Gå till innehållet

Integritetspolicy för Senatkoncernens hantering av investeringsprojekt (Rakha)

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab

Senatfastigheter och Senatstationfastigheter Ab: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors

E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

De personuppgiftsansvariga (Senatfastigheter, Försvarsfastigheter och Senatstationsfastigheter Ab) använder informationssystemet för planering och uppföljning av ekonomin i investeringsprojekt.

Behandlingen av personuppgifter sker för fullgörande av en uppgift som ålagts Senatfastigheter och Försvarsfastigheter (1018/2020). I 2.1 i lagen föreskrivs att ”Senatkoncernens affärsverk har till uppgift att bedriva verksamhet inom verksamhetsområdet fastighets- och lokalaffärsverksamhet och för statens behov producera fastighets- och lokaltjänster, tjänster inom ledning och förvaltning av lokaler, tjänster i anslutning till anskaffning, förvaltning och överlåtelse av lokaler samt andra tjänster med direkt anknytning till dem enligt serviceavtal för de kunder som avses i 2 § i affärsverkslagen. Dessutom ska affärsverken ha hand om den statliga fastighetsförmögenhet som affärsverken besitter, om skötseln och förvaltningen av den samt vid behov om överlåtelse, förvärv, skötsel och förvaltning av statens fastighetsförmögenhet och annan anknytande egendom.” Behandlingen av personuppgifter är nödvändig för att fullgöra en lagstadgad förpliktelse som åvilar de personuppgiftsansvariga (artikel 6.1 c i GDPR). Senatfastigheter, Försvarsfastigheter och Senatstationsfastigheter Ab är i fråga om den behandling av personuppgifter som beskrivs i denna beskrivning sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i EU:s allmänna dataskyddsförordning (GDPR).

3. Behandlade personuppgifter och grupper av registrerade

I systemet behandlas uppgifter om anställda hos personuppgiftsansvariga och personer som är byggherrekonsulter: namn, e-post, företag.

4. Regelmässiga uppgiftskällor

De personuppgiftsansvarigas personuppgifter fås till systemet ur koncernens personalsystem.

De projektansvariga hos de personuppgiftsansvariga registrerar i systemet byggherrekonsulternas personuppgifter.

5. Mottagare eller mottagargrupper av personuppgifter

Utöver systemanvändarna har uppgifterna överförts till tjänsteproducenten för utförande av service- och stöduppgifter. Uppgifter får lämnas ut till andra parter, om dessa har laglig rätt att ta emot personuppgifter.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES.

7. Personuppgifternas skydd

Senatkoncernen genomför en säker behandling av uppgifterna genom att säkerställa de tekniska och administrativa kraven genom revisioner, inspektioner och riskhantering. Kraven bedöms på den riskhanteringsnivå som behövs för alla den personuppgiftsansvariges informationssystem och även för deras tjänsteproducenter. Uppgifterna krypteras med starka krypteringsmetoder eller pseudonymiseras så att onödiga personuppgifter genom vilka en person kan identifieras utelämnas. Informationssystemens och tjänsternas kontinuerliga konfidentialitet, integritet, användbarhet och feltolerans säkerställs genom säkerhetskopiering och regelbundna informationssäkerhetskontroller samt uppdaterade programvaru- och informationssäkerhetsuppdateringar. De förfaranden genom vilka säkerheten hos informationssystem och tjänster regelbundet testas, undersöks och utvärderas är en del av Senatkoncernens kontinuerliga utvecklingsprocess.

Personuppgiftsansvariga har tillgång till alla projekt (exkl. vissa projekt till vilka endast särskilt utsedda personer har tillträde). Byggherrekonsulter får bara tillträde till sina egna projekt.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Personuppgifterna lagras i systemet under den tid som användningsbehovet kräver, varefter uppgifterna raderas ur systemet.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback