GDPR

DATASKYDDSPOLICY OCH ANVÄNDARVILLKOR

1. Registeransvarig

Företag: FSG Financial Services Group Oy

FO-nummer: 3476445-5

Adress: Helsingfors, Finland

E-post: info@trustyfinance.fi

Telefon: +358 40 042 9736

2. Kontaktperson för dataskyddsfrågor

Namn: Alexander Laroma

Dataskyddsombud (Data Protection Officer, DPO)

E-post: alexander.laroma@trustyfinance.fi

Telefon: +358 40 042 9736

3. Registernamn

  • FSG Financial Services Group Oy:s kundregister
  • FSG Financial Services Group Oy:s marknadsförings- och kommunikationsregister
  • FSG Financial Services Group Oy:s webbplatsanvändarregister
  • FSG Financial Services Group Oy:s partner- och avtalsregister
  • FSG Financial Services Group Oy:s jobbsökanderegister
  • FSG Financial Services Group Oy:s kundserviceregister

4. Behandlingssyften per register

Kundregister

  • Tillhandahållande och förmedling av finansieringstjänster
  • Behandling av låneansökningsprocesser
  • Kreditvärdighetsbedömning
  • Ingående och genomförande av avtal
  • Behandling av betalningar och fakturering
  • Kundrelationshantering
  • Uppfyllande av lagstadgade skyldigheter

Marknadsförings- och kommunikationsregister

  • Direktmarknadsföring (baserat på samtycke)
  • Utskick av nyhetsbrev
  • Kundkommunikation och information
  • Tjänsteutveckling
  • Kundnöjdhetsundersökningar
  • Målgruppsanpassning av marknadsföringskampanjer

Webbplatsanvändarregister

  • Säkerställa webbplatsens funktionalitet
  • Förbättra användarupplevelsen
  • Samla in besöksstatistik
  • Analys och rapportering
  • Cookie-hantering
  • Tekniskt underhåll och säkerhet

Partner- och avtalsregister

  • Hantering av samarbetsavtal
  • Underhåll av partnernätverk
  • Beräkning och utbetalning av provisioner
  • Utveckling av samarbete
  • Kvalitetskontroll
  • Uppfyllande av lagstadgade skyldigheter

Jobbsökanderegister

  • Hantering av rekryteringsprocess
  • Behandling av jobbansökningar
  • Organisering av intervjuer
  • Bedömning av lämplighet
  • Kontakt med sökande
  • Statistik och rapportering

Kundserviceregister

  • Tillhandahållande av kundservice
  • Svar på kontakter
  • Behandling av feedback
  • Hantering av reklamationer
  • Förbättring av servicekvalitet
  • Utbildning och utveckling

5. Rättslig grund för behandling av personuppgifter

Personuppgifter behandlas baserat på följande GDPR-rättsliga grunder:

Avtal (GDPR 6(1)(b))

Behandlingen är nödvändig för att fullgöra ett avtal eller för att vidta åtgärder innan ett avtal ingås.

Rättslig förpliktelse (GDPR 6(1)(c))

Behandlingen är nödvändig för att uppfylla den registeransvariges rättsliga förpliktelser, såsom bokföringslagen, lagen om bekämpning av penningtvätt och kreditinstitutslag.

Berättigat intresse (GDPR 6(1)(f))

Behandlingen är nödvändig för den registeransvariges eller tredje parts berättigade intressen, såsom kundrelationshantering, bedrägeriförebyggande och bedrivande av affärsverksamhet.

Samtycke (GDPR 6(1)(a))

Den registrerades uttryckliga samtycke till behandling av deras personuppgifter, särskilt för marknadsföringsändamål. Samtycket kan återkallas när som helst.

6. Datainnehåll per register

Kundregister

Grundläggande information

  • Namn
  • Personbeteckning
  • Födelsedatum
  • Nationalitet

Kontaktinformation

  • Adress
  • Telefonnummer
  • E-postadress

Ekonomisk information

  • Inkomstuppgifter
  • Förmögenhetsuppgifter
  • Skulduppgifter
  • Kredituppgifter
  • Betalningsbeteende

Företagsinformation

  • Företagsnamn och FO-nummer
  • Befattning i företaget
  • Ägarandelsuppgifter

Avtalshistorik

  • Tidigare avtal
  • Tjänstehistorik
  • Lånebeslut

Marknadsförings- och kommunikationsregister

Grundläggande information

  • Namn
  • Kontaktinformation

Samtycken

  • Marknadsföringssamtycken
  • Samtyckestidpunkt
  • Samtyckes återkallelser

Kommunikationshistorik

  • Skickade meddelanden
  • Öppningsfrekvenser
  • Klick
  • Intresseområden

Webbplatsanvändarregister

Tekniska uppgifter

  • IP-adress
  • Cookies
  • Webbläsarinformation
  • Enhetsidentifierare
  • Operativsystem

Användningsdata

  • Besökta sidor
  • Besökstid
  • Klick
  • Formulärinskick

Partner- och avtalsregister

Kontaktpersonsinformation

  • Namn
  • Befattning
  • Kontaktinformation

Avtalsinformation

  • Avtal
  • Provisioner
  • Faktureringsinformation

Jobbsökanderegister

Grundläggande information

  • Namn
  • Födelsedatum
  • Kontaktinformation

Ansökningsinformation

  • CV
  • Ansökningsbrev
  • Betyg
  • Rekommendationer

Rekryteringsprocess

  • Intervjuanteckningar
  • Bedömningar
  • Tester

Kundserviceregister

Kontaktinformation

  • Namn
  • Kontaktuppgifter
  • Kundnummer

Kontakt

  • Meddelandeinnehåll
  • Tidsstämpel
  • Handläggare
  • Lösning

7. Regelbundna informationskällor per register

Kundregister

  • Information som tillhandahålls av kunden
  • Offentliga register (Handelsregistret, Befolkningsdatasystemet)
  • Kreditupplysningsregister
  • Finansieringspartner
  • Webbplatsformulär

Marknadsförings- och kommunikationsregister

  • Information som tillhandahålls av den registrerade
  • Prenumerationsformulär
  • Samtyckeformulär
  • Evenemang och mässor

Webbplatsanvändarregister

  • Cookies
  • Analysverktyg (Google Analytics)
  • Serverloggar
  • Formulärinskick

Partner- och avtalsregister

  • Samarbetspartner
  • Avtal
  • Företagsregister

Jobbsökanderegister

  • Information som tillhandahålls av jobbsökande
  • Rekryteringstjänster
  • LinkedIn och andra professionella nätverk

Kundserviceregister

  • Kontaktformulär
  • E-postmeddelanden
  • Telefonsamtal
  • Chattkonversationer

8. Regelbundet utlämnande och överföring av personuppgifter

Personuppgifter kan lämnas ut eller överföras till följande parter:

Finansinstitut och banker

Behandling av finansieringsansökningar och beslut om lån

IT-tjänsteleverantörer

Molntjänster, databaser, e-posttjänster (t.ex. AWS, Microsoft Azure, Supabase)

Betalningsförmedlingstjänster

Betalningsbehandling och fakturering

Marknadsförings- och analystjänster

Google Analytics, Meta Pixel, marknadsföringsautomation

Kreditupplysningsföretag

Kontroll av kreditupplysningar (Suomen Asiakastieto, Bisnode)

Myndigheter

Uppfyllande av lagstadgade skyldigheter (t.ex. Finansinspektionen, polis, skattemyndigheter)

Revisorer och advokater

Revisioner och lagstadgade skyldigheter

8.5. Delning av personnummer (HETU) med finansieringspartners

Trusty Finance delar kundens personnummer (HETU) med finansieringspartners endast med kundens uttryckliga samtycke. Detta avsnitt beskriver processen för att dela HETU-data och dataskyddsåtgärder.

Samtyckesprocess

HETU-data delas med finansieringspartners endast om kunden har gett uttryckligt samtycke. Samtycke måste vara: uttryckligt (separat samtyckesformulär), informerat (kunden förstår vilka data som delas och varför), frivilligt (kunden kan vägra utan att det påverkar andra tjänster), och återkallbart (kunden kan återkalla samtycket när som helst).

Säker länk

HETU-data delas via en säker, tidsbegränsad länk. Länken innehåller en unik token (64-tecken slumpmässigt nummer), tidsgräns (vanligtvis 7-30 dagar), nedladdningsgräns (vanligtvis 1-10 visningar), och valfria IP-begränsningar. Länken är praktiskt taget omöjlig att gissa (2^256 möjligheter).

Datakryptering

HETU-data krypteras med AES-256-GCM-kryptering innan delning. Krypteringen använder en 256-bitars nyckel, slumpmässig initialiseringsvektor (IV) för varje kryptering, och autentiseringstag för att säkerställa dataintegritet. Krypteringsnyckeln lagras säkert i miljövariabler och aldrig i databasen.

Åtkomstkontroll

Åtkomst till HETU-data är begränsad på följande sätt: tidsgräns (länken upphör efter angiven tid), visningsgräns (länken kan användas endast ett begränsat antal gånger), engångsbruk (HETU-data kan visas endast en gång, om inställt), och IP-begränsningar (valfritt). All åtkomst loggas i revisionsloggar med IP-adresser, tidsstämplar och användarinformation.

Datalagring och radering

HETU-data raderas automatiskt efter utgång. Data kan raderas manuellt på kundens begäran. Revisionsloggar behålls i enlighet med dataskyddslagen. Kunden kan begära radering av sina HETU-data när som helst.

Rättslig grund

Delning av HETU-data baseras på kundens samtycke (GDPR art. 6(1)(a)). Kunden kan återkalla samtycket när som helst, vilket kommer att förhindra ny åtkomst.

Partners skyldigheter

Finansieringspartners är skyldiga att använda HETU-data endast för behandling av finansieringsansökningar, följa GDPR-krav, radera HETU-data efter behandling, och omedelbart rapportera eventuella dataintrång.

För mer information om delning av HETU-data, kontakta dataskyddsombudet: alexander.laroma@trustyfinance.fi

9. Lagringsperioder per register

Personuppgifter sparas endast så länge som det är nödvändigt för att uppfylla syftet med behandlingen eller enligt lag.

Kundregister

Kunduppgifter: Kundrelationens varaktighet + 10 år efter avtalsupphörande

Bokföringslagen, preskriptionsregler

Låneansökningar: 6-10 år från ansökningsinlämning

Lagstadgade krav, tvistlösning

Marknadsförings- och kommunikationsregister

Marknadsföringsuppgifter: Till dess samtycket är giltigt eller invändning görs

Samtycke, berättigat intresse

Webbplatsanvändarregister

Cookies: 6-24 månader

Enligt cookiepolicy

Analysdata: 14 månader

Google Analytics-inställningar

Anonyma onboarding-användarkonton: 7 dagar

Möjlighet att prova tjänsten utan registrering. Tillfälliga konton och tillhörande data (företagsinformation, analysresultat) raderas automatiskt efter 7 dagar om användaren inte registrerar sig som permanent användare.

Partner- och avtalsregister

Avtalsuppgifter: Avtalets giltighetstid + 10 år

Bokföringslagen, preskriptionsregler

Jobbsökanderegister

Jobbsökandeuppgifter: 2 år från ansökningsinlämning eller till dess samtycke återkallas

Möjliga framtida rekryteringar

Kundserviceregister

Kontakter: 3 år från senaste kontakt

Kundrelationshantering, kvalitetskontroll

10. Datasäkerhet och skyddsåtgärder

Personuppgifter skyddas med lämpliga tekniska och organisatoriska åtgärder mot obehörig åtkomst, ändring, utlämnande och förstörelse.

  • SSL/TLS-krypterad dataöverföring (HTTPS)
  • Databaskryptering i vila och under överföring
  • Brandväggar och intrångsförebyggande system
  • Regelbundna säkerhetsrevisioner
  • Åtkomstkontroll och begränsade åtkomsträttigheter (Role-Based Access Control)
  • Tvåfaktorsautentisering i system (2FA)
  • Säkerhetskopior (regelbunden backup-strategi)
  • Personalutbildning i dataskydd (årligen)
  • Beredskap för dataintrång (incident response plan)
  • Avtal med underleverantörer (Data Processing Agreements)
  • Regelbundna dataskyddsrevisioner
  • Loggdataövervakning och analys
  • Pseudonymisering och anonymisering av data
  • Datasäkerhetspolicyer och -praxis

Ett dataintrång rapporteras till den registrerade och tillsynsmyndigheten inom 72 timmar om det utgör en risk för den registrerades rättigheter och friheter (GDPR artiklarna 33 och 34).

11. Den registrerades rättigheter

Den registrerade har följande GDPR-rättigheter:

Rätt till tillgång (GDPR 15)

Rätt att få information om huruvida personuppgifter behandlas och att få tillgång till dessa uppgifter. Rätt att få en kopia av personuppgifter som behandlas.

Rätt till rättelse (GDPR 16)

Rätt att begära rättelse eller komplettering av felaktiga eller ofullständiga uppgifter utan onödigt dröjsmål.

Rätt till radering (GDPR 17)

Rätt att begära radering av personuppgifter ('rätten att bli glömd') om det inte finns någon berättigad anledning till behandling eller om samtycke har återkallats.

Rätt till begränsning av behandling (GDPR 18)

Rätt att begära begränsning av behandling av personuppgifter i vissa situationer, t.ex. vid bestridan av uppgifternas riktighet.

Rätt att göra invändningar (GDPR 21)

Rätt att invända mot behandling av personuppgifter baserad på berättigat intresse eller allmänt intresse. Det finns alltid rätt att invända mot direktmarknadsföring.

Rätt till dataportabilitet (GDPR 20)

Rätt att få personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och överföra uppgifter till en annan registeransvarig.

Rätt att återkalla samtycke

Om behandlingen baseras på samtycke har den registrerade rätt att återkalla samtycket när som helst. Återkallelse påverkar inte lagligheten av behandling före återkallelsen.

Rätt att lämna in klagomål till tillsynsmyndighet (GDPR 77)

Rätt att lämna in ett klagomål till Dataombudsmannen om den registrerade anser att behandlingen av deras personuppgifter bryter mot GDPR.

Rätt att inte bli föremål för automatiserat beslutsfattande (GDPR 22)

Rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling och som har rättsverkan.

12. Cookies och spårningsteknologier

Vår webbplats använder cookies för att förbättra användarupplevelsen, analysera trafik och möjliggöra marknadsföring.

En cookie är en liten textfil som skickas till användarens webbläsare, vanligtvis innehållande en anonym identifierare. En cookie skadar inte enheten.

Nödvändiga cookies

Krävs för att möjliggöra grundläggande webbplatsfunktioner såsom sessionshantering, inloggning och säkerhet. Dessa cookies kräver inte samtycke.

Preferenscookies

Lagrar användarens val såsom språkinställningar, tema (mörkt/ljust) och andra UI-anpassningar.

Analytiska cookies

Används för att spåra webbplatsanvändning (t.ex. Google Analytics, Matomo). Vi samlar in anonymiserad data om besökarantal, användningstid och populäraste sidor. Samtycke krävs.

Marknadsföringscookies

Används för riktad reklam och mätning av reklameffektivitet (t.ex. Meta Pixel, Google Ads). Samtycke krävs.

13. Profilering och automatiserat beslutsfattande

Vi använder delvis automatiserat beslutsfattande vid bedömning av kreditvärdighet och behandling av låneansökningar.

14. Barns personuppgifter

Våra tjänster är avsedda för vuxna (personer som fyllt 18 år). Vi samlar inte medvetet in personuppgifter från personer under 18 år utan föräldrasamtycke.

15. Ändringar i dataskyddspolicyn

Vi förbehåller oss rätten att uppdatera denna dataskyddspolicy vid behov för att återspegla ändringar i lagstiftningen eller vår verksamhet.

16. Kontaktinformation

Om du har frågor om dataskydd eller vill utöva dina rättigheter, vänligen kontakta:

Yhteystiedot

Dataskyddsombud: Alexander Laroma

FSG Financial Services Group Oy, Helsingfors, Finland

Sähköposti: alexander.laroma@trustyfinance.fi / info@trustyfinance.fi

Puhelin: +358 40 042 9736

Vi svarar på dataskyddsförfrågningar som regel inom en månad från mottagandet av förfrågan. I komplexa fall kan vi förlänga tidsfristen med två månader.

Tillsynsmyndighet i Finland:

Dataombudsmannens byrå

Besöksadress: Ratapihantie 9, 6. vån, 00520 Helsingfors

Postadress: PB 800, 00521 Helsingfors

Sähköposti: tietosuoja@om.fi

Puhelin: Växel: 029 566 6700

Verkkosivusto: www.tietosuoja.fi

17. Tillämplig lag och tvistlösning

Denna dataskyddspolicy och behandlingen av personuppgifter styrs av finländsk lag.

Eventuella tvister ska i första hand lösas genom förhandling. Om överenskommelse inte kan nås ska tvister lösas i Helsingfors tingsrätt.

Den registrerades rättigheter bestäms i enlighet med EU:s allmänna dataskyddsförordning (GDPR).