Gå till innehållet

Integritetspolicy för Senatkoncernens ärende- och dokumenthanteringssystem

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab

Senatfastigheter och Senatstationfastigheter Ab: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors

E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

De personuppgiftsansvariga (Senatfastigheter, Försvarsfastigheter och Senatstationsfastigheter Ab) använder informationssystemet för ärendehantering, för hantering av handlingar och dokumenthantering, elektronisk arkivering, elektronisk underskrift, avtalshantering, organens arbete och möteshantering samt för registret över kunders och tjänsteproducenters kontaktpersoner.

De personuppgiftsansvariga är gemensamt personuppgiftsansvariga enligt EU:s dataskyddsförordning (GDPR artikel 26). Behandlingen av personuppgifter sker i regel för att de personuppgiftsansvariga ska kunna utföra sina uppgifter som är av allmänt intresse (GDPR artikel 6.1 e). Behandlingen kan också grunda sig på fullgörande av ett avtal i vilket den registrerade är part eller på vidtagande av åtgärder som föregår avtalets ingående på begäran av den registrerade (GDPR artikel 6.1 b).

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab är gemensamt personuppgiftsansvariga enligt EU:s dataskyddsförordning (GDPR artikel 26).

3. Behandlade personuppgifter och grupper av registrerade

Personuppgifter om systemanvändare: personuppgifter om systemanvändare, dvs. namn, e-postadress och AD-kod, kommer in i systemet via AD. Användarna är antingen personuppgiftsansvariga eller personer från intressentgrupper (kontaktpersoner för integrationsleverantörer).

Uppgifter om personer i kundorganisationer: genom integrationen införs ur kundhanteringssystemet (CRM) kundorganisationens namn och e-postadress samt namnuppgift, e-postadress, telefonnummer och uppgiftsbenämning för en representant för kundorganisationen.

Uppgifter om tjänsteproducenternas personer: i systemet införs via integrationen ur leverantörsdatasystemet (AX) namnet på leverantörsorganisationen samt manuellt t.ex. för elektronisk underskrift namnet på representanten för leverantörsorganisationen, e-postadressen och telefonnumret. Handlingar och ärenden innehåller personuppgifter.

4. Regelmässiga uppgiftskällor

Uppgifter om systemanvändarna fås från koncernens gemensamma system (HR och AD).

Kundernas kontaktuppgifter fås ur koncernens gemensamma kundhanteringssystem (CRM, egen separat registerbeskrivning).

För uppgifterna om tjänsteproducenternas kontaktpersoner har det inrättats ett eget register, och uppgifterna i registret fås antingen på basis av ett serviceavtal mellan den personuppgiftsansvarige och den registrerade arbetsgivaren eller ur allmänna offentliga register (4 § 1 mom. 1 kap. i dataskyddslagen 1050/2018).

Personuppgifterna i handlingarna fås när de personuppgiftsansvariga utför sina uppgifter som är av allmänt intresse eller när den registrerade är avtalspart med den personuppgiftsansvarige.

5. Mottagare eller mottagargrupper av personuppgifter

Utöver de anställda hos de personuppgiftsansvariga har endast behöriga personer hos de personuppgiftsansvarigas tjänsteproducenter tillgång till uppgifterna, som på basis av ett serviceavtal utför stöd- och underhållsåtgärder för systemet eller andra uppgifter (t.ex. konsulter) för de personuppgiftsansvarigas räkning.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES. Uppgifterna behandlas endast i Finland.

7. Personuppgifternas skydd

Den personuppgiftsansvariga har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig radering, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemet är skyddade med hjälp av en brandvägg och andra tekniska medel. Systemet kan endast användas från koncernens datanät.

Personregistren (användare, kunder och tjänsteproducenter) finns tillgängliga för alla användare av systemet.

Tillgången till personuppgifter i handlingar och ärenden är begränsad om en handling innehåller sekretessbelagda uppgifter eller om handlingen innehåller personuppgifter vars behandling ska begränsas antingen enligt GDPR eller enligt annan lagstiftning.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Användar-ID raderas ur systemet när en persons anställningsförhållande upphör och hens kod raderas ur den personuppgiftsansvariges centraliserade åtkomsthantering.

Uppgifterna i personregistren (egna personer, kunder, tjänsteproducenter) raderas ur systemet när användningsändamålet för den handling till vilken personuppgiften har anslutits upphör och uppgiften utplånas.

Personuppgifter som hänför sig till handlingar och ärenden raderas när de ovan nämnda raderas i enlighet med lagringstiderna (enligt den lagringstid som anges i datastyrningsplanen).

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att motsätta sig behandlingen av sina personuppgifter och rätt att motsätta sig marknadskommunikation
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback