Siirry sisältöön

Senaatti-konsernin tilausten ja ostolaskujen tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy

Senaatti-kiinteistöt ja Senaatin asema-alueet Oy: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo(at)senaatti.fi

Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo(at)puolustuskiinteistot.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Järjestelmän käyttötarkoitus on Senaatti-kiinteistöjen (”Senaatti”), Puolustuskiinteistöjen ja Senaatin Asema-alueet Oy:n (”SAA Oy”) tilausten ja ostolaskujen käsittely.

Senaatti-kiinteistöt, Puolustuskiinteistöt ja SAA Oy ovat tässä selosteessa kuvatun henkilötietojen käsittelyn osalta EU:n yleisen tietosuoja-asetuksen (”GDPR”) 26 artiklan tarkoittamia yhteisrekisterinpitäjiä. Henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi (GDPR artikla 6.1e).

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Järjestelmässä käsitellään rekisterinpitäjien työntekijöiden, sekä palveluntuottajien henkilötietoja.

Rekisterinpitäjien työntekijöistä sekä ulkoisista tarkastajista käsitellään seuraavia tietoja: nimi, käyttäjätunnus, sähköposti, puhelinnumero, yritys, järjestelmärooli.

Palveluntuottajista käsitellään seuraavia tietoja: nimi, puhelinnumero, työnantaja, sähköposti, pankkitili, toimittajanumero.

4. Säännönmukaiset tietolähteet

Palveluntuottajien henkilötiedot saadaan talouden kirjanpitojärjestelmästä. Rakentamisen tiedonantovelvollisuuteen liittyvät urakoitsijat luovuttavat tarvittavat henkilötiedot rekisterinpitäjille. Laskujen kautta tulee myös palveluntuottajien henkilötietoja.

Rekisterinpitäjien henkilöiden sekä ulkoisten tarkastajien henkilötiedot saadaan rekisterinpitäjien käyttöoikeushallintajärjestelmästä, sekä rakennushankkeiden hallintajärjestelmästä ja ylläpitohankkeiden hallintajärjestelmästä. Laskujen kautta tulee myös yhteyshenkilöiden henkilötietoja.

Osalla palveluntuottajista on mahdollisuus itse luoda käyttäjätunnus ja salasana toimittajaportaalissa.

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Rekisterinpitäjien lisäksi henkilötiedot on siirretty rekisterinpitäjien lukuun toimivien järjestelmätoimittajien saataville käsittelytehtävien suorittamiseksi. Tietoja luovutetaan rakentamisen tiedonantovelvollisuuden perusteella verottajalle, ja siirretään ulkopuolisille laskujen tarkastajille ja ostotilausten tekijöille em. tarkoitukseen. Tietoja voidaan luovuttaa muille osapuolille, jos niillä on lainmukainen oikeus vastaanottaa henkilötietoja.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

7. Henkilötietojen suojaus

Senaatti-konserni toteuttaa tietojen turvallisen käsittelyn varmistamalla tekniset ja hallinnolliset vaatimukset auditointien, tarkastusten ja riskienhallinnan keinoin. Vaatimuksia arvioidaan kaikkiin rekisterinpitäjän tietojärjestelmiin, sekä myös niiden palveluntuottajiin tarvittavalla riskienhallinnan tasolla. Tietoja salataan vahvoilla salausmenetelmillä, tai pseudonymisoidaan siten, että tarpeettomat henkilötiedot, joista henkilö voidaan tunnistaa, jätetään pois. Tietojärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus varmistetaan varmuuskopioinnilla ja säännöllisillä tietoturvatarkastuksilla sekä ajantasaisilla ohjelmisto- ja tietoturvapäivityksillä. Menettelyt, joilla testataan, tutkitaan ja arvioidaan säännöllisesti tietojärjestelmien ja palveluiden turvallisuutta, ovat osa Senaatti-konsernin jatkuvaa kehittämisprosessia.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Laskuja ja tilauksia säilytetään 10 vuotta, sen jälkeen ne poistetaan. Henkilölistaukset ovat poistettavissa, kun laskut ja tilaukset on poistettu. Käyttäjätunnukset disabloidaan, kun henkilö on poistunut palveluksesta.

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus perua suostumus henkilötietojen käsittelyyn kokonaisuudessaan, jos suostumus on annettu ainoastaan suoramarkkinoinnin tarkoituksiin
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus vastustaa omien henkilötietojensa käsittelyä ja oikeus vastustaa markkinointiviestintää
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta