Privacy Notice
Suomenkielinen tietosuojaseloste alkaa englanninkielisen selosteen jälkeen.
1. Controller
Vestra Group Ltd, Business ID 3180459-7, and its group companies Vestra Advisors Ltd, Business ID 3180461-8, and Vestra Private Ltd, Business ID 3252127-3, (Vestra or we)
2. Contact Details
Correspondence address:
Aleksanterinkatu 15 B
FI-00100 Helsinki
Finland
privacy@vestra.fi
+358 20 123 1000
3. General Information
This privacy notice applies to our processing of personal data as a controller. It sets out how we process personal data relating to our customers, representatives of our customers and their counterparties as well as our suppliers, marketing recipients and other stakeholders. In relation to private person customers, we may also process personal data concerning other individuals mentioned in the assignment documents. This privacy statement also contains information on the rights of data subjects related to their own personal data.
The word you refers to the aforesaid individuals whose personal data are processed by us.
We adhere to the General Data Protection Regulation (2016/679) (GDPR) and other applicable Finnish data protection legislation in our processing of personal data.
4. Purpose of Processing
We process personal data on our customers and potential customers to provide and promote our services and to maintain the customer relationships. We process personal data on our suppliers and other stakeholders to maintain our business relationships with them. Personal data may also be processed for planning, carrying out and developing our services and business operations.
We have a legitimate interest in processing your data for the reasons set out above. This legitimate interest relates to the relationship that we have with you (through your task or position). In some cases, we process personal data to comply with our contractual obligations towards you. Furthermore, we process personal data to comply with legal obligations (relating to e.g., bookkeeping, customer identification and prevention of money laundering) and to maintain conflict-of-interest procedures. Sometimes, the legal basis for our processing relates to claims handling, debt collection and legal proceedings. In addition, we may process personal data based on your consent.
5. Processed Data
We may process the following information on you (as applicable):
· Name and contact details
· Title
· Date of birth and/or personal identification number, nationality, and other information related to identifying and knowing the customer or other person (including, without limitation, contact information, copies of identity documents, and information on possible status as a politically influential person)
· Information about the organisation, including contact information, registry information, information about representation, and information about beneficiaries, funding and operations (applies to our corporate customers)
· Information related to meetings, services and correspondence, as well as other information regarding the assignment or other connection
· Other personal information (received in connection with handling the assignment) necessary for handling the assignment regarding, for example, the customer’s marital status, family relationships, workplace, assets and debts (applies to our private person customers)
· Information related to payment and invoicing, as well as insurance information
· Event invitations and information, including dietary preferences
· Marketing messages
· Marketing opt-outs and consents to electronic direct marketing as sometimes needed
Depending on the assignment, we may also process personal data belonging to special categories, such as health data and trade union membership data. We process your personal data belonging to special categories only to the extent that (a) it is necessaryfor the establishment, exercise or defense of legal claims, (b) if you have given your explicit consent to the processing of this data, (c) the processing concerns personal data that you have expressly made public, (d) the processing is necessary to protect the vital interests of the data subject or another person in a situation where the data subject is physically or legally prevented from giving consent, or (e) the processing is based on another legal obligation.
6. Data Sources
Corporate customers, suppliers and stakeholders
The information is mainly collected directly from you or from other representatives of your organisation or their counterparts. Information may also be collected from publicly available information sources, such as corporate websites, social media, contact information and KYC information service providers, trade registers, land registers and credit registers. Sometimes we create the personal data ourselves, for example in relation to events arranged by us or in connection with our communication with you.
Private person customers
The data is mainly collected directly from you or your family members. Information can also be collected from authorities (for example estate inventory deeds and genealogies) and from publicly available information sources, such as contact information and KYC information service providers.
7. Data Disclosures
As a main rule, we do not disclose personal data to third parties without your consent. In certain situations we may, however, be required to disclose data on you for example to authorities or other third parties when such disclosure is mandatory under applicable law (for example to address criminal activities, security issues or suspected money laundering or terrorist financing).
We may also involve service providers in our processing of personal data (for example in relation to IT, KYC, accounting and marketing services). As regards such service providers we take contractual measures to ensure that your personal data are processed and protected appropriately and in compliance with applicable laws and this privacy notice.
8. Data Transfers
As a main rule, your personal data are not transferred to countries outside the European Union or the European Economic Area. If and to the extent we transfer your personal data outside the EU/EEA, we ensure that the transferred personal data is protected in an appropriate manner in accordance with the applicable data protection legislation.
9. Data Security
We and any service providers involved in the processing of personal data take appropriate technical and organisational measures to protect personal data against unauthorised access and accidental or unlawful destruction, alteration, disclosure, transfer or other unlawful forms of processing.
The data are collected into databases protected by firewalls, passwords and other technical measures. The databases and their backup copies are maintained in locked premises and can be accessed only by designated individuals. Each user has a personal username and password to the systems where personal data are kept.
10. Data Retention
Your personal data will be retained for as long as necessary for managing the assignment and customer relationship or other relationship, also taking into account the legislation that obliges us. The exact data retention periods and procedures for data removal vary by data category. As a main rule, we retain data for at least ten (10) years. After that, we retain data as required by the nature of the document (for example, a will), conflict-of-interest checks, and the legal protection of our employees.
11. Rights of Data Subject
As a data subject, you have the right to:
· access the personal data concerning you that we process (certain exceptions apply)
· demand rectification of any erroneous or obsolete data
· demand the removal of your data in certain situations (please note, however, that we need personal data on you in order to provide our services to you and often we are not allowed to delete personal data on our customer relationship)
· withdraw your consent where processing is based on consent (withdrawing your consent does not affect the lawfulness of processing carried out before such withdrawal)
· object to processing (when processing is based on our legitimate interest, you should indicate the specific personal reasons for your request; in case we do not have legitimate grounds for continued processing of such data, we will cease processing the data after your objection)
· request restriction of the processing of your data
· lodge a complaint with the supervisory authority
All requests and demands concerning the above should be submitted in writing by use of the contact information provided under Section 2 above. If necessary, you may need to prove your identity.
If you do not wish to receive direct marketing, you can opt-out or cancel your consent by contacting us in writing or by using the unsubscribe functionality included in the direct marketing messages.
12. Changes to Privacy Notice
This privacy notice was last updated on 11 October 2024.
We may update this privacy notice from time to time to reflect changes in our data processing principles and activities. The updated privacy notice is made available on our website or otherwise.
Tietosuojaseloste
1. Rekisterinpitäjä
Vestra Group Oy, y-tunnus 3180459-7, ja sen konserniyhtiöt Vestra Advisors Oy, y-tunnus 3180461-8, ja Vestra Private Oy, y-tunnus 3252127-3, (jäljempänä Vestra tai me)
2. Yhteystiedot
Postiosoite:
Aleksanterinkatu 15 B
FI-00100 Helsinki
Suomi
privacy@vestra.fi
+358 20 123 1000
3. Yleistä
Tämä tietosuojaseloste koskee henkilötietojen käsittelyämme rekisterinpitäjänä. Selosteessa määritellään, miten me käsittelemme henkilötietoja asiakkaistamme, heidän edustajistaan ja heidän vasta- ja myötäpuolistaan sekä toimittajistamme, markkinointimme vastaanottajista ja muista sidosryhmistämme. Yksityishenkilöasiakkaiden osalta saatamme käsitellä myös muiden toimeksiantoasiakirjojen mainitsemien henkilöiden henkilötietoja. Tämä tietosuojaseloste sisältää myös tietoa rekisteröityjen oikeuksista omiin henkilötietoihin liittyen.
Sana sinä viittaa edellä mainittuihin henkilöihin, joiden henkilötietoja käsittelemme.
Noudatamme henkilötietojen käsittelyssä yleistä tietosuoja-asetusta (2016/679) (GDPR) ja muuta soveltuvaa Suomen tietosuojalainsäädäntöä.
4. Käsittelyn tarkoitus
Käsittelemme asiakkaidemme ja potentiaalisten asiakkaidemme henkilötietoja tarjotaksemme ja markkinoidaksemme palveluitamme sekä ylläpitääksemme asiakassuhteitamme. Käsittelemme toimittajiemme ja muiden sidosryhmiemme henkilötietoja ylläpitääksemme liikesuhteitamme heidän kanssaan. Henkilötietoja voidaan käsitellä myös palveluidemme ja liiketoimintamme suunnittelussa, toteuttamisessa ja kehittämisessä.
Käsittelemme henkilötietojasi edellä mainittuja tarkoituksia varten rekisterinpitäjän oikeutetun edun toteuttamiseksi. Tämä oikeutettu etu liittyy siihen suhteeseen, joka meillä on kanssasi (tehtäväsi, asemasi tai asiakkuutesi kautta). Joissakin tapauksissa käsittelemme henkilötietoja noudattaaksemme sopimusvelvoitteitamme sinua kohtaan. Lisäksi käsittelemme henkilötietoja noudattaaksemme lakisääteisiä velvoitteitamme (liittyen esimerkiksi kirjanpitoon, asiakkaan tunnistamiseen ja rahanpesun estämiseen) ja suorittaaksemme esteellisyysselvityksiä. Joskus käsittelymme oikeusperuste liittyy korvausvaatimusten käsittelyyn, perintään ja oikeudenkäynteihin. Lisäksi voimme käsitellä henkilötietoja suostumuksesi perusteella.
5. Käsitellyt tiedot
Voimme käsitellä seuraavia sinua koskevia tietoja (soveltuvin osin):
· Nimi ja yhteystiedot
· Nimike
· Syntymäaika ja/tai henkilötunnus, kansalaisuus ja muut asiakkaan tai muun henkilön tunnistamiseen ja tuntemiseen liittyvät tiedot (mukaan lukien, ilman rajoituksia, yhteystiedot, kopiot henkilöllisyystodistuksista ja tieto mahdollisesta asemasta poliittisesti vaikutusvaltaisena henkilönä)
· Organisaatiota koskevat tiedot, mukaan lukien yhteystiedot, rekisteritiedot, edustusta koskevat tiedot sekä tiedot edunsaajista, rahoituksesta ja toiminnasta (koskee yritysasiakkaitamme)
· Kokouksiin, palveluihin ja kirjeenvaihtoon liittyvät tiedot sekä muut toimeksiantoa tai muuta yhteyttä koskevat tiedot
· Toimeksiannon hoitamisen yhteydessä saadut muut toimeksiannon hoitamiseksi tarvittavat henkilötiedot koskien esimerkiksi asiakkaan siviilisäätyä, perhesuhteita, työpaikkaa, varallisuutta ja velkoja (koskee yksityishenkilöasiakkaitamme)
· Maksamiseen ja laskutukseen liittyvät tiedot sekä vakuutustiedot
· Tapahtumakutsut ja -tiedot, mukaan lukien ruokamieltymykset
· Markkinointiviestit
· Markkinointia koskevat kiellot ja sähköiseen suoramarkkinointiin joissain tapauksessa tarvittavat suostumukset
Riippuen toimeksiannosta saatamme käsitellä myös erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, kuten terveyttä koskevia tietoja sekä ammattiliiton jäsenyyttä koskevia tietoja. Käsittelemme näitä erityisiin henkilötietoryhmiin kuuluvia tietojasi ainoastaan siltä osin, (a) kuin se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi, (b) mikäli sinä olet antanut nimenomaisen suostumuksesi näiden tietojen käsittelemiseen, (c) käsittely koskee henkilötietoja, jotka sinä olet nimenomaisesti saattanut julkisiksi, (d) käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi tilanteessa, jossa rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, tai (e) käsittely perustuu muuhun lakisääteiseen velvoitteeseen.
6. Tietolähteet
Yritysasiakkaat, toimittajat ja sidosryhmät
Tiedot kerätään pääsääntöisesti suoraan sinulta tai organisaatiosi muilta edustajilta tai heidän vastapuoliltaan. Tietoja voidaan kerätä myös julkisesti saatavilla olevista tietolähteistä, kuten yritysten verkkosivuilta, sosiaalisesta mediasta, yhteystieto- ja KYC-tietopalvelujen tarjoajilta, kaupparekistereistä, kiinteistörekistereistä ja luottorekistereistä. Joskus luomme henkilötietoja itse, esimerkiksi järjestämiemme tapahtumien yhteydessä tai kanssasi käymämme viestinnän yhteydessä.
Yksityishenkilöasiakkaat
Tiedot kerätään pääsääntöisesti suoraan sinulta tai perheenjäseniltäsi. Tietoja voidaan kerätä myös viranomaisilta (esimerkiksi perukirjat ja sukuselvitykset) sekä julkisesti saatavilla olevista tietolähteistä, kuten yhteystieto- ja KYC-tietopalvelujen tarjoajilta.
7. Tietojen luovuttaminen
Pääsääntönä on, että emme luovuta henkilötietoja kolmansille osapuolille ilman suostumustasi. Tietyissä tilanteissa meitä voidaan kuitenkin vaatia luovuttamaan sinua koskevia tietoja esimerkiksi viranomaisille tai muille kolmansille osapuolille, kun tällainen paljastaminen on sovellettavan lain mukaan pakollista (esimerkiksi rikollisen toiminnan, turvallisuuskysymysten tai epäillyn rahanpesun tai terrorismin rahoituksen käsittelemiseksi).
Voimme myös käyttää palveluntarjoajia henkilötietojen käsittelyssä (esimerkiksi IT-, KYC-, kirjanpito- ja markkinointipalveluihin liittyen). Tällaisten palveluntarjoajien osalta varmistamme sopimuksin, että henkilötietojasi käsitellään ja suojataan asianmukaisesti ja sovellettavien lakien ja tämän tietosuojaselosteen mukaisesti.
8. Tietojen siirto
Lähtökohtaisesti henkilötietojasi ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolisiin maihin. Jos ja siltä osin kuin siirrämme henkilötietojasi EU/ETA-alueen ulkopuolelle, varmistamme, että siirretyt henkilötiedot suojataan asianmukaisella tavalla sovellettavan tietosuojalainsäädännön mukaisesti.
9. Tietoturva
Me ja kaikki henkilötietojen käsittelyyn osallistuvat palveluntarjoajat ryhdymme asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin henkilötietojen suojaamiseksi luvattomalta käytöltä ja vahingossa tapahtuvalta tai laittomalta tuhoamiselta, muuttamiselta, paljastamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä.
Tiedot kerätään tietokantoihin, jotka on suojattu palomuurein, salasanoin ja muilla teknisillä toimenpiteillä. Tietokantoja ja niiden varmuuskopioita säilytetään lukituissa tiloissa ja niihin on pääsy vain nimetyillä henkilöillä. Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana järjestelmiin, joissa henkilötietoja säilytetään.
10. Tietojen säilyttäminen
Henkilötietojasi säilytetään niin kauan kuin se on tarpeen toimeksianto- ja asiakassuhteen tai muun suhteen hoitamisen kannalta huomioiden myös meitä velvoittavan lainsäädännön. Tietojen tarkat säilytysajat ja menettelyt tietojen poistamiseksi vaihtelevat tietoluokittain. Pääsääntöisesti säilytämme tietoja vähintään kymmenen (10) vuoden ajan. Sen jälkeen säilytämme tietoja siltä osin kuin on tarpeen asiakirjan luonne huomioiden (esimerkiksi testamentti), esteellisyyksien selvittämiseksi, ja työntekijöidemme oikeusturvan kannalta.
11. Rekisteröidyn oikeudet
Rekisteröitynä sinulla on oikeus:
· tarkistaa rekisteriimme tallennetut sinua koskevat henkilötiedot (joitakin poikkeuksia sovelletaan)
· vaatia virheellisten tai vanhentuneiden tietojen oikaisemista
· vaatia tietojesi poistamista tietyissä tilanteissa (huomaa kuitenkin, että tarvitsemme henkilötietojasi voidaksemme tuottaa sinulle palveluitamme ja usein meillä ei ole oikeutta poistaa henkilötietoja asiakassuhteestamme)
· peruuttaa suostumuksesi, jos käsittely perustuu suostumukseen (suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn laillisuuteen)
· vastustaa käsittelyä (kun käsittely perustuu oikeutettuun etuumme, sinun on ilmoitettava pyyntösi erityiset henkilökohtaiset syyt; jos meillä ei ole laillisia perusteita jatkaa tällaisten tietojen käsittelyä, lopetamme tietojen käsittelyn vastustuksesi jälkeen)
· pyytää tietojesi käsittelyn rajoittamista
· tehdä valitus valvontaviranomaiselle
Kaikki edellä mainittuja koskevat pyynnöt ja vaatimukset tulee toimittaa kirjallisesti käyttämällä yllä kohdassa 2 annettuja yhteystietoja. Tarvittaessa voit joutua todistamaan henkilöllisyytesi.
Jos et halua vastaanottaa suoramarkkinointia, voit kieltäytyä tai peruuttaa suostumuksesi ottamalla yhteyttä meihin kirjallisesti tai käyttämällä suoramarkkinointiviesteihin sisältyvää tilauksen peruutustoimintoa.
12. Muutokset tietosuojailmoitukseen
Tämä tietosuojaseloste on päivitetty viimeksi 11. lokakuuta 2024.
Voimme päivittää tätä tietosuojailmoitusta ajoittain vastaamaan muutoksia tietojenkäsittelyperiaatteissamme ja -toiminnoissamme. Päivitetty tietosuojailmoitus on saatavilla verkkosivustollamme tai muulla tavoin.