Gå till innehållet

Integritetspolicy för Senatkoncernens informationstjänst Förvaltningens lokalförvaltning (HTH)

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter och Försvarsfastigheter

Senatfastigheter: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors
E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

Syftet med behandlingen av personuppgifter är att producera och följa upp nyckeltal för Senatkoncernens (Senatfastigheter och Försvarsfastigheter) lokalförvaltning (i fråga om den fastighetsinformation som hela statsförvaltningen använder).

Behandlingen hänför sig till de uppgifter som föreskrivs i 2 § 1 mom. i Senatfastigheters och Försvarsfastigheters lag om Senatfastigheter och Försvarsfastigheter 1018/2020. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (GDPR artikel 6.1 c). Senatfastigheter och Försvarsfastigheter är gemensamt personuppgiftsansvariga enligt EU:s dataskyddsförordning (GDPR artikel 26).

3. Behandlade personuppgifter och grupper av registrerade

I HTH-informationstjänsten behandlas användar-ID som hänför sig till användningen av informationstjänsten och som är personuppgifter för de personuppgiftsansvariga samt för anställda vid de ämbetsverk och inrättningar som använder systemet. Användarinformationen i systemets användarhantering är: användar-ID, användarens fullständiga namn, beskrivning av användarens roll (systemanvändarroll), användarens e-postadress och användarorganisationens namn. Dessa uppgifter används i kommunikationen om tjänsten.

4. Regelmässiga uppgiftskällor

De personuppgiftsansvarigas personuppgifter fås av arbetsgivarna. Organisationens huvudanvändare skapar användar-ID för sin egen organisation i systemet. Senatkoncernen spelar en roll som personuppgiftsansvarig för alla organisationers användar-ID (för andra organisationer endast användar-ID för sin egen personal).

5. Mottagare eller mottagargrupper av personuppgifter

Utöver de personuppgiftsansvariga har personuppgifterna överförts till det personuppgiftsbiträde som handlar för den personuppgiftsansvariges räkning för att utföra behandlingsuppgifterna.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES. Uppgifterna behandlas endast i Finland.

7. Personuppgifternas skydd

Den personuppgiftsansvariga har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig radering, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemet är skyddade med brandväggar och andra tekniska medel. För att kunna använda systemet krävs ett personligt användar-ID och lösenord.

Personuppgifterna är tillgängliga endast för personer som har ett motiverat behov med tanke på de överenskomna arbetsuppgifterna.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Uppgifterna om systemanvändaren raderas när det blir känt att personen inte längre är en använder tjänsten. Uppgiften lagras som en säkerhetskopia (back up) i högst 12 månader varefter den slutgiltigt raderas.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback