Gå till innehållet

Integritetspolicy för Senatkoncernens Kirave-system

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter och Försvarsfastigheter (Senatkoncern)

Senatfastigheter: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors
E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

Kirave är Senatkoncernens lokaldatabaserade fastighetsförvaltningssystem. I systemet sparas basuppgifter om objekt som förvaltas av personuppgiftsansvariga samt objekt som används av Försvarsmakten och Försvarsmaktens partner (bl.a. byggnads-, struktur- och nätverksuppgifter). Genom systemet sköts i liten utsträckning uppföljning av byggprojekt. Objektuppgifterna kan användas som grunduppgifter för olika avtal som de personuppgiftsansvariga ingått. Nätverks- och kartuppgifter utnyttjas vid byggande, underhåll, miljöfrågor och fastighetsförvaltning. Genom systemet hanteras dessutom bl.a. uppgifter om miljöövervakning, bullerområden, avfallshantering samt miljötillstånd.

Informationssystemet används av följande organisationer: Försvarsfastigheter, Försvarsmakten, Försvarsministeriet, Senatfastigheter och Erillisverkot Oy.

I lagen om Senatfastigheter och Försvarsfastigheter föreskrivs ”Senatkoncernens affärsverk har till uppgift att bedriva verksamhet inom verksamhetsområdet fastighets- och lokalaffärsverksamhet och för statens behov producera fastighets- och lokaltjänster, tjänster inom ledning och förvaltning av lokaler, tjänster i anslutning till anskaffning, förvaltning och överlåtelse av lokaler samt andra tjänster med direkt anknytning till dem enligt serviceavtal för de kunder som avses i 2 § i affärsverkslagen. Dessutom ska affärsverken ha hand om den statliga fastighetsförmögenhet som affärsverken besitter, om skötseln och förvaltningen av den samt vid behov om överlåtelse, förvärv, skötsel och förvaltning av statens fastighetsförmögenhet och annan anknytande egendom. Senatkoncernens affärsverk får i liten omfattning tillhandahålla tjänster också för andra kunder.

Försvarsfastigheter tillhandahåller de tjänster enligt 1 mom. som Försvarsmakten och av Försvarsmakten angivna partner behöver. Försvarsfastigheter har också till uppgift att i enlighet med 1 mom. förvalta den statliga fastighetsförmögenhet som affärsverket besitter” (L1018/2020 2§ 1 ja 2 mom.).

Behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (GDPR artikel 6.1c). Senatfastigheter och Försvarsfastigheter är gemensamt personuppgiftsansvariga enligt EU:s dataskyddsförordning (GDPR artikel 26).

3. Behandlade personuppgifter och grupper av registrerade

Systemet innehåller användarorganisationernas personbeteckningar och uppgifter samt uppgifter om tjänsteproducenter och kunder (anställda hos myndigheter och de som hyr lägenheter och bilplatser).

Uppgifter om användar-ID (personuppgiftsansvariga och kunder):

Förnamn, efternamn, e-postadress, beteckning, användarkategori.

Övriga personuppgifter:

Egen personal: förnamn, efternamn, födelsedatum, skattenummer, personnummer, anställningsförhållandets art, anställningsförhållandets upphörande.

Entreprenörer och andra tjänsteproducenter: förnamn, efternamn, födelsedatum, anställningsförhållandets art, anställningsförhållandets upphörande, skattenummer, FO-nummer, kontaktpersonens förnamn och efternamn samt telefonnummer.

Hyrestagare av lägenheter och bilplatser: förnamn, efternamn, personbeteckning, näradress, faktureringsadress, telefonnummer.

4. Regelmässiga uppgiftskällor

Den personuppgiftsansvariges arbetstagare kan själv beställa användar-ID och användarrättigheter till ett system, som godkänns av chefen, och huvudanvändarna registrerar personuppgifterna i systemet.

En chef för en kundorganisation eller tjänsteproducent kan beställa användar-ID och användarrättigheter till ett system, varvid hen lämnar ut de registrerades personuppgifter till den personuppgiftsansvarige.

5. Mottagare eller mottagargrupper av personuppgifter

Tjänsteproducenterna inom systemet har tillgång till personuppgifter för skötsel av underhålls- och stöduppgifter. Uppgifter kan lämnas ut till kunder på basis av ett avtalsförhållande samt till myndigheter för fullgörande av en lagstadgad skyldighet.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller Europeiska ekonomiska samarbetsområdet. Uppgifterna behandlas endast i Finland.

7. Personuppgifternas skydd

Uppgifterna i systemet är skyddade med hjälp av en brandvägg och andra tekniska medel. För att kunna använda systemet krävs ett personligt användar-ID och lösenord. Personuppgifterna är tillgängliga endast för personer som har ett motiverat behov med tanke på de överenskomna arbetsuppgifterna.

Rätten att få tillgång till och behandla uppgifter beviljas på basis av arbetsuppgifter. Tillgången till systemet baserar sig på personliga användar-ID.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Användar-ID passiveras på begäran. De uppgifter som samlats in om användaren bevaras tills vidare i databasen tills systemet slopas och uppgifterna raderas. Hyresavtalen raderas från systemet.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att motsätta sig behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback