Publicerad 11.07.2018

Dataskyddsbeskrivning för kund- och avtalspartnerregistret vid Jubileumsfonden för Finlands självständighet (Sitra)

1 Personuppgiftsansvarig

Personuppgiftsansvarig för registret är Jubileumsfonden för Finlands självständighet Sitra (FO-nummer 0202132-3).

Kontaktperson i registerärenden:
Mirja Gröhn
Expert, Kommunikation och samhällsrelationer

Jubileumsfonden för Finlands självständighet Sitra
Adress: Östersjögatan 11–13, PB 160, 00181 Helsingfors
Telefon:+358 294 618 991
E-post: kirjaamo@sitra.fi

Dataskyddsombud:
Janika Skaffari
Expert, Administration

kirjaamo@sitra.fi

2 Registrets namn

Sitras kund- och avtalspartnerregister.

3 Syfte med behandling av personuppgifter

Sitra behandlar personuppgifter i syften som fastställs som dess uppgifter och mål i lagen om Jubileumsfonden för Finlands självständighet (717/1990) i de situationer som anknyter till förvaltning av avtalsförhållanden, fullgörande av Sitras uppgifter, förpliktelser och rättigheter i anknytning till dem samt för att sköta sina förpliktelser gentemot uppdragsgivare, tjänsteleverantörer och avtalspartner.

Personuppgifter behandlas också i syften som anknyter till utbetalning av arvode eller ersättning till personer som inte är anställda i Sitra, men som producerar tjänster åt Sitra mot ersättning.  Personuppgifter behandlas i samband med upphandlingar och finansieringsansökningar, under avtalsförhållanden och efter att de avslutats till den del som det behövs för att uppfylla nämnda syfte.

I samband med upphandlingar behandlas personuppgifter vid genomförande av upphandlingsförfarande, begäran om anbud och svar på anbud. Uppgifterna behandlas vid beslutsfattande i anknytning till förfarandet, kontakthållning och kommunikation i anknytning till beslutsfattandet samt i andra syften för att genomföra förfarandet.

I samband med finansieringsansökningar behandlas personuppgifter på motsvarande sätt som vid upphandling.

Personuppgifter behandlas inte med automatiserade beslut.

Sitra behandlar uppgifterna själv och använder underleverantörer vid behandling av personuppgifter för och åt Sitra.

4 Rättsgrunder för behandlingen

Rättsgrunderna för behandlingen av personuppgifter är följande grunder enligt EU:s allmänna dataskyddsförordning.

a) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning;

b) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige;

c) personuppgiftsansvariges berättigade intresse

För arvodestagare även:

d) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

5 Registrets datainnehåll (personuppgiftsgrupper som behandlas)

Registret innehåller följande personuppgifter om i princip alla registrerade:

a) grundläggande uppgifter såsom namn och kontaktuppgifter;

b) uppgifter om personens (den registrerades) arbete och ställning såsom arbetsplats (organisation), yrkes-/uppgiftsbeteckning och eventuell annan representant för organisationen (registrerad);

Registret innehåller följande personuppgifter om privatpersoner som är part i avtalet:

c) Kontonummer och personbeteckning;

Registret innehåller följande personuppgifter till den del som Sitra tagit emot dem som del av ett anbud:

d) personens (den registrerades) meritförteckning, som inkluderar uppgifter om personens kunskaper, arbetserfarenhet och bakgrund;

e) bild på personen (den registrerade);

f) personens (den registrerades) referenser, övriga medlemmar i arbetsteamet (registrerade) och uppgifter som beskriver arbetsteamets kunskaper;

g) Uppgifter enligt upphandlingslagen och annan tillämplig lagstiftning, bl.a. utdrag ur brottsregistret som krävs enligt upphandlingslagen.

Registret innehåller följande personuppgifter om dokumentets undertecknare vid anvädning av stark autentisering:

(a) namn

(b) personbeteckning

(c) födelsedatum

(d) tidpunkt för underskrift, IP-adress och annan teknisk information

6 Regelrätta informationskällor

Personuppgifterna samlas i första hand in från den registrerade själv eller från den organisation de representerar.

Personuppgifterna samlas inom ramen för tillämplig lagstiftning även in från allmänt tillgängliga källor samt andra tredje parter med vilka eller genom vilka Sitra fullgör sina förpliktelser i anknytning till anbuds- och upphandlingsförfarandet.

7 Förvaringstid för personuppgifter

De uppgifter som samlats i registret förvaras endast så länge och i den omfattning som de behövs i relation till de ursprungliga eller relevanta syften för vilka de insamlats.

Nedan uppräknade uppgifter förvaras dessutom enligt följande förvaringstider:

a) grundläggande uppgifter om registrerade förvaras så länge som det behövs för att slutföra en framgångsrik finansieringsansökan, ett anbuds- och upphandlingsförfarande eller en uppdrags-, service- eller avtalsrelation samt fullgöra eventuella förpliktelser efter avslutade avtal;

b) personuppgifter i registret, inklusive känsliga personuppgifter, förvaras så länge som det behövs för att upprätta, framlägga, försvara eller avgöra ett rättsanspråk rörande en avtalsrelation, upphandling eller finansieringsansökan;

c) utdraget ur brottsregistret förstörs eller returneras när den lagstadgade kontrollen utförts.

d) personbeteckningen som samlas in vid stark autentisering lagras i 30 dagar

Sitra bedömer regelbundet behovet av att bevara uppgifterna i enlighet med sin interna uppförandekod. Sitra vidtar dessutom alla möjliga rimliga åtgärder för att trygga att otydliga, felaktiga eller föråldrade personuppgifter i förhållande till syftet med behandlingen raderas eller rättas omedelbart.

8 Mottagare av personuppgifter (mottagargrupper) och regelrätt utlämnande av uppgifter

Personuppgifterna i registret överlåts normalt sett inte till utomstående personer eller organisationer. Personuppgifterna kan överlåtas som en del av begäran om uppgifter baserat på offentlighetslagen (621/1999).

9 Överföring av uppgifter utanför EU eller EES

Personuppgifter i registret kan överförs utanför EU och EES. När Sitra överför personuppgifter iakttar Sitra mallavtalsklausuler som EU-kommissionen godkänt avseende överföring av personuppgifter till tredjeländer.

10 Principer för skyddet för registret

Eventuellt fysiskt material med personuppgifter förvaras i låsta utrymmen som endast utsedda och behöriga personer har tillgång till.

Databaser med personuppgifter förvaras på servrar som finns i låsta utrymmen som endast utsedda och behöriga personer har tillgång till. Servrarna har skyddats med brandväggar och tekniskt skydd.

Databaserna och systemen är tillgängliga endast med separat beviljade personliga användarnamn och lösenord. Sitra har begränsat användarrättigheterna till IT-systemen och de övriga databaserna så att endast personer som är behöriga enligt lagen kan se och behandla uppgifterna. Dessutom registreras transaktionerna i databaserna och systemen i Sitras logguppgifter.

Sitras medarbetare och övriga personer har förbundit sig att iaktta tystnadsplikt och hemlighålla uppgifter som de fått i samband med behandlingen av personuppgifter.

Behandling av känsliga personuppgifter är tillåtet och tekniskt möjligt med användaradministrering endast för utvalda och begränsade personer som på grund av sina arbetsuppgifter måste behandla sådana uppgifter.

11 Den registrerades rättigheter

Registrerade har följande rättigheter enligt EU:s allmänna dataskyddsförordning:

a) rätt att av den personuppgiftsansvariga få en bekräftelse om att uppgifter om personen behandlas eller inte behandlas, och att om de behandlas rätt att få insyn i personuppgifterna och följande uppgifter: ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) den registrerades rätt att av den personuppgiftsansvariga begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätten att inge klagomål till en tillsynsmyndighet, (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer, och (viii) förekomsten av automatiserat beslutsfattande, samt meningsfull information om logiken bakom samt betydelsen och eventuella följder av sådan behandling för den registrerade;

b) rätt att yrka på att den personuppgiftsansvariga utan oskäligt dröjsmål korrigerar inexakta och felaktiga personuppgifter om den registrerade och rätt att komplettera bristfälliga personuppgifter, bland annat genom att inlämna en tilläggsutredning med beaktande av de ändamål för vilka uppgifterna behandlades;

c) rätt att begära att den personuppgiftsansvariga raderar personuppgifter om den registrerade utan oskäligt dröjsmål under förutsättning att (i) personuppgifterna inte längre behövs för sådana ändamål för vilka de samlades in eller för vilka de annars behandlades; (ii) personuppgifterna behandlats i strid med lagen; eller (iii) personuppgifterna måste raderas för att fullgöra den personuppgiftsansvarigas lagstadgade förpliktelse baserade på unionens lagar eller nationell lagstiftning;

d) rätt att den personuppgiftsansvariga begränsar behandlingen om (i) den registrerade bestrider personuppgifternas riktighet, varvid behandlingen begränsas under en tid under vilken registeransvarig kan säkerställa deras riktighet; (ii) behandlingen är lagstridig och den registrerade motsätter sig att de raderas och istället yrkar att användningen av dem begränsas; (iii) registeransvarig inte längre behöver personuppgifterna i fråga för ändamålet med behandlingen, men den registrerade behöver dem för att upprätta, framlägga eller försvara ett rättsyrkande; eller (iv) den registrerade har motsatt sig behandlingen av personuppgifter av skäl som anknyter till ett personligt särskilt skäl medan den registrerade väntar på att verifiera huruvida Sitras berättigade grunder åsidosätter den registrerades grunder;

e) rätt att få personuppgifter om sig själv som den registrerade överlämnat till den personuppgiftsansvariga i en strukturerad, allmänt använd och maskinläsbar form;

f) rätt att inge klagomål till en tillsynsmyndighet om den registrerade anser att EU:s allmänna dataskyddsförordning kränks vid behandlingen av dennes personuppgifter.

Begäranden som gäller tillgodoseendet av den registrerades rättigheter riktas till Sitras registratorskontor på kirjaamo@sitra.fi.