Siirry sisältöön

Senaatti-konsernin Palveluntuottajatietojen (SRM) ja markkinointiviestinnän yhteyshenkilöiden tietosuojaseloste

1. Rekisterinpitäjä ja yhteystiedot

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy

Osoite: Senaatti-kiinteistöt ja Senaatin asema-alueet Oy: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Osoite: Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina

Puhelin: 0294 830 000

Sähköposti: senaatti(at)senaatti.fi, kirjaamo(at)puolustuskiinteistot.fi

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Senaatti-konserni (Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy) toimii julkisena hankintayksikkönä kilpailuttaen ja hankkien palveluja, tuotteita ja tavaroita omaan sekä asiakasorganisaatioiden (valtionhallinnon virastot ja laitokset) tarpeisiin. Tähän tarkoitukseen Senaatti-konserni käsittelee palveluntuottajien ja potentiaalisten palveluntuottajien henkilötietoja, jotka hallinnoidaan konsernin palveluntuottajarekistereissä (SRM). Henkilötietojen käsittely perustuu rekisterinpitäjien yleistä etua koskevan tehtävän suorittamiseksi (GDPR artikla 6.1e). Rekisterinpitäjien oman henkilöstön tietojen käsittely perustuu työnantajan ja työntekijän väliseen työsopimukseen (GDPR 6.1b).

Rekisterinpitäjät voivat tallentaa SRM-rekisteriin henkilöiden tietoja, jotka ovat sopimuskumppanien henkilöitä, ja liittyvät sopimuksen alaiseen toimintaan. SRM-rekisteriin voidaan tallentaa myös julkisia tietoja henkilöistä, jotka toimivat elinkeinoelämässä organisaationsa edustajina. Tietosuojalaki 1050/2018 4§ 1.mom. k. 1 mahdollistaa että ”Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1. kohdan e alakohdan mukaisesti, jos kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden.”

Senaatti-konserni tekee sopimuskumppaneille ja potentiaalisille palveluntuottajille markkinointiviestintää konsernin tulevista hankkeista, hankinnoista ja tapahtumista. Markkinointiviestintä perustuu rekisterinpitäjien yleistä etua koskevan tehtävän suorittamiseen (GDPR artikla 6.1e). Potentiaalisten palveluntuottajien (joihin rekisterinpitäjillä ei ole sopimussuhdetta) henkilötietojen käsittely perustuu henkilöiden antamaan suostumukseen (GDPR artikla 6.1a) suoramarkkinointia varten. Senaatti-konserni tekee myös kilpailutuksiin tutustuneille tahoille ja nykyisille sopimuskumppaneille tyytyväisyys- ja palautekyselyjä. Kyselyiden tietoja käytetään toiminnan kehittämiseen.

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy toimivat EU:n tietosuoja-asetuksen mukaisina yhteisrekisterinpitäjinä (GDPR artikla 26).

3. Käsiteltävät henkilötiedot ja henkilötietoryhmät

Rekisterinpitäjät käsittelevät seuraavia henkilötietoryhmiä:

  • sopimuskumppanien yhteyshenkilöt ja muut nimetyt työntekijät
  • potentiaalisten palveluntuottajien yhteyshenkilöt (julkiset tiedot yritysten ja elinkeinoelämän yhteyshenkilöistä)
  • rekisterinpitäjien oman henkilöstöt yhteyshenkilöt
  • muut rekisterinpitäjien markkinointiviestinnästä kiinnostuneet henkilöt.

Henkilötietoryhmistä käsiteltävät henkilötiedot ovat:

  • sopimuskumppanien yhteyshenkilöt ja muut nimetyt työntekijät: etunimi, sukunimi, sähköposti, puhelin, yritys, tehtävä yrityksessä, postiosoite
  • potentiaalisten sopimuskumppaneiden yhteyshenkilöt (julkiset tiedot yritysten ja elinkeinoelämän yhteyshenkilöistä): etunimi, sukunimi, sähköposti, puhelin, yritys, tehtävä yrityksessä, postiosoite
  • rekisterinpitäjien markkinointiviestinnästä kiinnostuneet henkilöt: etunimi, sukunimi, sähköposti, puhelin, yritys, tehtävä yrityksessä, postiosoite.

4. Säännönmukaiset tietolähteet

Sopimuskumppanien yhteyshenkilöiden ja muiden nimettyjen työntekijöiden tiedot saadaan rekisterinpitäjän ja yrityksen välisen palvelusopimuksen perusteella yritykseltä.

Rekisterinpitäjien oman henkilöstön yhteyshenkilöiden tiedot saadaan rekisterinpitäjien henkilöstöjärjestelmistä työsuhteen perusteella.

Potentiaalisten sopimuskumppaneiden yhteyshenkilöt (julkiset tiedot yritysten ja elinkeinoelämän yhteyshenkilöistä) voidaan kerätä myös julkista henkilörekistereistä tai muutoin, kun se perustuu Tietosuojalain 1050/2018 4§ 1.mom. k. 1.

Rekisterinpitäjien markkinointiviestinnästä kiinnostuneiden henkilöiden tiedot, jotka ovat potentiaalisten palveluntuottajien työntekijöitä, tai muutoin markkinointiviestinnästä kiinnostuneita, saadaan rekisteröidyiltä henkilöltä itseltään suostumukseen perustuen. Tietoja voidaan kerätä henkilöiltä verkkosivun lomakkeella, erilaisilla kyselyjärjestelmillä (esim. Webropol tai Questback) tai muutoin.

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Rekisteröityjen tietoja käsitellään rekisterinpitäjien hankintojen, sopimuksenhallinnan, tilausten ja laskutusten, sekä hankintatoimen markkinoinnissa. Tiedot ovat näihin tarkoituksiin Senaatti-konsernin käytössä. Tietoihin on pääsy myös Senaatti-konsernin määrätyillä ICT-palveluntuottajilla, jotka tekevät rekisterinpitäjien henkilötietojen käsittelijöinä huolto- ja ylläpitotehtäviä rekisterinpitäjien toimeksiannosta.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

7. Rekisterin suojauksen periaatteet

Senaatti-konserni on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Järjestelmien tiedot on suojattu palomuurilla ja muilla teknisillä keinoilla. Järjestelmien käyttö edellyttää tunnistautumista.

Senaatti-konsernin henkilöstöllä, sekä alihankkijoiden huolto- ja ylläpitotehtäviä suorittavilla henkilöillä on pääsy henkilötietoihin käsittelytehtäviensä hoitamiseksi. Pääsy potentiaalisten palveluntuottajien rekisteriin, jonka tietoja käytetään ainoastaan heille kohdistettuihin kyselyihin ja suoramarkkinointiin, on ainoastaan erikseen määrätyillä rajatuilla henkilöillä kyseisen tehtävän hoitamiseksi.

8. Tietojen säilytysaika

Henkilötietoja säilytetään SRM-rekisterissä pääsääntöisesti niin kauan, kuin henkilöllä on rooli sopimuksen vastuuhenkilönä, tai muussa roolissa. Henkilötieto voidaan poistaa järjestelmästä sen jälkeen, kun sopimus lakkaa olemasta voimassa, tai sopimuspuoli (organisaatio) ilmoittaa henkilön poistamisesta. Muussa tapauksessa henkilötietoa säilytetään SRM-rekisterissä enintään 10 vuotta.

Tietojenkeruulomakkeet (verkkolomake, Webropol, Questback) säilytetään, kunnes tiedot on siirretty potentiaalisten palveluntuottajien yhteystietorekisteriin, kuitenkin enintään 1 vuosi.

Potentiaalisten palveluntuottajien henkilöiden tiedot, jotka rekisteröidyt ovat antaneet ainoastaan markkinointiviestinnän tarkoituksiin, poistetaan, kun henkilö peruu suostumuksensa markkinointiviestinnän tarkoituksiin. Tiedot poistetaan kuitenkin 10 vuoden kuluttua suostumuksen antamisesta, jos suostumusta ei peruta ennen sitä.

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan (artikla 14.2c) seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (oikeus saada tieto itseään koskevasta käsittelystä)
  • Oikeus perua suostumus henkilötietojen käsittelyyn kokonaisuudessaan, jos suostumus on annettu ainoastaan suoramarkkinoinnin tarkoituksiin
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus vastustaa omien henkilötietojensa käsittelyä ja oikeus vastustaa markkinointiviestintää
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–artikla 22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta