säännölliset tietosuojaa koskevat auditoinnit
  • Lokitietojen seuranta ja analysointi
  • Tietojen pseudonymisointi ja anonymisointi
  • Tietoturvapolitiikat ja -käytännöt

Tietomurrosta ilmoitetaan rekisteröidylle ja viranomaiselle 72 tunnin kuluessa, jos se aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille (GDPR 33 ja 34 artikla).

11. Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat GDPR:n mukaiset oikeudet:

Oikeus tarkastaa tiedot (GDPR 15)

Oikeus saada tieto siitä, käsitelläänkö häntä koskevia henkilötietoja ja saada pääsy niihin. Oikeus saada kopio käsiteltävistä henkilötiedoista.

Oikeus tietojen oikaisemiseen (GDPR 16)

Oikeus vaatia virheellisten tai puutteellisten tietojen oikaisua tai täydentämistä ilman aiheetonta viivytystä.

Oikeus tietojen poistamiseen (GDPR 17)

Oikeus vaatia henkilötietojen poistamista ('oikeus tulla unohdetuksi'), mikäli käsittelyyn ei ole perusteltua syytä tai suostumus on peruutettu.

Oikeus käsittelyn rajoittamiseen (GDPR 18)

Oikeus vaatia henkilötietojen käsittelyn rajoittamista tietyissä tilanteissa, esim. tietojen oikeellisuutta kiistettäessä.

Vastustamisoikeus (GDPR 21)

Oikeus vastustaa henkilötietojen käsittelyä, joka perustuu oikeutettuun etuun tai yleiseen etuun. Suoramarkkinointiin on aina oikeus vastustaa.

Oikeus siirtää tiedot järjestelmästä toiseen (GDPR 20)

Oikeus saada henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja siirtää tiedot toiselle rekisterinpitäjälle.

Oikeus peruuttaa suostumus

Jos käsittely perustuu suostumukseen, rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa. Peruuttaminen ei vaikuta ennen peruuttamista tehdyn käsittelyn laillisuuteen.

Oikeus tehdä valitus valvontaviranomaiselle (GDPR 77)

Oikeus tehdä valitus tietosuojavaltuutetulle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan GDPR:a.

Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi (GDPR 22)

Oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu yksinomaan automaattiseen käsittelyyn ja jolla on oikeusvaikutuksia.

12. Evästeet ja seurantateknologiat

Verkkosivustomme käyttää evästeitä parantaakseen käyttökokemusta, analysoidakseen liikennettä ja mahdollistaakseen markkinoinnin.

Eväste on käyttäjän selaimelle lähetettävä pieni tekstitiedosto, joka yleensä sisältää anonyymin tunnistenumeron. Eväste ei vahingoita päätelaitetta.

Välttämättömät evästeet

Tarvitaan sivuston perustoimintojen mahdollistamiseksi, kuten istunnon hallinta, kirjautuminen ja turvallisuus. Nämä evästeet eivät vaadi suostumusta.

Mieltymysevästeet

Tallentavat käyttäjän valintoja, kuten kieliasetukset, teeman (tumma/vaalea) ja muut käyttöliittymän mukautukset.

Analyyttiset evästeet

Käytetään sivuston käytön seurantaan (esim. Google Analytics, Matomo). Keräämme anonymisoitua tietoa kävijämääristä, käyttöajasta ja suosituimmista sivuista. Suostumus tarvitaan.

Markkinointievästeet

Käytetään kohdennettuun mainontaan ja mainosten tehokkuuden mittaamiseen (esim. Meta Pixel, Google Ads). Suostumus tarvitaan.

13. Profilointi ja automatisoitu päätöksenteko

Käytämme osittain automatisoitua päätöksentekoa luottokelpoisuuden arvioinnissa ja lainanhakujen käsittelyssä.

14. Alaikäisten henkilötiedot

Palvelumme on tarkoitettu täysi-ikäisille henkilöille (18 vuotta täyttäneille). Emme tietoisesti kerää henkilötietoja alle 18-vuotiailta ilman huoltajan suostumusta.

15. Tietosuojaselosteen muutokset

Pidätämme oikeuden päivittää tätä tietosuojaselostetta tarvittaessa vastaamaan lainsäädännön muutoksia tai toimintamme kehitystä.

16. Yhteystiedot ja yhteydenotto

Jos sinulla on kysymyksiä tietosuojasta tai haluat käyttää oikeuksiasi, ota yhteyttä:

Yhteystiedot

Tietosuojavastaava: Alexander Laroma

FSG Financial Services Group Oy, Helsinki, Suomi

Sähköposti: alexander.laroma@trustyfinance.fi / info@trustyfinance.fi

Puhelin: +358 40 042 9736

Vastaamme tietosuojapyyntöihin pääsääntöisesti kuukauden kuluessa pyynnön vastaanottamisesta. Monimutkaisissa tapauksissa voimme pidentää määräaikaa kahdella kuukaudella.

Valvontaviranomainen Suomessa:

Tietosuojavaltuutetun toimisto

Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki

Postiosoite: PL 800, 00521 Helsinki

Sähköposti: tietosuoja@om.fi

Puhelin: Vaihde: 029 566 6700

Verkkosivusto: www.tietosuoja.fi

17. Sovellettava laki ja riitojen ratkaisu

Tähän tietosuojaselosteeseen ja henkilötietojen käsittelyyn sovelletaan Suomen lakia.

Mahdolliset erimielisyydet pyritään ensisijaisesti ratkaisemaan neuvottelemalla. Jos sopimukseen ei päästä, riidat ratkaistaan Helsingin käräjäoikeudessa.

Rekisteröidyn oikeudet määräytyvät EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti.