Gå till innehållet

Integritetspolicy för Försvarsfastigheters ärendehanteringssystem med förhöjd informationssäkerhetsnivå

1. Personuppgiftsansvariga och kontaktuppgifter

Försvarsfastigheter

Försvarsfastigheter : Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: 029 483 0000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

Den personuppgiftsansvarige använder informationssystemet för ärendehantering, elektronisk arkivering av handlingar, intern elektronisk signatur, organens arbete och möteshantering samt för registret över kunders och tjänsteproducenters kontaktpersoner. Systemet är avsett för behandling av en förhöjd informationssäkerhetsnivå till skillnad från Koncernens ärendes- och dokumenthanteringssystem.

Behandlingen av personuppgifter sker för att den personuppgiftsansvarige ska kunna utföra sina uppgifter som är av allmänt intresse (artikel 6.1 e i GDPR).

3. Behandlade personuppgifter och grupper av registrerade

Personuppgifter om systemanvändare (koncernanställda): via användarkatalogen (AD) får systemet personuppgifter om systemanvändare, dvs. namn, e-postadress och AD-kod.

Uppgifter om personer i kundorganisationer: i systemet lagras kundorganisationens namn och e-postadress samt namn, e-postadress, telefonnummer för representanten för kundorganisationen.Uppgifter om tjänsteproducenternas personer: i systemet ska lagras tjänsteproducentorganisationens namn och e-postadress samt namnet på organisationens representant, e-postadress, telefonnummer.

Personuppgifter om privatpersoner: i systemet lagras förnamn, efternamn, e-post och telefonnummer.

Dessutom kan ärenden och handlingar i systemet innehålla olika slags personuppgifter.

4. Regelmässiga uppgiftskällor

Uppgifterna om systemanvändarna fås ur användarkatalogen för databehandlingsmiljön.

Kontaktuppgifter till kunder, tjänsteproducenter och privatpersoner fås på basis av ett avtalsförhållande från den andra parten (kan användas som informationskälla i kundinformationssystemet (CRM)).

5. Mottagare eller mottagargrupper av personuppgifter

Tillgång till uppgifterna har utöver den personuppgiftsansvariges anställda endast behöriga personer hos den personuppgiftsansvariges tjänsteproducenter som utför stöd- och underhållsåtgärder i systemet. Uppgifter får lämnas ut till andra parter, om dessa har laglig rätt att ta emot personuppgifter.

6. Överföring av uppgifter utanför EU eller EES

Uppgifter överförs inte till länder utanför EU eller EES. Uppgifterna behandlas endast i Finland.

7. Personuppgifternas skydd

Senatkoncernen genomför en säker behandling av uppgifterna genom att säkerställa de tekniska och administrativa kraven genom revisioner, inspektioner och riskhantering. Kraven bedöms på den riskhanteringsnivå som behövs för alla den personuppgiftsansvariges informationssystem och även för deras tjänsteproducenter. Uppgifterna krypteras med starka krypteringsmetoder eller pseudonymiseras så att onödiga personuppgifter genom vilka en person kan identifieras utelämnas. Informationssystemens och tjänsternas kontinuerliga konfidentialitet, integritet, användbarhet och feltolerans säkerställs genom säkerhetskopiering och regelbundna informationssäkerhetskontroller samt uppdaterade programvaru- och informationssäkerhetsuppdateringar. De förfaranden genom vilka säkerheten hos informationssystem och tjänster regelbundet testas, undersöks och utvärderas är en del av Senatkoncernens kontinuerliga utvecklingsprocess.

Alla användare av systemet har tillgång till kontaktregistret (användare, kunder och tjänsteproducenter).

Tillgången till personuppgifter i handlingar och ärenden är begränsad om handlingen innehåller sekretessbelagda uppgifter eller om handlingen innehåller personuppgifter vars behandling ska begränsas antingen enligt GDPR eller enligt annan lagstiftning.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Användar-ID raderas ur systemet när en persons anställningsförhållande upphör och personens användar-ID raderas ur den personuppgiftsansvariges centraliserade åtkomsthantering.

Uppgifterna i kontaktregistret (egna personer, kunder, tjänsteproducenter) raderas ur systemet när användningsändamålet för den handling som personuppgiften hänför sig till upphör och uppgiften utplånas.

Personuppgifter som hänför sig till handlingar och ärenden raderas när de ovan nämnda raderas i enlighet med bevaringstiderna (i enlighet med den bevaringstid som anges i datastyrningsplanen).

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att motsätta sig behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback