Första sidan / Dataskyddsbeskrivning för Helsingfors stadslokaler Ab

Dataskyddsbeskrivning för Helsingfors stadslokaler Ab

I denna dataskyddsbeskrivning berättar vi vilka personuppgifter som behandlas och på vilket sätt i Helsingfors Stadslokaler Ab:s verksamhet, somomfattar förvaltning, uthyrning och utveckling av kulturhistoriskt betydelsefulla objekt som Helsingfors stad äger och som omfattas av bland annat webbplatserna kaupunkitilat.fi, vanhakauppahalli.fi, hietalahdenkauppahalli.fi, hakaniemenkauppahalli.fi, torikorttelit.fi, helsingintorit.fi samt helsingintukkutori.fi.

1. Personuppgiftsansvarig och kontaktuppgifter

Helsingfors stadslokaler Ab: (FO-nummer: 3226884-5)
Broholmsgatan 6–10, 6:e våningen
00530 Helsingfors
www.kaupunkitilat.fi
(nedan ”den personuppgiftsansvarige”)
e-post: viestinta@kaupunkitilat.fi

Vi begär att kontakter som gäller dataskydd markeras med hänvisningen ”dataskyddsfrågor”.

2. Personuppgifter som behandlas och källor till dem

Vi samlar in och behandlar följande personuppgifter:

  • Förnamn och efternamn
  • Företag, sammanslutning, ämbetsverk, FO-nummer
  • Titel
  • Personbeteckning
  • Kontaktuppgifter: e-post, postadress och telefonnummer
  • Arbetsansökningar och andra uppgifter som erhållits i samband med dem
  • Uppgifter om hyresavtal eller andra avtal mellan parterna (inklusive hyrestid, uppgifter om hyran och garantin, eventuella separata ersättningar, till exempel för el och vatten, uppgifter om hyresjustering och uppgifter om hyresobjektet)
  • Kommunikation mellan parterna, bokning av lokaler, respons och reklamationer
  • Uppgifter om betalningssätt och fakturering
  • Registernummer till bil
  • Uppgifter som samlas in vid utvecklingsprojekt och investerings-/renoveringsprojekt
  • IP-adress och andra eventuella uppgifter om enheten, till exempel enhetens namn och unika enhetsadress för enheter som kopplats till den personuppgiftsansvariges gästnät samt logguppgifter om bland annat användarrättigheter, användarnamn och användarinställningar för system som den personuppgiftsansvariges samarbetspartner tillhandahåller för den personuppgiftsansvariges kunder.
  • I fråga om utrymmen som omfattas av kameraövervakning, bildmaterial som spelats in av övervakningskamerorna, inklusive tidpunkt och plats för rörelse i digital form utan ljud
  • Eventuella marknadsföringstillstånd och -förbud
  • Andra eventuella uppgifter som gäller skötsel av kundrelationen, samarbetet eller ärenden

Personuppgifterna erhålls i regel från den registrerade (till exempel i samband med samarbete, rättshandlingar inklusive bolagsrättsliga handlingar, samt möten och annan kontakt). Dessutom kan sådana personuppgifter som är nödvändiga för tillhandahållandet av tjänster enligt samarbetsavtal erhållas från samarbetspartner, myndigheter och offentliga informationskällor och register, personens arbetsgivare eller kollegor, personen själv samt från informationstjänster inom de gränser som lagen tillåter. Vid utvecklingsprojekt erhålls uppgifter från serviceproducenter, entreprenörer, personens arbetsgivare och kollegor eller personen själv, offentliga informationskällor samt informationstjänster.

Kameraövervakningen omfattar objekt som den personuppgiftsansvarige har specificerat som övervakningsobjekt. Kameraövervakning utförs endast i lokaler där det är nödvändigt, med begränsade och på förhand fastställda skyddsåtgärder och endast i utrymmen som inte är privata bostadslägenheter. Övervakningen omfattar inte lokaler som omfattas av integritetsskyddet, såsom tvättrum och toaletter. Vi meddelar om kameraövervakningen med ändamålsenliga skyltar/dekaler. Uppgifterna inom kameraövervakningen består av den inspelning som kamerorna på nödvändiga platser förmedlar från de övervakade lokalerna. Uppgifterna samlas in i ett system hos den personuppgiftsansvariges samarbetspartner. Den personuppgiftsansvariges samarbetspartner ger mer information vid behov. Förteckningen över objekt och samarbetspartner är inte offentlig av informationssäkerhetsskäl. För tydlighetens skull konstateras att man kan be om information om eventuell kameraövervakning och passerkontroll som tredje parter (såsom hyresgästen själv) helt/självständigt ordnar i objekt som den personuppgiftsansvarige förvaltar direkt från dessa parter. Den personuppgiftsansvarige ansvarar inte till någon del (inklusive övervakningens rättsliga grund och lagenligt genomförande av den) för kameraövervakning och passerkontroll som i sin helhet ordnas på eget initiativ och på egen hand av tredje parter. Vi använder den kakfria tjänsten Matomo Analytics och andra webbanalystjänster för att förbättra webbplatsens användarvänlighet. Mer information om Matomo Analytics finns på webbplatsen: https://www.matomo-analytics.fi/#tietosuoja

3. Syftet med behandlingen av personuppgifter och behandlingens rättsliga grunder

Behandlingen av personuppgifter grundar sig i regel på en intressentgrupp-, kund- eller samarbetsrelation och i synnerhet på ett avtal mellan parterna, en lagstadgad skyldighet eller ett berättigat intresse.

Den personuppgiftsansvarige bedriver bland annat uthyrning, utveckling och underhåll av fastighetsobjekt. Den personuppgiftsansvarige samlar in och behandlar således personuppgifter för genomförande av avtal som gäller den nämnda affärsverksamheten eller för att utföra uppgifter inför avtalen – såsom för skötsel av skyldigheter och rättigheter gällande uthyrning av en fastighet och fastighetsförvaltning. Personuppgifter behandlas också för kommunikation i samband med kund- och samarbetsrelationen. När det gäller kameraövervakningen, behandlas personuppgifter för att skydda egendom, förebygga brott, hjälpa till att utreda brott samt för att säkerställa och förbättra säkerheten. I fråga om logguppgifter och användaruppgifter i andra system behandlas personuppgifter för att upptäcka och utreda eventuell obehörig användning eller missbruk av eller problem gällande användningen av system som den personuppgiftsansvariges samarbetspartner tillhandahåller för den personuppgiftsansvariges kunder.

Dessutom behandlas personuppgifter för kommunikation och information mellan intressentgrupper. Den personuppgiftsansvarige har också en lagstadgad skyldighet att behandla personuppgifter. Den lagstadgade skyldigheten kan grunda sig på exempelvis bokföringslagen, bolagslagstiftningen, skadeståndslagen, beställaransvarslagen, markanvändnings- och bygglagen, arbetarskyddsförpliktelser eller lagen om beskattningsförfarande. Med stöd av dataskyddslagen (1050/2018) kan vi spara personbeteckningar för våra avtalspartner i hyresavtal eller andra avtal eller för andra personer som behövs inom uthyrningsverksamheten.

Den personuppgiftsansvarige, en eventuell gemensamt personuppgiftsansvarig eller en samarbetsparter och ett bolag som hör till samma koncern som den kan inom de gränser som lagen fastställer ha rätt att använda personuppgifter för opinionsmätningar eller enkäter om kundnöjdhet eller för andra därmed jämförbara adresserade försändelser, såsom direktmarknadsföring. Rätten grundar sig på bland annat berättigat intresse. Dessa åtgärder står inte i strid med individens rättigheter eller friheter och medför inga stora risker för tillgodoseendet av dem. Den registrerade har alltid rätt att förbjuda direktmarknadsföring och adresserade försändelser som gäller hen. Den registrerade kan trots förbudet skickas information om kundrelationen om det är nödvändigt för tillhandahållandet av tjänsten eller för fullgörandet av en lagstadgad skyldighet.

4. Överlåtelse av uppgifter ur registret

Personuppgifter kan överföras eller lämnas ut till tredje parter, till exempel myndigheter, inom de gränser som gällande lagstiftning tillåter och förutsätter.

Vi delar personuppgifter endast inom Helsingfors stadskoncern och endast på sådant sätt som det rimligtvis är nödvändigt utifrån de användningssyften som anges i denna beskrivning.

Vi har ingått avtal som omfattar behandling av personuppgifter med våra utvalda samarbetspartner. Personuppgifter kan således lämnas ut och överföras till underleverantörer, såsom olika tjänsteleverantörer inklusive deras underleverantörer, som behandlar personuppgifter för den personuppgiftsansvariges räkning med beaktande av sekretessplikten och den bindande dataskyddslagstiftningen och bindande dataskyddsavtal.

Den personuppgiftsansvarige använder bland annat för förvaltning av hyresförhållanden (ingående av hyresavtal, övervakning av hyresförhållanden och fakturering av hyra) verksamhetsstyrningssystemet för fastighetsförvaltning CGI Koki360, där personuppgifter behandlas. Mer information finns på https://www.cgi.com/se/sv/article/about-cgi/bindande-foretagsbestammelser-bcr. För hyreskommunikation används hyresgästportalen Falcony/Tenant portal (mer information: https://se.falcony.io/privacy-statement). Den personuppgiftsansvarige använder tjänsten Visma Sign för avtalshantering och digital signering av avtal (mer information på finska: https://vismasolutions.com/tietosuoja/henkilotietojen-kasittely-visma-signissa/). I ovannämnda situationer uträttar den registrerade i regel också dataskyddsfrågor direkt med utnämnda samarbetspartner. Förklarande tilläggsinformation kan alltid begäras från den personuppgiftsansvarige.

Vi lämnar inte själva ut dina personuppgifter till tredje parter utanför organisationen eller utanför EU-/EES-området. Om personuppgifter lagras i elektroniska tjänster hos den personuppgiftsansvariges samarbetspartner, kan personuppgifter i vissa fall eventuellt också lagras på servrar utanför Europa. I detta fall har man separat avtalat om behandlingen av uppgifter genom dataskyddsmekanismer som godkänts av Europeiska kommissionen och som har ansetts uppfylla de minimikrav som EU:s dataskyddsreglering förutsätter.

Uppgifter från kameraövervakningen lämnas inte regelmässigt ut till hyresgästerna på objekten eller till andra tredje parter.

Om den personuppgiftsansvarige är part i en fusion, affärsverksamhetsaffär eller annan företagsaffär, kan vi lämna ut och överföra personuppgifter till en tredje part som är part i företagsaffären. I detta fall säkerställer vi dock att personuppgifterna förblir konfidentiella.

Personuppgifterna används inte för automatiskt beslutsfattande.

5. Lagringstid

Den personuppgiftsansvarige lagrar inte personuppgifter längre än vad lagen tillåter eller längre än vad som är nödvändigt för att tillhandahålla tjänsterna till väsentliga delar. Lagringstiden beror på informationens karaktär och syftet med behandlingen av den. Den maximala tiden kan därför variera beroende på användningssyftet.

Personuppgifterna lagras endast så länge som lagen kräver eller som det annars rimligen är nödvändigt för att uppfylla våra avtalsenliga skyldigheter, eller för andra rättsliga krav eller berättigade intressen, såsom behandling av ersättningskrav, bokföring och intern rapportering.

Personuppgifter behandlas i regel under den tid kundrelationen eller samarbetet varar samt under en skälig tid efter att dessa upphört eller, i fråga om bokföringsuppgifter som gäller avtalsförhållanden och fastställs i lag, under den tid som anges i bestämmelserna i bokföringslagen. Uppgifter som samlats in på basis av avtal kan i regel lagras i tio år efter att avtalsförhållandet har upphört och skyldigheterna enligt avtalet fullgjorts.

Uppgifter om hyrning behandlas under den tid som fastställs i lag för skötsel av hyresavtalsförhållanden. Tiderna är: i) faktureringsuppgifter för hyresavtal och fastighetsförvaltning: minst 6 år räknat från utgången av det år då räkenskapsåret tar slut, och ii) faktureringsuppgifter för hyresavtal och fastighetsförvaltning som ansluter sig till beskattning: minst 10 år efter det att räkenskapsperioden gått ut. Uppgifter om arrendering lagras för evigt.

Inspelningarna från kameraövervakningen lagras i regel i 14 dygn i system hos den personuppgiftsansvariges samarbetspartner. Därefter förstörs uppgifterna regelmässigt under ny inspelning. Inspelningar från kameraövervakningen kan dock lagras i högst två (2) månader. Om det under den ovannämnda lagristiden för uppgifterna inleds en myndighetsprocess eller om det uppstår skäl att misstänka att ett brott har begåtts och utredningen av brottet eller skötseln av processen förutsätter att uppgifterna lagras längre än i regel, lagras uppgifterna till denna del under den tid som behövs.

Den aktuella unika IP-adressen för enheter som kopplats till den personuppgiftsansvariges gästnät, enhetens namn och unika enhetsadress lagras i nätverksutrustningens logguppgifter i högst en (1) månad.

6. Datasäkerhet och skydd av registret

Endast de personer i den personuppgiftsansvariges tjänst och andra utnämnda personer som behöver uppgifterna i sina arbetsuppgifter har rätt att använda personuppgifterna. De använder användarnamn och lösenord.

Den personuppgiftsansvarige använder administrativa, organisatoriska, tekniska och fysiska skyddsåtgärder för att skydda personuppgifterna. Åtgärder som används är bland annat kryptering av uppgifter, brandväggar, trygga lokaler samt system som är skyddade med begränsade användarrättigheter inom ramen för utsedda personers arbetsuppgifter. Skyddsåtgärderna är avsedda att upprätthålla en lämplig nivå för säkerställande av uppgifternas konfidentialitet, integritet, tillgänglighet, feltolerans och återställningsbarhet. Avtalsparterna och deras underleverantörer förutsätts ha informationssäkra verksamhetssätt.

Den information som uppstår vid kameraövervakningen behandlas även av den personuppgiftsansvariges samarbetspartner. Mer information ges vid behov av samarbetspartnern. Förteckningen över objekt och samarbetspartner är inte offentlig av informationssäkerhetsskäl. Den personuppgiftsansvarige ger information, om man har rätt att få information. Inspelningarna från kameraövervakningen lagras i övervakade lokaler i system hos den personuppgiftsansvariges samarbetspartner. Om det trots informationssäkerhetsåtgärderna inträffar en personuppgiftsincident som sannolikt har skadliga konsekvenser för en persons integritet, ska alla parter som påverkas av incidenten meddelas om den så snart som möjligt på det sätt som gällande lagstiftning förutsätter. Även myndigheter ska meddelas om incidenten så snart som möjligt om den gällande dataskyddslagstiftningen kräver det.

7. Den registrerades rättigheter

Den registrerades rättigheter baserar sig på EU:s allmänna dataskyddsförordning. Rättigheterna omfattar i vissa situationer bland annat rätten till insyn samt rätten till rättelse och radering av uppgifter. Den registrerade kan utöva sina rättigheter i de situationer som anges i lagstiftningen. Det kan finnas begränsningar i fråga om fullt utnyttjande av rättigheterna.

Kraven gällande den registrerades rättigheter ska framställas skriftligen till den personuppgiftsansvariges kontaktperson. Utövandet av rättigheter ska bedömas från fall till fall och det ska alltid ges ett separat avgörande. Den registrerades begäran att utöva sina rättigheter besvaras i regel inom en (1) månad från att begäran tagits emot. Begäran är avgiftsfri. Om begäran är uppenbart ogrundad eller orimlig, särskilt om en registrerad lämnar in upprepade begäranden, kan en rimlig avgift tas ut av den registrerade eller så kan man avslå begäran.

Mer information om rättigheterna:

Rätten till tillgång till egna uppgifter

Den registrerade har rätt att begära tillgång till uppgifter avseende hen (rätt till insyn) för att utreda huruvida personuppgifter som rör hen behandlas i medlemsregistret. Den registrerades rätt att få tillgång till uppgifterna kan begränsas eller begäranden om det avslås med stöd av lagstiftningen, om utlämnandet av uppgifterna inverkar negativt på andras rättigheter och friheter. Sådana uppgifter som ska skyddas är bland annat den personuppgiftsansvariges affärshemligheter eller en annan persons personuppgifter.

Rätten till rättelse och radering av uppgifter

Den registrerade har rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål rättar inexakta eller felaktiga personuppgifter. Den personuppgiftsansvarige ska på begäran av den registrerade radera personuppgifter om den registrerade. Personuppgifterna behöver dock inte raderas om behandlingen är nödvändig till exempel för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att fastställa, göra gällande eller försvara rättsliga anspråk.

Rätten att göra invändningar mot behandlingen eller begära begränsning av behandlingen

Den registrerade har rätt att av skäl som hänför sig till hens specifika situation göra invändningar mot behandling av hens personuppgifter när behandlingen grundar sig på ett berättigat intresse. Den registrerade har inte rätt att invända mot behandlingen av personuppgifter när behandlingen grundar sig på ett avtal mellan den personuppgiftsansvarige och den registrerade. Om den registrerade av skäl som hänför sig till hens specifika situation har invänt mot behandlingen av hens personuppgifter, ska den registrerade specificera den specifika situation på basis av vilken hen invänder mot behandlingen som grundar sig på ett berättigat intresse. Den personuppgiftsansvarige får fortsätta behandlingen av uppgifterna trots invändningen om det finns ett tvingande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Om personuppgifterna behandlas för direkt marknadsföring har den registrerade rätt att när som helst invända mot behandlingen. Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

Den personuppgiftsansvarige ska på begäran av den registrerade begränsa den aktiva behandlingen av personuppgifterna bland annat om den registrerade bestrider personuppgifternas korrekthet. I detta fall ska behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. Om behandlingen har begränsats, får personuppgifterna i regel endast lagras. Uppgifterna får också behandlas för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse. Den registrerade ska underrättas innan begränsningen upphör.

Rätten till dataportabilitet

När den registrerade har tillhandahållit den personuppgiftsansvarige personuppgifter som behandlas genom automatisk databehandling och på basis av ett avtal mellan den personuppgiftsansvarige och den registrerade, har den registrerade rätt att få ut personuppgifterna i ett allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter direkt till en annan personuppgiftsansvarig, om det är tekniskt möjligt.

8. Begäranden om utövande av den registrerades rättigheter

I frågor kring behandling av personuppgifter och i situationer som gäller utövandet av egna rättigheter kan den registrerade kontakta den personuppgiftsansvarige. Den personuppgiftsansvarige ger ytterligare anvisningar för utövandet av rättigheterna. En begäran avseende rätten till insyn eller någon annan begäran om utövande av den registrerades rättigheter ska lämnas in skriftligen till den personuppgiftsansvarige antingen per e-post eller post med de kontaktuppgifter som anges i punkt 2 ovan.

För att säkerställa att personuppgifter inte lämnas ut till någon annan än den registrerade när den registrerade utövar sina rättigheter, kan den personuppgiftsansvarige vid behov begära att den registrerade lämnar in sin begäran om insyn undertecknad. Den personuppgiftsansvarige kan också begära att den som framställt en begäran styrker sin identitet med ett officiellt identitetsbevis eller på något annat tillförlitligt sätt.

9. Rätt att lämna in klagomål till en tillsynsmyndighet

Den registrerade har rätt att lämna in ett klagomål till en behörig tillsynsmyndighet, om hen anser att ärendet inte har avgjorts genom kontakterna med den personuppgiftsansvarige. I första hand strävar man dock efter att lösa frågan genom en diskussion mellan parterna. Den lokala tillsynsmyndigheten i Finland är dataombudsmannen. Mer information finns på www.tietosuoja.fi.

10. Uppdatering av dataskyddsbeskrivningen

Vi uppdaterar denna dataskyddsbeskrivning och de kompletterande dokumenten vid behov. Ändringar i lagen och tolkningen av den kan också medföra ändringsbehov. Vi ber dig regelbundet kontrollera vår praxis för dataskydd på vår webbplats på www.kaupunkitilat.fi.

Dataskyddsbeskrivningen har senast uppdaterats 29.11.2024.