Tietosuoja
Tietosuojaseloste
Rahoo Oy — yritysasiakkaiden rahoituksen hakuun liittyvien henkilötietojen käsittely
Tämä tietosuojaseloste kuvaa, miten Rahoo Oy (jäljempänä ”Rahoo”, ”me”) kerää, käsittelee ja luovuttaa henkilötietoja, kun yritysasiakas hakee rahoitusta Rahoon tarjoaman palvelun (jäljempänä ”Palvelu”) kautta. Palvelu on suunnattu yksinomaan elinkeinotoimintaa harjoittaville yhteisöille ja niiden edustajille. Selosteessa kuvattu henkilötietojen käsittely koskee siten pääosin yrityksen puolesta asioivien luonnollisten henkilöiden (esimerkiksi yrityksen vastuuhenkilöt, edustajat, omistajat ja tosiasialliset edunsaajat) henkilötietoja.
Käsittelemme henkilötietoja huolellisesti ja noudatamme EU:n yleistä tietosuoja-asetusta (EU 2016/679, ”GDPR”), Suomen tietosuojalakia (1050/2018), rahanpesun ja terrorismin rahoittamisen estämisestä annettua lakia (444/2017, ”rahanpesulaki”) sekä muuta soveltuvaa lainsäädäntöä.
1. Rekisterinpitäjä ja yhteystiedot
Rekisterinpitäjä:
Rahoo Oy (Y-tunnus 3002206-7)
Puutarhakatu 45, 20100 Turku
Sähköposti: asiakaspalvelu@rahoo.fi
Tietosuoja-asioissa yhteyshenkilönä toimii:
Taneli Hulkko
Sähköposti: taneli.hulkko@rahoo.fi
2. Rahoon rooli ja muut rekisterinpitäjät
Rahoo toimii rahoituksen välityspalvelun tarjoajana eikä itse myönnä rahoitusta. Henkilötietoja käsitellään seuraavissa rooleissa:
2.1 Rahoo itsenäisenä rekisterinpitäjänä
Rahoo toimii itsenäisenä rekisterinpitäjänä siltä osin kuin se määrittelee itse henkilötietojen käsittelyn tarkoitukset ja keinot (esimerkiksi Palvelun yleinen hallinnointi, kehittäminen, asiakaspalvelu, lakisääteisten velvoitteiden täyttäminen ja markkinointi).
2.2 Rahoon suhde jakelukumppaneihin
Kun yritysasiakas käynnistää rahoitushakemuksen Rahoon teknologiakumppanin (esimerkiksi taloushallinnon ohjelmiston tai muun jakelukanavan; jäljempänä ”Jakelukumppani”) palvelun kautta, Rahoon ja Jakelukumppanin rooli henkilötietojen käsittelyssä määräytyy kunkin Jakelukumppanin kanssa tehdyn järjestelyn mukaisesti. Mahdollisia rooleja ovat:
• Itsenäiset rekisterinpitäjät: Rahoo ja Jakelukumppani toimivat erillisinä rekisterinpitäjinä omissa käsittelytarkoituksissaan, jolloin kumpikin vastaa itsenäisesti omasta käsittelystään ja rekisteröidyn informoinnista oman tietosuojaselosteensa mukaisesti.
• Yhteisrekisterinpitäjät (GDPR 26 art.): Rahoo ja Jakelukumppani määrittelevät yhdessä hakemustietojen keräämisen ja välittämisen tarkoitukset ja keinot, ja niiden vastuut on jaettu erillisellä järjestelyllä.
• Henkilötietojen käsittelijä: Tietyissä rajatuissa teknisissä järjestelyissä Rahoo voi käsitellä henkilötietoja Jakelukumppanin lukuun tämän rekisterinpidossa, tai päinvastoin. Tällaisesta käsittelystä sovitaan aina erillisellä GDPR 28 artiklan mukaisella henkilötietojen käsittelysopimuksella.
Rahoo toimii rekisteröidyn ensisijaisena yhteyspisteenä Palvelussa tapahtuvan rahoitushakemuksen käsittelyn osalta sekä vastaa siitä rahoitushakemuksen etenemistä koskevasta asiakasviestinnästä, joka hoidetaan Palvelun kautta. Jakelukumppani vastaa kuitenkin itsenäisesti omasta tietojenkäsittelystään (kuten omasta perussovelluksestaan saatavasta tietosisällöstä) sekä siitä, että yritysasiakkaalle on annettu sen oman tietosuojaselosteen edellyttämät tiedot ennen tietojen jakamista Rahoon kanssa.
2.3 Rahoittajat itsenäisinä rekisterinpitäjinä
Pankit ja muut rahoituslaitokset (jäljempänä ”Rahoittajat”), joille Rahoo välittää hakemustiedot, käsittelevät henkilötietoja itsenäisinä rekisterinpitäjinä omiin tarkoituksiinsa (rahoitustarjouksen tekeminen, luottokelpoisuuden arviointi sekä mahdollisen rahoitussopimuksen tekeminen). Rahoittajien suorittamaan käsittelyyn sovelletaan kunkin Rahoittajan omaa tietosuojaselostetta.
3. Käsiteltävät henkilötiedot
Käsittelemme ainoastaan sellaisia henkilötietoja, jotka ovat tarpeellisia Palvelun tarjoamiseksi, rahoitushakemuksen käsittelemiseksi sekä lakisääteisten velvoitteiden noudattamiseksi. Tietokategorioiden tarkka sisältö vaihtelee tilanteen ja hakemusprosessin mukaan.
3.1 Yritysasiakkaan edustajan ja vastuuhenkilöiden henkilötiedot
• Yksilöintitiedot, kuten nimi, henkilötunnus, syntymäaika ja kansalaisuus.
• Yhteystiedot, kuten sähköpostiosoite, puhelinnumero ja postiosoite.
• Asema yrityksessä, omistusosuus, edustusoikeus ja rooli (esimerkiksi toimitusjohtaja, hallituksen jäsen, tosiasiallinen edunsaaja).
• Sähköisestä tunnistautumisesta saadut tiedot (vahva sähköinen tunnistaminen).
• Rahanpesulain edellyttämät tiedot, kuten poliittinen vaikutusvalta (PEP-status), varojen alkuperä ja varojen käyttötarkoitus.
3.2 Yritystä koskevat tiedot ja taloudelliset tiedot
• Yrityksen perustiedot (nimi, Y-tunnus, kotipaikka, toimiala, yhtiömuoto).
• Taloudelliset tiedot, kuten liikevaihto, tulos, tase ja kassavirta.
• Kirjanpitoaineistosta saatavat tiedot, kun tiedot kerätään asiakkaan suostumuksella Jakelukumppanin järjestelmästä (esimerkiksi taloushallinnon ohjelmistosta).
• Pankkitilien ja maksukäyttäytymisen tiedot, kun yritysasiakas on antanut tähän suostumuksensa.
3.3 Rahoitushakemukseen liittyvät tiedot
• Haettu rahoituksen määrä, käyttötarkoitus, takaisinmaksuaika ja muut hakemuksessa annetut tiedot.
• Hakemuksen tila ja eteneminen (vastaanotettu, käsittelyssä, tarjous tehty, tarjous hyväksytty/hylätty).
• Rahoittajilta saadut tarjoukset, niiden ehdot ja vastaukset.
3.4 Kolmansilta osapuolilta hankittavat tiedot
• Julkisista rekistereistä saatavat tiedot (esimerkiksi kaupparekisteri, PRH:n edunsaajarekisteri).
• Luottotietoyhtiöiden ja luottoluokituspalvelujen tuottamat tiedot (kuten luottoluokitus, maksuhäiriömerkinnät ja muut luottokelpoisuutta kuvaavat tiedot) lainsäädännön sallimissa rajoissa.
• Tunnistamis- ja KYC-palveluiden tuottamat tiedot.
3.5 Tekniset tiedot ja käyttötiedot
• Verkkokäyttäytymiseen liittyvät tiedot, kuten IP-osoite, laite- ja selaintiedot, käyttöjärjestelmä, liikenteen lähde sekä evästeiden kautta kerättävät tiedot.
• Tiedot palvelussa tehdyistä toimenpiteistä, suostumuksista ja niiden ajankohdista.
• Tiedot sähköpostiviestinnästä (kuten viestien lähetys, vastaanotto, avaaminen ja klikkaukset).
Henkilötietojen antaminen on rahoitushakemuksen käsittelemisen edellytys. Mikäli pyydettyjä tietoja ei toimiteta, emme välttämättä voi käsitellä hakemusta tai tarjota Palvelua.
4. Käsittelyn tarkoitukset ja oikeusperusteet
4.1 Sopimuksen täytäntöönpano ja sopimusta edeltävät toimenpiteet (GDPR 6 art. 1 kohta b)
Käytämme henkilötietoja rahoitushakemuksen vastaanottamiseen, käsittelyyn, välittämiseen Rahoittajille sekä tarjousten välittämiseen ja vertailuun. Myös palvelua koskevan asiakaspalvelun antaminen perustuu tähän oikeusperusteeseen.
4.2 Lakisääteisten velvoitteiden noudattaminen (GDPR 6 art. 1 kohta c)
Käsittelemme tietoja muun muassa rahanpesun ja terrorismin rahoittamisen estämistä koskevien velvoitteiden, asiakkaan tuntemista koskevien (KYC-) velvoitteiden sekä kirjanpito- ja muiden lakisääteisten dokumentointi- ja raportointivelvoitteiden täyttämiseksi.
4.3 Oikeutettu etu (GDPR 6 art. 1 kohta f)
Käsittelemme tietoja oikeutettuun etuumme perustuen seuraavissa tarkoituksissa: Palvelun ja sen turvallisuuden kehittäminen, väärinkäytösten ja petosten estäminen, asiakas- ja markkinaviestintä olemassa oleville asiakkaille sekä oikeudellisten vaateiden laatiminen, esittäminen ja puolustaminen. Olemme arvioineet, ettei käsittely loukkaa rekisteröidyn perusoikeuksia tai oikeutettuja etuja.
4.4 Suostumus (GDPR 6 art. 1 kohta a)
Suostumukseen perustuvaa käsittelyä on muun muassa sähköinen suoramarkkinointi luonnolliselle henkilölle ja sellaisten lisätietojen kerääminen, joiden käsittely edellyttää nimenomaista suostumusta (esimerkiksi pankkitilitietojen hakeminen kolmannelta osapuolelta). Suostumus voidaan peruuttaa milloin tahansa ilmoittamalla siitä osoitteeseen asiakaspalvelu@rahoo.fi.
5. Tietojen luovutukset ja vastaanottajaryhmät
Voimme luovuttaa henkilötietoja seuraaville vastaanottajaryhmille siltä osin kuin se on tarpeen Palvelun tarjoamiseksi tai lakisääteisten velvoitteiden noudattamiseksi.
5.1 Rahoittajat
Palvelun ydintarkoituksena on välittää yritysasiakkaiden rahoitushakemukset Rahoittajille rahoitustarjouksen tekemiseksi. Luovutamme hakemustiedot Rahoittajille, joiden kanssa Rahoolla on voimassa oleva yhteistyösopimus. Kukin Rahoittaja toimii vastaanottamiensa tietojen osalta itsenäisenä rekisterinpitäjänä.
Mikäli yritysasiakkaan ja Rahoittajan välillä ei synny rahoitussopimusta, Rahoittajalla ei ole oikeutta käyttää välitettyjä henkilötietoja muuhun kuin alkuperäiseen rahoitushakemuksen käsittelyyn liittyvään tarkoitukseen.
5.2 Jakelukumppanit
Rahoon teknologiakumppanit, kuten taloushallinnon ohjelmistot ja muut jakelukanavat, voivat olla rekisterinpitäjyyssuhteessa Rahoon kanssa joko itsenäisinä rekisterinpitäjinä tai yhteisrekisterinpitäjinä kohdassa 2.2 kuvatulla tavalla. Jakelukumppanille välitetään palvelussa tehdyn rahoitushakemuksen yhteydessä vain ne tiedot, jotka ovat välttämättömiä palvelun tarjoamiseen, rahoituksen tilan ilmoittamiseen ja kumppanin rooliin liittyvien velvoitteiden täyttämiseksi.
5.3 Henkilötietojen käsittelijät
Käytämme henkilötietojen käsittelijöinä luotettavia palveluntarjoajia esimerkiksi seuraaviin tarkoituksiin: pilvi- ja palvelininfrastruktuuri, asiakaspalvelu- ja viestintäjärjestelmät, sähköinen tunnistaminen ja allekirjoitus, KYC- ja rahanpesun estämispalvelut sekä analytiikka- ja kehityspalvelut. Edellytämme käsittelijöiltä riittävää tietosuojan tasoa ja olemme tehneet niiden kanssa GDPR 28 artiklan mukaiset henkilötietojen käsittelysopimukset.
Tällaisia tyypillisiä palveluntarjoajia ovat muun muassa pilvi-infrastruktuurin tarjoajat (esimerkiksi Amazon Web Services ja Google), sähköpostipalvelut (esimerkiksi SendGrid) sekä vahvan tunnistautumisen ja allekirjoituksen palveluntarjoajat.
5.4 Luottotieto- ja KYC-palvelut
Voimme luovuttaa tietoja luottotietoyhtiöille ja KYC-palveluiden tarjoajille soveltuvan lainsäädännön sallimissa rajoissa esimerkiksi henkilöllisyyden varmistamiseksi, luottokelpoisuuden arvioimiseksi ja rahanpesulain mukaisten velvoitteiden täyttämiseksi.
5.5 Viranomaiset
Luovutamme henkilötietoja viranomaisille lain edellyttämässä laajuudessa (esimerkiksi vero-, valvonta-, poliisi- ja täytäntöönpanoviranomaisille).
5.6 Yritysjärjestelyt
Mahdollisen liiketoiminta- tai yritysjärjestelyn (esimerkiksi sulautumisen, jakautumisen, yritysoston tai liiketoimintakaupan) yhteydessä henkilötietoja voidaan siirtää järjestelyn osapuolille soveltuvan lainsäädännön mukaisesti.
6. Tietojen siirto EU:n/ETA:n ulkopuolelle
Pyrimme ensisijaisesti käsittelemään henkilötiedot EU:n ja ETA:n alueella. Mikäli tietoja on tarpeen siirtää näiden alueiden ulkopuolelle, varmistamme, että siirrolle on GDPR:n mukainen peruste, esimerkiksi:
• Euroopan komission antama riittävyyttä koskeva päätös;
• Euroopan komission hyväksymät mallisopimuslausekkeet (SCC) ja niiden täydentäminen tarvittaessa lisäsuojatoimenpitein (esimerkiksi salaus ja siirtovaikutusten arviointi); tai
• muu GDPR V luvussa tarkoitettu siirtoperuste.
7. Säilytysajat
Säilytämme henkilötietoja vain niin pitkään kuin se on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, taikka lainsäädäntö edellyttää. Tyypillisiä säilytysaikoja ovat:
• Rahoitushakemus- ja asiakastiedot: hakemusprosessin ajan ja sen jälkeinen kohtuullinen aika oikeudellisten vaateiden laatimista, esittämistä tai puolustamista varten.
• Rahanpesulain edellyttämät tiedot: vähintään viisi (5) vuotta liikesuhteen päättymisestä tai yksittäisen liiketoimen suorittamisesta.
• Kirjanpitoaineisto: kirjanpitolain edellyttämät säilytysajat (pääsääntöisesti 6–10 vuotta).
• Markkinointia koskevat suostumukset: suostumuksen voimassaoloajan tai sen peruuttamiseen saakka.
• Tekniset lokitiedot ja evästeet: niille kullekin määritelty enimmäissäilytysaika.
Käyttämättömät hakemukset poistetaan kohtuullisessa ajassa, kun niillä ei enää ole sopimuksen täytäntöönpanon, lakisääteisten velvoitteiden tai oikeutettujen etujen edellyttämää käyttötarkoitusta.
8. Automatisoitu päätöksenteko ja profilointi
Palvelussa hyödynnetään automaattista tietojenkäsittelyä esimerkiksi sopivien Rahoittajien tunnistamiseen, hakemuksen reitittämiseen ja tietojen alustavaan tarkistamiseen. Rahoo ei kuitenkaan tee yksinomaan automaattiseen päätöksentekoon perustuvia, rekisteröityyn kohdistuvia oikeudellisia tai muita vastaavalla tavalla merkittäviä päätöksiä rahoituksen myöntämisestä, vaan lopullisen luottopäätöksen tekee aina kyseinen Rahoittaja.
Rekisteröidyllä on oikeus pyytää automatisoidun käsittelyn osalta ihmisen suorittamaa arviointia, esittää näkemyksensä ja riitauttaa päätös ottamalla yhteyttä osoitteeseen asiakaspalvelu@rahoo.fi.
9. Tietoturva
Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein katoamiselta, tuhoutumiselta sekä luvattomalta pääsyltä, käytöltä, muuttamiselta tai paljastamiselta. Toimenpiteitä ovat muun muassa:
• Tiedot tallennetaan turvalliseen, EU-alueella sijaitsevaan pilviympäristöön.
• Verkkoyhteyksissä käytetään salausta (TLS/SSL).
• Pääsyoikeudet on rajattu nimettyihin työntekijöihin tehtävien edellyttämässä laajuudessa, ja pääsy edellyttää käyttäjätunnusta ja vahvaa todennusta.
• Henkilöstöä sitoo vaitiolovelvollisuus ja heille annetaan säännöllistä tietosuoja- ja tietoturvakoulutusta.
• Käytämme alihankkijoita, jotka kykenevät tarjoamaan riittävät tietoturvan tason takaavat suojatoimet.
Mahdollisten henkilötietojen tietoturvaloukkausten käsittelyä ja ilmoittamista varten meillä on käytössä asianmukaiset prosessit GDPR:n 33 ja 34 artiklan mukaisesti.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on GDPR:n mukaisesti seuraavat oikeudet, joita rajoittavat osin lainsäädännöstä johtuvat poikkeukset:
• Oikeus saada pääsy itseään koskeviin henkilötietoihin ja niistä jäljennös.
• Oikeus tietojen oikaisemiseen, jos tiedot ovat virheellisiä tai puutteellisia.
• Oikeus tietojen poistamiseen tilanteissa, joissa käsittelylle ei ole enää perustetta. Huomioithan, että lakisääteiset säilytysvelvoitteet (esimerkiksi kirjanpito- ja rahanpesulain mukaiset) voivat estää poistamisen.
• Oikeus käsittelyn rajoittamiseen tietyissä tilanteissa.
• Oikeus vastustaa käsittelyä, joka perustuu oikeutettuun etuun, sekä oikeus vastustaa suoramarkkinointia.
• Oikeus tietojen siirtämiseen järjestelmästä toiseen tilanteissa, joissa käsittely perustuu suostumukseen tai sopimukseen ja se tapahtuu automaattisesti.
• Oikeus peruuttaa antamasi suostumus.
• Oikeus olla joutumatta sellaisen pelkästään automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jolla on rekisteröityä koskevia oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia.
• Oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto, tietosuoja.fi).
Oikeuksia voi käyttää lähettämällä pyynnön osoitteeseen asiakaspalvelu@rahoo.fi. Voimme pyytää lisätietoja rekisteröidyn tunnistamiseksi ja pyynnön käsittelemiseksi.
11. Evästeet
Rahoo käyttää verkkosivustollaan evästeitä ja muita vastaavia tekniikoita Palvelun toiminnallisuuden, käyttökokemuksen ja kehittämisen tueksi sekä tilastointia ja markkinointia varten. Käytämme sekä välttämättömiä evästeitä että käyttäjän suostumukseen perustuvia evästeitä. Voit hyväksyä, hylätä tai muokata valintojasi sivustomme evästesuostumustyökalun kautta.
Evästeiden estäminen voi vaikuttaa Palvelun toiminnallisuuteen. Lisätietoja evästeistä ja niiden hallinnasta on saatavilla evästekäytännöstämme verkkosivuillamme.
12. Muutokset tähän tietosuojaselosteeseen
Voimme tehdä muutoksia tähän tietosuojaselosteeseen toimintamme kehittyessä tai lainsäädännön muuttuessa. Ajantasainen versio on aina saatavilla osoitteessa rahoo.fi/tietosuoja. Merkittävistä muutoksista ilmoitamme verkkosivustollamme tai muulla asianmukaisella tavalla.
Tämä tietosuojaseloste on päivitetty viimeksi: 19.5.2026
Tietosuojaseloste
Rahoo Oy — yritysasiakkaiden rahoituksen hakuun liittyvien henkilötietojen käsittely
Tämä tietosuojaseloste kuvaa, miten Rahoo Oy (jäljempänä ”Rahoo”, ”me”) kerää, käsittelee ja luovuttaa henkilötietoja, kun yritysasiakas hakee rahoitusta Rahoon tarjoaman palvelun (jäljempänä ”Palvelu”) kautta. Palvelu on suunnattu yksinomaan elinkeinotoimintaa harjoittaville yhteisöille ja niiden edustajille. Selosteessa kuvattu henkilötietojen käsittely koskee siten pääosin yrityksen puolesta asioivien luonnollisten henkilöiden (esimerkiksi yrityksen vastuuhenkilöt, edustajat, omistajat ja tosiasialliset edunsaajat) henkilötietoja.
Käsittelemme henkilötietoja huolellisesti ja noudatamme EU:n yleistä tietosuoja-asetusta (EU 2016/679, ”GDPR”), Suomen tietosuojalakia (1050/2018), rahanpesun ja terrorismin rahoittamisen estämisestä annettua lakia (444/2017, ”rahanpesulaki”) sekä muuta soveltuvaa lainsäädäntöä.
1. Rekisterinpitäjä ja yhteystiedot
Rekisterinpitäjä:
Rahoo Oy (Y-tunnus 3002206-7)
Puutarhakatu 45, 20100 Turku
Sähköposti: asiakaspalvelu@rahoo.fi
Tietosuoja-asioissa yhteyshenkilönä toimii:
Taneli Hulkko
Sähköposti: taneli.hulkko@rahoo.fi
2. Rahoon rooli ja muut rekisterinpitäjät
Rahoo toimii rahoituksen välityspalvelun tarjoajana eikä itse myönnä rahoitusta. Henkilötietoja käsitellään seuraavissa rooleissa:
2.1 Rahoo itsenäisenä rekisterinpitäjänä
Rahoo toimii itsenäisenä rekisterinpitäjänä siltä osin kuin se määrittelee itse henkilötietojen käsittelyn tarkoitukset ja keinot (esimerkiksi Palvelun yleinen hallinnointi, kehittäminen, asiakaspalvelu, lakisääteisten velvoitteiden täyttäminen ja markkinointi).
2.2 Rahoon suhde jakelukumppaneihin
Kun yritysasiakas käynnistää rahoitushakemuksen Rahoon teknologiakumppanin (esimerkiksi taloushallinnon ohjelmiston tai muun jakelukanavan; jäljempänä ”Jakelukumppani”) palvelun kautta, Rahoon ja Jakelukumppanin rooli henkilötietojen käsittelyssä määräytyy kunkin Jakelukumppanin kanssa tehdyn järjestelyn mukaisesti. Mahdollisia rooleja ovat:
• Itsenäiset rekisterinpitäjät: Rahoo ja Jakelukumppani toimivat erillisinä rekisterinpitäjinä omissa käsittelytarkoituksissaan, jolloin kumpikin vastaa itsenäisesti omasta käsittelystään ja rekisteröidyn informoinnista oman tietosuojaselosteensa mukaisesti.
• Yhteisrekisterinpitäjät (GDPR 26 art.): Rahoo ja Jakelukumppani määrittelevät yhdessä hakemustietojen keräämisen ja välittämisen tarkoitukset ja keinot, ja niiden vastuut on jaettu erillisellä järjestelyllä.
• Henkilötietojen käsittelijä: Tietyissä rajatuissa teknisissä järjestelyissä Rahoo voi käsitellä henkilötietoja Jakelukumppanin lukuun tämän rekisterinpidossa, tai päinvastoin. Tällaisesta käsittelystä sovitaan aina erillisellä GDPR 28 artiklan mukaisella henkilötietojen käsittelysopimuksella.
Rahoo toimii rekisteröidyn ensisijaisena yhteyspisteenä Palvelussa tapahtuvan rahoitushakemuksen käsittelyn osalta sekä vastaa siitä rahoitushakemuksen etenemistä koskevasta asiakasviestinnästä, joka hoidetaan Palvelun kautta. Jakelukumppani vastaa kuitenkin itsenäisesti omasta tietojenkäsittelystään (kuten omasta perussovelluksestaan saatavasta tietosisällöstä) sekä siitä, että yritysasiakkaalle on annettu sen oman tietosuojaselosteen edellyttämät tiedot ennen tietojen jakamista Rahoon kanssa.
2.3 Rahoittajat itsenäisinä rekisterinpitäjinä
Pankit ja muut rahoituslaitokset (jäljempänä ”Rahoittajat”), joille Rahoo välittää hakemustiedot, käsittelevät henkilötietoja itsenäisinä rekisterinpitäjinä omiin tarkoituksiinsa (rahoitustarjouksen tekeminen, luottokelpoisuuden arviointi sekä mahdollisen rahoitussopimuksen tekeminen). Rahoittajien suorittamaan käsittelyyn sovelletaan kunkin Rahoittajan omaa tietosuojaselostetta.
3. Käsiteltävät henkilötiedot
Käsittelemme ainoastaan sellaisia henkilötietoja, jotka ovat tarpeellisia Palvelun tarjoamiseksi, rahoitushakemuksen käsittelemiseksi sekä lakisääteisten velvoitteiden noudattamiseksi. Tietokategorioiden tarkka sisältö vaihtelee tilanteen ja hakemusprosessin mukaan.
3.1 Yritysasiakkaan edustajan ja vastuuhenkilöiden henkilötiedot
• Yksilöintitiedot, kuten nimi, henkilötunnus, syntymäaika ja kansalaisuus.
• Yhteystiedot, kuten sähköpostiosoite, puhelinnumero ja postiosoite.
• Asema yrityksessä, omistusosuus, edustusoikeus ja rooli (esimerkiksi toimitusjohtaja, hallituksen jäsen, tosiasiallinen edunsaaja).
• Sähköisestä tunnistautumisesta saadut tiedot (vahva sähköinen tunnistaminen).
• Rahanpesulain edellyttämät tiedot, kuten poliittinen vaikutusvalta (PEP-status), varojen alkuperä ja varojen käyttötarkoitus.
3.2 Yritystä koskevat tiedot ja taloudelliset tiedot
• Yrityksen perustiedot (nimi, Y-tunnus, kotipaikka, toimiala, yhtiömuoto).
• Taloudelliset tiedot, kuten liikevaihto, tulos, tase ja kassavirta.
• Kirjanpitoaineistosta saatavat tiedot, kun tiedot kerätään asiakkaan suostumuksella Jakelukumppanin järjestelmästä (esimerkiksi taloushallinnon ohjelmistosta).
• Pankkitilien ja maksukäyttäytymisen tiedot, kun yritysasiakas on antanut tähän suostumuksensa.
3.3 Rahoitushakemukseen liittyvät tiedot
• Haettu rahoituksen määrä, käyttötarkoitus, takaisinmaksuaika ja muut hakemuksessa annetut tiedot.
• Hakemuksen tila ja eteneminen (vastaanotettu, käsittelyssä, tarjous tehty, tarjous hyväksytty/hylätty).
• Rahoittajilta saadut tarjoukset, niiden ehdot ja vastaukset.
3.4 Kolmansilta osapuolilta hankittavat tiedot
• Julkisista rekistereistä saatavat tiedot (esimerkiksi kaupparekisteri, PRH:n edunsaajarekisteri).
• Luottotietoyhtiöiden ja luottoluokituspalvelujen tuottamat tiedot (kuten luottoluokitus, maksuhäiriömerkinnät ja muut luottokelpoisuutta kuvaavat tiedot) lainsäädännön sallimissa rajoissa.
• Tunnistamis- ja KYC-palveluiden tuottamat tiedot.
3.5 Tekniset tiedot ja käyttötiedot
• Verkkokäyttäytymiseen liittyvät tiedot, kuten IP-osoite, laite- ja selaintiedot, käyttöjärjestelmä, liikenteen lähde sekä evästeiden kautta kerättävät tiedot.
• Tiedot palvelussa tehdyistä toimenpiteistä, suostumuksista ja niiden ajankohdista.
• Tiedot sähköpostiviestinnästä (kuten viestien lähetys, vastaanotto, avaaminen ja klikkaukset).
Henkilötietojen antaminen on rahoitushakemuksen käsittelemisen edellytys. Mikäli pyydettyjä tietoja ei toimiteta, emme välttämättä voi käsitellä hakemusta tai tarjota Palvelua.
4. Käsittelyn tarkoitukset ja oikeusperusteet
4.1 Sopimuksen täytäntöönpano ja sopimusta edeltävät toimenpiteet (GDPR 6 art. 1 kohta b)
Käytämme henkilötietoja rahoitushakemuksen vastaanottamiseen, käsittelyyn, välittämiseen Rahoittajille sekä tarjousten välittämiseen ja vertailuun. Myös palvelua koskevan asiakaspalvelun antaminen perustuu tähän oikeusperusteeseen.
4.2 Lakisääteisten velvoitteiden noudattaminen (GDPR 6 art. 1 kohta c)
Käsittelemme tietoja muun muassa rahanpesun ja terrorismin rahoittamisen estämistä koskevien velvoitteiden, asiakkaan tuntemista koskevien (KYC-) velvoitteiden sekä kirjanpito- ja muiden lakisääteisten dokumentointi- ja raportointivelvoitteiden täyttämiseksi.
4.3 Oikeutettu etu (GDPR 6 art. 1 kohta f)
Käsittelemme tietoja oikeutettuun etuumme perustuen seuraavissa tarkoituksissa: Palvelun ja sen turvallisuuden kehittäminen, väärinkäytösten ja petosten estäminen, asiakas- ja markkinaviestintä olemassa oleville asiakkaille sekä oikeudellisten vaateiden laatiminen, esittäminen ja puolustaminen. Olemme arvioineet, ettei käsittely loukkaa rekisteröidyn perusoikeuksia tai oikeutettuja etuja.
4.4 Suostumus (GDPR 6 art. 1 kohta a)
Suostumukseen perustuvaa käsittelyä on muun muassa sähköinen suoramarkkinointi luonnolliselle henkilölle ja sellaisten lisätietojen kerääminen, joiden käsittely edellyttää nimenomaista suostumusta (esimerkiksi pankkitilitietojen hakeminen kolmannelta osapuolelta). Suostumus voidaan peruuttaa milloin tahansa ilmoittamalla siitä osoitteeseen asiakaspalvelu@rahoo.fi.
5. Tietojen luovutukset ja vastaanottajaryhmät
Voimme luovuttaa henkilötietoja seuraaville vastaanottajaryhmille siltä osin kuin se on tarpeen Palvelun tarjoamiseksi tai lakisääteisten velvoitteiden noudattamiseksi.
5.1 Rahoittajat
Palvelun ydintarkoituksena on välittää yritysasiakkaiden rahoitushakemukset Rahoittajille rahoitustarjouksen tekemiseksi. Luovutamme hakemustiedot Rahoittajille, joiden kanssa Rahoolla on voimassa oleva yhteistyösopimus. Kukin Rahoittaja toimii vastaanottamiensa tietojen osalta itsenäisenä rekisterinpitäjänä.
Mikäli yritysasiakkaan ja Rahoittajan välillä ei synny rahoitussopimusta, Rahoittajalla ei ole oikeutta käyttää välitettyjä henkilötietoja muuhun kuin alkuperäiseen rahoitushakemuksen käsittelyyn liittyvään tarkoitukseen.
5.2 Jakelukumppanit
Rahoon teknologiakumppanit, kuten taloushallinnon ohjelmistot ja muut jakelukanavat, voivat olla rekisterinpitäjyyssuhteessa Rahoon kanssa joko itsenäisinä rekisterinpitäjinä tai yhteisrekisterinpitäjinä kohdassa 2.2 kuvatulla tavalla. Jakelukumppanille välitetään palvelussa tehdyn rahoitushakemuksen yhteydessä vain ne tiedot, jotka ovat välttämättömiä palvelun tarjoamiseen, rahoituksen tilan ilmoittamiseen ja kumppanin rooliin liittyvien velvoitteiden täyttämiseksi.
5.3 Henkilötietojen käsittelijät
Käytämme henkilötietojen käsittelijöinä luotettavia palveluntarjoajia esimerkiksi seuraaviin tarkoituksiin: pilvi- ja palvelininfrastruktuuri, asiakaspalvelu- ja viestintäjärjestelmät, sähköinen tunnistaminen ja allekirjoitus, KYC- ja rahanpesun estämispalvelut sekä analytiikka- ja kehityspalvelut. Edellytämme käsittelijöiltä riittävää tietosuojan tasoa ja olemme tehneet niiden kanssa GDPR 28 artiklan mukaiset henkilötietojen käsittelysopimukset.
Tällaisia tyypillisiä palveluntarjoajia ovat muun muassa pilvi-infrastruktuurin tarjoajat (esimerkiksi Amazon Web Services ja Google), sähköpostipalvelut (esimerkiksi SendGrid) sekä vahvan tunnistautumisen ja allekirjoituksen palveluntarjoajat.
5.4 Luottotieto- ja KYC-palvelut
Voimme luovuttaa tietoja luottotietoyhtiöille ja KYC-palveluiden tarjoajille soveltuvan lainsäädännön sallimissa rajoissa esimerkiksi henkilöllisyyden varmistamiseksi, luottokelpoisuuden arvioimiseksi ja rahanpesulain mukaisten velvoitteiden täyttämiseksi.
5.5 Viranomaiset
Luovutamme henkilötietoja viranomaisille lain edellyttämässä laajuudessa (esimerkiksi vero-, valvonta-, poliisi- ja täytäntöönpanoviranomaisille).
5.6 Yritysjärjestelyt
Mahdollisen liiketoiminta- tai yritysjärjestelyn (esimerkiksi sulautumisen, jakautumisen, yritysoston tai liiketoimintakaupan) yhteydessä henkilötietoja voidaan siirtää järjestelyn osapuolille soveltuvan lainsäädännön mukaisesti.
6. Tietojen siirto EU:n/ETA:n ulkopuolelle
Pyrimme ensisijaisesti käsittelemään henkilötiedot EU:n ja ETA:n alueella. Mikäli tietoja on tarpeen siirtää näiden alueiden ulkopuolelle, varmistamme, että siirrolle on GDPR:n mukainen peruste, esimerkiksi:
• Euroopan komission antama riittävyyttä koskeva päätös;
• Euroopan komission hyväksymät mallisopimuslausekkeet (SCC) ja niiden täydentäminen tarvittaessa lisäsuojatoimenpitein (esimerkiksi salaus ja siirtovaikutusten arviointi); tai
• muu GDPR V luvussa tarkoitettu siirtoperuste.
7. Säilytysajat
Säilytämme henkilötietoja vain niin pitkään kuin se on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, taikka lainsäädäntö edellyttää. Tyypillisiä säilytysaikoja ovat:
• Rahoitushakemus- ja asiakastiedot: hakemusprosessin ajan ja sen jälkeinen kohtuullinen aika oikeudellisten vaateiden laatimista, esittämistä tai puolustamista varten.
• Rahanpesulain edellyttämät tiedot: vähintään viisi (5) vuotta liikesuhteen päättymisestä tai yksittäisen liiketoimen suorittamisesta.
• Kirjanpitoaineisto: kirjanpitolain edellyttämät säilytysajat (pääsääntöisesti 6–10 vuotta).
• Markkinointia koskevat suostumukset: suostumuksen voimassaoloajan tai sen peruuttamiseen saakka.
• Tekniset lokitiedot ja evästeet: niille kullekin määritelty enimmäissäilytysaika.
Käyttämättömät hakemukset poistetaan kohtuullisessa ajassa, kun niillä ei enää ole sopimuksen täytäntöönpanon, lakisääteisten velvoitteiden tai oikeutettujen etujen edellyttämää käyttötarkoitusta.
8. Automatisoitu päätöksenteko ja profilointi
Palvelussa hyödynnetään automaattista tietojenkäsittelyä esimerkiksi sopivien Rahoittajien tunnistamiseen, hakemuksen reitittämiseen ja tietojen alustavaan tarkistamiseen. Rahoo ei kuitenkaan tee yksinomaan automaattiseen päätöksentekoon perustuvia, rekisteröityyn kohdistuvia oikeudellisia tai muita vastaavalla tavalla merkittäviä päätöksiä rahoituksen myöntämisestä, vaan lopullisen luottopäätöksen tekee aina kyseinen Rahoittaja.
Rekisteröidyllä on oikeus pyytää automatisoidun käsittelyn osalta ihmisen suorittamaa arviointia, esittää näkemyksensä ja riitauttaa päätös ottamalla yhteyttä osoitteeseen asiakaspalvelu@rahoo.fi.
9. Tietoturva
Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein katoamiselta, tuhoutumiselta sekä luvattomalta pääsyltä, käytöltä, muuttamiselta tai paljastamiselta. Toimenpiteitä ovat muun muassa:
• Tiedot tallennetaan turvalliseen, EU-alueella sijaitsevaan pilviympäristöön.
• Verkkoyhteyksissä käytetään salausta (TLS/SSL).
• Pääsyoikeudet on rajattu nimettyihin työntekijöihin tehtävien edellyttämässä laajuudessa, ja pääsy edellyttää käyttäjätunnusta ja vahvaa todennusta.
• Henkilöstöä sitoo vaitiolovelvollisuus ja heille annetaan säännöllistä tietosuoja- ja tietoturvakoulutusta.
• Käytämme alihankkijoita, jotka kykenevät tarjoamaan riittävät tietoturvan tason takaavat suojatoimet.
Mahdollisten henkilötietojen tietoturvaloukkausten käsittelyä ja ilmoittamista varten meillä on käytössä asianmukaiset prosessit GDPR:n 33 ja 34 artiklan mukaisesti.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on GDPR:n mukaisesti seuraavat oikeudet, joita rajoittavat osin lainsäädännöstä johtuvat poikkeukset:
• Oikeus saada pääsy itseään koskeviin henkilötietoihin ja niistä jäljennös.
• Oikeus tietojen oikaisemiseen, jos tiedot ovat virheellisiä tai puutteellisia.
• Oikeus tietojen poistamiseen tilanteissa, joissa käsittelylle ei ole enää perustetta. Huomioithan, että lakisääteiset säilytysvelvoitteet (esimerkiksi kirjanpito- ja rahanpesulain mukaiset) voivat estää poistamisen.
• Oikeus käsittelyn rajoittamiseen tietyissä tilanteissa.
• Oikeus vastustaa käsittelyä, joka perustuu oikeutettuun etuun, sekä oikeus vastustaa suoramarkkinointia.
• Oikeus tietojen siirtämiseen järjestelmästä toiseen tilanteissa, joissa käsittely perustuu suostumukseen tai sopimukseen ja se tapahtuu automaattisesti.
• Oikeus peruuttaa antamasi suostumus.
• Oikeus olla joutumatta sellaisen pelkästään automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jolla on rekisteröityä koskevia oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia.
• Oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto, tietosuoja.fi).
Oikeuksia voi käyttää lähettämällä pyynnön osoitteeseen asiakaspalvelu@rahoo.fi. Voimme pyytää lisätietoja rekisteröidyn tunnistamiseksi ja pyynnön käsittelemiseksi.
11. Evästeet
Rahoo käyttää verkkosivustollaan evästeitä ja muita vastaavia tekniikoita Palvelun toiminnallisuuden, käyttökokemuksen ja kehittämisen tueksi sekä tilastointia ja markkinointia varten. Käytämme sekä välttämättömiä evästeitä että käyttäjän suostumukseen perustuvia evästeitä. Voit hyväksyä, hylätä tai muokata valintojasi sivustomme evästesuostumustyökalun kautta.
Evästeiden estäminen voi vaikuttaa Palvelun toiminnallisuuteen. Lisätietoja evästeistä ja niiden hallinnasta on saatavilla evästekäytännöstämme verkkosivuillamme.
12. Muutokset tähän tietosuojaselosteeseen
Voimme tehdä muutoksia tähän tietosuojaselosteeseen toimintamme kehittyessä tai lainsäädännön muuttuessa. Ajantasainen versio on aina saatavilla osoitteessa rahoo.fi/tietosuoja. Merkittävistä muutoksista ilmoitamme verkkosivustollamme tai muulla asianmukaisella tavalla.
Tämä tietosuojaseloste on päivitetty viimeksi: 19.5.2026
Tietosuojaseloste
Rahoo Oy — yritysasiakkaiden rahoituksen hakuun liittyvien henkilötietojen käsittely
Tämä tietosuojaseloste kuvaa, miten Rahoo Oy (jäljempänä ”Rahoo”, ”me”) kerää, käsittelee ja luovuttaa henkilötietoja, kun yritysasiakas hakee rahoitusta Rahoon tarjoaman palvelun (jäljempänä ”Palvelu”) kautta. Palvelu on suunnattu yksinomaan elinkeinotoimintaa harjoittaville yhteisöille ja niiden edustajille. Selosteessa kuvattu henkilötietojen käsittely koskee siten pääosin yrityksen puolesta asioivien luonnollisten henkilöiden (esimerkiksi yrityksen vastuuhenkilöt, edustajat, omistajat ja tosiasialliset edunsaajat) henkilötietoja.
Käsittelemme henkilötietoja huolellisesti ja noudatamme EU:n yleistä tietosuoja-asetusta (EU 2016/679, ”GDPR”), Suomen tietosuojalakia (1050/2018), rahanpesun ja terrorismin rahoittamisen estämisestä annettua lakia (444/2017, ”rahanpesulaki”) sekä muuta soveltuvaa lainsäädäntöä.
1. Rekisterinpitäjä ja yhteystiedot
Rekisterinpitäjä:
Rahoo Oy (Y-tunnus 3002206-7)
Puutarhakatu 45, 20100 Turku
Sähköposti: asiakaspalvelu@rahoo.fi
Tietosuoja-asioissa yhteyshenkilönä toimii:
Taneli Hulkko
Sähköposti: taneli.hulkko@rahoo.fi
2. Rahoon rooli ja muut rekisterinpitäjät
Rahoo toimii rahoituksen välityspalvelun tarjoajana eikä itse myönnä rahoitusta. Henkilötietoja käsitellään seuraavissa rooleissa:
2.1 Rahoo itsenäisenä rekisterinpitäjänä
Rahoo toimii itsenäisenä rekisterinpitäjänä siltä osin kuin se määrittelee itse henkilötietojen käsittelyn tarkoitukset ja keinot (esimerkiksi Palvelun yleinen hallinnointi, kehittäminen, asiakaspalvelu, lakisääteisten velvoitteiden täyttäminen ja markkinointi).
2.2 Rahoon suhde jakelukumppaneihin
Kun yritysasiakas käynnistää rahoitushakemuksen Rahoon teknologiakumppanin (esimerkiksi taloushallinnon ohjelmiston tai muun jakelukanavan; jäljempänä ”Jakelukumppani”) palvelun kautta, Rahoon ja Jakelukumppanin rooli henkilötietojen käsittelyssä määräytyy kunkin Jakelukumppanin kanssa tehdyn järjestelyn mukaisesti. Mahdollisia rooleja ovat:
• Itsenäiset rekisterinpitäjät: Rahoo ja Jakelukumppani toimivat erillisinä rekisterinpitäjinä omissa käsittelytarkoituksissaan, jolloin kumpikin vastaa itsenäisesti omasta käsittelystään ja rekisteröidyn informoinnista oman tietosuojaselosteensa mukaisesti.
• Yhteisrekisterinpitäjät (GDPR 26 art.): Rahoo ja Jakelukumppani määrittelevät yhdessä hakemustietojen keräämisen ja välittämisen tarkoitukset ja keinot, ja niiden vastuut on jaettu erillisellä järjestelyllä.
• Henkilötietojen käsittelijä: Tietyissä rajatuissa teknisissä järjestelyissä Rahoo voi käsitellä henkilötietoja Jakelukumppanin lukuun tämän rekisterinpidossa, tai päinvastoin. Tällaisesta käsittelystä sovitaan aina erillisellä GDPR 28 artiklan mukaisella henkilötietojen käsittelysopimuksella.
Rahoo toimii rekisteröidyn ensisijaisena yhteyspisteenä Palvelussa tapahtuvan rahoitushakemuksen käsittelyn osalta sekä vastaa siitä rahoitushakemuksen etenemistä koskevasta asiakasviestinnästä, joka hoidetaan Palvelun kautta. Jakelukumppani vastaa kuitenkin itsenäisesti omasta tietojenkäsittelystään (kuten omasta perussovelluksestaan saatavasta tietosisällöstä) sekä siitä, että yritysasiakkaalle on annettu sen oman tietosuojaselosteen edellyttämät tiedot ennen tietojen jakamista Rahoon kanssa.
2.3 Rahoittajat itsenäisinä rekisterinpitäjinä
Pankit ja muut rahoituslaitokset (jäljempänä ”Rahoittajat”), joille Rahoo välittää hakemustiedot, käsittelevät henkilötietoja itsenäisinä rekisterinpitäjinä omiin tarkoituksiinsa (rahoitustarjouksen tekeminen, luottokelpoisuuden arviointi sekä mahdollisen rahoitussopimuksen tekeminen). Rahoittajien suorittamaan käsittelyyn sovelletaan kunkin Rahoittajan omaa tietosuojaselostetta.
3. Käsiteltävät henkilötiedot
Käsittelemme ainoastaan sellaisia henkilötietoja, jotka ovat tarpeellisia Palvelun tarjoamiseksi, rahoitushakemuksen käsittelemiseksi sekä lakisääteisten velvoitteiden noudattamiseksi. Tietokategorioiden tarkka sisältö vaihtelee tilanteen ja hakemusprosessin mukaan.
3.1 Yritysasiakkaan edustajan ja vastuuhenkilöiden henkilötiedot
• Yksilöintitiedot, kuten nimi, henkilötunnus, syntymäaika ja kansalaisuus.
• Yhteystiedot, kuten sähköpostiosoite, puhelinnumero ja postiosoite.
• Asema yrityksessä, omistusosuus, edustusoikeus ja rooli (esimerkiksi toimitusjohtaja, hallituksen jäsen, tosiasiallinen edunsaaja).
• Sähköisestä tunnistautumisesta saadut tiedot (vahva sähköinen tunnistaminen).
• Rahanpesulain edellyttämät tiedot, kuten poliittinen vaikutusvalta (PEP-status), varojen alkuperä ja varojen käyttötarkoitus.
3.2 Yritystä koskevat tiedot ja taloudelliset tiedot
• Yrityksen perustiedot (nimi, Y-tunnus, kotipaikka, toimiala, yhtiömuoto).
• Taloudelliset tiedot, kuten liikevaihto, tulos, tase ja kassavirta.
• Kirjanpitoaineistosta saatavat tiedot, kun tiedot kerätään asiakkaan suostumuksella Jakelukumppanin järjestelmästä (esimerkiksi taloushallinnon ohjelmistosta).
• Pankkitilien ja maksukäyttäytymisen tiedot, kun yritysasiakas on antanut tähän suostumuksensa.
3.3 Rahoitushakemukseen liittyvät tiedot
• Haettu rahoituksen määrä, käyttötarkoitus, takaisinmaksuaika ja muut hakemuksessa annetut tiedot.
• Hakemuksen tila ja eteneminen (vastaanotettu, käsittelyssä, tarjous tehty, tarjous hyväksytty/hylätty).
• Rahoittajilta saadut tarjoukset, niiden ehdot ja vastaukset.
3.4 Kolmansilta osapuolilta hankittavat tiedot
• Julkisista rekistereistä saatavat tiedot (esimerkiksi kaupparekisteri, PRH:n edunsaajarekisteri).
• Luottotietoyhtiöiden ja luottoluokituspalvelujen tuottamat tiedot (kuten luottoluokitus, maksuhäiriömerkinnät ja muut luottokelpoisuutta kuvaavat tiedot) lainsäädännön sallimissa rajoissa.
• Tunnistamis- ja KYC-palveluiden tuottamat tiedot.
3.5 Tekniset tiedot ja käyttötiedot
• Verkkokäyttäytymiseen liittyvät tiedot, kuten IP-osoite, laite- ja selaintiedot, käyttöjärjestelmä, liikenteen lähde sekä evästeiden kautta kerättävät tiedot.
• Tiedot palvelussa tehdyistä toimenpiteistä, suostumuksista ja niiden ajankohdista.
• Tiedot sähköpostiviestinnästä (kuten viestien lähetys, vastaanotto, avaaminen ja klikkaukset).
Henkilötietojen antaminen on rahoitushakemuksen käsittelemisen edellytys. Mikäli pyydettyjä tietoja ei toimiteta, emme välttämättä voi käsitellä hakemusta tai tarjota Palvelua.
4. Käsittelyn tarkoitukset ja oikeusperusteet
4.1 Sopimuksen täytäntöönpano ja sopimusta edeltävät toimenpiteet (GDPR 6 art. 1 kohta b)
Käytämme henkilötietoja rahoitushakemuksen vastaanottamiseen, käsittelyyn, välittämiseen Rahoittajille sekä tarjousten välittämiseen ja vertailuun. Myös palvelua koskevan asiakaspalvelun antaminen perustuu tähän oikeusperusteeseen.
4.2 Lakisääteisten velvoitteiden noudattaminen (GDPR 6 art. 1 kohta c)
Käsittelemme tietoja muun muassa rahanpesun ja terrorismin rahoittamisen estämistä koskevien velvoitteiden, asiakkaan tuntemista koskevien (KYC-) velvoitteiden sekä kirjanpito- ja muiden lakisääteisten dokumentointi- ja raportointivelvoitteiden täyttämiseksi.
4.3 Oikeutettu etu (GDPR 6 art. 1 kohta f)
Käsittelemme tietoja oikeutettuun etuumme perustuen seuraavissa tarkoituksissa: Palvelun ja sen turvallisuuden kehittäminen, väärinkäytösten ja petosten estäminen, asiakas- ja markkinaviestintä olemassa oleville asiakkaille sekä oikeudellisten vaateiden laatiminen, esittäminen ja puolustaminen. Olemme arvioineet, ettei käsittely loukkaa rekisteröidyn perusoikeuksia tai oikeutettuja etuja.
4.4 Suostumus (GDPR 6 art. 1 kohta a)
Suostumukseen perustuvaa käsittelyä on muun muassa sähköinen suoramarkkinointi luonnolliselle henkilölle ja sellaisten lisätietojen kerääminen, joiden käsittely edellyttää nimenomaista suostumusta (esimerkiksi pankkitilitietojen hakeminen kolmannelta osapuolelta). Suostumus voidaan peruuttaa milloin tahansa ilmoittamalla siitä osoitteeseen asiakaspalvelu@rahoo.fi.
5. Tietojen luovutukset ja vastaanottajaryhmät
Voimme luovuttaa henkilötietoja seuraaville vastaanottajaryhmille siltä osin kuin se on tarpeen Palvelun tarjoamiseksi tai lakisääteisten velvoitteiden noudattamiseksi.
5.1 Rahoittajat
Palvelun ydintarkoituksena on välittää yritysasiakkaiden rahoitushakemukset Rahoittajille rahoitustarjouksen tekemiseksi. Luovutamme hakemustiedot Rahoittajille, joiden kanssa Rahoolla on voimassa oleva yhteistyösopimus. Kukin Rahoittaja toimii vastaanottamiensa tietojen osalta itsenäisenä rekisterinpitäjänä.
Mikäli yritysasiakkaan ja Rahoittajan välillä ei synny rahoitussopimusta, Rahoittajalla ei ole oikeutta käyttää välitettyjä henkilötietoja muuhun kuin alkuperäiseen rahoitushakemuksen käsittelyyn liittyvään tarkoitukseen.
5.2 Jakelukumppanit
Rahoon teknologiakumppanit, kuten taloushallinnon ohjelmistot ja muut jakelukanavat, voivat olla rekisterinpitäjyyssuhteessa Rahoon kanssa joko itsenäisinä rekisterinpitäjinä tai yhteisrekisterinpitäjinä kohdassa 2.2 kuvatulla tavalla. Jakelukumppanille välitetään palvelussa tehdyn rahoitushakemuksen yhteydessä vain ne tiedot, jotka ovat välttämättömiä palvelun tarjoamiseen, rahoituksen tilan ilmoittamiseen ja kumppanin rooliin liittyvien velvoitteiden täyttämiseksi.
5.3 Henkilötietojen käsittelijät
Käytämme henkilötietojen käsittelijöinä luotettavia palveluntarjoajia esimerkiksi seuraaviin tarkoituksiin: pilvi- ja palvelininfrastruktuuri, asiakaspalvelu- ja viestintäjärjestelmät, sähköinen tunnistaminen ja allekirjoitus, KYC- ja rahanpesun estämispalvelut sekä analytiikka- ja kehityspalvelut. Edellytämme käsittelijöiltä riittävää tietosuojan tasoa ja olemme tehneet niiden kanssa GDPR 28 artiklan mukaiset henkilötietojen käsittelysopimukset.
Tällaisia tyypillisiä palveluntarjoajia ovat muun muassa pilvi-infrastruktuurin tarjoajat (esimerkiksi Amazon Web Services ja Google), sähköpostipalvelut (esimerkiksi SendGrid) sekä vahvan tunnistautumisen ja allekirjoituksen palveluntarjoajat.
5.4 Luottotieto- ja KYC-palvelut
Voimme luovuttaa tietoja luottotietoyhtiöille ja KYC-palveluiden tarjoajille soveltuvan lainsäädännön sallimissa rajoissa esimerkiksi henkilöllisyyden varmistamiseksi, luottokelpoisuuden arvioimiseksi ja rahanpesulain mukaisten velvoitteiden täyttämiseksi.
5.5 Viranomaiset
Luovutamme henkilötietoja viranomaisille lain edellyttämässä laajuudessa (esimerkiksi vero-, valvonta-, poliisi- ja täytäntöönpanoviranomaisille).
5.6 Yritysjärjestelyt
Mahdollisen liiketoiminta- tai yritysjärjestelyn (esimerkiksi sulautumisen, jakautumisen, yritysoston tai liiketoimintakaupan) yhteydessä henkilötietoja voidaan siirtää järjestelyn osapuolille soveltuvan lainsäädännön mukaisesti.
6. Tietojen siirto EU:n/ETA:n ulkopuolelle
Pyrimme ensisijaisesti käsittelemään henkilötiedot EU:n ja ETA:n alueella. Mikäli tietoja on tarpeen siirtää näiden alueiden ulkopuolelle, varmistamme, että siirrolle on GDPR:n mukainen peruste, esimerkiksi:
• Euroopan komission antama riittävyyttä koskeva päätös;
• Euroopan komission hyväksymät mallisopimuslausekkeet (SCC) ja niiden täydentäminen tarvittaessa lisäsuojatoimenpitein (esimerkiksi salaus ja siirtovaikutusten arviointi); tai
• muu GDPR V luvussa tarkoitettu siirtoperuste.
7. Säilytysajat
Säilytämme henkilötietoja vain niin pitkään kuin se on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, taikka lainsäädäntö edellyttää. Tyypillisiä säilytysaikoja ovat:
• Rahoitushakemus- ja asiakastiedot: hakemusprosessin ajan ja sen jälkeinen kohtuullinen aika oikeudellisten vaateiden laatimista, esittämistä tai puolustamista varten.
• Rahanpesulain edellyttämät tiedot: vähintään viisi (5) vuotta liikesuhteen päättymisestä tai yksittäisen liiketoimen suorittamisesta.
• Kirjanpitoaineisto: kirjanpitolain edellyttämät säilytysajat (pääsääntöisesti 6–10 vuotta).
• Markkinointia koskevat suostumukset: suostumuksen voimassaoloajan tai sen peruuttamiseen saakka.
• Tekniset lokitiedot ja evästeet: niille kullekin määritelty enimmäissäilytysaika.
Käyttämättömät hakemukset poistetaan kohtuullisessa ajassa, kun niillä ei enää ole sopimuksen täytäntöönpanon, lakisääteisten velvoitteiden tai oikeutettujen etujen edellyttämää käyttötarkoitusta.
8. Automatisoitu päätöksenteko ja profilointi
Palvelussa hyödynnetään automaattista tietojenkäsittelyä esimerkiksi sopivien Rahoittajien tunnistamiseen, hakemuksen reitittämiseen ja tietojen alustavaan tarkistamiseen. Rahoo ei kuitenkaan tee yksinomaan automaattiseen päätöksentekoon perustuvia, rekisteröityyn kohdistuvia oikeudellisia tai muita vastaavalla tavalla merkittäviä päätöksiä rahoituksen myöntämisestä, vaan lopullisen luottopäätöksen tekee aina kyseinen Rahoittaja.
Rekisteröidyllä on oikeus pyytää automatisoidun käsittelyn osalta ihmisen suorittamaa arviointia, esittää näkemyksensä ja riitauttaa päätös ottamalla yhteyttä osoitteeseen asiakaspalvelu@rahoo.fi.
9. Tietoturva
Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein katoamiselta, tuhoutumiselta sekä luvattomalta pääsyltä, käytöltä, muuttamiselta tai paljastamiselta. Toimenpiteitä ovat muun muassa:
• Tiedot tallennetaan turvalliseen, EU-alueella sijaitsevaan pilviympäristöön.
• Verkkoyhteyksissä käytetään salausta (TLS/SSL).
• Pääsyoikeudet on rajattu nimettyihin työntekijöihin tehtävien edellyttämässä laajuudessa, ja pääsy edellyttää käyttäjätunnusta ja vahvaa todennusta.
• Henkilöstöä sitoo vaitiolovelvollisuus ja heille annetaan säännöllistä tietosuoja- ja tietoturvakoulutusta.
• Käytämme alihankkijoita, jotka kykenevät tarjoamaan riittävät tietoturvan tason takaavat suojatoimet.
Mahdollisten henkilötietojen tietoturvaloukkausten käsittelyä ja ilmoittamista varten meillä on käytössä asianmukaiset prosessit GDPR:n 33 ja 34 artiklan mukaisesti.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on GDPR:n mukaisesti seuraavat oikeudet, joita rajoittavat osin lainsäädännöstä johtuvat poikkeukset:
• Oikeus saada pääsy itseään koskeviin henkilötietoihin ja niistä jäljennös.
• Oikeus tietojen oikaisemiseen, jos tiedot ovat virheellisiä tai puutteellisia.
• Oikeus tietojen poistamiseen tilanteissa, joissa käsittelylle ei ole enää perustetta. Huomioithan, että lakisääteiset säilytysvelvoitteet (esimerkiksi kirjanpito- ja rahanpesulain mukaiset) voivat estää poistamisen.
• Oikeus käsittelyn rajoittamiseen tietyissä tilanteissa.
• Oikeus vastustaa käsittelyä, joka perustuu oikeutettuun etuun, sekä oikeus vastustaa suoramarkkinointia.
• Oikeus tietojen siirtämiseen järjestelmästä toiseen tilanteissa, joissa käsittely perustuu suostumukseen tai sopimukseen ja se tapahtuu automaattisesti.
• Oikeus peruuttaa antamasi suostumus.
• Oikeus olla joutumatta sellaisen pelkästään automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jolla on rekisteröityä koskevia oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia.
• Oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto, tietosuoja.fi).
Oikeuksia voi käyttää lähettämällä pyynnön osoitteeseen asiakaspalvelu@rahoo.fi. Voimme pyytää lisätietoja rekisteröidyn tunnistamiseksi ja pyynnön käsittelemiseksi.
11. Evästeet
Rahoo käyttää verkkosivustollaan evästeitä ja muita vastaavia tekniikoita Palvelun toiminnallisuuden, käyttökokemuksen ja kehittämisen tueksi sekä tilastointia ja markkinointia varten. Käytämme sekä välttämättömiä evästeitä että käyttäjän suostumukseen perustuvia evästeitä. Voit hyväksyä, hylätä tai muokata valintojasi sivustomme evästesuostumustyökalun kautta.
Evästeiden estäminen voi vaikuttaa Palvelun toiminnallisuuteen. Lisätietoja evästeistä ja niiden hallinnasta on saatavilla evästekäytännöstämme verkkosivuillamme.
12. Muutokset tähän tietosuojaselosteeseen
Voimme tehdä muutoksia tähän tietosuojaselosteeseen toimintamme kehittyessä tai lainsäädännön muuttuessa. Ajantasainen versio on aina saatavilla osoitteessa rahoo.fi/tietosuoja. Merkittävistä muutoksista ilmoitamme verkkosivustollamme tai muulla asianmukaisella tavalla.
Tämä tietosuojaseloste on päivitetty viimeksi: 19.5.2026
Tietosuojaseloste
Rahoo Oy — yritysasiakkaiden rahoituksen hakuun liittyvien henkilötietojen käsittely
Tämä tietosuojaseloste kuvaa, miten Rahoo Oy (jäljempänä ”Rahoo”, ”me”) kerää, käsittelee ja luovuttaa henkilötietoja, kun yritysasiakas hakee rahoitusta Rahoon tarjoaman palvelun (jäljempänä ”Palvelu”) kautta. Palvelu on suunnattu yksinomaan elinkeinotoimintaa harjoittaville yhteisöille ja niiden edustajille. Selosteessa kuvattu henkilötietojen käsittely koskee siten pääosin yrityksen puolesta asioivien luonnollisten henkilöiden (esimerkiksi yrityksen vastuuhenkilöt, edustajat, omistajat ja tosiasialliset edunsaajat) henkilötietoja.
Käsittelemme henkilötietoja huolellisesti ja noudatamme EU:n yleistä tietosuoja-asetusta (EU 2016/679, ”GDPR”), Suomen tietosuojalakia (1050/2018), rahanpesun ja terrorismin rahoittamisen estämisestä annettua lakia (444/2017, ”rahanpesulaki”) sekä muuta soveltuvaa lainsäädäntöä.
1. Rekisterinpitäjä ja yhteystiedot
Rekisterinpitäjä:
Rahoo Oy (Y-tunnus 3002206-7)
Puutarhakatu 45, 20100 Turku
Sähköposti: asiakaspalvelu@rahoo.fi
Tietosuoja-asioissa yhteyshenkilönä toimii:
Taneli Hulkko
Sähköposti: taneli.hulkko@rahoo.fi
2. Rahoon rooli ja muut rekisterinpitäjät
Rahoo toimii rahoituksen välityspalvelun tarjoajana eikä itse myönnä rahoitusta. Henkilötietoja käsitellään seuraavissa rooleissa:
2.1 Rahoo itsenäisenä rekisterinpitäjänä
Rahoo toimii itsenäisenä rekisterinpitäjänä siltä osin kuin se määrittelee itse henkilötietojen käsittelyn tarkoitukset ja keinot (esimerkiksi Palvelun yleinen hallinnointi, kehittäminen, asiakaspalvelu, lakisääteisten velvoitteiden täyttäminen ja markkinointi).
2.2 Rahoon suhde jakelukumppaneihin
Kun yritysasiakas käynnistää rahoitushakemuksen Rahoon teknologiakumppanin (esimerkiksi taloushallinnon ohjelmiston tai muun jakelukanavan; jäljempänä ”Jakelukumppani”) palvelun kautta, Rahoon ja Jakelukumppanin rooli henkilötietojen käsittelyssä määräytyy kunkin Jakelukumppanin kanssa tehdyn järjestelyn mukaisesti. Mahdollisia rooleja ovat:
• Itsenäiset rekisterinpitäjät: Rahoo ja Jakelukumppani toimivat erillisinä rekisterinpitäjinä omissa käsittelytarkoituksissaan, jolloin kumpikin vastaa itsenäisesti omasta käsittelystään ja rekisteröidyn informoinnista oman tietosuojaselosteensa mukaisesti.
• Yhteisrekisterinpitäjät (GDPR 26 art.): Rahoo ja Jakelukumppani määrittelevät yhdessä hakemustietojen keräämisen ja välittämisen tarkoitukset ja keinot, ja niiden vastuut on jaettu erillisellä järjestelyllä.
• Henkilötietojen käsittelijä: Tietyissä rajatuissa teknisissä järjestelyissä Rahoo voi käsitellä henkilötietoja Jakelukumppanin lukuun tämän rekisterinpidossa, tai päinvastoin. Tällaisesta käsittelystä sovitaan aina erillisellä GDPR 28 artiklan mukaisella henkilötietojen käsittelysopimuksella.
Rahoo toimii rekisteröidyn ensisijaisena yhteyspisteenä Palvelussa tapahtuvan rahoitushakemuksen käsittelyn osalta sekä vastaa siitä rahoitushakemuksen etenemistä koskevasta asiakasviestinnästä, joka hoidetaan Palvelun kautta. Jakelukumppani vastaa kuitenkin itsenäisesti omasta tietojenkäsittelystään (kuten omasta perussovelluksestaan saatavasta tietosisällöstä) sekä siitä, että yritysasiakkaalle on annettu sen oman tietosuojaselosteen edellyttämät tiedot ennen tietojen jakamista Rahoon kanssa.
2.3 Rahoittajat itsenäisinä rekisterinpitäjinä
Pankit ja muut rahoituslaitokset (jäljempänä ”Rahoittajat”), joille Rahoo välittää hakemustiedot, käsittelevät henkilötietoja itsenäisinä rekisterinpitäjinä omiin tarkoituksiinsa (rahoitustarjouksen tekeminen, luottokelpoisuuden arviointi sekä mahdollisen rahoitussopimuksen tekeminen). Rahoittajien suorittamaan käsittelyyn sovelletaan kunkin Rahoittajan omaa tietosuojaselostetta.
3. Käsiteltävät henkilötiedot
Käsittelemme ainoastaan sellaisia henkilötietoja, jotka ovat tarpeellisia Palvelun tarjoamiseksi, rahoitushakemuksen käsittelemiseksi sekä lakisääteisten velvoitteiden noudattamiseksi. Tietokategorioiden tarkka sisältö vaihtelee tilanteen ja hakemusprosessin mukaan.
3.1 Yritysasiakkaan edustajan ja vastuuhenkilöiden henkilötiedot
• Yksilöintitiedot, kuten nimi, henkilötunnus, syntymäaika ja kansalaisuus.
• Yhteystiedot, kuten sähköpostiosoite, puhelinnumero ja postiosoite.
• Asema yrityksessä, omistusosuus, edustusoikeus ja rooli (esimerkiksi toimitusjohtaja, hallituksen jäsen, tosiasiallinen edunsaaja).
• Sähköisestä tunnistautumisesta saadut tiedot (vahva sähköinen tunnistaminen).
• Rahanpesulain edellyttämät tiedot, kuten poliittinen vaikutusvalta (PEP-status), varojen alkuperä ja varojen käyttötarkoitus.
3.2 Yritystä koskevat tiedot ja taloudelliset tiedot
• Yrityksen perustiedot (nimi, Y-tunnus, kotipaikka, toimiala, yhtiömuoto).
• Taloudelliset tiedot, kuten liikevaihto, tulos, tase ja kassavirta.
• Kirjanpitoaineistosta saatavat tiedot, kun tiedot kerätään asiakkaan suostumuksella Jakelukumppanin järjestelmästä (esimerkiksi taloushallinnon ohjelmistosta).
• Pankkitilien ja maksukäyttäytymisen tiedot, kun yritysasiakas on antanut tähän suostumuksensa.
3.3 Rahoitushakemukseen liittyvät tiedot
• Haettu rahoituksen määrä, käyttötarkoitus, takaisinmaksuaika ja muut hakemuksessa annetut tiedot.
• Hakemuksen tila ja eteneminen (vastaanotettu, käsittelyssä, tarjous tehty, tarjous hyväksytty/hylätty).
• Rahoittajilta saadut tarjoukset, niiden ehdot ja vastaukset.
3.4 Kolmansilta osapuolilta hankittavat tiedot
• Julkisista rekistereistä saatavat tiedot (esimerkiksi kaupparekisteri, PRH:n edunsaajarekisteri).
• Luottotietoyhtiöiden ja luottoluokituspalvelujen tuottamat tiedot (kuten luottoluokitus, maksuhäiriömerkinnät ja muut luottokelpoisuutta kuvaavat tiedot) lainsäädännön sallimissa rajoissa.
• Tunnistamis- ja KYC-palveluiden tuottamat tiedot.
3.5 Tekniset tiedot ja käyttötiedot
• Verkkokäyttäytymiseen liittyvät tiedot, kuten IP-osoite, laite- ja selaintiedot, käyttöjärjestelmä, liikenteen lähde sekä evästeiden kautta kerättävät tiedot.
• Tiedot palvelussa tehdyistä toimenpiteistä, suostumuksista ja niiden ajankohdista.
• Tiedot sähköpostiviestinnästä (kuten viestien lähetys, vastaanotto, avaaminen ja klikkaukset).
Henkilötietojen antaminen on rahoitushakemuksen käsittelemisen edellytys. Mikäli pyydettyjä tietoja ei toimiteta, emme välttämättä voi käsitellä hakemusta tai tarjota Palvelua.
4. Käsittelyn tarkoitukset ja oikeusperusteet
4.1 Sopimuksen täytäntöönpano ja sopimusta edeltävät toimenpiteet (GDPR 6 art. 1 kohta b)
Käytämme henkilötietoja rahoitushakemuksen vastaanottamiseen, käsittelyyn, välittämiseen Rahoittajille sekä tarjousten välittämiseen ja vertailuun. Myös palvelua koskevan asiakaspalvelun antaminen perustuu tähän oikeusperusteeseen.
4.2 Lakisääteisten velvoitteiden noudattaminen (GDPR 6 art. 1 kohta c)
Käsittelemme tietoja muun muassa rahanpesun ja terrorismin rahoittamisen estämistä koskevien velvoitteiden, asiakkaan tuntemista koskevien (KYC-) velvoitteiden sekä kirjanpito- ja muiden lakisääteisten dokumentointi- ja raportointivelvoitteiden täyttämiseksi.
4.3 Oikeutettu etu (GDPR 6 art. 1 kohta f)
Käsittelemme tietoja oikeutettuun etuumme perustuen seuraavissa tarkoituksissa: Palvelun ja sen turvallisuuden kehittäminen, väärinkäytösten ja petosten estäminen, asiakas- ja markkinaviestintä olemassa oleville asiakkaille sekä oikeudellisten vaateiden laatiminen, esittäminen ja puolustaminen. Olemme arvioineet, ettei käsittely loukkaa rekisteröidyn perusoikeuksia tai oikeutettuja etuja.
4.4 Suostumus (GDPR 6 art. 1 kohta a)
Suostumukseen perustuvaa käsittelyä on muun muassa sähköinen suoramarkkinointi luonnolliselle henkilölle ja sellaisten lisätietojen kerääminen, joiden käsittely edellyttää nimenomaista suostumusta (esimerkiksi pankkitilitietojen hakeminen kolmannelta osapuolelta). Suostumus voidaan peruuttaa milloin tahansa ilmoittamalla siitä osoitteeseen asiakaspalvelu@rahoo.fi.
5. Tietojen luovutukset ja vastaanottajaryhmät
Voimme luovuttaa henkilötietoja seuraaville vastaanottajaryhmille siltä osin kuin se on tarpeen Palvelun tarjoamiseksi tai lakisääteisten velvoitteiden noudattamiseksi.
5.1 Rahoittajat
Palvelun ydintarkoituksena on välittää yritysasiakkaiden rahoitushakemukset Rahoittajille rahoitustarjouksen tekemiseksi. Luovutamme hakemustiedot Rahoittajille, joiden kanssa Rahoolla on voimassa oleva yhteistyösopimus. Kukin Rahoittaja toimii vastaanottamiensa tietojen osalta itsenäisenä rekisterinpitäjänä.
Mikäli yritysasiakkaan ja Rahoittajan välillä ei synny rahoitussopimusta, Rahoittajalla ei ole oikeutta käyttää välitettyjä henkilötietoja muuhun kuin alkuperäiseen rahoitushakemuksen käsittelyyn liittyvään tarkoitukseen.
5.2 Jakelukumppanit
Rahoon teknologiakumppanit, kuten taloushallinnon ohjelmistot ja muut jakelukanavat, voivat olla rekisterinpitäjyyssuhteessa Rahoon kanssa joko itsenäisinä rekisterinpitäjinä tai yhteisrekisterinpitäjinä kohdassa 2.2 kuvatulla tavalla. Jakelukumppanille välitetään palvelussa tehdyn rahoitushakemuksen yhteydessä vain ne tiedot, jotka ovat välttämättömiä palvelun tarjoamiseen, rahoituksen tilan ilmoittamiseen ja kumppanin rooliin liittyvien velvoitteiden täyttämiseksi.
5.3 Henkilötietojen käsittelijät
Käytämme henkilötietojen käsittelijöinä luotettavia palveluntarjoajia esimerkiksi seuraaviin tarkoituksiin: pilvi- ja palvelininfrastruktuuri, asiakaspalvelu- ja viestintäjärjestelmät, sähköinen tunnistaminen ja allekirjoitus, KYC- ja rahanpesun estämispalvelut sekä analytiikka- ja kehityspalvelut. Edellytämme käsittelijöiltä riittävää tietosuojan tasoa ja olemme tehneet niiden kanssa GDPR 28 artiklan mukaiset henkilötietojen käsittelysopimukset.
Tällaisia tyypillisiä palveluntarjoajia ovat muun muassa pilvi-infrastruktuurin tarjoajat (esimerkiksi Amazon Web Services ja Google), sähköpostipalvelut (esimerkiksi SendGrid) sekä vahvan tunnistautumisen ja allekirjoituksen palveluntarjoajat.
5.4 Luottotieto- ja KYC-palvelut
Voimme luovuttaa tietoja luottotietoyhtiöille ja KYC-palveluiden tarjoajille soveltuvan lainsäädännön sallimissa rajoissa esimerkiksi henkilöllisyyden varmistamiseksi, luottokelpoisuuden arvioimiseksi ja rahanpesulain mukaisten velvoitteiden täyttämiseksi.
5.5 Viranomaiset
Luovutamme henkilötietoja viranomaisille lain edellyttämässä laajuudessa (esimerkiksi vero-, valvonta-, poliisi- ja täytäntöönpanoviranomaisille).
5.6 Yritysjärjestelyt
Mahdollisen liiketoiminta- tai yritysjärjestelyn (esimerkiksi sulautumisen, jakautumisen, yritysoston tai liiketoimintakaupan) yhteydessä henkilötietoja voidaan siirtää järjestelyn osapuolille soveltuvan lainsäädännön mukaisesti.
6. Tietojen siirto EU:n/ETA:n ulkopuolelle
Pyrimme ensisijaisesti käsittelemään henkilötiedot EU:n ja ETA:n alueella. Mikäli tietoja on tarpeen siirtää näiden alueiden ulkopuolelle, varmistamme, että siirrolle on GDPR:n mukainen peruste, esimerkiksi:
• Euroopan komission antama riittävyyttä koskeva päätös;
• Euroopan komission hyväksymät mallisopimuslausekkeet (SCC) ja niiden täydentäminen tarvittaessa lisäsuojatoimenpitein (esimerkiksi salaus ja siirtovaikutusten arviointi); tai
• muu GDPR V luvussa tarkoitettu siirtoperuste.
7. Säilytysajat
Säilytämme henkilötietoja vain niin pitkään kuin se on tarpeen niihin tarkoituksiin, joita varten ne on kerätty, taikka lainsäädäntö edellyttää. Tyypillisiä säilytysaikoja ovat:
• Rahoitushakemus- ja asiakastiedot: hakemusprosessin ajan ja sen jälkeinen kohtuullinen aika oikeudellisten vaateiden laatimista, esittämistä tai puolustamista varten.
• Rahanpesulain edellyttämät tiedot: vähintään viisi (5) vuotta liikesuhteen päättymisestä tai yksittäisen liiketoimen suorittamisesta.
• Kirjanpitoaineisto: kirjanpitolain edellyttämät säilytysajat (pääsääntöisesti 6–10 vuotta).
• Markkinointia koskevat suostumukset: suostumuksen voimassaoloajan tai sen peruuttamiseen saakka.
• Tekniset lokitiedot ja evästeet: niille kullekin määritelty enimmäissäilytysaika.
Käyttämättömät hakemukset poistetaan kohtuullisessa ajassa, kun niillä ei enää ole sopimuksen täytäntöönpanon, lakisääteisten velvoitteiden tai oikeutettujen etujen edellyttämää käyttötarkoitusta.
8. Automatisoitu päätöksenteko ja profilointi
Palvelussa hyödynnetään automaattista tietojenkäsittelyä esimerkiksi sopivien Rahoittajien tunnistamiseen, hakemuksen reitittämiseen ja tietojen alustavaan tarkistamiseen. Rahoo ei kuitenkaan tee yksinomaan automaattiseen päätöksentekoon perustuvia, rekisteröityyn kohdistuvia oikeudellisia tai muita vastaavalla tavalla merkittäviä päätöksiä rahoituksen myöntämisestä, vaan lopullisen luottopäätöksen tekee aina kyseinen Rahoittaja.
Rekisteröidyllä on oikeus pyytää automatisoidun käsittelyn osalta ihmisen suorittamaa arviointia, esittää näkemyksensä ja riitauttaa päätös ottamalla yhteyttä osoitteeseen asiakaspalvelu@rahoo.fi.
9. Tietoturva
Suojaamme henkilötiedot asianmukaisin teknisin ja organisatorisin toimenpitein katoamiselta, tuhoutumiselta sekä luvattomalta pääsyltä, käytöltä, muuttamiselta tai paljastamiselta. Toimenpiteitä ovat muun muassa:
• Tiedot tallennetaan turvalliseen, EU-alueella sijaitsevaan pilviympäristöön.
• Verkkoyhteyksissä käytetään salausta (TLS/SSL).
• Pääsyoikeudet on rajattu nimettyihin työntekijöihin tehtävien edellyttämässä laajuudessa, ja pääsy edellyttää käyttäjätunnusta ja vahvaa todennusta.
• Henkilöstöä sitoo vaitiolovelvollisuus ja heille annetaan säännöllistä tietosuoja- ja tietoturvakoulutusta.
• Käytämme alihankkijoita, jotka kykenevät tarjoamaan riittävät tietoturvan tason takaavat suojatoimet.
Mahdollisten henkilötietojen tietoturvaloukkausten käsittelyä ja ilmoittamista varten meillä on käytössä asianmukaiset prosessit GDPR:n 33 ja 34 artiklan mukaisesti.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on GDPR:n mukaisesti seuraavat oikeudet, joita rajoittavat osin lainsäädännöstä johtuvat poikkeukset:
• Oikeus saada pääsy itseään koskeviin henkilötietoihin ja niistä jäljennös.
• Oikeus tietojen oikaisemiseen, jos tiedot ovat virheellisiä tai puutteellisia.
• Oikeus tietojen poistamiseen tilanteissa, joissa käsittelylle ei ole enää perustetta. Huomioithan, että lakisääteiset säilytysvelvoitteet (esimerkiksi kirjanpito- ja rahanpesulain mukaiset) voivat estää poistamisen.
• Oikeus käsittelyn rajoittamiseen tietyissä tilanteissa.
• Oikeus vastustaa käsittelyä, joka perustuu oikeutettuun etuun, sekä oikeus vastustaa suoramarkkinointia.
• Oikeus tietojen siirtämiseen järjestelmästä toiseen tilanteissa, joissa käsittely perustuu suostumukseen tai sopimukseen ja se tapahtuu automaattisesti.
• Oikeus peruuttaa antamasi suostumus.
• Oikeus olla joutumatta sellaisen pelkästään automatisoituun käsittelyyn perustuvan päätöksen kohteeksi, jolla on rekisteröityä koskevia oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia.
• Oikeus tehdä valitus valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto, tietosuoja.fi).
Oikeuksia voi käyttää lähettämällä pyynnön osoitteeseen asiakaspalvelu@rahoo.fi. Voimme pyytää lisätietoja rekisteröidyn tunnistamiseksi ja pyynnön käsittelemiseksi.
11. Evästeet
Rahoo käyttää verkkosivustollaan evästeitä ja muita vastaavia tekniikoita Palvelun toiminnallisuuden, käyttökokemuksen ja kehittämisen tueksi sekä tilastointia ja markkinointia varten. Käytämme sekä välttämättömiä evästeitä että käyttäjän suostumukseen perustuvia evästeitä. Voit hyväksyä, hylätä tai muokata valintojasi sivustomme evästesuostumustyökalun kautta.
Evästeiden estäminen voi vaikuttaa Palvelun toiminnallisuuteen. Lisätietoja evästeistä ja niiden hallinnasta on saatavilla evästekäytännöstämme verkkosivuillamme.
12. Muutokset tähän tietosuojaselosteeseen
Voimme tehdä muutoksia tähän tietosuojaselosteeseen toimintamme kehittyessä tai lainsäädännön muuttuessa. Ajantasainen versio on aina saatavilla osoitteessa rahoo.fi/tietosuoja. Merkittävistä muutoksista ilmoitamme verkkosivustollamme tai muulla asianmukaisella tavalla.
Tämä tietosuojaseloste on päivitetty viimeksi: 19.5.2026