Gå till innehållet

Integritetspolicy för Senatkoncernens kundhanteringssystem (CRM)

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab

Senatfastigheter och Senatstationfastigheter Ab: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors

E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

Syftet med behandlingen av personuppgifter är att behandla de personuppgiftsansvarigas kunders och samarbetspartners uppgifter för affärsverksamhet och lagstadgade uppgifter. Uppgifterna behandlas bl.a. för skötsel av kundrelationer och uppgifter om tjänsteproducenter inom tjänster, uthyrning, projekt, försäljning, marknadsföring och kommunikation. Uppgifterna administreras i regel i koncernens kundregister (CRM) och används t.ex. i olika kommunikations- och enkätsystem.

Behandlingen av personuppgifter grundar sig i huvudsak på att de personuppgiftsansvariga utför en uppgift av allmänt intresse (GDPR artikel 6.1 e). Behandlingen kan också grunda sig på ett avtalsförhållande där den registrerade är avtalspart (GDPR artikel 6.1 b) eller på den registrerades samtycke (GDPR artikel 6.1 a) t.ex. vid direktmarknadsföring (nyhetsbrev och pressmeddelanden o.d.). I kundregistret kan också föras in offentliga uppgifter om personer som är representanter för sin organisation i näringslivet. Dataskyddslagen 1050/2018 4 § 1 mom. 1 kap. möjliggör att ”Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas.”

De personuppgiftsansvarigas uppgifter, föreskrivs i lagen om Senatfastigheter och Försvarsfastigheter (L 1018/2020 2 § 1 och 2 mom.): ”Senatkoncernens affärsverk har till uppgift att bedriva verksamhet inom verksamhetsområdet fastighets- och lokalaffärsverksamhet och för statens behov producera fastighets- och lokaltjänster, tjänster inom ledning och förvaltning av lokaler, tjänster i anslutning till anskaffning, förvaltning och överlåtelse av lokaler samt andra tjänster med direkt anknytning till dem enligt serviceavtal för de kunder som avses i 2 § i affärsverkslagen. Dessutom ska affärsverken ha hand om den statliga fastighetsförmögenhet som affärsverken besitter, om skötseln och förvaltningen av den samt vid behov om överlåtelse, förvärv, skötsel och förvaltning av statens fastighetsförmögenhet och annan anknytande egendom. Senatkoncernens affärsverk får i liten omfattning tillhandahålla tjänster också för andra kunder.

Försvarsfastigheter tillhandahåller de tjänster enligt 1 mom. som Försvarsmakten och av Försvarsmakten angivna partner behöver. Försvarsfastigheter har också till uppgift att i enlighet med 1 mom. förvalta den statliga fastighetsförmögenhet som affärsverket besitter.”

Senatstationfastigheter Ab är Senatfastigheters dotteraffärsverk.

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab är gemensamt personuppgiftsansvariga enligt EU:s dataskyddsförordning (GDPR artikel 26).

3. Behandlade personuppgifter och grupper av registrerade

De personuppgiftsansvariga behandlar följande grupper av personuppgifter:

  • kontaktpersoner för avtalsparter (kundorganisationer och delvis tjänsteproducentorganisationer) och andra utsedda arbetstagare
  • kundkontaktpersoner för den egna personalen
  • privatpersoner som har ett avtalsförhållande med den personuppgiftsansvarige
  • kontaktpersoner för potentiella kunder och andra intressentgrupper (offentliga uppgifter om kontaktpersoner för företag, näringsliv och myndigheter)
  • personer som är intresserade av de personuppgiftsansvarigas marknadsföringskommunikation.

Personuppgifter som behandlas i grupper av personuppgifter är:

  • kontaktpersoner för avtalsparter (kundorganisationer och tjänsteproducentorganisationer) och andra utsedda arbetstagare: förnamn, efternamn, e-post, telefon, organisation, uppgift inom organisationen, postadress
  • kundkontaktpersoner för den egna personalen: förnamn, efternamn, e-post, telefon, organisation, uppgift i organisationen
  • privatpersoner som har ett avtalsförhållande med den personuppgiftsansvarige: förnamn, efternamn, e-post, telefon, adress, personbeteckning
  • kontaktpersoner för potentiella kunder och andra intressentgrupper (offentliga uppgifter om kontaktpersoner för företag, näringsliv och myndigheter): förnamn, efternamn, e-post, telefon, företag, uppgift i företag, postadress
  • personer som är intresserade av de personuppgiftsansvarigas marknadsföringskommunikation: förnamn, efternamn, e-post, telefon, företag, uppgift i företaget, postadress.

4. Regelmässiga uppgiftskällor

Uppgifter om avtalsparternas kontaktpersoner och andra utsedda anställda fås från organisationen på basis av ett hyres-/serviceavtal mellan den personuppgiftsansvarige och organisationen.

Uppgifterna om kontaktpersonerna för de personuppgiftsansvarigas egen personal fås ur de personuppgiftsansvarigas personalsystem på basis av anställningsförhållandet.

Uppgifter om en privatperson fås av personen själv när avtalsförhållandet uppstår.

Kontaktpersonerna för potentiella avtalsparter (offentliga uppgifter om kontaktpersoner för företag och näringslivet kan också samlas in ur offentliga personregister eller på något annat sätt, om det baserar sig på 4 § 1 mom. 1 kap. i dataskyddslagen 1050/2018.

Uppgifter om personer som är intresserade av de personuppgiftsansvarigas marknadsföringskommunikation och som är anställda hos potentiella tjänsteproducenter eller annars intresserade av marknadsföringskommunikation fås av den registrerade personen själv på basis av samtycke. Uppgifter kan samlas in från personer med hjälp av en webbplatsblankett, olika enkätsystem (t.ex. Webropol eller Questback) eller på något annat sätt.

5. Mottagare eller mottagargrupper av personuppgifter

De registrerades uppgifter behandlas för de personuppgiftsansvarigas affärsbehov och vid marknadsföringen och kommunikationen står uppgifterna till Senatkoncernens förfogande för dessa ändamål. Uppgifterna är också tillgängliga för vissa IKT-tjänsteproducenter inom Senatkoncernen som i egenskap av personuppgiftsbiträden för personuppgiftsansvariga utför underhålls- och serviceuppgifter på uppdrag av de personuppgiftsansvariga.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES.

7. Personuppgifternas skydd

Senatkoncernen har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig radering, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemen är skyddade med brandväggar och andra tekniska medel. Användningen av systemen förutsätter identifiering.

Senatkoncernens personal samt de personer som utför underleverantörers underhålls- och serviceuppgifter har tillgång till personuppgifter för skötseln av sina behandlingsuppgifter. Åtkomst till registret över potentiella tjänsteproducenter, vars uppgifter endast används för enkäter och direktmarknadsföring som riktar sig till dem, har endast särskilt bestämda avgränsade personer för skötseln av uppgiften i fråga.

8. Uppgifternas lagringstid och kriterier för hur denna fastställs

Uppgifterna ska raderas för kontraktsanställda när avtalet och andra skyldigheter har upphört att gälla. Uppgifterna om de personer som gett sitt samtycke raderas när personen återkallar sitt samtycke. I fråga om andra personer raderas uppgifterna 10 år efter det att uppgifterna inte har använts.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att motsätta sig behandlingen av sina personuppgifter och rätt att motsätta sig marknadskommunikation
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback