Siirry sisältöön

Senaatti-konsernin Helppi-palvelupyyntöjärjestelmän tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Senaatti-kiinteistöt ja Puolustuskiinteistöt

Senaatti-kiinteistöt: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo@senaatti.fi

Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo@puolustuskiinteistot.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Järjestelmää käytetään Senaatti-kiinteistöjen ja Puolustuskiinteistöjen sisäisten ja ulkoisten turvallisuuspalveluihin liittyvien palvelupyyntöjen vastaanottoon ja käsittelyyn.

Senaatti-kiinteistöt ja Puolustuskiinteistöt toimivat yhteisrekisterinpitäjinä (GDPR artikla 26).

Senaatti-kiinteistöistä ja Puolustuskiinteistöistä annetun lain (1018/2020) 2.1 §:n mukaan: ”Senaatti-konsernin liikelaitosten tehtävänä on toimia kiinteistö- ja toimitilaliiketoiminnan toimialalla tuottaen valtion tarpeisiin kiinteistö- ja tilapalveluita, tilajohtamisen ja -hallinnon palveluita, tilojen hankintaan, hallinnointiin ja luovuttamiseen liittyviä palveluita ja näihin välittömästi liittyviä muita palveluja palvelusopimusten perusteella liikelaitoslain 2 §:ssä tarkoitetuille asiakkaille. Lisäksi liikelaitosten tehtävänä on huolehtia hallinnassaan olevasta valtion kiinteistövarallisuudesta, sen hoidosta ja hallinnosta sekä tarvittaessa valtion kiinteistövarallisuuden ja siihen liittyvän muun omaisuuden luovuttamisesta, hankinnasta, hoidosta ja hallinnosta.”

Käsittely on tarpeen rekisterinpitäjän yleistä etua koskevan tehtävän suorittamiseksi (GDPR artikla 6.1e).

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Järjestelmään tallennetaan palvelupyyntöjen jättävien ja niitä käsittelevien henkilöiden tietoja. Henkilöt voivat olla rekisterinpitäjien asiakkaiden, palveluntuottajien sekä rekisterinpitäjien työntekijöitä.

Asiakkaiden ja palveluntuottajien henkilöiden palvelupyynnön jättäneistä tallennetaan käyttäjäprofiili: etunimi, sukunimi, puhelin, sähköposti, organisaatio ja sen sijainti.

Senaatti-konsernin henkilöiden käyttäjäprofiili tallennetaan rekisterinpitäjän toimesta keskitetysti: etunimi, sukunimi, puhelin, sähköposti, organisaatio ja sen sijainti, esimies.

Myös palvelupyynnön vapaassa tekstissä voi olla henkilötietoja.

4. Säännönmukaiset tietolähteet

Palvelupyynnön voi jättää järjestelmään Helppi-portaalin kautta tai sähköpostilla. Henkilöt jättävät itse palvelupyynnön, tai toisen henkilön puolesta. Pyyntö voidaan jättää myös puhelimitse, jolloin rekisterinpitäjien käsittelijä kirjaa tiedot järjestelmään.

Henkilön käyttäjäprofiili tallennetaan järjestelmään, kun palvelupyynnön käsittelijä lisää henkilölle oikeuden kirjautua Helppiin. Tunnistautuminen tapahtuu Helppi-portaalissa hyödyntäen Senaatin IAM-palvelua.

Senaatin ja Puolustuskiinteistöjen henkilöstön käyttäjäprofiilit luodaan keskitetysti rekisterinpitäjän toimesta, samoin kuin pääkäyttäjien ja palvelupyyntöjen käsittelijöiden tunnukset.

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Henkilötiedot on siirretty alikäsittelijöille (konesalipalvelut ja järjestelmän tukipalvelut) tuki- ja ylläpitotehtävien toteuttamiseksi. Tietoja voidaan luovuttaa muille osapuolille, jos näillä on lainmukainen oikeus vastaanottaa henkilötietoja.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai Euroopan talousalueen, eikä Suomen ulkopuolelle.

7. Henkilötietojen suojaus

Senaatti-konserni toteuttaa tietojen turvallisen käsittelyn varmistamalla tekniset ja hallinnolliset vaatimukset auditointien, tarkastusten ja riskienhallinnan keinoin. Vaatimuksia arvioidaan kaikkiin rekisterinpitäjän tietojärjestelmiin, sekä myös niiden palveluntuottajiin tarvittavalla riskienhallinnan tasolla. Tietoja salataan vahvoilla salausmenetelmillä, tai pseudonymisoidaan siten, että tarpeettomat henkilötiedot, joista henkilö voidaan tunnistaa, jätetään pois. Tietojärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus varmistetaan varmuuskopioinnilla ja säännöllisillä tietoturvatarkastuksilla sekä ajantasaisilla ohjelmisto- ja tietoturvapäivityksillä. Menettelyt, joilla testataan, tutkitaan ja arvioidaan säännöllisesti tietojärjestelmien ja palveluiden turvallisuutta, ovat osa Senaatti-konsernin jatkuvaa kehittämisprosessia.

Pääkäyttäjillä on pääsy kaikkiin henkilötietoihin ja palvelupyyntöihin. Palvelupyyntöihin pääsy on  luvitettu niiden käsittelijöille palvelupyyntötyyppien mukaisesti.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Henkilötiedot (käyttäjäprofiili ja -tunnus) poistetaan järjestelmästä, kun käyttäjä tai käyttäjäorganisaatio ilmoittaa, että henkilö ei enää toimi järjestelmän käyttäjänä. Organisaatio poistaa IAM-tunnuksen, jonka jälkeen henkilö ei voi kirjautua järjestelmään. Helpissä olevat käyttäjäprofiilit ja -tunnukset voidaan poistaa manuaalisesti kun saadaan ilmoitus tarpeesta poistaa tiedot. Ei-aktiiviset käyttäjätunnukset poistetaan 5 vuoden kuluttua automaattisesti.

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus vastustaa omien henkilötietojensa käsittelyä
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta