Senaatti-konsernin asiointipalvelun tietosuojaseloste
1. Rekisterinpitäjät ja yhteystiedot
Senaatti-kiinteistöt ja Puolustuskiinteistöt
Senaatti-kiinteistöt: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo(at)senaatti.fi
Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo(at)puolustuskiinteistot.fi
Puhelin: 029 483 0000
Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi
2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste
Asiointipalvelu toimii senaatti.fi-sivustolla asiointiportaalina Senaatti-kiinteistöjen ja Puolustuskiinteistöjen sidosryhmilleen tarjoamiin palveluihin. Senaatti-kiinteistöt ja Puolustuskiinteistöt toimivat GDPR:n 26 artiklan mukaisina yhteisrekisterinpitäjinä.
Käsittely on tarpeen rekisterinpitäjien yleistä etua koskevan tehtävän suorittamiseksi (GDPR artikla 6.1e). Senaatti-kiinteistöistä ja Puolustuskiinteistöistä annetun lain (1018/2020) 2.1 §:n mukaan: ”Senaatti-konsernin liikelaitosten tehtävänä on toimia kiinteistö- ja toimitilaliiketoiminnan toimialalla tuottaen valtion tarpeisiin kiinteistö- ja tilapalveluita, tilajohtamisen ja -hallinnon palveluita, tilojen hankintaan, hallinnointiin ja luovuttamiseen liittyviä palveluita ja näihin välittömästi liittyviä muita palveluja palvelusopimusten perusteella liikelaitoslain 2 §:ssä tarkoitetuille asiakkaille. Lisäksi liikelaitosten tehtävänä on huolehtia hallinnassaan olevasta valtion kiinteistövarallisuudesta, sen hoidosta ja hallinnosta sekä tarvittaessa valtion kiinteistövarallisuuden ja siihen liittyvän muun omaisuuden luovuttamisesta, hankinnasta, hoidosta ja hallinnosta.”
3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät
Asiointipalvelun kautta kirjaudutaan sellaisiin konsernin järjestelmiin, joihin on annettu sidosryhmille pääsyoikeus hyödyntäen Senaatti-kiinteistöjen IAM-pääsynhallintaa. Kirjautumisesta tallentuu rekisteröidyn henkilön profiilitiedot asiointipalveluun.
Rekisteröidyt henkilöt kuuluvat Senaatti-konsernin sidosryhmiin (esim. asiakkaat ja palveluntuottajat). Rekisteröity voi olla myös Senaatti-konsernin työntekijä. Henkilöistä rekisteröidään seuraavat tiedot: nimi, sähköposti, käyttäjärooli (asiakas tai muu sidosryhmä) ja tieto siitä, mihin palveluun henkilöllä on pääsy.
4. Säännönmukaiset tietolähteet
Tiedot saadaan henkilöltä hänen kirjautuessaan palveluun. Tiedot asiointipalveluun tulee IAM-pääsynhallinnan käyttäjäprofiilista.
5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät
Henkilötiedot ovat nähtävissä järjestelmän pääkäyttäjille. Senaatin ICT-palveluntuottajilla (järjestelmän tukipalvelut) on pääsy tietoihin teknisten ylläpitotehtävin toteuttamiseksi.
6. Tietojen siirto EU:n tai ETA:n ulkopuolelle
Tietoja ei siirretä EU:n tai Euroopan talousalueen, eikä Suomen ulkopuolelle.
7. Henkilötietojen suojaus
Järjestelmässä olevat tiedot on suojattu tietokannassa palomuurilla ja muilla teknisillä keinoilla. Henkilö kirjautuu palveluun tunnistettuna käyttäjänä henkilökohtaisella profiilillaan.
Henkilötiedot ovat nähtävissä järjestelmän pääkäyttäjille. Palveluntuottajan analytiikkapalvelun tarkoituksiin ei siirretä henkilötietoja vaan palveluntuottaja anonymisoi siirrettävät tiedot.
8. Tietojen säilytysaika ja sen määräytymisperiaatteet
Henkilötiedot (käyttäjäprofiili) poistuvat automaattisesti, kun henkilö ei ole kirjautunut asiointipalveluun 4 kuukauteen.
9. Rekisteröityjen oikeudet
Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:
- Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
- Oikeus perua suostumus henkilötietojen käsittelyyn kokonaisuudessaan, jos suostumus on annettu ainoastaan suoramarkkinoinnin tarkoituksiin
- Oikeus omien henkilötietojensa oikaisemiseen
- Oikeus omien henkilötietojensa poistamiseen
- Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
- Oikeus vastustaa omien henkilötietojensa käsittelyä ja oikeus vastustaa markkinointiviestintää
- Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.
Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).
Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.