Siirry sisältöön

Senaatti-konsernin asian- ja dokumenttienhallintajärjestelmän tietosuojaseloste

1. Rekisterinpitäjät ja yhteystiedot

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy

Senaatti-kiinteistöt ja Senaatin asema-alueet Oy: Lintulahdenkatu 5 A, PL 237, 00531 Helsinki
Sähköposti: kirjaamo(at)senaatti.fi

Puolustuskiinteistöt: Isoympyräkatu 10, PL 1, 49401 Hamina
Sähköposti: kirjaamo(at)puolustuskiinteistot.fi

Puhelin: 029 483 0000

Tietosuojavastaava Petri Konttinen, etunimi.sukunimi(at)senaatti.fi

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Rekisterinpitäjät (Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet oy) käyttävät tietojärjestelmää asianhallintaan, asiakirjojen ja dokumenttienhallintaan, sähköiseen arkistointiin, sähköiseen allekirjoitukseen, sopimustenhallintaan, toimielinten työskentelyyn ja kokoustenhallintaan, sekä asiakkaiden ja palveluntuottajien yhteyshenkilöiden rekisteriin.

Rekisterinpitäjät toimivat GDPR:n mukaisina yhteisrekisterinpitäjinä (GDPR artikla 26). Henkilötietojen käsittely tapahtuu pääsääntöisesti rekisterinpitäjien yleistä etua koskevien tehtävien suorittamiseksi (GDPR artikla 6.1e). Käsittely voi perustua myös sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR artikla 6.1b).

Senaatti-kiinteistöt, Puolustuskiinteistöt ja Senaatin asema-alueet Oy toimivat EU:n tietosuoja-asetuksen mukaisina yhteisrekisterinpitäjinä (GDPR artikla 26).

3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät

Järjestelmän käyttäjien henkilötiedot: järjestelmään tulee AD:n kautta käyttäjien henkilötietoja, jotka ovat nimi, sähköpostiosoite ja AD-tunnus. Käyttäjät ovat joko rekisterinpitäjien henkilöitä tai sidosryhmien henkilöitä (integraatiotoimittajien yhteyshenkilöitä).

Asiakasorganisaatioiden henkilöiden tiedot: järjestelmään tuodaan integraation kautta asiakastietojärjestelmästä (CRM) asiakasorganisaation nimi ja sähköpostiosoite sekä asiakasorganisaation edustajan nimitieto, sähköpostiosoite, puhelinnumero ja tehtävänimike.

Palveluntuottajien henkilöiden tiedot: järjestelmään tuodaan integraation kautta toimittajatietojärjestelmästä (AX) toimittajaorganisaation nimi sekä manuaalisesti esim. sähköistä allekirjoitusta varten toimittajaorganisaation edustajan nimitieto, sähköpostiosoite ja puhelinnumero. Asiakirjoihin ja asioihin sisältyy henkilötietoja.

4. Säännönmukaiset tietolähteet

Järjestelmien käyttäjien tiedot saadaan konsernin yhteisistä järjestelmistä (HR ja AD).

Asiakkaiden yhteystiedot saadaan konsernin yhteisestä asiakkuudenhallintajärjestelmästä (CRM, oma erillinen rekisteriseloste).

Palveluntuottajien yhteyshenkilöiden tiedoille on perustettu oma rekisterinsä, ja tiedot rekisteriin saadaan joko rekisterinpitäjän ja rekisteröidyn työnantajan välisen palvelusopimuksen perusteella, tai yleisistä julkisista rekistereistä (Tietosuojalaki 1050/2018 4§ 1.mom. k. 1).

Asiakirjoissa olevat henkilötiedot saadaan rekisterinpitäjien suorittaessa yleistä etua koskevia tehtäviään, tai rekisteröidyn ollessa sopimusosapuoli rekisterinpitäjän kanssa.

5. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Pääsy tietoihin on rekisterinpitäjien työntekijöiden lisäksi ainoastaan rekisterinpitäjien palveluntuottajien valtuutetuilla henkilöillä, jotka suorittavat järjestelmän tuki- ja huoltotoimenpiteitä tai muita tehtäviä (esim. konsultit) palvelusopimuksen perusteella rekisterinpitäjien lukuun.

6. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Tietoja käsitellään ainoastaan Suomessa.

7. Henkilötietojen suojaus

Rekisterinpitäjä on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Järjestelmän tiedot on suojattu palomuurilla ja muilla teknisillä keinoilla. Järjestelmän käyttö onnistuu vain konsernin tietoverkosta.

Henkilörekisterit (käyttäjät, asiakkaat ja palveluntuottajat) ovat kaikkien järjestelmän käyttäjien nähtävillä.

Asiakirjoissa ja asioissa oleviin henkilötietoihin on rajoitettu pääsyoikeus, mikäli asiakirja sisältää salassapidettävää tietoa, tai jos asiakirjassa on henkilötietoja, joiden käsittelyä on rajoitettava joko GDPR:n tai muun lainsäädännön perusteella.

8. Tietojen säilytysaika ja sen määräytymisperiaatteet

Käyttäjätunnukset poistetaan järjestelmästä kun henkilön työsuhde päättyy ja hänen tunnuksensa poistetaan rekisterinpitäjän keskitetystä pääsynhallinnasta.

Henkilörekisterien tiedot (omat henkilöt, asiakkaat, palveluntuottajat) poistetaan järjestelmästä kun asiakirjan, johon henkilötieto on liittynyt, käyttötarkoitus päättyy ja tieto hävitetään.

Asiakirjoihin ja asioihin liittyvät henkilötiedot poistuvat kun em. poistetaan säilytysaikojen mukaisesti (TOS:n, eli tiedonohjaussuunnitelmassa määritellyn säilytysajan mukaisesti).

9. Rekisteröityjen oikeudet

Rekisteröity henkilö voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan seuraaviin asioihin:

  • Oikeus saada pääsy henkilötietoihin (saada tieto itseään koskevasta käsittelystä)
  • Oikeus perua suostumus henkilötietojen käsittelyyn kokonaisuudessaan, jos suostumus on annettu ainoastaan suoramarkkinoinnin tarkoituksiin
  • Oikeus omien henkilötietojensa oikaisemiseen
  • Oikeus omien henkilötietojensa poistamiseen
  • Oikeus omien henkilötietojensa käsittelyn rajoittamiseen
  • Oikeus vastustaa omien henkilötietojensa käsittelyä ja oikeus vastustaa markkinointiviestintää
  • Oikeus olla joutumatta tietämättään automaattisen päätöksenteon kohteeksi.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty GDPR:n artikla 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää (GDPR artikla 12.3).

Rekisteröidyllä on myös oikeus tehdä valitus valvontaviranomaisena toimivalle tietosuojavaltuutetulle.

Anna palautetta