Dataskyddsbeskrivning för Kieku-lösningen för personalförvaltningen

18.5.2022

1. a) Gemensamma personuppgiftsansvariga

NÖDCENTRALSVERKET
PB 112, 28131 Björneborg
0295480112

Servicecentret för statens ekonomi- och personalförvaltning
Kauppakatu 40, 80100  JOENSUU
Växel 02955 62000

Företrädare för den gemensamma personuppgiftsansvarige

Personalchef
PB 112, 28131 Björneborg
[email protected] eller [email protected]

Dataskyddsombud

Förvaltningsjurist
[email protected]
tfn: 0295480 112 

Registrets namn

Personregister för Kieku-lösningen för personalförvaltningen

Gemensam personuppgiftsansvarig

Vi arbetar med Servicecentret för statens ekonomi- och personalförvaltning som gemensam personuppgiftsansvarig för personuppgifter som finns i datasystemet Kieku. Ansvaret i samband med gemensam registerföring har definierats i lagen om Servicecentret för statens ekonomi- och personalförvaltning, enligt vilken:

  • Servicecentret svarar för den tekniska funktionen hos de informationssystem som behövs för att producera uppgifterna och tjänsterna samt för relaterade ärenden, bl.a. uppgifternas tillgänglighet, integritet, skydd och bevarande.
  • Vi som arbetsgivare ansvarar för den personuppgiftsansvariges andra ansvarsområden, såsom att informera dig och agera som din kontaktpunkt när du vill utöva rättigheter som tillhör den registrerade, till exempel för att rätta till dina uppgifter eller veta vilka uppgifter om dig som behandlas.

Dina rättigheter som registrerad

När behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet, har du rätt att:

  • få information om behandlingen personuppgifter. Med hjälp av denna beskrivning stöds den personuppgiftsansvarige i iakttagandet av informationsskyldigheten 
  • få tillgång till uppgifter. I punkt ”Den registrerades rätt till tillgång enligt artikel 15” i denna beskrivning anges hur du kan utöva din rättighet
  • rätta till uppgifter. I punkt ”Rätt till rättelse enligt artikel 16” i denna beskrivning anges hur du kan rätta till dina uppgifter
  • begränsa behandlingen av uppgifter. I punkt ”Rätt att begränsa behandlingen enligt artikel 18” i denna beskrivning anges hur och när du kan begränsa behandlingen av dina uppgifter
  • få information om meddelanden som gäller rättelse av personuppgifter eller begränsning av behandlingen. Beskrivs i punkten ”Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling i enlighet med artikel 19”
  • Dessutom har du rätt att lämna in ett klagomål till tillsynsmyndigheten om du anser att behandlingen av dina personuppgifter strider mot dataskyddsregleringen

När behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet, har du inte:

  • Rätt att radera dina uppgifter (”rätten att bli bortglömd”). Enligt artikel 17 i den allmänna dataskyddsförordningen tillämpas denna rätt inte om behandlingen är nödvändig för att uppfylla en lagstadgad skyldighet
  • Rätt att överföra dina uppgifter från ett system till ett annat. Enligt artikel 20 i den allmänna dataskyddsförordningen tillämpas rätten inte när behandlingen är nödvändig för att uppfylla en lagstadgad skyldighet

1. b) Ändamålet för behandlingen 

Information som krävs för att fullgöra den statliga arbetsgivarens lagstadgade rättigheter och skyldigheter finns i registret. I registret sparas och i den behandlas personuppgifter som behövs för att sköta ärenden i anslutning till den statliga personalens tjänsteförhållanden och löneutbetalning (t.ex. Statstjänstemannalag 19.8.1994/750 § 13, för anställda Arbetsavtalslag 26.1.2001/55). Information om personalen i enlighet med Matrikellagen (1010/1989) och Matrikelförordningen (1322/1989) sparas också i registret. Palkeet behandlar personuppgifter som gemensam personuppgiftsansvarig när den producerar tjänster för Kunden, behandlingsgrunden är då uppfyllandet av de lagstadgade skyldigheterna (Lag om Servicecentret för statens ekonomi- och personalförvaltning, 179/2019).

Uppgifterna i registret används inte för profilering och uppgifterna är inte föremål för automatiserat beslutsfattande.

1. c) Beskrivning av grupper av registrerade och kategorier av personuppgifter  

Grupper av registrerade: Nödcentralsverkets anställda och externa arvodesmottagare
Kategorier av personuppgifter: 

Personens uppgifter: 
Personens nuvarande namn, tidigare namn, födelsedatum, personbeteckning, personnummer, personnummer för det tidigare systemet, postadress, e-postadress för arbetet, telefonnummer till arbetet, bankuppgifter, nationalitet, modersmål, kön, nära anhörig, kontaktuppgifter för nära anhörig, examensinformation, användarnamn, lånevaror såsom nycklar/passertaggar, personliga identifierare, skyddskläder och andra lånevaror 

Matrikeluppgifter: 
Information om vapen-/civiltjänstgöring, militär rang, pensionsbeslut, språkkunskaper, hedersmärken och titlar, förtroendeuppdrag, beviljade dispenser, straffuppgifter, bisysslotillstånd, ämbetsed- och försäkringsuppgifter, karriär, avbrott i tjänsteutövning eller anställning 

Uppgifter om förvaltning av tjänsteförhållande: 
Uppgifter om tjänsteförhållande, lön, frånvaron, arbetstid, tjänsteförhållandets upphörande, semester, tjänstgöringstid

Löneuppgifter: 
Pensionsrelaterade uppgifter, medlemsavgiftsuppgifter, skatteuppgifter, utsökningsuppgifter

1. d) Grupper av mottagare av personuppgifter till vilka personuppgifter har lämnats ut eller lämnas ut

Uppgifter får endast lämnas ut inom de gränser som krävs och tillåts enligt gällande lagstiftning eller med den personuppgiftsansvariges samtycke.

Uppgifter lämnas ut regelbundet till utsökningsmyndigheter,
fackföreningar, inkomstregistret och Tahti (Statens
arbetsmarknadsverk) samt rese- och kostnadshanteringssystemet M2, till finansinstitut i form av arvodes- och löneutbetalningsuppgifter och till skatteförvaltningen.

Nödcentralsverkets arbetsskiftesplaneringssystem, 112NUMERON, till vilket personuppgifter, tjänstledigheter och semestrar överförs från Kieku, som fungerar som s.k. master i systemet.

1. e) Överföring av personuppgifter till ett tredjeland eller till en internationell organisation

Uppgifter överförs inte utanför EU eller EES eller till internationella organisationer.

1. f) Planerade tidsfrister för radering av olika kategorier av uppgifter

Behandlingen av personuppgifter begränsas automatiskt när tjänsteförhållandet avslutas. Lagringsperioderna för personuppgifter i personregistret i Kieku-lösningen för personalförvaltningen baseras på lagstiftning och har en lagringsperiod på 5 till 50 år från dagen för tjänsteförhållandets upphörande eller dokumentets skapande.

1. g) Beskrivning av tekniska och organisatoriska säkerhetsåtgärder

A. Manuellt material 

Manuellt material behandlas av utbildad personal i låsta utrymmen som motsvarar uppgifternas skyddsnivå. All personal vid Nödcentralsverket har genomgått en säkerhetsutredning som genomförts av skyddspolisen. Personal som inte är ämbetsverkets personal ska genomgå åtminstone en begränsad säkerhetsutredning om de på grundval av sin arbetsuppgift har tillgång till konfidentiella dokument eller konfidentiell verksamhet eller till ett skyddat utrymme. 

B. Material som behandlas digitalt 

Uppgifterna i registret är skyddade mot obehörig visning, ändring och bortskaffande. Skyddet grundar sig på åtkomstkontroll, tekniskt skydd av databaser och servrar, fysiskt skydd av utrymmen, passerkontroll, skydd av datakommunikation samt säkerhetskopiering av uppgifter. 
Tillgång till och rätten att behandla uppgifter beviljas på grundval av arbetsuppgifterna. Tillgång till systemet baseras på personliga användarnamn. Utrustningsanläggningar och uppgifterna finns fysiskt i Finland.

Administrativa kontroller används för att övervaka verksamhetens ändamålsenlighet. 

Informationskällor när uppgifterna inte har erhållits från den registrerade

Ursprungliga matrikeluppgifter som skapats under tjänsten vid ämbetsverket förs i matrikeluppgifterna av Personalgruppen. Ämbetsverkets personalförvaltning
erhåller straffuppgifter som registreras i matrikeln
från domstolen. Information om pensionsbeslut erhålls från Keva. Skattemyndigheten för personliga skatteuppgifter in i systemet maskinellt. Utsökningsuppgifterna erhålls från utsökningsmyndigheten. Passerkontroll- och arbetstidsuppgifter erhålls från Timecons passerkontrollterminaler.

Den registrerades rätt till tillgång enligt artikel 15

Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna.

Den registrerade har själv tillgång till personuppgifterna via Kieku-portalen. När det gäller andra personuppgifter än vilka den registrerade själv har tillgång till via Kieku-portalen kan den registrerade lämna en begäran om insyn till den personuppgiftsansvariges företrädare (punkt 1 i denna beskrivning).

Om mindre än ett år har förflutit sedan den registrerades användning av sin rätt till insyn får den Personuppgiftsansvarige ta ut en avgift baserad på administrativa kostnader för tillhandahållande av uppgifterna (artikel 12 [5]). 

Rätt till rättelse enligt artikel 16

Den registrerade har rätt att kräva att den personuppgiftsansvarige rättar inexakta och felaktiga personuppgifter om den registrerade utan onödigt dröjsmål. På begäran av personen kan chefen för den registrerade personen uppdatera frånvaro- och årliga semesteranmälningar. Den registrerade kan uppdatera sina egna uppgifter samt frånvaro- och semesteranmälningar via Kieku-portalen. Om det inte finns tillgång till Kieku-portalen kan den registrerade uppdatera sina egna uppgifter genom att skicka en skriftlig personuppgiftsanmälan till personaltjänsterna; [email protected]  

Rätt till begränsning av behandling enligt artikel 18

Den registrerade har rätt att begränsa den personuppgiftsansvariges behandling om:

  • den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta
  • behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning
  • den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk

Om den registrerade bestrider personuppgifternas korrekthet, begränsas deras behandling under en tid som ger den Personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. Den registrerade riktar begäran med motiveringar till företrädaren för den gemensamma personuppgiftsansvarige (första punkten i 1 a i denna blankett), varvid den personuppgiftsansvarige begränsar behandlingen av personuppgifter i datasystemet. Behandlingen begränsas genom att blockera användningen av personuppgifter genom att begränsa åtkomsträttigheterna. Den personuppgiftsansvarige begär en begränsning av åtkomsten. Begäran om begränsning av personuppgifter riktas till [email protected]  

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling i enlighet med artikel 19

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifter har lämnats ut om rättelser, raderingar eller begränsningar i behandlingen av personuppgifter enligt artikel 16 och artikel 18, såvida detta inte visar sig omöjligt eller kräver oskäligt besvär. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare, om den registrerade begär det. Om den registrerade vill känna till mottagarna ska den registrerade göra en begäran till den personuppgiftsansvariges företrädare [email protected] (första punkten 1 a i denna beskrivning).