Siirry sisältöön

Puolustuskiinteistöjen korotetun tietoturvatallisuustason asianhallintajärjestelmän tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Puolustuskiinteistöt

Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo(at)puolustuskiinteistot.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Rekisterinpitäjä käyttää tietojärjestelmää asianhallintaan, asiakirjojen ja sähköiseen arkistointiin, sisäiseen sähköiseen allekirjoitukseen, toimielinten työskentelyyn ja kokoustenhallintaan, sekä asiakkaiden ja palveluntuottajien yhteyshenkilöiden rekisteriin. Järjestelmä on tarkoitettu korotetun tietoturvallisuustason käsittelyyn erona Konsernin asian- ja dokumenttienhallintajärjestelmästä.

Henkilötietojen käsittely tapahtuu rekisterinpitäjän yleistä etua koskevien tehtävien suorittamiseksi (GDPR artikla 6.1e).

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Järjestelmän käyttäjien (konsernin työntekijät) henkilötiedot: järjestelmään tulee käyttäjähakemiston (AD) kautta käyttäjien henkilötietoja, jotka ovat nimi, sähköpostiosoite ja AD-tunnus.

Asiakasorganisaatioiden henkilöiden tiedot: järjestelmään tallennetaan asiakasorganisaation nimi ja sähköpostiosoite sekä ja asiakasorganisaation edustajan nimitieto, sähköpostiosoite, puhelinnumero.

Palveluntuottajien henkilöiden tiedot: järjestelmään tallennetaan palveluntuottajaorganisaation nimi ja sähköpostiosoite sekä ja organisaation edustajan nimitieto, sähköpostiosoite, puhelinnumero.

Yksityishenkilöiden henkilötiedot: järjestelmään tallennetaan etunimi, sukunimi, sähköposti ja puhelinnumero.

Lisäksi järjestelmän asiat ja asiakirjat voivat sisältää erilaisia henkilötietoja.

4. Säännönmukaiset tietolähteet

Järjestelmien käyttäjien tiedot saadaan tietojenkäsittely-ympäristön käyttäjähakemistosta.

Asiakkaiden, palveluntuottajien ja yksityishenkilöiden yhteystiedot saadaan sopimussuhteen perusteella toiselta osapuolelta (voidaan hyödyntää asiakastietojärjestelmää (CRM) tietolähteenä).

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Pääsy tietoihin on rekisterinpitäjän työntekijöiden lisäksi ainoastaan rekisterinpitäjän palveluntuottajien valtuutetuilla henkilöillä, jotka suorittavat järjestelmän tuki- ja huoltotoimenpiteitä. Tietoja voidaan luovuttaa muille osapuolille, jos näillä on lainmukainen oikeus vastaanottaa henkilötietoja.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Tietoja käsitellään ainoastaan Suomessa.

7. Henkilötietojen suojaus

Senaatti-konserni toteuttaa tietojen turvallisen käsittelyn varmistamalla tekniset ja hallinnolliset vaatimukset auditointien, tarkastusten ja riskienhallinnan keinoin. Vaatimuksia arvioidaan kaikkiin rekisterinpitäjän tietojärjestelmiin, sekä myös niiden palveluntuottajiin tarvittavalla riskienhallinnan tasolla. Tietoja salataan vahvoilla salausmenetelmillä, tai pseudonymisoidaan siten, että tarpeettomat henkilötiedot, joista henkilö voidaan tunnistaa, jätetään pois. Tietojärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus varmistetaan varmuuskopioinnilla ja säännöllisillä tietoturvatarkastuksilla sekä ajantasaisilla ohjelmisto- ja tietoturvapäivityksillä. Menettelyt, joilla testataan, tutkitaan ja arvioidaan säännöllisesti tietojärjestelmien ja palveluiden turvallisuutta, ovat osa Senaatti-konsernin jatkuvaa kehittämisprosessia.

Yhteystietorekisteri (käyttäjät, asiakkaat ja palveluntuottajat) ovat kaikkien järjestelmän käyttäjien nähtävillä.

Asiakirjoissa ja asioissa oleviin henkilötietoihin on rajoitettu pääsyoikeus, mikäli asiakirja sisältää salassa pidettävää tietoa, tai jos asiakirjassa on henkilötietoja, joiden käsittelyä on rajoitettava joko GDPR:n tai muun lainsäädännön perusteella.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Käyttäjätunnukset poistetaan järjestelmästä, kun henkilön työsuhde päättyy ja hänen tunnuksensa poistetaan rekisterinpitäjän keskitetystä pääsynhallinnasta.

Yhteystietorekisterin tiedot (omat henkilöt, asiakkaat, palveluntuottajat) poistetaan järjestelmästä, kun asiakirja, johon henkilötieto on liittynyt, käyttötarkoitus päättyy ja tieto hävitetään.

Asiakirjoihin ja asioihin liittyvät henkilötiedot poistuvat, kun em. poistetaan säilytysaikojen mukaisesti (TOS:n, eli tiedonohjaussuunnitelmassa määritellyn säilytysajan mukaisesti).

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus vastustaa omien henkilötietojensa käsittelyä
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta