Gå till innehållet

Integritetspolicy för Senatfastigheters lokaldatatjänst för kommuner

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter

Fågelviksgatan 5 A, PB 237, 00531 Helsingfors
E-post: kirjaamo(at)senaatti.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syfte med behandlingen av personuppgifter och rättslig grund för behandlingen

Senatfastigheter samlar i Skenarios-tjänsten in uppgifter om byggnader som ägs och hyrs av kommunerna. I tjänsten behandlas basuppgifter om byggnader samt kostnads-, investerings- och hyresuppgifter som stöd för kommunernas beslutsfattande.

I 2 § 1 mom. i lagen om Senatfastigheter och Försvarsfastigheter 1018/2020 föreskrivs det om Senatfastigheters uppgifter enligt följande: ”Senatkoncernens affärsverk har till uppgift att bedriva verksamhet inom verksamhetsområdet fastighets- och lokalaffärsverksamhet och för statens behov producera fastighets- och lokaltjänster, tjänster inom ledning och förvaltning av lokaler, tjänster i anslutning till anskaffning, förvaltning och överlåtelse av lokaler samt andra tjänster med direkt anknytning till dem enligt serviceavtal för de kunder som avses i 2 § i affärsverkslagen. Dessutom ska affärsverken ha hand om den statliga fastighetsförmögenhet som affärsverken besitter, om skötseln och förvaltningen av den samt vid behov om överlåtelse, förvärv, skötsel och förvaltning av statens fastighetsförmögenhet och annan anknytande egendom. Senatkoncernens affärsverk får i liten omfattning tillhandahålla tjänster också för andra kunder.”

Behandlingen av personuppgifter i lokaldatatjänsten behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (GDPR artikel 6.1 c). Behandlingen av personuppgifter i kundsystemet är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse (GDPR artikel 6.1 e).

3. Behandlade personuppgifter och grupper av registrerade

I Skenarios-systemet behandlas användar-ID som hänför sig till användningen av datatjänsten och som är personuppgifter för den personuppgiftsansvarige och de kundorganisationer som använder systemet (anställda i kommuner och kommunbolag, även konsulter hos de ovannämnda). Systemet innehåller följande användaruppgifter: förnamn, efternamn, e-post, användar-ID, organisation, land, användarens giltighetsuppgifter, inloggningsuppgifter.

I Skenarios-systemet kan det finnas uppgifter om privatpersoner (förnamn, efternamn, adress), om hyresavtalet har ingåtts för en privatperson.

Utöver den personuppgiftsansvarige har endast Undervisnings- och kulturministeriet och Regionförvaltningsverket tillgång till systemet med idrottsanläggningar (simhallar och ishallar).

Senatfastigheter behandlar personuppgifter om kunderna i kommunernas lokaldatatjänster också i kundhanteringssystemet (CRM). De personuppgifter som behandlas är förnamn, efternamn, befattning, organisation, e-post, arbetstelefon, arbetsplatsadress (utdelningsadress, postnummer, postkontor), mobiltelefon, webbroll i tjänsten Kommunlokaler, Azure-id-kod, roll (kontaktperson, undertecknare). Genom CRM utförs marknadsföring och kundenkäter. Till personerna kan fogas bl.a. anteckningar och e-post.

4. Regelmässiga uppgiftskällor

Användar-ID för Skenarios-systemet och rapporter fås av kundorganisationernas anställda själva när de registrerar sig i serviceportalen Kommunlokaler.

Personuppgifter om kundorganisationernas anställda registreras i kundhanteringssystemet. Uppgifterna kan erhållas från personen själv eller på något annat sätt (uppgifterna kan samlas in från offentliga källor eller från kundorganisationernas kontaktpersoner).

5. Mottagare eller mottagargrupper av personuppgifter

Utöver till de personuppgiftsansvariga har personuppgifterna överförts till den personuppgiftsansvariga som handlar för personuppgiftsbiträdets räkning för att utföra behandlingsuppgifterna.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES.

7. Personuppgifternas skydd

Den personuppgiftsansvariga har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig radering, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemet är skyddade med hjälp av en brandvägg och andra tekniska medel. Användningen av systemet förutsätter identifiering av personen.

Personuppgifterna är tillgängliga endast för personer som har ett motiverat behov med tanke på de överenskomna arbetsuppgifterna. Personen registrerar sig i serviceportalen Kommunlokaler, där den personuppgiftsansvarige befullmäktigar personen i enlighet med vad kundorganisationens kontaktperson meddelar. Kundorganisationens anställda kan endast se uppgifter om egna byggnader/fastigheter samt riksomfattande medeltal.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Uppgifterna om användaren av Skenarios-systemet kan raderas när det blir känt att personen inte längre är en användare av tjänsten (behörigheter och webbroll).

Uppgifterna i kundsystemet kan raderas 10 år efter det att uppgifterna inte har använts.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att göra invändningar mot behandlingen av sina personuppgifter (i den mån behandlingen grundar sig på skötseln av ett uppdrag av allmänt intresse)
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback