Integritetspolicy för Senatkoncernens behandling av uppgifter om säkerhetsutredda personer

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter och Försvarsfastigheter

Senatfastigheter: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors
E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

De personuppgiftsansvariga (Senatfastigheter och Försvarsfastigheter) behandlar uppgifterna utifrån säkerhetsutredningslagen, när personerna åläggs att arbeta i Senatfastigheters, Försvarsfastigheters eller deras kunders lokaler eller projekt.

Behandlingen är nödvändig för att de personuppgiftsansvariga ska kunna utföra sina uppgifter som är av allmänt intresse (artikel 6.1 e i GDPR). Senatfastigheter och Försvarsfastigheter är gemensamt personuppgiftsansvariga enligt dataskyddsförordningen (artikel 26 i GDPR).

3. Behandlade personuppgifter och grupper av registrerade

I systemet upprätthålls uppgifter om vilka som är godkända att arbeta i de personuppgiftsansvarigas eller deras kunders lokaler eller projekt. Dessutom upprätthålls uppgifter om vem som får rätt att få åtkomst till de personuppgiftsansvarigas eller deras kunders sekretessbelagda uppgifter eller informationssystem.

Följande uppgifter samlas in om personerna: namn, hemadress, personbeteckning, medborgarskap, arbetsgivaruppgifter, uppgiftsbeskrivning, chefsuppgifter, e-postadress, telefonnummer. I fråga om Senatfastigheter kan också uppgifter enligt 17 § i säkerhetsutredningslagen (L 726/2014) samlas in för en del personer (Skyddspolisen).

I fråga om Försvarsfastigheter samlas alltid in uppgifter enligt ovannämnda lag (Huvudstaben).

4. Regelmässiga uppgiftskällor

Personen eller dennes arbetsgivare (utsedd kontaktperson för företaget) lämnar uppgifterna till systemet för persongodkännande.

Om en säkerhetsutredning enligt säkerhetslagen görs om en person, ger personen själv uppgifterna och samtycket till att utredningen görs.

Genom undantagsförfarandet kan uppgifter också samlas in med hjälp av ett krypterat e-postmeddelande. Undantagsförfarandet kan användas t.ex. när en person inte kan använda systemet med personuppgiftsansvariga eller när uppgifter om inledande av ett tillståndsförfarande inte kan fås på något annat sätt.

5. Mottagare eller mottagargrupper av personuppgifter

Endast behöriga personer hos de personuppgiftsansvariga, företrädare för de personuppgiftsansvarigas kunder och utsedda företrädare för den registrerade personens arbetsgivare ska ha tillgång till uppgifterna. Uppgifterna har överförts till de personuppgiftsansvarigas tjänsteproducenter för behandling för service- och stöduppgifter.

Uppgifter lämnas ut till Försvarsmakten för behandling av passertillstånd. Uppgifter får lämnas ut till andra parter, om dessa har laglig rätt att ta emot personuppgifter.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES.

7. Personuppgifternas skydd

Senatkoncernen genomför en säker behandling av uppgifterna genom att säkerställa de tekniska och administrativa kraven genom revisioner, inspektioner och riskhantering. Kraven bedöms på den riskhanteringsnivå som behövs för alla den personuppgiftsansvariges informationssystem och även för deras tjänsteproducenter. Uppgifterna krypteras med starka krypteringsmetoder eller pseudonymiseras så att onödiga personuppgifter genom vilka en person kan identifieras utelämnas. Informationssystemens och tjänsternas kontinuerliga konfidentialitet, integritet, användbarhet och feltolerans säkerställs genom säkerhetskopiering och regelbundna informationssäkerhetskontroller samt uppdaterade programvaru- och informationssäkerhetsuppdateringar. De förfaranden genom vilka säkerheten hos informationssystem och tjänster regelbundet testas, undersöks och utvärderas är en del av Senatkoncernens kontinuerliga utvecklingsprocess.

Tillgång till personuppgifter får endast ges till personer som särskilt förordnats av de personuppgiftsansvariga samt deras kunder och tjänsteproducenter och som på grund av sitt arbete har rätt att behandla personuppgifter. Dessa personer har tillgång till systemet med personliga användar-ID och lösenord.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Uppgifterna raderas automatiskt i systemet enligt särskilt fastställda raderingstider, eller senast fem år efter det att tillståndet har upphört att gälla.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

• Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
• Rätt att återkalla samtycke till behandling av personuppgifter när behandlingen grundar sig på samtycke.
• Rätt att få sina personuppgifter korrigerade
• Rätt att få sina personuppgifter raderade
• Rätt att begränsa behandlingen av sina personuppgifter
• Rätt att motsätta sig behandlingen av sina personuppgifter
• Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.