Siirry sisältöön

Senaatti-konsernin rakennus- ja kehitysprojektien (BEM) tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy

Senaatti-kiinteistöt ja Senaatin asema-alueet Oy: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo(at)senaatti.fi

Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo(at)puolustuskiinteistot.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Rekisterinpitäjät (Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet oy) käyttävät tietojärjestelmää rakennus- ja kehityshankkeiden asiakirjojen ja tietojen hallintaan. Järjestelmässä on myös kohteiden myyntiin liittyviä asiakirjoja, joihin potentiaaliset ostajat voivat tutustua kirjautumalla palveluun.

Henkilötietojen käsittely tapahtuu Senaatti-kiinteistöistä ja Puolustuskiinteistöistä (1018/2020) määrätyn tehtävän toteuttamiseksi. Lain 2.1 §:n mukaan ”Senaatti-konsernin liikelaitosten tehtävänä on toimia kiinteistö- ja toimitilaliiketoiminnan toimialalla tuottaen valtion tarpeisiin kiinteistö- ja tilapalveluita, tilajohtamisen ja -hallinnon palveluita, tilojen hankintaan, hallinnointiin ja luovuttamiseen liittyviä palveluita ja näihin välittömästi liittyviä muita palveluja palvelusopimusten perusteella liikelaitoslain 2 §:ssä tarkoitetuille asiakkaille. Lisäksi liikelaitosten tehtävänä on huolehtia hallinnassaan olevasta valtion kiinteistövarallisuudesta, sen hoidosta ja hallinnosta sekä tarvittaessa valtion kiinteistövarallisuuden ja siihen liittyvän muun omaisuuden luovuttamisesta, hankinnasta, hoidosta ja hallinnosta.” Henkilötietojen käsittely on tarpeen rekisterinpitäjien lakisääteisen velvoitteen noudattamiseksi (GDPR artikla 6.1c). Senaatti-kiinteistöt, Puolustuskiinteistöt ja SAA Oy ovat tässä selosteessa kuvatun henkilötietojen käsittelyn osalta EU:n yleisen tietosuoja-asetuksen (GDPR) 26 artiklan tarkoittamia yhteisrekisterinpitäjiä.

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Rekisterinpitäjien henkilöstön järjestelmän käyttäjät:

Järjestelmässä on seuraavat käyttäjien tiedot käyttöoikeuksien ja jakelujen hallinnoimiseksi: etunimi, sukunimi, sähköposti, puhelinnumero, oletustehtävä hankkeessa, kieli, organisaatio-/yhteystiedot.

Henkilötietoja sisältyy tarjouskilpailun voittajien cv-liitteisiin. Lisäksi henkilötietoja sisältyy sopimuskumppaneiden ja heidän alihankkijoiden kokouspöytäkirjoihin sekä työmaiden henkilölistoihin.

Rekisterinpitäjien myynnissä olevien kohteiden potentiaaliset ostajat:

Järjestelmässä on rekisterinpitäjien kohteiden myyntiin liittyviä asiakirjoja, joihin potentiaaliset ostajat voivat tutustua kirjautumalla palveluun. Henkilöistä tallennetaan järjestelmään nimi, sähköposti ja mahdollisesti yritystieto (nimi ja osoite).

4. Säännönmukaiset tietolähteet

Rekisterinpitäjien hankkeiden yhteistyökumppanit ja konsernin järjestelmän käyttäjät:

Rekisterinpitäjät tai niiden edustajat antavat järjestelmää käyttävän sopimuskumppanin tiedot järjestelmän toimittajalle, joka perustaa käyttäjätiedot järjestelmään.

Tarjousten tekijät rekisteröityvät tarjoajiksi, ja he jättävät itse tarjouksensa järjestelmään.

Järjestelmää käyttävät sopimuskumppanit ja heidän alihankkijansa tallentavat hankkeisiin liittyvät muut asiakirjat.

Rekisterinpitäjien myynnissä olevien kohteiden potentiaaliset ostajat:

Henkilöt itse antavat tietonsa (pyytävät sähköpostilla oikeudet projektipankkiin).

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Tiedot on järjestelmän käyttäjien lisäksi siirretty palveluntuottajalle huolto- ja tukitehtävien suorittamiseksi. Tietoja voidaan luovuttaa muille osapuolille, jos näillä on lainmukainen oikeus vastaanottaa henkilötietoja.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Tietoja käsitellään ainoastaan Suomessa.

7. Henkilötietojen suojaus

Senaatti-konserni toteuttaa tietojen turvallisen käsittelyn varmistamalla tekniset ja hallinnolliset vaatimukset auditointien, tarkastusten ja riskienhallinnan keinoin. Vaatimuksia arvioidaan kaikkiin rekisterinpitäjän tietojärjestelmiin, sekä myös niiden palveluntuottajiin tarvittavalla riskienhallinnan tasolla. Tietoja salataan vahvoilla salausmenetelmillä, tai pseudonymisoidaan siten, että tarpeettomat henkilötiedot, joista henkilö voidaan tunnistaa, jätetään pois. Tietojärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus varmistetaan varmuuskopioinnilla ja säännöllisillä tietoturvatarkastuksilla sekä ajantasaisilla ohjelmisto- ja tietoturvapäivityksillä. Menettelyt, joilla testataan, tutkitaan ja arvioidaan säännöllisesti tietojärjestelmien ja palveluiden turvallisuutta, ovat osa Senaatti-konsernin jatkuvaa kehittämisprosessia.

Käyttäjät näkevät vain omaan tehtävään tai sopimukseen liittyvät hankkeen tai kohteen dokumentit.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Rakennuksiin ja muihin kohteisiin liittyviä aineistoja säilytetään niin kauan kuin rekisterinpitäjät hallinnoivat niitä.

Kilpailutusjärjestelmään tallennetut tarjoukset henkilötietoineen on poistettavissa 6-12 kk kuluttua tarjouskilpailun ratkettua.

Myytäviin kohteisiin liittyvät projektipankit suljetaan, kun kauppa on tehty. Tämän jälkeen henkilötiedot on teknisesti poistettavissa.

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta