Integritetspolicy för Senatkoncernens webbmiljön för e-lärande och kompetensutveckling

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter och Försvarsfastigheter

Senatfastigheter: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors

E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

Syftet med behandlingen av personuppgifter är att utbilda Senatfastigheters och Försvarsfastigheters personal och tjänsteproducenter samt att samla in information om den kompetens och de utbildningar som personerna i fråga har genomfört. Senatfastigheter och Försvarsfastigheter är i fråga om den behandling av personuppgifter som beskrivs i denna beskrivning sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i EU:s allmänna dataskyddsförordning (GDPR). Behandlingen är nödvändig för att de personuppgiftsansvariga ska kunna utföra sina uppgifter av allmänt intresse (artikel 6.1 e i GDPR). När det gäller anställda i den egna koncernen kan behandlingen också vara nödvändig för att fullgöra ett avtal i vilket den registrerade är part (GDPR artikel 6.1 b).

3. Behandlade personuppgifter och grupper av registrerade

I registret samlas uppgifter om koncernens personal och tjänsteproducenter in.

Registret innehåller följande uppgifter om koncernens personer:

förnamn
efternamn
användar-ID
användar-id i Entra
koncernens personal har en personlig identifikationskod
e-postadress
chef
enhet
befattning
affärsverk
språk
anställningsförhållandets förfallodag (slutdatum)
datum då ID skapades.

Registret innehåller följande uppgifter om tjänsteproducenternas personer:

namn
person beteckning
användar-ID (e-post)
behörighetsnivå
företagets namn och/eller FO-nummer
inloggningsmetod
datum då ID skapades
stark autentisering.

Kursprestationerna för koncernens personal registreras i koncernens personalsystem. Användaren kan själv redigera de valda personuppgifterna.

4. Regelmässiga uppgiftskällor

Uppgifterna om koncernens personal fås ur koncernens personalsystem. Personer som hör till intressentgrupper loggar in i systemet huvudsakligen med hjälp av stark autentisering. Om detta inte är möjligt för någon, skickar man till personen en länk till inloggningsformuläret där personen kan skapa koder och sedan logga in. Inloggningen sker med användar-ID (e-post) och lösenord.

5. Mottagare eller mottagargrupper av personuppgifter

Tillgång till personuppgifter har koncernens huvudanvändare, personer med rollen som utbildare av systemet samt koncernens tjänsteproducent som utför service- och stöduppgifter för de personuppgiftsansvarigas räkning. Uppgifter får lämnas ut till andra parter, om dessa har laglig rätt att ta emot personuppgifter.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller Europeiska ekonomiska samarbetsområdet.

7. Personuppgifternas skydd

Senatkoncernen genomför en säker behandling av uppgifterna genom att säkerställa de tekniska och administrativa kraven genom revisioner, inspektioner och riskhantering. Kraven bedöms på den riskhanteringsnivå som behövs för alla den personuppgiftsansvariges informationssystem och även för deras tjänsteproducenter. Uppgifterna krypteras med starka krypteringsmetoder eller pseudonymiseras så att onödiga personuppgifter genom vilka en person kan identifieras utelämnas. Informationssystemens och tjänsternas kontinuerliga konfidentialitet, integritet, användbarhet och feltolerans säkerställs genom säkerhetskopiering och regelbundna informationssäkerhetskontroller samt uppdaterade programvaru- och informationssäkerhetsuppdateringar. De förfaranden genom vilka säkerheten hos informationssystem och tjänster regelbundet testas, undersöks och utvärderas är en del av Senatkoncernens kontinuerliga utvecklingsprocess.

Koncernens huvudanvändare och huvudanvändarna hos den tjänsteproducent som ansvarar för upprätthållandet av systemet har tillgång till alla uppgifter i systemet. Till övriga delar ges rätten till uppgifterna examensvis, varvid de personer som har rollen som lärare ser uppgifterna om sina kurser.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Användaruppgifterna om de personuppgiftsansvarigas personer raderas ur inlärningsmiljön 365 dagar efter att anställningsförhållandet upphört. Användaruppgifterna om personer som hör till intressentgrupper raderas efter 5 år.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
Rätt att återkalla samtycke till behandling av personuppgifter i sin helhet, om samtycket har givits enbart för direktmarknadsföringsändamål
Rätt att få sina personuppgifter korrigerade
Rätt att få sina personuppgifter raderade
Rätt att begränsa behandlingen av sina personuppgifter
Rätt att motsätta sig behandlingen av sina personuppgifter och rätt att motsätta sig marknadskommunikation
Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.