Tietosuojakäytäntö

CapitalBoxin asiakkaiden henkilötietojen käsittelyn periaatteet (Tietosuojakäytäntö)

Viimeksi päivitetty 13. elokuuta 2024

Näissä asiakirjassa esitetyissä asiakkaiden valtuutettujen edustajien henkilötietojen käsittelyä koskevissa periaatteissa (jäljempänä myös "periaatteet") kuvataan, kuinka CapitalBox (jäljempänä myös "me", "meitä" tai "meidän") käsittelee asiakkaiden valtuutettujen edustajien ja muiden rekisteröityjen (jäljempänä myös "sinä") henkilötietoja liittyen tarjoamiimme palveluihin ja tuotteisiin. Näitä periaatteita sovelletaan, jos käytät, olet käyttänyt, olet ilmaissut aikomuksesi käyttää tai olet muuten yhteydessä tuotteisiimme tai palveluihimme, tai jos olet ilmaissut haluavasi saada tietoa tuotteistamme tai palveluistamme.

1. Määritelmät

1.1. Asiakkaan valtuutettu edustaja: Luonnollinen henkilö, joka edustaa oikeushenkilöä, joka on ilmaissut aikomuksensa käyttää CapitalBoxin tarjoamia tuotteita tai palveluita tai solmia takuusopimuksen CapitalBoxin kanssa tai ilmaissut halunsa saada tietoa CapitalBoxin tuotteista tai palveluista.

1.2. Asiakas: Oikeushenkilö, joka hakee lainaa.

1.3. Sopimus: Sopimus, joka on solmittu CapitalBoxin ja asiakkaan välillä.

1.4. Tietosuojasäädökset: Kaikki sovellettavat lait ja asetukset, jotka säätelevät henkilötietojen käsittelyä, mukaan lukien, mutta ei rajoittuen, Euroopan unionin yleinen tietosuoja-asetus (jäljempänä GDPR).

1.5. Rekisteröity: Tunnistettavissa oleva luonnollinen henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnistetiedon, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnisteen tai yhden tai useamman kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, psyykkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvän tekijän perusteella.

1.6. CapitalBox: CapitalBox AB, Linnégatan 22, 114 47 Tukholma, Ruotsi, puhelin 020 797 58 25, sähköposti support@capitalbox.fi.

1.7. Multitude Group: CapitalBox yhdessä niiden yritysten kanssa, joiden pääosakas on suoraan tai epäsuorasti CapitalBoxin emoyhtiö Multitude SE (Malta Business Registry -rekisterinumero SE 21 ST Business Centre, 120 The Strand, Gzira, GZR 1027 Malta).

1.8. GDPR: Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27. huhtikuuta, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta, ja direktiivin 95/46/EY kumoamisesta.

1.9. Henkilötiedot: Kaikki tiedot, jotka liittyvät tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity). Pankkisalaisuuden alaiset tiedot voivat myös sisältää henkilötietoja.

1.10. Käsittely: Kaikki toimet tai toimenpiteet, jotka suoritetaan henkilötiedoilla tai henkilötietosarjoilla, riippumatta siitä, suoritetaan ne automaattisin keinoin vai ei, kuten keräys, tallennus, muokkaus, pääsyn myöntäminen, tiedustelujen tekeminen, siirto, tarkastelu jne.

2. Rekisterinpitäjä

2.1. CapitalBox on vastuussa henkilötietojesi käsittelystä ja on tästä syystä GDPR:n mukainen rekisterinpitäjä.

2.2. Koska CapitalBox on Ruotsin lakien alainen yritys, henkilötietojesi käsittelyyn sovelletaan Ruotsin lakeja.

3. Henkilötietojesi kerääminen

3.1. CapitalBox kerää henkilötietojasi seuraavilla tavoilla:

3.1.1. Sinä toimitat henkilötietosi suoraan CapitalBoxille asiakkaan hakuprosessin aikana hakiessasi CapitalBoxin tuotteita ja/tai palveluita.

3.1.2. CapitalBox on itse kerännyt henkilötietosi aiemman CapitalBox-palveluiden käytön aikana.

3.1.3. CapitalBox kerää henkilötietosi ulkopuolisista lähteistä asiakkaan hakuprosessin aikana hakiessasi CapitalBoxin tuotteita ja/tai palveluita. Tällaisia ulkopuolisia lähteitä ovat muun muassa julkiset ja yksityiset rekisterit, joita CapitalBox käyttää tunnistaakseen asiakkaan ja sinut sekä varmistaakseen henkilöllisyytesi ja suorittaakseen luotto- ja riskinarviointeja. Tarvittavat henkilötiedot riippuvat asiakkaan pyytämistä palveluista tai tuotteista (esim. oletko hakemassa luottoa tai toimimassa henkilökohtaisena takaajana).

3.1.4. Henkilötietosi toimitetaan meille asiakkaan toimesta, joka pyytää CapitalBoxin tuotteita ja/tai palveluita, esimerkiksi jos toimit asiakkaan henkilökohtaisena takaajana tai olet asiakkaan todellinen edunsaaja jne.

3.1.5. Automaattisin keinoin, kun käytät CapitalBoxin verkkosivustoa. Tällainen käsittely selitetään tarkemmin evästeilmoituksessamme, joka on saatavilla verkkosivustollamme ja joka on osa näitä periaatteita. Evästeilmoitus löytyy verkkosivustomme alatunnisteesta ja on myös saatavilla evästebannerin kautta.

3.2. Kerätyt henkilötiedot ovat välttämättömiä alla selitettyihin tarkoituksiin, ottaen huomioon CapitalBoxin tarjoamien palveluiden ja tuotteiden luonteen sekä tarpeen riittävästi tunnistaa asiakkaat ja asiakkaan valtuutetut edustajat sekä heidän luotettavuutensa ja maksukykynsä.

4. Käsiteltävät henkilötiedot

4.1. Ottaen huomioon palveluidemme ja tuotteidemme taloudellisen luonteen, CapitalBox käsittelee seuraavia henkilötietoja seuraaviin tarkoituksiin:

4.1.1. Sopimuksen tekeminen ja sen täyttäminen asiakkaan kanssa. Tähän sisältyy asiakkaan asianmukainen tunnistaminen sekä luotto- ja riskitarkastusten ja -arviointien tekeminen asiakkaalle sen määrittämiseksi, voidaanko sopimus tehdä ja millä ehdoilla. Tällaisen käsittelyn oikeusperusteena on joko sopimuksen tekeminen ja täyttäminen asiakkaan kanssa tai CapitalBoxin oikeutettu etu varmistaa, että asiakas ja asiakkaan valtuutetut edustajat ovat luotettavia ja maksukykyisiä, sekä periä saatavat.

4.1.2. Lainmukaisten velvollisuuksiemme täyttäminen (esim. rahanpesun ja terrorismin rahoittamisen estämistä koskevien sääntöjen ja määräysten noudattaminen asiakkaan asianmukaiseksi tunnistamiseksi ja asiakkaan luotettavuuden ja maksukyvyn varmistamiseksi).

4.1.3. Oikeuksiemme suojaaminen (oikeudellisten vaatimusten esittäminen, käyttäminen ja puolustaminen). Tällaisen käsittelyn oikeusperusteena on CapitalBoxin oikeutettu etu.

4.1.4. Palveluidemme ja tuotteidemme laadun arviointi ja kehittäminen edelleen (esim. asiakastuen ja laadunvarmistuspalvelun kehittäminen). Tällaisen käsittelyn oikeusperusteena on CapitalBoxin oikeutettu etu.

4.1.5. Palveluntarjoajiemme palveluiden laadun arviointi, mikä mahdollistaa meille palveluidemme ja tuotteidemme laadun arvioinnin ja kehittämisen edelleen. Tällaisen käsittelyn oikeusperusteena on CapitalBoxin oikeutettu etu ja asiakaspalvelun laadun kehittäminen.

4.2. Näihin tarkoituksiin CapitalBox käsittelee seuraavia henkilötietoja:

4.2.1. Tunnistetiedot (esim. nimi, syntymäaika, syntymäpaikka, kansalaisuus, henkilötodistuksen tiedot ja kopio, kasvontunnistus, allekirjoitus, osoite);

4.2.2. Yhteystiedot (esim. osoite, puhelinnumero, sähköpostiosoite, viestinnän kieli);

4.2.3. Pankkitiedot (esim. pankkitunnus, pankin nimi, tilinhaltija, tilinumero, tilitapahtumatiedot, jos olet antanut suostumuksesi tähän);

4.2.4. Ammatilliset tiedot (esim. nykyinen ja entinen työnantaja ja työtehtävä);

4.2.5. Taloudelliset tiedot (esim. palkka, tulot, varat, velat, kiinteistöt, verotiedot);

4.2.6. Omaisuuden alkuperää koskevat tiedot (esim. tiedot työnantajasta, liikekumppaneista, liiketoimintatoimista ja tosiasiallisista edunsaajista, tiedot, jotka osoittavat tulojesi ja varallisuutesi alkuperän);

4.2.7. Luottokelpoisuutta/maksukykyä koskevat tiedot (esim. tiedot maksukäyttäytymisestä, vahingoista, joita CapitalBoxille tai muille on aiheutunut, tiedot rahanpesun ja terrorismin rahoittamisen ehkäisyyn liittyvien huolellisuusvelvoitteiden täyttämiseksi ja kansainvälisten pakotteiden noudattamiseksi, mukaan lukien liiketoimintasuhteen tarkoitus ja onko asiakas tai asiakkaan edustaja poliittisesti vaikutusvaltainen henkilö);

4.2.8. Velvollisuuksien täyttämisen yhteydessä saadut tiedot (esim. tiedot, jotka on saatu tutkintaviranomaisten, notaarien, veroviranomaisten, tuomioistuinten ja ulosottomiesten esittämistä tietopyynnöistä);

4.2.9. Viestintätiedot (esim. sähköpostit, puhelutallenteet);

4.2.10. Kirjautumistiedot CapitalBox-tilille;

4.2.11. Tuotteisiin ja palveluihin liittyvät tiedot (esim. sopimuksen täyttäminen tai sen laiminlyönti, tapahtumahistoria, jätetyt hakemukset, pyynnöt ja valitukset).

5. Käsittelyvaatimus

5.1. Henkilötietojesi käsittely CapitalBoxin toimesta voi olla lakisääteinen velvoite, kuten kohdassa 4.1.2 on esitetty. CapitalBox saattaa myös tarvita henkilötietojasi sopimuksen solmimiseen, kuten kohdassa 4.1.1 on esitetty. Jos käsittelyn oikeusperusteena on joko lakisääteinen tai sopimukseen perustuva velvoite, henkilötietojesi toimittamatta jättäminen CapitalBoxille estäisi CapitalBoxia solmimasta suhdetta kanssasi ja saattaisi estää sinua käyttämästä palveluitamme ja tuotteitamme.

6. Käsittely suostumuksen perusteella

6.1. CapitalBox käsittelee henkilötietojasi myös suostumuksesi perusteella (esim. suoramarkkinointitarkoituksiin, samankaltaisten yleisöryhmien luomiseksi, markkinatutkimusten tekemiseksi, tilastollisten tutkimusraporttien laatimiseksi ja asiakasryhmien, tuotteiden ja palvelujen markkinaosuuksien ja muiden taloudellisten indikaattorien analysoimiseksi, jotta ymmärtäisimme paremmin asiakkaiden odotuksia ja kehittäisimme CapitalBoxin malleja, tuotteita, palveluita ja prosesseja).

6.2. Kun käsittely perustuu suostumukseesi, voit peruuttaa suostumuksesi milloin tahansa ottamalla yhteyttä CapitalBoxiin alla kohdassa 13 annettujen yhteystietojen kautta. Huomioithan, että suostumuksen peruuttaminen ei vaikuta ennen suostumuksen peruuttamista tapahtuneen käsittelyn lainmukaisuuteen.

6.3. Voit hallinnoida ja muuttaa evästepohjaisia asetuksiasi verkkosivustomme evästeilmoituksessa, joka on osa näitä periaatteita.

6.4. Mitä tulee suoramarkkinointiviesteihin, jotka on vastaanotettu sähköpostitse, voit myös peruuttaa suostumuksen ja kieltäytyä vastaanottamasta lisäsähköposteja napsauttamalla jokaisen sähköpostin lopussa olevaa "peruuta tilaus" -linkkiä.

7. Automaattinen päätöksenteko ja profilointi

7.1. CapitalBox tekee päätöksen profiloinnin ja automaattisen päätöksenteon perusteella siitä, hyväksytäänkö asiakkaan hakemus saada tuotteitamme tai palveluitamme kokonaan tai osittain vai hylätäänkö se.

7.2. Päätös perustuu asiakkaalta ja asiakkaan valtuutetuilta edustajilta hakemuksessa saatuun tietoon, ulkopuolisista lähteistä, kuten julkisista ja yksityisistä rekistereistä ja muista kolmansilta osapuolilta saatuihin tietoihin sekä aiempaan maksukäyttäytymiseen CapitalBoxilla. Erityisiä henkilötietoryhmiä (kuten terveystietoja, geneettisiä tietoja) ei käsitellä.

7.3. Profilointi ja/tai automaattinen päätöksenteko on välttämätöntä sopimuksen solmimiseksi, CapitalBoxin laillisten velvoitteiden täyttämiseksi asiakkaan asianmukaiseksi tunnistamiseksi, asiakkaan luottokelpoisuuden arvioimiseksi, petosten ehkäisemiseksi ja rahanpesun estämiseksi. Automaattinen päätöksenteko auttaa CapitalBoxia varmistamaan henkilöllisyytesi ja luotettavuutesi täyttää sopimuksen mukaiset velvoitteet. Automaattinen päätöksenteko auttaa meitä tekemään oikeudenmukaisia ja vastuullisia päätöksiä sekä vähentää inhimillisten virheiden, syrjinnän ja vallan väärinkäytön mahdollisuutta ja mahdollistaa päätöksenteon lyhyemmässä ajassa, ottaen huomioon CapitalBoxin vastaanottamien hakemusten määrän. CapitalBox ei myönnä lainaa ja voi peruuttaa myönnetyn lainan, jos se havaitsee, että asiakkaalla on maksuhäiriöitä tai että asiakas on antanut CapitalBoxille virheellistä tietoa.

7.4. Koska päätöksenteko on automaattista, asiakas ei ehkä ole oikeutettu tuotteisiimme tai palveluihimme. Olemme ottaneet käyttöön sopivia toimenpiteitä suojellaksemme asiakkaan oikeuksia, vapauksia ja oikeutettuja etuja ja voimme vakuuttaa, että testaamme säännöllisesti automaattisia menetelmiämme, kuten luottoluokitusmenetelmiä, varmistaaksemme niiden oikeudenmukaisuuden, tehokkuuden ja puolueettomuuden. Jos haluat kiistää automaattisen päätöksen tai ilmaista mielipiteesi, ota yhteyttä alla kohdassa 13 annettujen yhteystietojen kautta.

7.5. CapitalBox käyttää profilointia lisäksi päättääkseen asiakkaan taloudellisen vakauden perusteella, tarjotaanko oma-aloitteisesti korkeampi luottoraja tai muita palveluita ja tuotteita olemassa olevalle asiakkaalle. Olemme perustaneet tällaisen käsittelyn oikeutettuun etuumme markkinoida palveluitamme ja tuotteitamme. Kuvatussa profiloinnissa jotkut asiakkaat eivät ehkä saa tällaisia tarjouksia. Kuitenkin tällaisella profiloinnilla ei ole suoria oikeusvaikutuksia asiakkaalle eikä se merkittävästi vaikuta asiakkaaseen, koska se ei vaikuta olemassa olevaan sopimukseen, ja asiakas voi hakea uutta luottotuotetta oma-aloitteisesti.

8. Henkilötietojen luovuttaminen

8.1. CapitalBoxin tuotteiden ja palveluiden taloudellinen luonne edellyttää, että jaamme henkilötietojasi päivittäisen liiketoimintamme suorittamiseksi, tapahtumien käsittelemiseksi, asiakastilien ylläpitämiseksi ja viranomaisille raportoimiseksi. Varmistamme aina, että kunnioitamme asiaankuuluvia rahoitusalan salassapitovelvoitteita ennen henkilötietojen luovuttamista.

8.2. Jaamme henkilötietojasi vain sellaisten huolellisesti valittujen ja luotettavien kumppaneiden kanssa, joille CapitalBox haluaa tai on jo uskonut palveluiden tarjoamisen, sekä kolmansien osapuolten kanssa, jotka suorittavat lain mukaisia tehtäviä, jos se on mainittu tässä, tai jos se on edellytetty sovellettavien lakien nojalla (esim. kun CapitalBox on velvoitettu jakamaan henkilötietoja viranomaisten kanssa) tai suostumuksellasi.

8.3. CapitalBox voi jakaa henkilötietojasi seuraavien kumppaneiden ja kolmansien osapuolten kanssa:

8.3.1. Asiakkaan valtuutetut edustajat, jotka takaavat velvoitteesi CapitalBoxille (esim. takaaja, takuumies). Oikeusperusteena tälle on CapitalBoxin oikeutettu etu varmistaa sopimuksen noudattaminen.

8.3.2. Asiakas, jonka velvoitteista sinä annat takauksen. Oikeusperusteena tälle on CapitalBoxin oikeutettu etu varmistaa sopimuksen noudattaminen.

8.3.3. Henkilöt, jotka ylläpitävät maksuhäiriörekisterejä. Tällaisen jakamisen oikeusperusteena on CapitalBoxin oikeutettu etu varmistaa sopimuksen noudattaminen tai lakisääteinen velvollisuus varmistaa, että CapitalBoxin tarjoamat palvelut ovat asiakkaalle sopivia ja kohtuullisia.

8.3.4. Luottotietotoimistot, jotka tarjoavat luottoraportteja. Tällaisen jakamisen oikeusperusteena on oikeutettu etumme varmistaa sopimuksen noudattaminen tai lakisääteinen velvollisuus noudattaa vastuullisen lainanannon periaatteita.

8.3.5. Perintätoimistot ja ulosottomiehet. Tällaisen jakamisen oikeusperusteena on CapitalBoxin oikeutettu etu varmistaa sopimuksen noudattaminen.

8.3.6. CapitalBoxin kirjanpitäjät, tilintarkastajat ja viranomaiset. Tällaisen jakamisen oikeusperusteena ovat CapitalBoxia koskevat lakisääteiset velvollisuudet.

8.3.7. Muut Multitude Group -yksiköt. Tällaisen jakamisen oikeusperusteena on CapitalBoxin ja Multitude Groupin oikeutettu etu varmistaa sopimuksen täyttäminen sekä asiakkaan oikeutettu etu varmistaa, että CapitalBoxin tarjoamat palvelut ovat sopivia ja kohtuullisia.

8.3.8. CapitalBoxin yhteistyökumppanit, joiden kanssa CapitalBox tarjoaa yhteisbrändättyjä tuotteita ja palveluita näiden palveluiden ja tuotteiden tarjoamiseksi ja markkinoimiseksi. Tällaisen jakamisen oikeusperusteena on joko suostumuksesi tai oikeutettu etumme tarjota sinulle näitä tuotteita ja palveluita, jos olet olemassa oleva asiakkaamme tai olet äskettäin käyttänyt tuotteitamme tai palveluitamme.

8.3.9. CapitalBoxin markkinointikumppanit. Tällaisen jakamisen oikeusperusteena on CapitalBoxin ja sen markkinointikumppanin oikeutettu etu varmistaa markkinointikampanjan laatu ja toteutus.

8.3.10. Henkilötietojen käsittelijät ja heidän alihankkijansa (esim. oikeudelliset ja muut neuvonantajat, tietojen säilytyspalveluntarjoajat, puhelinmyynnin, markkinointitutkimusten ja kyselyjen palveluntarjoajat, viestintäpalveluntarjoajat, tunnistus- ja varmennuspalveluntarjoajat, kortinhallintapalveluntarjoajat, laskutus- ja maksupalveluntarjoajat, luotto- ja rahoituslaitokset, pankkitietojen keräys, pisteytys- ja luottotarkistuspalveluntarjoajat, online- ja offline-välittäjät, IT-palveluntarjoajat jne.). Tällaisen jakamisen oikeusperusteena on joko suostumuksesi tai oikeutettu etumme varmistaa liiketoimintamme jatkuvuus ja tuotteidemme ja palveluidemme jatkuva tarjoaminen, mukaan lukien tarvittava rahoitus tuotteidemme ja palveluidemme tarjoamiseen ja myöntämämme luottotuotteiden palauttamiseen.

8.3.11. Luottotietotoimistot, jotka tarjoavat luottoraportteja. Tällaisen jakamisen oikeusperusteena on oikeutettu etumme varmistaa sopimuksen noudattaminen tai lakisääteinen velvollisuus noudattaa vastuullisen lainanannon periaatteita.

8.3.12. Perintätoimistot ja ulosottomiehet. Tällaisen jakamisen oikeusperusteena on oikeutettu etumme varmistaa sopimuksen noudattaminen.

8.3.13. Muut kumppanit ja kolmannet osapuolet, joille voimme siirtää, pantata tai luovuttaa oikeutemme ja velvollisuutemme lainsäädännön sallimassa tai edellyttämässä laajuudessa tai kanssasi solmitun sopimuksen mukaisesti. Tällaisen jakamisen oikeusperusteena on joko suostumuksesi tai oikeutettu etumme varmistaa liiketoimintamme jatkuvuus.

9. Henkilötietojen siirtäminen Euroopan talousalueen ulkopuolelle

9.1. CapitalBox siirtää henkilötietoja Euroopan talousalueen ulkopuolelle vain silloin, kun meillä on siihen laillinen perusta, eli vastaanottajalle, joka: (i) sijaitsee maassa, joka tarjoaa riittävän suojan henkilötiedoille; tai (ii) sellaisen välineen nojalla, joka kattaa Euroopan unionin vaatimukset henkilötietojen siirrosta Euroopan talousalueen ulkopuolelle.

10. Henkilötietojen suojaaminen

10.1. CapitalBox pyrkii ylläpitämään fyysisiä, teknisiä ja menettelyllisiä turvatoimenpiteitä, jotka ovat asianmukaisia kyseisten henkilötietojen herkkyyteen nähden. Nämä turvatoimenpiteet on suunniteltu suojaamaan henkilötietojasi menetykseltä ja luvattomalta pääsyltä, kopioinnilta, käytöltä, muokkaamiselta tai luovuttamiselta. Huomaa kuitenkin, että mikään internetin kautta tapahtuva tiedonsiirto tai tietojen säilytysmenetelmä ei ole täysin turvallinen. Jos laki edellyttää meitä ilmoittamaan sinulle henkilötietojesi tietoturvaloukkauksesta, voimme ilmoittaa sinulle siitä sähköisesti, kirjallisesti tai puhelimitse.

11. Henkilötietojen ajan tasalla pitäminen

11.1. Olemme sitoutuneet ylläpitämään hallussamme olevien henkilötietojesi tarkkuutta, täydellisyyttä ja asianmukaisuuden. Meillä on lainmukainen velvoite pitää henkilötietosi ajan tasalla tietosuojasäädösten mukaisesti.

11.2. Sinulla on jatkuva velvollisuus ilmoittaa meille viipymättä kirjallisesti henkilötietojesi muutoksista, mukaan lukien, mutta ei rajoittuen, yhteystietojen muutokset tai muut merkitykselliset tiedot, joita meillä on sinusta. Suosittelemme, että ilmoitat meille välittömästi tällaisista muutoksista, jotta voimme päivittää tietomme asianmukaisesti.

11.3. Jos emme pysty ottamaan sinuun yhteyttä antamillasi yhteystiedoilla tai jos epäilemme, että toimittamasi henkilötiedot ovat epätarkkoja tai vanhentuneita, ryhdymme kohtuullisiin toimenpiteisiin henkilötietojesi tarkistamiseksi ja päivittämiseksi ottamalla sinuun yhteyttä suoraan, jos mahdollista, käyttämällä julkisesti saatavilla olevia lähteitä ja/tai asianmukaisia kolmannen osapuolen palveluita.

12. Tietojen säilyttäminen

12.1. CapitalBox säilyttää henkilötietojasi alan suositusten mukaisesti niin kauan kuin on tarpeen niiden tarkoitusten saavuttamiseksi, joita varten ne kerättiin, tai niin kauan kuin on tarpeen oikeuksiemme suojaamiseksi tai niin kauan kuin sovellettavat säädökset sitä edellyttävät. Huomaa, että jos samoja henkilötietoja käsitellään useisiin tarkoituksiin, säilytämme henkilötietoja pisimmän sovellettavan säilytysajan ajan. Meille sovellettava enimmäisaika on maksutapahtumista johtuvien vaateiden vanhentumisaika, joka on enintään 10 vuotta viimeisestä maksutapahtumastasi tai tilin sulkemisesta lukien, sen mukaan kumpi on myöhäisempi.

13. Oikeutesi

13.1. Sovellettavien tietosuojasäädösten edellyttämässä laajuudessa sinulla on kaikki rekisteröidyn oikeudet henkilötietojesi osalta. Tämä sisältää oikeuden:

13.1.1. Pyytää pääsyä henkilötietoihisi;

13.1.2. Saada kopio henkilötiedoistasi;

13.1.3. Oikaista virheellisiä tai puutteellisia henkilötietoja, jotka liittyvät sinuun;

13.1.4. Poistaa henkilötietosi;

13.1.5. Rajoittaa henkilötietojesi käsittelyä;

13.1.6. Siirtää henkilötietosi;

13.1.7. Vastustaa henkilötietojesi käsittelyä, joka perustuu erityiseen tilanteeseesi ja joka käsitellään CapitalBoxin tai kolmannen osapuolen oikeutetun edun perusteella, tai joka käsitellään suoramarkkinointitarkoituksessa;

13.1.8. Peruuttaa suostumuksesi, jos henkilötietojesi käsittely perustuu suostumukseesi;

13.1.9. Saada tietoa siitä, mistä henkilötietosi ovat peräisin, jos emme ole saaneet niitä suoraan sinulta.

13.1.10. Jos uskot, että oikeuksiasi on rikottu, sinulla on oikeus tehdä valitus:

- CapitalBoxin asiakaspalveluun osoitteessa support@capitalbox.fi; tai

- CapitalBoxin tietosuojavastaavalle osoitteessa support@capitalbox.fi; tai

- Ruotsin tietosuojaviranomaiselle osoitteeseen Integritetsskyddsmyndigheten, Box 8114, 104 20 Tukholma, Ruotsi, puhelinnumero +46 (0)8 657 61 00, tai osoitteessa https://e-tjanster.imy.se/en/klagomal; tai

- Kotimaasi tietosuojaviranomaiselle.

13.2. Kun pyydät pääsyä henkilötietoihisi tai niiden oikaisua tai poistamista, huomioithan, että pyydämme sinulta erityisiä tietoja henkilöllisyytesi ja oikeutesi vahvistamiseksi sekä henkilötietojen hakemiseksi ja niiden tarjoamiseksi sinulle.

13.3. Huomaa, että oikeutesi päästä käsiksi henkilötietoihisi, oikaista tai poistaa niitä, joita meillä on sinusta, ei ole ehdoton. On tilanteita, joissa sovellettava laki tai sääntelyvaatimukset sallivat tai vaativat meitä kieltäytymään pyyntösi täyttämisestä. Lisäksi henkilötiedot saatetaan jo olla tuhottu, poistettu tai anonymisoitu rekisterisäilytysvelvoitteiden ja -käytäntöjen mukaisesti, kuten yllä kohdassa 12 on kuvattu.

13.4. Jos emme voi tarjota sinulle pääsyä henkilötietoihisi tai oikaista tai poistaa niitä, ilmoitamme sinulle syyt, miksi näin on, lakien tai sääntelyrajoitusten alaisena. Vakuutamme, ettemme syrji , jos käytät mitään näissä periaatteissa kuvattuja oikeuksiasi.

13.5. Oikeuksiesi käyttämiseksi ota yhteyttä CapitalBoxiin yllä annetuilla yhteystiedoilla. Huomaa, että voit käyttää joitain oikeuksia kirjautumalla CapitalBoxin henkilökohtaiseen käyttäjätiliisi.

14. Näiden periaatteiden muuttaminen

14.1. Jos henkilötietojen käsittelykäytäntömme muuttuvat tai näitä periaatteita on tarpeen muuttaa sovellettavan lain, oikeuskäytännön tai toimivaltaisten viranomaisten antamien ohjeiden mukaisesti, meillä on oikeus yksipuolisesti muuttaa näitä periaatteita milloin tahansa. Uusimmat periaatteemme julkaistaan aina verkkosivustollamme, ja suosittelemme tarkistamaan nämä vähintään kerran kuukaudessa.

15. Yhteystiedot

15.1. Jos sinulla on kysyttävää CapitalBoxin suorittamasta henkilötietojesi käsittelystä tai haluat käyttää rekisteröidyn oikeuksiasi, voit ottaa yhteyttä meihin yllä kohdassa 13 annetuilla yhteystiedoilla.

15.2. CapitalBox on nimittänyt tietosuojavastaavan, johon voit myös ottaa yhteyttä samoilla yhteystiedoilla.

CapitalBox´s Principles of Processing its Clients Personal Data (Privacy Policy)

Latest updated on August 13, 2024

These principles for Processing the Personal Data of the authorized representative(s) of Clients (hereinafter also principles) describe how CapitalBox (hereinafter also we, us or our) processes Personal Data of the authorized representatives of the Clients and other Data Subjects (hereinafter also you) in relation to the services and products we offer. These principles apply if you use, have used, have expressed an intention to use or are in any other way related to our products or services, or in case you have expressed your wish to receive any information about our products or services.

1. Definitions

1.1. Authorized representative(s) of the Client – A natural person representing the legal entity, who expressed an intention to use the products or services offered by CapitalBox or to conclude a guarantee agreement with CapitalBox or expressed a wish to receive information about CapitalBox’s products or services;

1.2. Client – legal entity that applies for a loan;

1.3. Contract – A contract concluded between CapitalBox and the Client;

1.4. Data Protection Regulations – Any applicable laws and regulations regulating the processing of Personal Data, including but not limited to the European Union’s General Data Protection Regulation (hereinafter GDPR);

1.5. Data Subject –an identifiable natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

1.6. CapitalBox – CapitalBox AB, Linnégatan 22, 114 47 Stockholm, Sweden, phone 020 797 58 25, email support@capitalbox.fi;

1.7. Multitude Group – CapitalBox together with companies the majority shareholder of which is directly or indirectly CapitalBox's parent undertaking Multitude SE (Malta Business Registry, registration number SE 21, ST Business Centre 120, The Strand, Gzira, GZR 1027, Malta);

1.8. GDPR – General Data Protection Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC;

1.9. Personal Data – Any information relating to an identified or identifiable natural person (Data Subject). Data which is protected by banking secrecy may also include Personal Data;

1.10. Processing – Any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, recording, storing, alteration, granting access to, making enquiries, transfer, viewing, etc.

2. Data Controller

2.1. CapitalBox is responsible for the Processing of your Personal Data and for those reasons we are the Data Controller under the GDPR.

2.2. As CapitalBox is a company established under the laws of Sweden, then the Processing of your Personal Data shall be governed by the laws of Sweden.

3. Collecting of your Personal Data

3.1. CapitalBox collects your Personal Data in the following ways:

3.1.1. you provide your Personal Data directly to CapitalBox during the Client’s application process to apply for the CapitalBox products and/or services;

3.1.2. CapitalBox has collected itself your Personal Data in your previous use of CapitalBox services;

3.1.3. CapitalBox collects itself your Personal Data from external sources during the Client’s application process to apply for the CapitalBox products and/or services. Such external sources include but are not limited to public and private registers which CapitalBox uses to identify the Client and you and to verify your identity and perform credit and risk assessments. The Personal Data required depends on the services or products requested by the Client (e.g., whether you are applying for a credit, or acting as a personal guarantor);

3.1.4. your Personal Data is provided to us by the Client requesting the CapitalBox products and/or services, for example if you are acting as a personal guarantor of the Client; or you are the ultimate beneficial owner of the Client, etc.;

3.1.5. By automatic means when you use CapitalBox website. Such Processing is further explained in our Cookie Declaration available at our website, which forms part of these principles. The Cookie Declaration can be found at the footer of our website and is also available through the Cookie banner.

3.2. The Personal Data collected is necessary for the purposes explained below, taking into account the nature of the services and products offered by CapitalBox and the need to sufficiently establish the identity of the Clients and the Client's authorized representatives(s) and their creditworthiness and reliability.

4. Personal Data Processed

4.1. Considering the financial nature of our services and products, CapitalBox Processes Personal Data collected for the following purposes:

4.1.1. Concluding and performing the Contract with our Client. This includes properly identifying the Client and performing credit and risk checks and assessments on the Client to determine whether and on which conditions to conclude the Contract. The legal basis for such Processing is either entering into and performing the Contract with the Client or CapitalBox´s legitimate interests to ensure the Client and the Client's authorized representatives(s) are trust- and creditworthy as well as to collect amounts due;

4.1.2. Performance of our obligations arising from law (e.g., anti-money laundering and terrorist financing rules and regulations to properly identify the Client and ensure the trust- and creditworthiness of the Client);

4.1.3. Safeguarding our rights (establishing, exercising, and defending legal claims). The legal basis for such Processing is CapitalBox’s legitimate interest;

4.1.4. Assessing and developing further the quality of our services and products (e.g., customer support service and quality assurance service). The legal basis for such processing is the legitimate interest of CapitalBox;

4.1.5. Assessing the quality of our (potential) service providers services which enables us to evaluate and develop further the quality of the services and products we offer to our Clients. The legal basis for such processing is the legitimate interest of CapitalBox and developing the quality of customer service.

4.2. For the foregoing, CapitalBox Processes the following Personal Data:

4.2.1. Identification data (e.g., name, date of birth, place of birth, nationality, data and copy of ID, facial/ID recognition, voice, picture, video, signature, address);

4.2.2. Contact data (e.g., address, phone number, e-mail address, language of communication);

4.2.3. Bank data (e.g., bank ID, bank name, account holder, account number, transaction information from your bank account, if you have consented to this);

4.2.4. Professional data (e.g., current and former employer and position);

4.2.5. Financial data (e.g., salary, income, assets, liabilities, properties, tax data);

4.2.6. Data concerning origin of assets (e.g., data concerning employer, transaction partners, business activities and actual beneficiaries, data showing the source of your income and wealth);

4.2.7. Data concerning creditworthiness/trustworthiness (e.g., data concerning payment behaviour, damages caused to CapitalBox or other persons, data to perform the due diligence measures regarding money laundering and terrorist financing prevention and to ensure the compliance with international sanctions, including the purpose of the business relationship and whether the Client or the Client's representative is a politically exposed person);

4.2.8. Data obtained when performing an obligation arising from the law (e.g., information received from requests for information submitted by investigative bodies, notaries, tax authorities, courts and bailiffs);

4.2.9. Communication data (e.g., e-mails, phone call recordings);

4.2.10. Log-in data for the CapitalBox´s account;

4.2.11. Data related to the products and services (e.g., performance of the Contract or the failure thereof, transactions history, submitted applications, requests and complaints).

5. Processing Requirement

5.1. The Processing of your Personal Data by CapitalBox may be required for statutory purposes as set out in Clause 4.1.2. CapitalBox may also require your Personal Data for contractual purposes as set out in Clause 4.1.1. Where the lawful basis of Processing your Personal Data is either statutory or a contractual requirement, failure to provide your Personal Data to CapitalBox in either scenario would result in CapitalBox being unable to enter into a relationship with you and this may prevent you from availing yourself of our services and products.

6. Processing based on consent

6.1. CapitalBox also processes the Personal Data based on your consent (e.g., for direct marketing purposes, preparing and building lookalike audience groups, conducting market research, drawing up statistical research reports and analysing customer groups, market shares of products and services and other financial indicators to better understand Client expectations and to develop CapitalBox's models, products, services and processes).

6.2. When the Processing is based on your consent, you can withdraw your consent at any time by contacting CapitalBox on the contact details provided below in Section 13. Please note that withdrawing your consent does not affect the lawfulness of Processing based on consent before its withdrawal.

6.3. To manage and change your cookie-based preferences, see the Cookie Declaration on our website, which forms part of these principles.

6.4. As for direct marketing messages received by e-mail, you can also withdraw consent and unsubscribe from receiving any further e-mails by clicking on the ‘unsubscribe’ link at the end of each e-mail.

7. Automated decision-making and profiling

7.1. CapitalBox decides based on profiling and automated decision-making whether the Client’s application to receive our products or services is fully or partially accepted or rejected.

7.2. The decision is made based on information received from the Client and the authorized representative(s) of the Client in the application, information received from external sources, such as public and private registers and other third parties, as well as the previous payment behaviour of the Client at CapitalBox. No special categories of Personal Data (such as health data, genetic data) are processed.

7.3. Profiling and/or automated decision-making are necessary for entering the Contract, to meet CapitalBox's legal obligations to properly identify the Client, for assessing the creditworthiness of the Client, fraud prevention and prevention of money laundering. Automated decision-making helps CapitalBox to verify your identity and whether you are trust- and creditworthy to fulfil your obligations under the Contract. Automated decision-making helps us to make fair and responsible decisions and reduce the potential for human error, discrimination, and abuse of power, as well as enables to deliver decision-making within a shorter period, taking into account the volume of applications received by CapitalBox. CapitalBox will not grant a loan and may cancel a loan granted to the Client if it discovers that the Client has payment problems or has provided CapitalBox with untrue information.

7.4. Because the decision-making is automated, the Client might not be eligible for our products or services. We have implemented suitable measures to safeguard the Client's rights and freedoms and legitimate interests and can assure that we regularly test our automated methods, e.g., credit scoring methods, to ensure they remain fair, effective, and unbiased. However, if you want to contest an automated decision made or express your point of view, please contact us on the contact details provided below in Section 13.

7.5. CapitalBox uses profiling in addition to above to decide based on the Client’s financial soundness in using our products and services whether to offer on our own initiative a higher credit amount or other services and products to the existing Client. We have based such Processing on our legitimate interest to market our services and products. As a result of described profiling, some Clients may not receive such offers. However, such profiling does not directly produce any legal effects on the Client or otherwise significantly affect the Client, as this does not influence the already existing Contract and the Client has the chance to apply for a new credit product on the Client´s own initiative.

8. Disclosing the Personal Data

8.1. The financial nature of CapitalBox products and services require us to share your Personal Data to run our everyday business to process transactions, maintain customer accounts, and report to public institutions. We will always ensure to respect relevant financial industry secrecy obligations before sharing any Personal Data.

8.2. We only share your Personal Data with those carefully selected and trusted partners to whom CapitalBox wishes to entrust or has entrusted the provision of services and with the third parties performing functions delegated to them by law, if stipulated herein, required under the applicable law (e.g., when CapitalBox is obligated to share Personal Data with the authorities) or with your consent.

8.3. CapitalBox may share your Personal Data with the following partners and third parties:

8.3.1. Authorized representatives of the Client who guarantee your obligations to CapitalBox (e.g., guarantor, surety). The legal basis for this provision is CapitalBox's legitimate interests in ensuring compliance with the Contract;

8.3.2. Client for whose obligations you guarantee. The legal basis for this provision is CapitalBox's legitimate interests in ensuring compliance with the Contract;

8.3.3. Persons who maintain databases of payment defaults. The legal basis for such sharing is the legitimate interest of CapitalBox to ensure the performance of the Contract or the legal obligation to ensure the services provided by CapitalBox would be suitable and proportionate for the Client;

8.3.4. Credit reference agencies who provide credit reports. The legal basis for such sharing is our legitimate interests to ensure the performance of the Contract or the legal obligation to follow the principles of responsible lending;

8.3.5. Debt collection agencies and bailiffs. The legal basis for this provision is CapitalBox's legitimate interests in ensuring the performance of the Contract;

8.3.6. CapitalBox's accountants, auditors and regulators. The legal basis for this provision is formed by the legal obligations that apply to CapitalBox;

8.3.7. Other group entities of Multitude. The legal basis for such sharing is the legitimate interests of CapitalBox and Multitude Group to ensure that the contract is performed and the legitimate interest of the Client to ensure that the services provided by CapitalBox are appropriate and proportionate;

8.3.8. CapitalBox cooperation partners with whom CapitalBox offers co-branded products and services for providing and marketing those services and products. The legal basis for such sharing is either your consent or our legitimate interest to offer you those product and services if you are our existing Client or used recently our products or services;

8.3.9. Marketing partners of CapitalBox. The legal basis for such sharing is the legitimate interests of CapitalBox and its marketing partner to ensure the quality and execution of the marketing campaign;

8.3.10. Personal Data processors and their sub-processors, e.g., legal and other advisors, data storage providers, telemarketing, marketing and surveys service providers, communication service providers, identification and certification service providers, card management service providers, invoicing and payment service providers, credit and financial institutions, bank data scraping, scoring and credit check service providers, online and offline intermediaries, IT service providers, etc. The legal basis for such sharing is either your consent or our legitimate interests to ensure the continuity of our business and the continued provision of our products and services, including the necessary financing for offering our products and services and the return of credit products granted by us;

8.3.11. Credit reference agencies who provide credit reports. The legal basis for such sharing is our legitimate interests to ensure the performance of the Contract or the legal obligation to follow the principles of responsible lending;

8.3.12. Debt collection agencies and bailiffs. The legal basis for such sharing is our legitimate interests to ensure the performance of the Contract;

8.3.13. Other partners and third parties to which we may assign, pledge, or transfer our rights and obligations to the extent required or allowed under the legislation applicable to CapitalBox or according to the contract concluded with you. The legal basis for such sharing is either your consent or our legitimate interests of ensuring the continuity of our business.

9. Transferring Personal Data outside the EEA

9.1. CapitalBox transfers Personal Data outside of the European Economic Area only where we have a lawful basis to do so, i.e., to a recipient who is: (i) in a country which provides an adequate level of protection for Personal Data; or (ii) under an instrument which covers the European Union requirements for the transfer of Personal Data outside the European Economic Area.

10. Protection of Personal Data

10.1. CapitalBox endeavours to maintain physical, technical, and procedural safeguards appropriate to the sensitivity of the Personal Data in question. These safeguards are designed to protect your Personal Data from loss and unauthorized access, copying, use, modification, or disclosure. Despite these safeguards, please note that no method of transmission over the internet or data storage is fully secure. Should we be required by law to inform you of a breach to your Personal Data we may notify you electronically, in writing, or by phone.

11. Keeping Personal Data Up to Date

11.1. We are committed to maintaining the accuracy, completeness, and relevance of your Personal Data in our possession. As such, it is a legal obligation for us to keep your Personal Data up to date in accordance with the Data Protection Regulations.

11.2. You have an ongoing obligation to promptly inform us in writing of any changes to your Personal Data, including but not limited to changes in your contact information or any other relevant information we hold about you. We encourage you to notify us immediately of any such changes so that we can update our records accordingly.

11.3. In the event that we are unable to contact you using the contact information provided by you, or if we suspect that the personal data provided by you is inaccurate or outdated, we will take reasonable steps to verify and update your personal data by contacting, if possible, you directly, by using publicly available sources and/or respective third-party services available to us.

12. Retention of data

12.1. CapitalBox retains your Personal Data in accordance with industry guidelines for as long as necessary for the purposes for which they were collected, or for as long as necessary to safeguard our rights, or for as long as required by applicable legal acts. Kindly note that if the same Personal Data is Processed for several purposes, we will retain the Personal Data for the longest retention period applicable. For us, the maximum period applicable is the limitation period for claims arising from transactions, which is up to 10 years from the date of your last transaction or closure of the account, whichever is the latest.

13. Your Rights

13.1. To the extent required by applicable Data Protection Regulations, you have all the rights of a Data Subject regarding your Personal Data. This includes the right to:

13.1.1. request access to your Personal Data;

13.1.2. obtain a copy of your Personal Data;

13.1.3. rectify incorrect or incomplete Personal Data relating to you;

13.1.4. erase your Personal Data;

13.1.5. restrict the Processing of your Personal Data;

13.1.6. portability of your Personal Data;

13.1.7. object to Processing of your Personal Data which is based on your overriding particular situation and which is Processed for direct marketing purposes or in reliance on CapitalBox´s or a third party’s, legitimate interest;

13.1.8. withdraw your consent where our Processing of your Personal Data is based on your consent;

13.1.9. be informed of the source from which your Personal Data originates where the Personal Data we hold about you was not provided to us directly by you;

13.1.10. Should you believe that your rights have been violated, you have the right to lodge a complaint with:

- CapitalBox customer service at support@capitalbox.fi; or

- CapitalBox's data protection officer at support@capitalbox.fi; or

- The Swedish Data Protection Authority with the address Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm, Sweden, phone number +46 (0)8 657 61 00 at https://e-tjanster.imy.se/en/klagomal; or

- Data Protection Supervisory Authority of your country.

13.2. When requesting access to, or rectification or deletion of your Personal Data, please note that we shall request specific information from you to enable us to confirm your identity and right to access, rectify or delete, as well as to search for and provide you with the Personal Data that we hold about you.

13.3. Kindly note that your right to access, rectify, or delete your Personal Data we hold about you is not absolute. There are instances where applicable law or regulatory requirements allow or require us to refuse your request. In addition, the Personal Data may have already been destroyed, erased, or made anonymous in accordance with our record retention obligations and practices as described above in Section 12.

13.4. If we cannot provide you with access to, or rectification or deletion of your Personal Data, we will inform you of the reasons why, subject to any legal or regulatory restrictions. We can assure you we will not discriminate you for exercising any of your rights described in these Principles.

13.5.To exercise your rights, please contact CapitalBox on the contact details above. Please note that you can exercise some rights by logging into your CapitalBox personal user account.

14. Amending these principles

14.1. Should our Personal Data Processing practices change or there shall be a need to amend these principles under the applicable law, case-law or guidelines issued by competent authorities, we are entitled to unilaterally amend these principles at any time. Our most recent principles will always be published on our website, and we urge you to check this at least once a month.

15. Contact

15.1. If you have any questions about the Processing of your Personal Data by CapitalBox or would like to exercise your rights as a Data Subject, you can contact us using the contact details above in Section 13.

15.2. CapitalBox appointed a Data Protection Officer whom you also may contact regarding the same on the contact details provided above in Section 13.