Dataskyddsbeskrivning
Vasa stad
Datum för uppgörandet 26.6.2018
1. Registrets namn
Kundregistret för Vasa stads responssystem
2. Personuppgiftsansvarig
Namn: Vasa stad
Adress: PB 3, 65101 VASA
Övriga kontaktuppgifter: 06 325 1111
3. Kontaktperson i registerärenden
Namn: Medgorgarinfo
Telefon: 06 325 1111
E-post: medborgarinfo@vasa.fi
4. Den dataskyddsansvarigas kontaktuppgifter
Telefonväxel: 06 325 1111
E-post: tietosuojavastaava@vasa.fi
5. Avsikt med och rättsgrund för behandlingen av personuppgifter
I Vasa stads (nedan den personuppgiftsansvariga) responssystem (nedan register), där användarna (nedan den registrerade) kan skicka respons. I responsservicen skickas, behandlas och statistikförs respons. (8 § i personuppgiftslagen (PuL))
Den personuppgiftsansvarigas rätt att föra register över de personer, mellan vilka den personuppgiftsansvariga och den registrerade har ett tjänstgöringsförhållande eller en saklig anknytning till följd av ett förhållande jämförbart med ett tjänstgöringsförhållande. För övriga registrerades del grundar sig behandlingen av personuppgifterna på ett kundförhållande eller på skötseln av ett förhållande som grundar sig på en saklig anknytning. (8 § i PuL)
Uppgifter om användarna av servicen samlas in för att definiera användarrättigheterna, övervaka användningen och utreda problemfall. Uppgifterna kan användas för den personuppgiftsansvarigas egna planerings-, utvecklings- och statistikföringsbehov.
6. Registrets datainnehåll
Respons kan ges antingen anonymt eller så kan användaren registrera sig till tjänsten och/eller ge kontaktuppgifter i responsen.
Registret innehåller bl.a. följande uppgifter om den registrerade:
- Användarnamn
- Lösenord
- Namn
- E-postadress
- Telefon
- Önskat kontaktsätt i anslutning till behandlingen av responsen.
- Informationen i de responser som getts
- Behandlingsskeden för responserna och svar på dem.
Om användningen av tjänsten skapas en användarlogg som inte innehåller personuppgifter.
7. Regelmässiga informationskällor
Till registret förs personuppgifter genom den registrerades egen anmälan.
Tjänsten använder kakor i webbläsaren. Med hjälp av kakorna samlas uppgifter om användaren och dennas utrustning in, och med uppgifterna optimeras servicen.
Personuppgifter kan samlas in och uppdateras från den personuppgiftsansvarigas och de organisationers / företags register som hör till samma koncern som denna.
8. Uppgifternas lagringstid
I registret bildar responserna ett arkiv där den registrerade kan granska sina egna responser och de svar som getts på dem.
Personuppgifterna sparas tills ärendet i fråga har behandlats och uppgifterna inte längre behövs av den personuppgiftsansvariga eller den registrerade.
9. Regelmässig utlämning av uppgifter
Personuppgifter utlämnas inte till utomstående.
Den personuppgiftsansvariga kan lämna ut uppgifter inom ramarna för vad den ikraftvarande lagstiftningen förpliktar och tillåter till bl.a. organisationer / företag som hör till samma koncern som den personuppgiftsansvariga.
Den personuppgiftsansvariga kan i lagstadgade fall lämna ut lagrade uppgifter om den registrerade till myndigheterna.
Logguppgifter utlämnas inte till utomstående. Vid utredning av avvikelser i dataskyddet eller vid förundersökning av brott kan den personskyddsansvariga ändå ha rätt att lämna ut uppgifter till polisen eller annan myndighet.
10. Överföring av uppgifter till länder utanför EU eller EES
Uppgifter överförs inte till länder utanför EU- eller EES-området.
11. Principer för skydd av registret
A. Manuellt material
Materialet innehåller inte manuellt material.
B. Uppgifter som behandlas med hjälp av adb
1. Uppgifter som innehåller personuppgifter behandlas i en skyddad servermiljö. All datatrafik mellan systemen sker krypterat (SSL-skyddat) eller på annat sätt skyddat i datanätet.
2. Personuppgifterna skyddas från obehörigt tillträde och olaglig behandling (t.ex. förstöring, ändring eller utlämning).
3. Databehandlingsrättigheterna övervakas med hjälp av användarrätts- och övervakningsförfaranden.
4. Den personuppgiftsansvarigas användare är skyddade med lösenord som användaren ska byta regelbundet.
5. Den personuppgiftsansvariga ser till att endast de av den personuppgiftsansvarigas arbetstagare, och de av arbetstagarna inom de företag som verkar för den personuppgiftsansvariga, som behöver uppgifter för att kunna sköta sina arbeten har åtkomst till uppgifterna. Arbetarna binds av tystnadsplikten.
6. Anvisningar för användningen av registret finns.
12. Eventuell förekomst av automatiserat beslutsfattande
Tjänsten gör inga profileringar på basis av de uppgifter som registreras och inga automatiserade beslut.
13. Den registrerades rättigheter
A. Rätt att få tillgång till uppgifter (artikel 15, begäran riktas till kontaktpersonen)
Den registrerade har rätt att få veta att de uppgifter som berör den registrerade behandlas eller inte behandlas. Den registrerade har rätt att få åtkomst till sina egna uppgifter och granska de personuppgifter som rör hen själv. Den personuppgiftsansvariga ska på begäran ge en kopia på de personuppgifter som behandlas. Om den registrerade begär flera kopior kan den personuppgiftsansvariga ta ut en skälig avgift för dem baserad på förvaltningsmässiga kostnader.
Den personuppgiftsansvariga ska lämna uppgifterna utan obefogad fördröjning och i varje fall inom en månad efter mottagandet av begäran. Tidsfristen kan vid behov förlängas med högst två månader med hänsyn till begärandenas komplexitet och mängd. Den personuppgiftsansvariga ska meddela den registrerade om en sådan här möjlig förlängning inom en månad efter mottagandet samt orsaken till fördröjningen.
Om den personuppgiftsansvariga inte genomför åtgärder på basis av den registrerades begäran ska den personuppgiftsansvariga utan dröjsmål och senast inom en månad från att begäran mottagits meddela den registrerade orsakerna därtill och informera om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och använda andra rättsskyddsmedel.
En begäran om insyn görs i samband med ett personligt besök eller med en egenhändigt undertecknad eller på annat tillförlitligt sätt bestyrkt handling. Den registrerades identitet fastställs och vid behov kontrolleras den innan uppgifterna lämnas ut. Begäran om insyn riktas till den personuppgiftsansvarigas kontaktperson.
Om den registrerades begäranden är uppenbart ogrundade eller orimliga, i synnerhet om de framförs upprepade gånger, kan den personuppgiftsansvariga antingen
a) ta ut en rimlig avgift som täcker de förvaltningsmässiga kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts; eller
b) vägra att tillmötesgå begäran.
I dessa fall ska den personuppgiftsansvariga påvisa att begäran är uppenbart ogrundad eller orimlig.
I lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) har särskilt föreskrivits om klientens rätt att få logguppgifter. Mer allmänt har man tillämpat bestämmelsen om en parts rätt att ta del av en handling i 11 § i offentlighetslagen. Bestämmelsen gör det möjligt att även få ta del av handlingar som är sekretessbelagda.
De logguppgifter som uppkommer när den personuppgiftsansvarigas användare behandlar personuppgifter hör inte till den rätt till utövande av insyn som avses i artikel 15 i dataskyddsförordningen, eftersom den som är registrerad i loggregistret är användare, inte klient.
B. Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77)
Den registrerade kan göra en åtgärdsbegäran om saken på dataombudsmannens webbsidor (tietosuoja.fi/sv).
C. Rätt att kräva rättelse av en uppgift (artikel 16)
Den registrerade har rätt att kräva att den personuppgiftsansvariga utan onödigt dröjsmål rättar oprecisa och felaktiga personuppgifter som rör den registrerade. Med beaktande av ändamålen med behandlingen, har den registrerade rätt att få de ofullständiga personuppgifterna kompletterade, bland annat genom att lämna in en tilläggsutredning.
Om registret grundar sig på material som hämtas från ett bakgrundssystem ska begäran om rättelse framföras till kontaktpersonen för bakgrundssystemets personregister. Begäran om rättelse ska göras skriftligen och tillräckligt specificerat. Den registrerades identitet fastställs och vid behov kontrolleras den innan uppgifterna korrigeras.
Begäran om rättelse av uppgifterna riktas skriftligen till den personuppgiftsansvarigas kontaktperson. Den registrerade ansvarar själv för att hålla de egna uppgifter som ingår i registeruppgifterna uppdaterade.
Om man vägrar rätta en uppgift ges den registrerade ett skriftligt intyg över vägran. Av intyget framgår orsakerna till att kravet inte har blivit godkänt.
Logguppgifter korrigeras inte eftersom loggarna skyddas mot överträdelser av deras integritet och konfidentialitet.
D. Rätt att radera uppgifterna (artikel 17) ”rätten att bli bortglömd” tillämpas INTE i fråga om lagstadgade register
Den personuppgiftsansvariga är skyldig att radera personuppgifterna utan onödig fördröjning. De personuppgifter som finns i registret raderas / anonymiseras och / eller pseudonymiseras regelbundet när identifikation av uppgifterna inte längre behövs. Om den registrerade vill begära att de uppgifter som rör hen raderas snabbare, ska en begäran om radering riktas skriftligen till den personuppgiftsansvarigas kontaktperson.
Den registrerade har rätt att begära radering av uppgifter som rör den registrerade själv. Personuppgifterna raderas från registret i den mån lagen och myndighetsbeslut gör det möjligt. Om det mellan den registrerade och den personuppgiftsansvariga råder ett tjänstgöringsförhållande eller ett med det jämförbart förhållande, har den registrerade ingen rätt att få uppgifter raderade. (8 § 1 mom. 5 punkten i PuL 523/1999)
Om man vägrar radera en uppgift, ges den registrerade ett skriftligt intyg över vägran. Av intyget framgår orsakerna till att kravet inte har blivit godkänt.
E. Rätt att överföra uppgifterna från ett system till ett annat (artikel 20)
Den registrerade har rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt.
F. Den registrerades återkallande av samtycke
Behandlingen av personuppgifter grundar sig på samtycke som fåtts av den registrerade eller på ett rådande tjänstgöringsförhållande mellan den personuppgiftsansvariga och den registrerade eller på en saklig anknytning på grund av ett förhållande jämförbart med ett tjänstgöringsförhållande. En registrerad som är i ett kundförhållande eller motsvarande sakligt förhållande har rätt att återkalla sitt samtycke när som helst. Återkallandet av samtycket avslutar kundförhållandet. Återkallandet av samtycket inverkar inte på lagenligheten av behandling som utförts med stöd av samtycket innan det återkallades. Den registrerade har inte rätt att återkalla samtycket så länge som ett tjänstgöringsförhållande eller därmed jämförbart förhållande råder mellan den registrerade och den personuppgiftsansvariga.
G. Övrig information
Uppgifter som lagrats i ett register används/utges inte för direktreklam, distansförsäljning, annan direktmarknadsföring, marknads- och opinionsundersökningar, personmatriklar eller släktforskning.
En vårdnadshavare eller intressebevakare kan fungera i den registrerades ställe med den registrerades medgivande.
