Gå till innehållet

Integritetspolicy för Senatkoncernens identitets- och åtkomsthantering

1. Personuppgiftsansvarig och kontaktuppgifter

Senatfastigheter och Försvarsfastigheter

Senatfastigheter: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors
E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syfte med behandlingen av personuppgifter och rättslig grund för behandlingen

Syfte med behandlingen av personuppgifter är att administrera åtkomsträttigheterna för anställda på Senatfastigheter och dess dotterbolag Försvarsfastigheter i Senatkoncernens informationssystem. Dessutom administrerar systemet åtkomsträttigheter för intressentgrupper hos Senatfastigheter och Försvarsfastigheter (kunder och tjänsteleverantörer) i elektroniska tjänster som tillhandahålls av Senatkoncernen.

Senatfastigheter och Försvarsfastigheter fungerar som gemensamt personuppgiftsansvariga i enlighet med artikel 26 i EU:s allmänna dataskyddsförordning. Behandlingen av personuppgifter är nödvändig för att uppfylla den lagstadgade skyldigheten för registeransvariga (GDPR 6.1c). När det gäller koncernens anställda behövs behandlingen för att genomföra ett sådant avtal (arbetsgivarskyldigheter) i vilket den registrerade är part (GDPR artikel 6.1 b).

3. Behandlade personuppgifter och grupper av registrerade

I systemet behandlas uppgifter om koncernens anställda, anställda hos koncernens kundorganisationer och anställda hos tjänsteleverantörer.

Uppgifter om koncernanställda: namn, telefonnummer, e-postadress, organisation, användar-ID, personens chef, befattning, verksamhetsställets adress, anställningsdatum och extern identifierare.

Uppgifter om anställda hos kundorganisationer och tjänsteleverantörer: namn, telefonnummer, e-postadress, organisation, användar-ID.

4. Regelmässiga uppgiftskällor

Uppgifterna om koncernens personal fås ur koncernens personalsystem.

Uppgifterna om kundernas anställda fås när de registrerar sig via Virtu-autentisering (användaren sparar själv telefonnumret). Uppgifterna om tjänsteleverantörernas anställda fås när personerna själva registrerar sig i systemet, eller också kan koncernens huvudanvändare registrera uppgifterna för deras räkning.

Personerna kan komplettera sina egna uppgifter själva.

5. Mottagare eller mottagargrupper av personuppgifter

Åtkomst till personuppgifter har koncernens huvudanvändare samt de tjänsteleverantörer inom koncernen som utför service- och stöduppgifter för de personuppgiftsansvarigas räkning.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EES.

7. Personuppgifternas skydd

Senatkoncernen har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig utplåning, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemet skyddas i databasen med hjälp av en brandvägg och andra tekniska medel. Användning av systemet kräver ett personligt användarnamn och lösenord.

Användare, som har tillgång till systemet, ser bara sina egna uppgifter i systemet.

8. Uppgifternas lagringstid och kriterier för hur denna fastställs

Var tredje månad raderar tjänsteleverantören uppgifter om personer som inte har använt systemet på två år.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att motsätta sig behandlingen av sina personuppgifter och rätt att motsätta sig marknadskommunikation
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback