Fundu Oy:N ASIAKASREKISTERIN TIETOSUOJASELOSTE

Henkilötietolaki (523/1999) 10 § ja 24 §

EU:n yleinen tietosuoja-asetus (679/2016), art. 12

Laatimispäivä 17.4.2018

1 REKISTERINPITÄJÄ

Rekisterin rekisterinpitäjä on Fundu Oy (y-tunnus 2576058-3).

Yhteystiedot:

  • Jokipiintie 230, 61280 JOKIPII
  • puh 020 735 2999
  • s-posti info@fundu.fi

2 YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA

Rekisteriasioissa yhteyshenkilönä toimii: Ella Alanko, tietosuojavastaava

Yhteystiedot:

3 REKISTERIN NIMI

Rekisterin nimi on Fundu Oy:n asiakasrekisteri.

4 HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät rekisterinpitäjän ja rekisteröidyn välisen asiakassuhteen luomiseen, hoitamiseen ja ylläpitoon. Tämän mukaisesti henkilötietoja käsitellään rekisterinpitäjän tarjoamien tuotteiden ja palveluiden markkinointiin, myyntiin, hallintaan, toteutukseen ja laskutukseen sekä tuotteiden ja palveluiden kehittämiseen.

Rekisteröityjä ovat www.fundu.fi -sivustolla käyttäjäksi rekisteröityneet luonnolliset henkilöt sekä oikeushenkilöt, kuten mukaan lukien lainanantajat, lainanottajat ja takaajat.

Rekisterin avulla Fundu Oy:n joukkorahoitusalustalla lainaa hakevista yrityksistä muodostetaan luottoluokitus, jonka perusteella päätetään, järjestetäänkö lainanhakijalle lainarahoituskierros.

Rekisteröityjen tunnistamis- ja tuntemistietojen avulla Fundu Oy toteuttaa rahanpesun ja terrorismin rahoituksen estämisestä annetun lain (444/2017) mukaisia velvoitteitaan asiakkaan tuntemisesta ja tunnistamisesta.

Henkilötietoja ei käsitellä automaattisen päätöksenteon keinoin.

Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.

5 KÄSITTELYN OIKEUSPERUSTE

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset perusteet:

  • Rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn (GDPR 6 art. 1.a);
  • Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
  • käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (GDPR 6 art, 1.c);
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f);

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn ja rekisterinpitäjän väliseen merkitykselliseen ja asianmukaiseen suhteeseen, joka syntyy, kun rekisteröity käyttää rekisterinpitäjän tuotetta tai palvelua, tai rekisterinpitäjän asiakkaan tai palveluntuottajan tuotetta tai palvelua, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.

6 REKISTERIN TIETOSISÄLTÖ (KÄSITELTÄVÄT HENKILÖTIETORYHMÄT)

Rekiserin tietosisältö kattaa rekisterinpitäjän entiset ja nykyiset sekä tulevat asiakkaat.

Rekisterin sisältää kunkin rekisteröidyn osalta tarkoituksenmukaisiksi katsotut seuraavat henkilötiedot:

  • Rekisterinpitäjän tuotteita ja/tai palveluita ostavien ja/tai käyttävien asiakkaiden ja/tai näiden edustajien tai muiden henkilöiden yksilöinti- ja yhteystiedot, kuten nimi, henkilötunnus, syntymäaika, osoite, puhelinnumero, sähköpostiosoite, tilinumero.
  • Rekisteröidyistä rahanpesun ja terrorismin rahoituksen estämisestä annetun lain (444/2017) nojalla kerättävät tuntemis- ja tunnistamistiedot
  • Jos rekisteröity edustaa yritystä tai muuta yhteisöä, kyseisen yrityksen tai muun yhteisön yksilöinti- ja yhteystiedot, kuten nimi, yritys- ja yhteisötunnus, osoite, puhelinnumero ja sähköpostiosoite;
  • Rekisterinpitäjän tuotteen ja/tai palvelun käyttämiseen liittyvät rekisteröidyn tunnistustiedot, kuten käyttäjätunnus ja salasana;
  • Rekisteröidyn käyttäjätunnuksen avaus- ja päättymistiedot;
  • Rekisteröidyn käyttöoikeustaso;
  • Tiedot rekisteröidyn ottamista lainoista sekä lainoihin tehdyistä sijoituksista, niiden toimittamisesta ja laskuttamisesta;
  • Tiedot lainanottajien ja lainan takaajien taloudellisesta maksuvalmiudesta, mukaan lukien luottotiedot;
  • Rekisteröidyn rekisterinpitäjälle ilmoittamat markkinointikiellot tai suostumukset.

7 SÄÄNNÖNMUKAISET TIETOLÄHTEET

Henkilötietoja kerätään rekisteröidyltä itseltään perustuen rekisteröidyn omaan ilmoitukseen Fundu Oy:n sivustolla, puhelimitse, internetissä, sähköpostitse tai muulla tavalla.

Lisäksi rekisterinpitäjä kerää rekisteröityjen yksilöinti- ja yhteystietoja sekä muita rekisterin tietoja rekisterinpitäjän työntekijöiltä siltä osin ja siinä laajuudessa kuin ne koskevat kohdassa 4 määriteltyä henkilötietojen käsittelyn tarkoitusta.

Rekisterin tietoja kerätään viranomaisten tietojärjestelmistä saatavien tietojen perusteella sekä muista yleisesti saatavilla olevista lähteistä, kuten Patentti- ja rekisterihallitukselta ja Suomen Asiakastiedosta. Tällainen tietojen päivittäminen suoritetaan manuaalisesti tai automaattisin keinoin.

Henkilötietoja kerätään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä sekä muilta kolmansilta osapuolilta, kuten sellaisilta yhteistyökumppaneilta, joiden kautta rekisterinpitäjä toteuttaa tuotteidensa ja palveluidensa tarjoamiseen liittyviä toimenpiteitä ja joilla on oikeus luovuttaa rekisteröidystä henkilötietoja.

Kohdassa 6 yksilöityjen henkilötietojen kerääminen on edellytys sille, että rekisterinpitäjä voi tarjota tai toteuttaa palveluitaan. Nämä henkilötiedot rekisteröidyn on annettava rekisterinpitäjälle ennen kuin tai samassa yhteydessä, kun rekisteröity rekisteröityy käyttäjäksi Fundu Oy:n nettisivustolla www.fundu.fi tai alkaa muutoin käyttää Fundu Oy:n tuotteita tai palveluita.

8 HENKILÖTIETOJEN SÄILYTYSAIKA

Rekisteriin kerättyjä henkilötietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty. Lisäksi joka tapauksessa henkilötietoja säilytetään mahdollisen lakisääteisen säilytysajan mukaisesti, esimerkiksi kirjanpitolain mukaan.

Tämän mukaisesti rekisterin henkilötietoja säilytetään seuraavasti:

  • Kohdan 6 alakohdissa a-i kuvattuja henkilötietoja säilytetään niin kauan kuin rekisteröity käyttää rekisterinpitäjän palveluita tai niitä koskeva rekisteröidyn ja rekisterinpitäjän välinen sopimus tai muu sitoumus on voimassa sekä tämän jälkeen niin kauan kuin rekisteröidyllä ja/tai rekisterinpitäjällä on edellä mainittuun asiakas- tai muuhun sopimussuhteeseen perustuvia oikeuksia ja/tai velvollisuuksia toisiaan kohtaan;
  • Kohdan 6 alakohdassa b edellyttämiä tietoja säilytetään lakisääteisten säilytysaikojen mukaisesti;

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

9 HENKILÖTIETOJEN VASTAANOTTAJAT (VASTAANOTTAJARYHMÄT) SEKÄ TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET

Rekisterin tietoja luovutetaan tarpeen vaatiessa Fundu Oy:n yhteistyökumppaneille rekisterinpitäjän tuotteiden ja palveluiden tarjoamiseen ja tuottamiseen liittyvien toimenpiteiden toteuttamiseksi tai muiden vastaavien tavanomaisten syiden vuoksi.

Tietoja voidaan luovuttaa rahanpesun ja terrorismin rahoittamisen estämiseksi annetun lain (444/2017) edellyttämien rekisterinpitäjän velvollisuuksien suorittamiseksi.

Henkilötietoja voidaan luovuttaa kolmannelle osapuolelle sekä viranomaiselle, jotta mahdolliset laiminlyödyt lainasuoritukset voidaan vapaaehtoisessa ja oikeudellisessa perinnässä.

10 TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE

Rekisterin tietoja ei siirretä EU:n tai ETA:n ulkopuolelle, muutoin kuin asiakkuuden asianmukaisen toteuttamisen, seurannan tai hallinnan toteuttamiseksi ainoastaan sellaisille kolmansille osapuolille, jotka noudattavat EU:n yleisen tietosuoja-asetuksen mukaisia velvoitteita sekä tietosuoja- ja tietoturvatasoa.

11 REKISTERIN SUOJAUKSEN PERIAATTEET

Henkilötietoja sisältävä tietokanta on Amazon AWS pilvipalvelun palvelimilla, jotka sijaitsevat EU:n alueella. Tietoliikenne palvelimiin tapahtuu Internet-operaattorin verkkoyhteyksien avulla.

Palvelimista vastaa Solinor Oy. Palvelimien ylläpitäjä vastaa omalta osaltaan palvelimilla olevien tietojen turvallisuudesta ja varmuuskopioinnista.

Sivusto on suojattu myös HTTPS-suojauksella, mikä salaa liikenteen palvelimen ja selaimen välillä.

Tietokantoihin ja järjestelmiin pääsyyn sekä rekisterin käyttöön ovat oikeutettuja vain ne rekisterinpitäjän tai tämän puolesta ja lukuun toimivien alihankkijoiden työntekijät, joilla on työnsä puolesta oikeus käsitellä rekisterin sisältämiä tietoja. Kullakin rekisteriä käyttävällä käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana järjestelmiin.

12 REKISTERÖIDYN OIKEUDET

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

  • oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot; ja (viii) automaattisen päätöksenteon olemassaolo, sekä merkitykselliset tiedot tällaiseen käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle (GDPR 15 art.);
  • oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);
  • oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
  • oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
  • oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
  • oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
  • oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle.