Siirry sisältöön

Senaatti-kiinteistöjen kuntien tilatietopalvelun tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Senaatti-kiinteistöt
Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo(at)senaatti.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Senaatti-kiinteistöt kokoaa Skenarios-palveluun tietoja kuntien omistamista ja vuokraamista rakennuksista. Palvelussa käsitellään rakennusten perustietoja, sekä kustannus-, investointi- ja vuokratietoja kuntien päätöksenteon tueksi.

Laissa Senaatti-kiinteistöistä ja Puolustuskiinteistöistä 1018/2020 2§ 1 mom. säädetään Senaatti-kiinteistöjen tehtävistä seuraavasti: ”Senaatti-konsernin liikelaitosten tehtävänä on toimia kiinteistö- ja toimitilaliiketoiminnan toimialalla tuottaen valtion tarpeisiin kiinteistö- ja tilapalveluita, tilajohtamisen ja -hallinnon palveluita, tilojen hankintaan, hallinnointiin ja luovuttamiseen liittyviä palveluita ja näihin välittömästi liittyviä muita palveluja palvelusopimusten perusteella liikelaitoslain 2 §:ssä tarkoitetuille asiakkaille. Lisäksi liikelaitosten tehtävänä on huolehtia hallinnassaan olevasta valtion kiinteistövarallisuudesta, sen hoidosta ja hallinnosta sekä tarvittaessa valtion kiinteistövarallisuuden ja siihen liittyvän muun omaisuuden luovuttamisesta, hankinnasta, hoidosta ja hallinnosta. Senaatti-konsernin liikelaitokset voivat tuottaa palveluita vähäisessä määrin myös muille asiakkaille.”

Tilatietopalvelun henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseen (GDPR artikla 6.1c). Henkilötietojen käsittely asiakasjärjestelmässä on tarpeen rekisterinpitäjän yleistä etua koskevan tehtävän suorittamiseksi (GDPR artikla 6.1e).

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Skenarios-järjestelmässä käsitellään tietopalvelun käyttämiseen liittyviä käyttäjätunnuksia, jotka ovat rekisterinpitäjän sekä järjestelmää käyttävien asiakasorganisaatioiden (kuntien ja kuntayhtiöiden työntekijöiden, myös edellä mainittujen konsultit) henkilötietoja. Järjestelmän sisältämät käyttäjätiedot ovat: etunimi, sukunimi, sähköposti, käyttäjätunnus, organisaatio, maa, käyttäjän voimassaolotieto, kirjautumistiedot.

Skenarios-järjestelmässä voi olla yksityishenkilöiden tietoja (etunimi, sukunimi, osoite), jos vuokrasopimus on tehty yksityishenkilölle.

Liikuntapaikkajärjestelmään (uimahallit ja jäähallit) on pääsy rekisterinpitäjän lisäksi vain Opetus- ja kulttuuriministeriöllä ja Aluehallintovirastolla.

Senaatti-kiinteistöt käsittelee kuntien tilatietopalveluiden asiakkaiden henkilötietoja myös asiakkuudenhallintajärjestelmässä (CRM). Käsiteltävät henkilötiedot ovat: etunimi, sukunimi, tehtävänimike, organisaatio, sähköposti, työpuhelin, työpaikan osoitetiedot (lähiosoite, postinumero, postitoimipaikka), matkapuhelin, Kuntatila-palvelun verkkorooli, Azure-id-tunnus, rooli (yhteyshenkilö, allekirjoittaja). CRM:stä tehdään markkinointia ja asiakaskyselyjä. Henkilöihin voidaan liittää mm. muistiinpanoja ja sähköposteja.

4. Säännönmukaiset tietolähteet

Käyttäjätunnukset Skenarios-järjestelmään ja raportteja varten saadaan asiakasorganisaatioiden työntekijöiltä itseltään heidän rekisteröityessä Kuntatila-palveluportaalin.

Asiakasorganisaatioiden työntekijöiden henkilötiedot tallennetaan asiakkuudenhallintajärjestelmään. Tiedot voidaan saada henkilöltä itseltään, tai muutoin (tiedot voidaan kerätä julkisista lähteistä tai saada asiakasorganisaatioiden yhteyshenkilöiltä).

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Rekisterinpitäjien lisäksi henkilötiedot on siirretty rekisterinpitäjän lukuun toimivan käsittelijän saataville käsittelytehtävien suorittamiseksi.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

7. Henkilötietojen suojaus

Rekisterinpitäjä on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Järjestelmän tiedot on suojattu palomuurilla ja muilla teknisillä keinoilla. Järjestelmän käyttö edellyttää henkilön tunnistautumista.

Henkilötietoihin on pääsy ainoastaan niillä henkilöillä, joilla on siihen sovittujen työtehtävien kannalta perusteltu tarve. Henkilö rekisteröityy Kuntatila-palveluportaaliin, josta rekisterinpitäjä valtuuttaa henkilön sen mukaisesti kuin asiakasorganisaation yhteyshenkilö ilmoittaa. Asiakasorganisaation työntekijät voivat nähdä ainoastaan omien rakennusten/kiinteistöjen tietoja sekä valtakunnallista keskiarvotietoa.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Skenarios-järjestelmän käyttäjän tiedot voidaan poistaa, kun saadaan tieto, että henkilö ei ole enää palvelun käyttäjä (poistetaan käyttövaltuudet ja verkkorooli).

Asiakasjärjestelmän tiedot voidaan poistaa 10 vuoden kuluttua siitä, kun tietoa ei ole käytetty.

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus perua suostumus henkilötietojen käsittelyyn kokonaisuudessaan, jos suostumus on annettu ainoastaan suoramarkkinoinnin tarkoituksiin
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus vastustaa henkilötietojensa käsittelyä (siltä osin kun käsittely perustuu yleistä etua koskevan tehtävän hoitamiseen)
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta