Tietosuojaseloste: Rahanpesun ja terrorismin rahoittamisen estäminen

Laadittu 1.12.2022, päivitetty 3.11.2023

Administer Oyj ja sen tytäryhtiöt (yhdessä ”Administer Group”) ovat sitoutuneet huolehtimaan sen hallussa olevien henkilötietojen luottamuksellisuudesta ja tietosuojasta. Henkilötietojen käsittelyssä noudatetaan tietosuojalakia ja muita kulloinkin voimassa olevia henkilötiedon käsittelyä koskevia lakeja, asetuksia, määräyksiä ja viranomaisohjeita. Henkilötiedolla tarkoitetaan tietoa, joka on yhdistettävissä tiettyyn henkilöön.

Tässä tietosuojaselosteessa kuvataan tarkemmin henkilötietojen keräämistä, käsittelyä ja luovutusta koskevat menettelytavat, sekä asiakkaan eli rekisteröidyn oikeudet.  Rekisteröidystä käytetään tässä selosteessa nimitystä asiakas.

1. Yhteisrekisterinpitäjät

Tämä tietosuojaseloste koskee Administer Oyj:n ja sen tytäryhtiöiden yhteistä asiakasrekisteriä rahanpesun ja terrorismin rahoittamisen estämiseksi. Administer Oyj vastaa rekisterin tietoteknisestä ylläpidosta ja toimii keskitettynä yhteyspisteenä tietosuojakysymyksiin liittyen.

Administer Oyj

Konepajankuja 3 B

00510 Helsinki

Y-tunnus: 0593027-4

Puhelin: 020 703 2000

Kaikki rekisteriä koskevat yhteisrekisterinpitäjät on kerrottu konsernin www-sivuilla osoitteessa: https://administergroup.com/administer-konsernin-yhtiolistaus/.

2. Rekisterin yhteyshenkilö

Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja asiakkaan oikeuksien käyttämiseen liittyvissä tilanteissa yhteyshenkilönä toimii Administer Groupin tietosuojavastaava Anja Hänninen.

Tietosuoja@Administer.fi

Puh. 040 5220 621       

Administer Oyj/Tietosuoja, Konepajankuja 3 B, 00510 Helsinki.

3. Rekisterin nimi

Administer Groupin asiakasrekisteri rahanpesun ja terrorismin rahoittamisen estämiseksi.

4. Mitä henkilötietoja keräämme 

Rekisterissä käsitellään Administer Groupin asiakkaiden, niiden yhteyshenkilöiden, asiakasyritysten tosiasiallisten edunsaajien, hallituksen tai vastaavan päättävän elimen jäsenten, toimitusjohtajan ja asiakkaan ja/tai sen tosiasiallisen edunsaajan perheenjäsenen ja/tai yhtiökumppanin sekä muiden asiakassuhteeseen liittyvien henkilöiden henkilötietoja rahanpesulainsäädännön edellyttämässä laajuudessa.  

Rekisterissä käsitellään tai voidaan käsitellä seuraavia tietoja:

  • asiakkaan/asiakkaan edustajan nimi, syntymäaika, henkilötunnus;
  • tosiasiallisten edunsaajien nimi, syntymäaika, henkilötunnus;
  • oikeushenkilön täydellinen nimi, rekisterinumero, rekisteröimispäivä, rekisteriviranomainen;
  • oikeushenkilön hallituksen tai vastaavan päättävän elimen jäsenten täydelliset nimet, syntymäajat, henkilötunnukset ja kansalaisuudet;
  • oikeushenkilön toimiala;
  • henkilön asema ja suhde edustettavaan yritykseen;
  • yhteystiedot (postiosoite, sähköpostiosoite ja puhelinnumero);
  • henkilöllisyyden todentamisessa käytetyn asiakirjan nimi, asiakirjan numero tai muu tunnistetieto ja myöntäjä taikka kopio asiakirjasta tai jos asiakas on etätunnistettu, tiedot todentamisessa käytetystä menettelystä tai lähteistä (hyväksyttyjä henkilöllisyyden todentamisasiakirjoja ovat passi, henkilökortti, ajokortti ja kuvallinen Kela-kortti);
  • tiedot asiakkaan toiminnasta, liiketoiminnan laadusta ja laajuudesta, taloudellisesta asemasta, perusteet liiketoimen tai palvelun käytölle ja tiedot varojen alkuperästä sekä muut Rahanpesulain 4 §:n 1 momentissa tarkoitetut asiakkaan tuntemiseksi hankitut tarpeelliset tiedot
  • rahanpesulain 4 § 3. mom. mukaiset varojen alkuperän selvittämiseen liittyvät tiedot, ja 13 §:n mukaiset poliittisesti vaikutusvaltaiseen henkilöön liittyvän tehostetun tuntemisvelvollisuuden täyttämiseksi hankitut välttämättömät tiedot;
  • ulkomaalaisen asiakkaan, jolla ei ole suomalaista henkilötunnusta, osalta tieto asiakkaan kansalaisuudesta, ETA-alueen viranomaisen myöntämä henkilökortti ja matkustusasiakirjan tiedot; ja
  • pakotetarkistusten yhteydessä kerätyt tiedot.

Administer Group saattaa käsitellä tietosuoja-asetuksen 9 artiklan tarkoittamia biometrisiä tietoja henkilön yksiselitteistä tunnistamista varten (kuten tunnistettavan henkilön kasvokuvan ja passin tai henkilökortin käsittely).

 

5. Henkilötietojen käsittelyn perusta ja käyttötarkoitus

Rekisteriin kerättyjä tietoja käsitellään lakisääteisten ja viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi.  Administer Group kerää asiakkaidensa ja heidän edustajiensa toimittamia henkilötietoja tilitoimisto- ja taloushallintopalveluiden tarjoamiseksi ja toimeksiantojen hoitamiseksi. Henkilötietojen käsittelyn oikeusperusteena on tällöin asiakkuussuhde, sopimussuhde tai oikeutettu etu ammatillisten palveluiden tarjoajana ja/tai toimeksiannon suorittamiseen liittyvä suhde muun toimeksiantoon liittyvän henkilön kanssa. 

Laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) asettaa taloushallintoalalla toimivalle velvollisuuden tuntea asiakkaansa (KYC), suorittaa pakotetarkistukset ja estää rahanpesun ja terrorismin rahoittamisen sekä edistää tällaisten tilanteiden paljastamista ja tutkintaa. Administer Groupin on kerättävä asiakkaan tunnistamiseksi sekä lakisääteisten velvoitteiden hoitamiseksi tarvittavat henkilötiedot. Asiakkaan tuntemistietoja tai muita henkilötietoja, jotka on hankittu ainoastaan rahanpesun ja terrorismin rahoittamisen estämiseksi ja paljastamiseksi, ei käytetä tarkoitukseen, joka on yhteensopimaton näiden tarkoitusten kanssa.

Sikäli kuin edellä sanottuihin lakeihin tai olosuhteisiin perustuva rekisteröintioikeus ylittyy, tai mainittua muuta oikeusperustaa ei ole, pyydetään Asiakkaalta erikseen suostumus henkilötietojen tallentamiseen, käsittelyyn ja säilyttämiseen.

Mikäli Administer Group ei rekisterinpitäjänä saa yllä tarkoitettuja tietoja, ei asiakassuhdetta voida aloittaa tai jatkaa, taikka ryhtyä muuhun sopimukseen tai osallistua oikeustoimeen asiakkaan kanssa.

6. Säännönmukaiset tietolähteet

Henkilötietoja kerätään asiakkaalta itseltään palvelusopimuksen, toimeksiantosopimuksen ja muiden toimeksiantoon liittyvien tapahtumien, selonottovelvollisuuden täyttämisen ja asiakirjojen laatimisen yhteydessä, rekisterinpitäjän palveluita muutoin käytettäessä tai muutoin suoraan asiakkaalta. Henkilötietoja kerätään lisäksi viranomaisten ylläpitämistä rekistereistä sekä joissain tapauksissa kolmansilta osapuolilta. Talouspakotteisiin liittyviä tietolähteitä ovat esimerkiksi kansainvälisten järjestöjen, kuten EU:n ja YK:n, sekä kansallisten järjestöjen ylläpitämät listat.

Suostumukseen perustuvat tiedot kerätään suoraan asiakkaalta tai hänen suostumuksellaan viranomaisen tai kolmannen tahon ylläpitämistä rekistereistä tai lähteistä.

7. Tietojen luovutukset ja tietojen siirrot

Administer Group ei lähtökohtaisesti luovuta henkilötietoja millekään ulkopuolisille tahoille. Toimeksiantoihin liittyvät tiedot, ml. henkilötiedot, ovat lähtökohtaisesti salassapitovelvollisuuden piirissä.  Henkilötietoja voidaan luovuttaa vain voimassa olevan lainsäädännön velvoittamissa ja sallimisissa rajoissa, sekä osapuolten välisen sopimuksen toteuttamiseksi.

Administer Group voi ulkoistaa henkilötietojen käsittelyä osittain palveluntarjoajille, kuten IT-palveluntarjoajille. Henkilötietojen käsittelyä voi tapahtua Administer Groupin alihankkijoiden toimesta, mutta tällöin vain Administer Groupin lukuun.

Administer Group ei lähtökohtaisesti siirrä henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Siinä tapauksessa, että tarpeellisten henkilötietojen käsittelyä on suoritettava EU:n tai ETA:n ulkopuolella, Administer Group varmistaa henkilötietojen suojan riittävän tason esimerkiksi sopimalla käsittelystä henkilötietojen käsittelijän kanssa käyttäen EU:n mallisopimuslausekkeita tai muita tietosuojalainsäädännön mukaisia menetelmiä, jotka koskevat henkilötietojen siirtoa kolmansiin maihin. Käsittelyä EU:n tai ETA:n ulkopuolella voi tapahtua erilaisten tavanomaisten pilvipalvelujen käyttämisen yhteydessä, kuten esim. OneDriven, iCloudin tai Dropboxin yhteydessä.

 

8. Henkilötietojen säilytysaika

Asiakkaan henkilötietoja säilytetään asiakasrekisterissä niin kauan kuin asiakas- ja toimeksiantosuhde on voimassa. Rahanpesulain mukaisia tietoja säilytetään viisi (5) vuotta asiakas- ja toimeksiantosuhteen päättymisen jälkeen, jollei kyseisten tietojen edelleen säilyttäminen pidempään ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin taikka rekisterinpitäjän tai sen palveluksessa olevan oikeuksien turvaamiseksi. Tietojen ja asiakirjojen edelleen säilyttämisen tarpeellisuus tutkitaan tällöin viimeistään kolmen (3) vuoden kuluttua edellisestä säilyttämisen tarpeellisuuden tarkistamisesta. Tarkistamisesta ja sen ajankohdasta tehdään merkintä. Palvelun toimittamiseen ja toimeksiantoihin liittyviä tietoja säilytetään kymmenen (10) vuotta asiakassuhteen tai toimeksiannon päättymisestä.

9. Henkilötietojen suojaus

Rekisterissä olevat henkilötiedot on suojattu lainsäädännössä edellytetyllä tavalla tietoturvallisuudesta huolehtien ja turvatoimenpiteitä mukautetaan vastaamaan teknologian jatkuvaa kehittymistä. Tietoa suojataan palomuurien ja erilaisten salaustekniikoiden avulla, minkä ohella käyttöön valitut laitetilat ovat turvallisia ja kulunvalvonta niissä asianmukainen. Järjestelmissä olevat tiedot varmuuskopioidaan säännöllisesti.

Henkilötietojen käsittelyyn osallistuva henkilöstö on allekirjoittanut tietoturva- ja tietosuojasitoumuksen sekä saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen. Henkilötietoja sisältäviin rekistereihin pääsevät käsiksi vain tietyt ennalta määritellyt henkilöt. Manuaalista aineistoa säilytetään lukituissa tiloissa ja digitaalisesti käsiteltävät henkilötiedot on suojattu käyttöoikeusrajauksin. Käytössä oleviin järjestelmiin kirjaudutaan henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Käyttöoikeudet henkilötietoihin ovat eritasoisia ja niiden myöntämistä ja käyttöä valvotaan liiketoiminnoittain.  

Siltä osin, kuin henkilötietoja käsittelee Administerin lukuun tämän alihankkija, on Administer Groupin ja alihankkijan välisillä sopimuksilla huolehdittu asianmukaisten suojatoimien ja salassapidon järjestämisestä ja varmistettu, että henkilötietojen käsittely täyttää tietosuojalainsäädännön vaatimukset.

10. Asiakkaan oikeudet

Asiakkaalla on oikeus tarkastaa, mitä häntä koskevia tietoja on tallennettu rekisteriin. Asiakkaan oikeuksiin liittyvät yhteydenotot tulee osoittaa rekisterin yhteyshenkilölle, jonka yhteystiedot

löytyvät tämän selosteen alusta.  Administer Group toimittaa edellä mainitut tiedot asiakkaalle 30 päivän kuluessa tarkastuspyynnön esittämisestä.

Edellä sanotusta poiketen asiakkaalla ei ole oikeutta tarkastaa rahanpesulaissa säädetyn ilmoitus- tai selonottovelvollisuuden täyttämiseksi hankittuja tietoja (Rahanpesulain 4:3 §). Tietosuojavaltuutettu voi kuitenkin asiakkaan pyynnöstä tarkastaa näiden tietojen käsittelyn lainmukaisuuden.

Asiakkaalla on oikeus saada häntä koskevat itse toimittamansa asiakastiedot siirretyksi kolmannelle osapuolelle jäsennellysti ja yleisesti käytössä olevassa koneellisesti luettavassa muodossa. Administer Group säilyttää kuitenkin siirretyt tiedot tämän tietosuojaselosteen mukaisesti.

Asiakkaalla on oikeus oikaista itseään koskevia henkilörekisteriin tallennettuja tietoja siltä osin kuin ne ovat virheellisiä. Tarkastus-, oikaisu- tai muun pyynnön voi esittää ottamalla yhteyttä Administer Groupin asiakaspalveluun tässä selosteessa mainituilla yhteystiedoilla.

Asiakkaalla on oikeus vastustaa häntä itseään koskevia tietojen käsittelyä suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta ja Administer Groupin liiketoiminnan kehittämistä varten sekä rajoittaa häntä koskevien tietojen käsittelyä, sekä oikeus saada häntä koskevat jo rekisteröidyt mainittuun tarkoitukseen tallennetut henkilötiedot poistetuksi, vaikka peruste tiedon käsittelylle muutoin olisikin.

Mikäli rekisterissä oleva tieto perustuu asiakkaan antamaan suostumukseen, on suostumus koska tahansa peruutettavissa ilmoittamalla tässä selosteessa mainitulle Administer Groupin edustajalle. Pyynnön perusteella poistetaan kaikki ne tiedot, joita ei ole säilytettävä, tai voida säilyttää, lain tai muun tässä tietosuojaselosteessa mainitun perusteen nojalla.

Asiakkaalla on oikeus tehdä valitus valvontaviranomaiselle, jos asiakas katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuojalainsäädäntöä. Ilmoituksen epäkohdasta henkilötietojen käsittelyssä voi tehdä tietosuojatoimiston internetsivuilla: https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa.

11. Profilointi ja automaattinen päätöksenteko

Administer Group ei tee henkilötietojen pohjalta asiakkaaseen kohdistuvaa profilointia tai käytä automaattista päätöksentekoa.

12. Muutokset tietosuojaselosteessa

Administer Group kehittää liiketoimintaansa jatkuvasti, mistä syystä Administer Group pidättää oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä palveluissaan. Muutokset tietosuojaselosteeseen voivat perustua myös lainsäädännön muuttumiseen. Tietosuojaselostetta koskevista muutoksista Administer Group tiedottaa verkkosivuillaan julkaisemalla siellä päivitetyn tietosuojaselosteen sekä muutoksentekopäivämäärän. Administer Group suosittelee, että asiakkaat tästä syystä tarkistavat ajantasaisen tietosuojaselosteen säännöllisesti Administer Groupin verkkosivuilta. Mikäli Administer Group tekee tietosuojaselosteeseen merkittäviä muutoksia, Administer Group tiedottaa asiasta myös muulla tavoin kuten lähettämällä sähköpostiviestin tai julkaisemalla tiedotteen sivuilla ja/tai sosiaalisen median sivuilla ennen muutosten voimaantuloa.

Administer Groupin tietosuojaselosteet löydät täältä: https://administergroup.com/tietosuojaselosteet/.

Tämä tietosuojaseloste on päivitetty viimeksi 3.11.2023.

13. Yhteydenotot

Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa autamme sinua mielellämme. Katso yhteystiedot tietosuojaselosteen alussa kohdasta 2. Rekisterin yhteyshenkilöt.