Privacy Policy

This is the up-to-date privacy policy for the PlusID service. The privacy policy is valid until further notice. Please come back here to revise and read the latest privacy policy.

Last updated: 11th of October, 2021. 

PlusID Privacy Policy

This Privacy Policy is related to the PlusID service provided by Aalto Business Oy. Aalto Business Oy acts as the registrar and the user of the PlusID service is registered user. The Privacy Policy applies to the PlusID service, website and application and your personal information that you have given or authorized to retrieve or verify from third party services or through similar interfaces that the PlusID Service has provided to the controller by technical or non-technical means to use the Service. As a user of the service, you accept the terms of the privacy policy. The privacy policy is part of the general terms of use of the PlusID service.

Aalto Business Oy takes your data protection seriously and undertakes to comply with the general EU data protection regulation and related national legislation when processing your personal data.


Contact details of the controller

Name and business ID: Aalto Business Oy (3134988-9)

Address: PO Box 164, 00701 HELSINKI

E-mail address:
(via e-mail you can also contact the company’s data protection officer, Data Protection Officer, contacts in Finnish or English)


Purpose and legal basis of the processing of personal data

Personal data is stored in the registrar’s register to enable the use of the PlusID service.

The processing of personal data is based on the data subject’s consent, which the data subject gives when registering with the service by accepting this data protection policy.

The processing of personal data is also necessary in connection with the legal obligations of the controller (such as the provisions of the Money Laundering and Payment Institutions Act and related regulations).


Retention periods of personal data and criteria for their determination

We will only retain your personal information for as long and to the extent necessary to provide the Service. If the service is terminated, the data will be retained for the period required by law.

The Money Laundering and Terrorist Financing Prevention Act requires information to be retained for five (5) years from the termination of a regular customer relationship or the execution of an occasional transaction.


Information content of the register

The following information can be stored in the register:

– PlusID *

– Password *

– Pin code *

– Full name *

– Personal identity number and / or other official identifying information *

– Address information

– Mobile phone number *

– Email address

– Information on the registered student’s, pensioner’s and / or physical disabilities

– Gender of the data subject

– Face and / or profile picture

– Passport information

– Bank details

– Information on cryptocurrency wallets

– WhatsApp phone number

– Information on social media services

– Company information and / or other information stored in connection with the registration of the transaction service

– Public default notes

– Authorizations given by the user in the service

– Internal analytics (eg trust score)

– Information related to customer knowledge required by the Money Laundering Act

– Information required by payment institution legislation

– Transaction-specific log information for information and payment requests

– Information related to transactions, purchases and payments

– Event-specific identification and timestamps of identification and / or verification events

In addition, general information can be stored in the register to improve the use and security of the service *:

– IP address

– Internet browser information

– General statistics

– Error reports

– Service log information

The registered user influences the choice of information to be stored in the service itself, except for the information that is required by the service as mandatory. Mandatory information related to the use of the PlusID service is marked in the above list with an *. Please note that requests for information from PlusID community transaction services vary by service.

In addition, the Service may collect and store other general statistical information related to the development of the Service and user behavior using Google Analytics. This information is collected anonymously. The service also collects and stores information related to service problems and error situations for the purpose of developing the service. Error report data is anonymized.


Regular sources of personal data

Personal data is obtained from the data subject himself and through third parties through interfaces for retrieving and / or verifying and verifying user data enabled by the PlusID service. Only data for which the data subject has given his or her express consent is stored in the service.

In the case of strong authentication, in connection with the implementation of the service, the PlusID service receives a personal identity number and a user name from the user registered in the service, which is stored and verified in the user’s data.

Through strong authentication via a passport or ID card, the PlusID service receives the ID card or passport number, validity period and other possible identifying information from the user registered in the service. This information is stored and verified in the user information.

With regard to the obsolescence of verified data, the user must ensure the correctness and accuracy of the data as required by the service, so that the validity of the data can be verified in a manner sufficient for the usability of the service.


Regular disclosures

The data may be disclosed to the registrar’s transaction services belonging to the PlusID community, if the data subject gives permission in the PlusID service. Only information for which the data subject has given his or her prior consent to the disclosure shall be disclosed to the transaction services. The data subject can see each handover transaction from the PlusID interface, from which the information request can also be accepted. By accepting the terms and conditions, the data subject consents to the fact that the information required for the provision of services and access to the service may, however, be disclosed to third parties without the data subject’s express consent.

The information may be disclosed to different authorities as required by applicable law.

Personal data will not be transferred outside the EU or the European Economic Area unless required by applicable law.


Registry security principles

The data controller shall ensure that the personal data of the data subject are stored in a data-secure manner. The controller has extensive organizational and technical measures in place to protect personal data.

The company’s premises have a monitoring and alarm system. The written material is in separately locked rooms. The said material shall be kept for the time required by the law in force at the time. Personal information is only available to a limited number of staff.

The information entered in the register is confidential. The staff has given a commitment to keep the information they receive in the course of their work confidential. Access to the register requires a personal username and password. The controller shall endeavor to correct any errors found without undue delay.

All information stored in the register shall be encrypted in accordance with generally valid and secure principles. The data stored in the register is encrypted during both transmission and storage, and the stored data is encrypted at multiple levels.


Automatic decision making and profiling

The service can perform automatic decision making and user profiling as part of the service’s functionality. In connection with automatic decision-making, the information in the register and, possibly, the services of third parties that enable the use of the service are used. These situations may be related to, for example, checking the user’s creditworthiness, opening the billing function and ensuring the introduction of the service, for example on behalf of the user’s age.

By accepting the terms and conditions, the data subject consents to the use of automated decision-making and profiling without the separate consent of the data subject on a transaction-by-transaction basis.


Your rights

Under the Data Protection Regulation, the data subject has the following rights:

A) Each registrant has the right to check their data, which has been stored in the personal data register by logging in to the PlusID service with their own user IDs, or a request for register data can be made to Aalto Business Oy by e-mail to the above address (see “Registrar’s contact information”). In response, the data subject shall also be informed of the origin of the data, their purpose and information on where the data may be disclosed. The data subject shall present in the request for verification his or her identification information necessary for searching for the information.

The data subject may also make a request for personal data by post to:

Aalto Business Oy, “Request for verification of PlusID information”, PO Box 164, FI-00701 Helsinki

B) Every data subject has the right to request the correction of incorrect information about him or her that is in the customer register. A request for the correction of register information can be made to Aalto Business Oy by e-mail or post. In his request for rectification, the customer must provide the identification information necessary to search for the information and the changes he requires to be made. A processing fee may be charged for repeated requests from the data subject.

If incorrect, unnecessary, incomplete or otherwise outdated information is discovered on your own initiative through staff or automated inspections, such information will be corrected or deleted immediately.

C) Each data subject has the right, under certain conditions, to request the removal of his or her personal data from the customer register. A request for the deletion of register data can be made by Aalto Business Oy by e-mail or post. Similarly, data subjects have the right to be informed about the processing of their personal data (as reflected in this Privacy Policy), to restrict their processing if necessary, to transfer their data from one system to another (if alternative systems exist), to object to their processing and not to be subject to automatic decision-making.

D) The data subject may also refer a matter concerning his or her data protection rights to the Office of the Data Protection Officer. The website address of the Data Protection Commissioner is:



The service uses the local data storage and / or cookies of the user’s browser. Cookies are used to ensure the functionality, security, development and quality of the service. The user can delete cookies or stored data at any time from their browser. The PlusID service may not work in all respects without permission to store data and / or cookies.



The controller shall update its privacy policy on a regular basis. An up-to-date Privacy Policy is always available at

We encourage you to review this Privacy Policy regularly for any updates.


PlusID Tietosuojakäytäntö


Tämä tietosuojakäytäntö liittyy Aalto Business Oy:n tarjoamaan PlusID-palveluun. Aalto Business Oy toimii rekisterinpitäjänä ja PlusID-palvelun käyttäjä on rekisteröity. Tietosuojakäytäntö koskee PlusID-sovellusta ja niitä henkilötietojasi, jotka olet antanut tai antanut luvan noutaa tai vahvistaa kolmansien osapuolien palveluista taikka vastaavien rajapintojen kautta, jotka PlusID-palvelu on mahdollistanut teknisin tai ei-teknisin menetelmin rekisterinpitäjälle palvelun käyttämiseksi. Palvelun käyttäjänä hyväksyt tietosuojakäytännöstä ilmenevät ehdot. Tietosuojakäytäntö on osa PlusID-palvelun yleisiä käyttöehtoja.

Aalto Business Oy suhtautuu tietosuojaasi vakavasti ja sitoutuu noudattamaan henkilötietojesi käsittelyssä EU:n yleistä tietosuoja-asetusta sekä siihen liittyvää kansallista lainsäädäntöä.


Rekisterinpitäjän yhteystiedot

Nimi ja y-tunnus: Aalto Business Oy (3134988-9)

Osoite: PL 164, 00701 HELSINKI

(sähköpostin kautta saa yhteyden myös yhtiön tietosuojavastaavalle, Data Protection Officer, yhteydenotot suomeksi tai englanniksi)



Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietoja tallennetaan rekisterinpitäjän rekisteriin PlusID-palvelun käyttämisen mahdollistamiseksi.

Henkilötietojen käsittelyn perusteena on rekisteröidyn antama suostumus, jonka rekisteröity antaa palveluun rekisteröityessään hyväksymällä tämän tietosuojakäytännön.

Henkilötietojen käsittely on tarpeen myös rekisterinpitäjän lakisääteisiin velvoitteisiin liittyen (kuten rahanpesulain ja maksulaitoslain säädökset sekä niihin liittyvät asetukset).


Henkilötietojen säilytysajat ja niiden määrittämisen kriteerit

Säilytämme henkilötietojasi ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista palvelun tarjoamiseksi. Mikäli palvelu irtisanotaan, tietoja säilytetään lainsäädännön edellyttämä määräaika.

Laki rahapesun ja terrorismin rahoituksen ehkäisystä edellyttää tietoja säilytettävän viisi (5) vuotta vakituisen asiakassuhteen päättymisestä tai satunnaisen liiketoimen suorittamisesta.


Rekisterin tietosisältö

Rekisteriin voidaan tallentaa seuraavia tietoja:

  • PlusID-tunniste *
  • Salasana *
  • PIN-koodi *
  • Koko nimi *
  • Henkilötunnus ja/tai muu henkilön yksilöivä virallinen tunnistetieto *
  • Osoitetiedot
  • Matkapuhelinnumero *
  • Sähköpostiosoite
  • Rekisteröidyn opiskelija-, eläkeläis- ja/tai liikuntarajoitteisuustieto
  • Rekisteröidyn sukupuoli
  • Kasvo- ja/tai profiilikuva
  • Passin tiedot
  • Pankkitiedot
  • Kryptovaluuttalompakoiden tiedot
  • WhatsApp-puhelinnumero
  • Sosiaalisen median palveluiden tiedot
  • Yrityksen tiedot ja/tai muut asiointipalvelun rekisteröinnin yhteydessä tallennettavat tiedot
  • Julkiset maksuhäiriömerkinnät
  • Käyttäjän palvelussa antamat valtuutukset
  • Sisäinen analytiikka (esim. trust score)
  • Rahanpesulain vaatimia asiakkaan tuntemiseen liittyviä tietoja
  • Maksulaitoksia koskevan lainsäädännön edellyttämiä tietoja
  • Tapahtumakohtaiset lokitiedot tieto- ja maksupyynnöistä
  • Asiointi-, osto- ja maksutapahtumiin liittyvät tiedot
  • Tapahtumakohtaiset tunnistus- ja/tai varmennustapahtumien yksilöidyt tiedot ja aikaleimat

Lisäksi rekisteriin voidaan tallentaa tietoa palvelun käyttöä ja turvallisuutta parantavia yleisiä tietoja *:

  • IP-osoite
  • Internetselaimen tiedot
  • Yleiset tilastotiedot
  • Virheraportit
  • Palvelun lokitiedot

Rekisteröity käyttäjä vaikuttaa itse palveluun tallennettavien tietojen valintaan, pois lukien ne tiedot, jotka palvelussa tarvitaan pakollisena. Pakolliset PlusID-palvelun käyttöön liittyvät tiedot on merkitty em. listaan * -merkillä. Huomioithan, että PlusID-yhteisön asiointipalveluiden tietopyynnöt vaihtelevat palvelukohtaisesti.

Lisäksi palvelu voi kerätä ja tallentaa muita yleisiä tilastollisia tietoja palvelun kehittämiseen ja käyttäjien käyttäytymiseen liittyen käyttäen Google Analytics -palvelua. Nämä tiedot kerätään anonymisoituna. Palvelu kerää ja tallentaa myös palvelun ongelmiin ja virhetilanteisiin liittyviä tietoja palvelun kehittämistarkoituksessa. Virheraporttitiedot ovat anonymisoituja.


Henkilötietojen säännönmukaiset lähteet

Henkilötietoja saadaan rekisteröidyltä itseltään ja PlusID-palvelun mahdollistamien käyttäjän tietojen noutamiseen ja/tai varmistamiseen sekä tarkistamiseen tarkoitettujen rajapintojen kautta kolmansien osapuolien kautta. Palveluun tallennetaan vain sellaisia tietoja, joiden tallentamiseen rekisteröity on antanut nimenomaisen suostumuksensa.

Vahvan tunnistautumisen osalta palvelun käyttöönoton yhteydessä PlusID-palvelu saa palveluun rekisteröityneestä käyttäjästä henkilötunnuksen ja käyttäjän nimen, joka tallennetaan ja verifioidaan käyttäjän tietoihin.

Passin tai ID-kortin kautta tapahtuvan vahvan tunnistautumisen kautta PlusID-palvelu saa palveluun rekisteröityneestä käyttäjästä ID-kortin tai passin numeron, voimassaoloajan sekä muita mahdollisia yksilöiviä tunnistetietoja. Nämä tiedot tallennetaan ja verifioidaan käyttäjän tietoihin.

Verifioitujen tietojen vanhenemisen osalta käyttäjän tulee varmistaa tietojen oikeellisuus ja paikkansa pitävyys palvelun vaatimalla tavalla, jotta tietojen voimassaolosta voidaan varmistua palvelun käytettävyyden kannalta riittävällä tavalla.


Tietojen säännönmukaiset luovutukset

Tietoja voidaan luovuttaa rekisterinpitäjän PlusID-palvelun yhteisöön kuuluville asiointipalveluille rekisteröidyn antaessa siihen PlusID-palvelussa luvan. Asiointipalveluille luovutetaan ainoastaan ne tiedot, joiden luovuttamiseen rekisteröity on antanut suostumuksensa etukäteen. Rekisteröity näkee jokaisen luovutustapahtuman PlusID-käyttöliittymästä, josta myös tietopyynnön hyväksyminen voidaan tehdä. Ehdot hyväksymällä rekisteröity antaa suostumuksensa siihen, että palveluiden toimittamiseen ja palvelun käytön mahdollistamiseen vaadittavat tiedot voidaan kuitenkin luovuttaa kolmansille osapuolille ilman rekisteröidyn erillistä suostumusta.

Tietoja voidaan luovuttaa voimassa olevan oikeuden vaatimalla tavalla eri viranomaisille.

Henkilötietoja ei luovuteta EU:n tai Euroopan talousalueen ulkopuolelle, jollei voimassa oleva lainsäädäntö sitä kulloinkin edellytä.


Rekisterin suojauksen periaatteet

Rekisterinpitäjä huolehtii siitä, että rekisteröidyn henkilötietoja säilytetään tietoturvallisella tavalla. Rekisterinpitäjällä on käytössä laajat organisatoriset ja tekniset toimenpiteet henkilötietojen suojaamiseksi.

Yrityksen toimitiloissa on valvonta- ja hälytysjärjestelmä. Kirjallinen aineisto on erikseen lukituissa tiloissa. Mainittua aineistoa säilytetään kulloinkin voimassa olevan oikeuden edellyttämä aika. Henkilötiedot ovat vain rajatun henkilökunnan joukon käytössä.

Rekisteriin merkityt tiedot ovat luottamuksellisia. Henkilökunta on antanut sitoumuksen työssään saamiensa tietojen salassa pitämisestä. Rekisterin käyttäminen edellyttää henkilökohtaista käyttäjätunnusta sekä salasanaa. Rekisterinpitäjä pyrkii korjaamaan kaikki havaitut virheet ilman aiheetonta viivytystä.

Kaikki rekisteriin tallennettavat tiedot salataan yleisesti voimassa olevien ja tietoturvallisten periaatteiden mukaisesti. Rekisteriin tallennettavat tiedot salataan niin siirron kuin tallennuksen aikana ja tallennettu tieto on salattu monitasoisesti.


Automaattinen päätöksenteko ja profilointi

Palvelussa voidaan suorittaa automaattista päätöksentekoa ja käyttäjän profilointia osana palvelun toiminnallisuutta. Automaattisen päätöksenteon yhteydessä käytetään rekisterin tietoja sekä mahdollisesti palvelun käytön mahdollistavia kolmansien osapuolien palveluita. Nämä tilanteet voivat liittyä esimerkiksi käyttäjän luottokelpoisuuden tarkistamiseen, laskuttamistoiminnon avaamiseen sekä palvelun käyttöönoton varmistamiseen esimerkiksi käyttäjän iän puolesta.

Ehdot hyväksymällä rekisteröity antaa suostumuksensa siihen, että palveluiden toimittamiseen ja sujuvuuden mahdollistamiseen voidaan käyttää automattista päätöksentekoa sekä profilointia ilman rekisteröidyn erillistä tapahtumakohtaista suostumusta.



Rekisteröidyllä on tietosuoja-asetuksen nojalla seuraavat oikeudet:

  1. A) Jokaisella rekisteröidyllä on oikeus tarkastaa tietonsa, jotka henkilötietorekisteriin on tallennettu kirjautumalla PlusID-palveluun omilla käyttäjätunnuksillaan, tai rekisteritietojen saamiseksi tarkoitettu pyyntö voidaan tehdä Aalto Business Oy:lle sähköpostitse em. osoitteeseen (ks. kohta ”Rekisterinpitäjän yhteystiedot”). Vastauksen yhteydessä rekisteröidylle ilmoitetaan myös mistä tiedot ovat peräisin, niiden käyttötarkoitus ja tieto siitä, mihin tietoja mahdollisesti luovutetaan. Rekisteröidyn tulee esittää tarkastuspyynnössä tiedon etsimiseen tarpeelliset yksilöintitietonsa.

Rekisteröity voi tehdä henkilötietoja koskevan pyynnön myös postitse osoitteeseen:

Aalto Business Oy, ”PlusID tietojen tarkastuspyyntö”, PL 164, 00701 Helsinki

  1. B) Jokaisella rekisteröidyllä on oikeus pyytää häntä koskevan virheellisen tiedon korjaamista, joka on asiakasrekisterissä. Rekisteritietojen korjaamista koskeva pyyntö voidaan tehdä Aalto Business Oy:lle sähköpostitse tai postitse. Asiakkaan tulee esittää korjaamista koskevassa pyynnössään tiedon etsimiseen tarpeelliset yksilöintitietonsa sekä muutokset, joita hän vaatii tehtäväksi. Rekisteröidyn toistuvista pyynnöistä voidaan veloittaa käsittelymaksu.

Mikäli virheellinen, tarpeeton, puutteellinen tai muutoin vanhentunut tieto havaitaan henkilökunnan tai automatisoidun tarkastuksen kautta oma-aloitteisesti, tällainen tieto oikaistaan tai poistetaan välittömästi.

  1. C) Jokaisella rekisteröidyllä on tietyin edellytyksin oikeus pyytää häntä koskeva henkilötieto poistettavaksi asiakasrekisteristä. Rekisteritietojen poistamista koskeva vaatimus voidaan tehdä Aalto Business Oy:n sähköpostitse tai postitse. Vastaavasti rekisteröidyillä on oikeus saada tietoja henkilötietojensa käsittelystä (tiedot ilmenevät tästä tietosuojakäytännöstä), tarvittaessa rajoittaa tietojensa käsittelyä, mahdollisuus siirtää tietonsa järjestelmästä toiseen (jos vaihtoehtoisia järjestelmiä on olemassa), vastustaa tietojensa käsittelyä ja olla joutumatta automaattisen päätöksenteon kohteeksi.
  2. D) Rekisteröity voi myös saattaa tietosuojaa koskevia oikeuksiaan koskevan asian tietosuojavaltuutetuntoimiston tutkittavaksi. Tietosuojavaltuutetuntoimiston verkkosivujen osoite on:



Palvelu käyttää käyttäjän selaimen paikallista tietovarastoa ja/tai cookies-evästeitä. Evästeitä käytetään palvelun toiminnallisuuden, turvallisuuden, kehittämisen ja laadun varmistamiseen. Käyttäjä voi poistaa evästeet tai tallennetut tiedot milloin tahansa selaimestaan. PlusID-palvelu ei välttämättä toimi kaikilta osin ilman tietovaraston ja/tai evästeiden tallennuksen sallimista.



Rekisterinpitäjä päivittää tietosuojakäytäntöään säännöllisesti. Ajantasainen tietosuojakäytäntö on aina saatavilla osoitteessa Suosittelemme tutustumaan tietosuojakäytäntöön säännöllisesti saadaksesi tiedon siihen mahdollisesti tehdyistä päivityksistä.