Dataskydd, statens gemensamma data

Personuppgifter om statens personal behandlas i lagstadgade analys- och rapporteringstjänster som ska produceras åt statsrådet och statens organisationer. I verksamheten utnyttjas uppgifter från producenterna av statens gemensamma koncerntjänster. Uppgifterna kan också utnyttjas i forskningsverksamhet.

Lagenligheten hos behandlingen av uppgifter i analys- och rapporteringstjänstuppgiften baseras i enlighet med artikel 6 punkt 1 underpunkt c i dataskyddsförordningen på den personuppgiftsansvariges rättsliga förpliktelse, som regleras i lagen om statskontoret (15.2.1991/305 2 c §) och lagen om Servicecentret för statens ekonomi- och personalförvaltning (8.2.2019/179 1 b §).

I analys- och rapporteringstjänstverksamheten utnyttjas uppgifter från dataregister hos producenterna av statens gemensamma koncerntjänster. De kan innehålla personuppgifter om statens personal samt i en del fall personuppgifter om leverantörer vid upphandlingar. I verksamheten kan även annan avidentifierad information samt annan offentlig information som är nödvändig för att genomföra analys- och rapporteringstjänsterna användas.

Vi behandlar personuppgifterna i enlighet med förordningar och god förvaltningssed. Personuppgifterna förvaras på en dataplattform i princip bara den tid och i den omfattning som det är nödvändigt för analysuppdragen och rapporteringen. Personuppgifterna förvaras högst ett år efter att analysfallet eller rapporteringen avslutats, om det inte finns behov att fortsätta förvaringen av samma ämne.

Titta närmare på statens gemensamma dataplattformar som används i analys- och rapporteringsverksamheten med hjälp av PowerBi-navigatorn >

OBS! Datainnehållsnavigatorn uppdateras i takt med att dataområdena fastställs.

  • Behandling av personuppgifter i Statskontorets analys- och rapporteringstjänster

    1. Personuppgiftsansvarig

    Namn: Statskontoret
    Adress: Sörnäs strandväg 13, PB 14, 00054 Statskontoret
    Telefonväxel: 0295 50 2000
    E-post: registrator(at)statskontoret.fi

    2. Kontaktperson i ärenden som gäller registret:

    Namn: Henje Kasslin
    E-post: henje.kasslin(at)statskontoret.fi
    tfn 0295 50 2102

    Frågor som gäller den registrerades rättigheter, dataskyddsombudet:
    Namn: Heikki Kangas
    E-post: dataskyddsombud(at)statskontoret.fi
    tfn 0295 50 2156

    3. Ändamål för vilket personuppgifter behandlas och rättslig grund

    1. Produktion av analys- och rapporteringstjänster: Vi behandlar personuppgifterna i vår lagstadgade analys- och rapporteringstjänst som produceras för statsrådet. I verksamheten använder vi uppgifter från producenterna av statens gemensamma koncerntjänster, däribland uppgifter om personalen. Med hjälp av uppgifterna producerar vi analys- och rapporteringstjänster som stöd för statsrådets beredningar och beslutsfattande. Uppgifterna kan också utnyttjas i forskningsverksamhet.

      Lagenligheten i behandlingen av uppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet i enlighet med artikel 6.1 c i dataskyddsförordningen. Bestämmelser om analys- och rapporteringstjänsten finns i 2 § 1 mom. 5 punkten och 2 c § i lagen om Statskontoret (15.2.1991/305).

     

    1. Upprätthållande av kundregister: Vi sparar namnen på uppdragsgivarens kontaktpersoner i vårt kundregister. Uppgifterna används endast för ändamål som hänför sig till utförandet av uppdraget och skötseln av kundrelationen. Kunden ger sitt samtycke genom att skapa ett uppdrag för analystjänsterna.

     

    1. Insamling av kundrespons (responsblankett): Kunden kan lämna sina kontaktuppgifter på responsblanketten. Det är frivilligt att lämna kontaktuppgifter. Kontaktuppgifter lämnade av kunden används endast för att svara på den respons som kunden har gett eller för kommunikation om det fortsatta uppdraget, om kunden så önskar. Kunden ger sitt samtycke genom att skriva in sina kontaktuppgifter på responsblanketten.

    4. De kategorier av personuppgifter som behandlas

    1. Produktion av analys- och rapporteringstjänster: Vid produktionen av analys- och rapporteringstjänster utnyttjas uppgifter från statens gemensamma koncerntjänsteproducenters dataregister. Dessa register innehåller också personuppgifter om statens personal och, i en del fall, personuppgifter om leverantörer i samband med upphandlingar. Uppgifterna som behandlas kan kombineras med andra nödvändiga uppgifter som är tillgängliga i den omfattning att förutsättningen som ställts på behandlingen uppfylls.

      I analys- och rapporteringstjänstverksamheten behandlas inte sådana särskilda kategorier av personuppgifter som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Ett undantag är att uppgifter om längden på frånvaro på grund av sjukdom, yrkessjukdom eller olycksfall i arbetet kan behandlas, om det är nödvändigt för skötseln av uppgiften. Detta föreskrivs särskilt i lagen om Statskontoret (15.2.1991/305 2 c § 2 mom.)

    2. Kundregister: Kontaktpersonernas namn sparas i kundregistret.

     

    1. Responsblankett: Med responsblanketten kan kunden lämna sitt namn och sin e-postadress.

    5. Källor som i regel används för registret

    I analys- och rapporteringstjänstverksamheten används sådana register över statens gemensamma serviceproducenter som innehåller uppgifter om planeringen och uppföljningen av verksamheten, ekonomi- och personalförvaltningen, den gemensamma grundläggande informationstekniken, hanteringen av upphandlingar samt om lokalhantering, centraliserade utbildningstjänster, projekthantering och organisationsstruktur vid statens ämbetsverk och inrättningar. Statens gemensamma koncerntjänster produceras av Servicecentret för statens ekonomi- och personalförvaltning Palkeet, Statens center för informations- och kommunikationsteknik Valtori, Myndigheten för digitalisering och befolkningsdata, Senatfastigheter, Hansel Ab och Haus utvecklingscentral Ab samt Statskontoret.

    Registren som nämndes ovan innehåller personuppgifter om statens personal samt personuppgifter om leverantörer i samband med upphandlingar. I verksamheten kan också annan information som kunden lämnar ut och annan offentlig information som behövs för att genomföra analys- och rapporteringstjänsten användas.

    6. Överföring och utlämnande av personuppgifter

    Personuppgifter lämnas i regel inte ut utanför Statskontoret. I uppdrag som stöder arbetsgivarverksamheten kan slutresultaten av en analys behandlas på personnivå ifall uppdragsgivaren har en lagstadgad rätt att behandla personuppgifter.

    På Statskontoret behandlas uppgifterna endast av tjänstemän eller personer som handlar på uppdrag av Statskontoret och för Statskontorets räkning som behöver dem för sina arbetsuppgifter. Åtkomsten till datasystemen har begränsats genom användarrättigheter. Personuppgifter behandlas av dataanalytiker och dataingenjörer som har genomgått en säkerhetsutredning.

    7. Överföring och utlämnande av personuppgifter utanför EU och EES

    Utgångspunkten är att Statskontoret inte överför personuppgifter utanför EES-området. Vår behandlare (Microsoft Irland Operations Ltd.) kan dock överföra den information som behandlas till sin underbehandlare (Microsoft Corp.). En begränsad mängd personuppgifter kan alltså överföras till USA vid dataöverföring mellan behandlare och underbehandlare.

    Grunden för överföringen är de modellavtalsklausuler som Europeiska kommissionen godkänt

    8. Profilering och automatiskt beslutsfattande

    Statskontoret fattar inte automatiskt beslut eller gör profileringar utifrån de personuppgifter som används i analys- och rapporteringstjänsterna.

    9. Förvaring av personuppgifter

    Produktion av analys- och rapporteringstjänster: Vid behandlingen av uppgifter iakttas lagen om Statskontoret och vidtas lämpliga skyddsåtgärder. Uppgifterna skyddas genom pseudonymisering före de överförs för analys. Resultaten av analys- och rapporteringstjänsterna anonymiseras genom aggregering eller på annat sätt så att en enskild person inte kan identifieras utifrån dem, om inte analysen eller rapporten produceras för en aktör som har rätt att behandla personuppgifter som lämnats ut till dem.

    Personuppgifterna förvaras på en dataplattform i princip bara den tid och i den omfattning som det är nödvändigt för analysuppdragen. Personuppgifterna förvaras högst ett år efter att uppdraget upphört, om det inte finns behov att fortsätta förvaringen av samma ämne.

    Kundregister och responsblankett: Personuppgifterna i kundregistret och från responsblanketten förvaras tills kundrelationen mellan den registeransvariga och kunden kan anses ha upphört. Den tidpunkt då kundrelationen upphör bestäms enligt den dag då uppdraget upphör eller responsen lämnas in, som utökas med fem år.

    10. Den registrerades rättigheter i analys- och rapporteringstjänster

    Den registrerade har rätt att be Statskontoret om tillgång till uppgifter som rör honom eller henne och begära om rättelse av uppgifterna.

    Eftersom behandlingen av personuppgifter grundar sig på en sådan lagstadgad uppgift som avses i artikel 6.1 c i dataskyddsförordningen har den registrerade enligt artikel 21 i dataskyddsförordningen inte rätt att göra invändningar mot behandlingen av personuppgifter.

    11. Rätten att lämna in klagomål till en tillsynsmyndighet

    Som registrerad har du rätt att föra lagenligheten hos Statskontorets verksamhet till dataombudsmannen för bedömning.

    Kontaktuppgifter:
    Dataombudsmannens byrå
    Besöksadress: Bangårdsvägen 9, 6 vån., 00520 Helsingfors
    Postadress: PB 800, 00521 Helsingfors
    Växel: 029 56 66700
    Fax: 029 56 66735
    E-post: tietosuoja(at)om.fi

  • Behandling av personuppgifter i Palkeets analys- och rapporteringstjänster

    1. Personuppgiftsansvarige

    Namn: Servicecentret för statens ekonomi- och personalförvaltning
    Adress: Kauppakatu 40, 80100 JOENSUU
    Växel: 02955 62000
    E-post: kirjaamo(at)palkeet.fi

    Personuppgiftsansvariges representant:
    Heikki Asikainen, heikki.asikainen(at)palkeet.fi

    Dataskyddsansvarig:
    Sami Nikula, tietosuojavastaava(at)palkeet.fi

    2. Syftet med behandlingen av personuppgifter i analystjänsterna

    Servicecentret för statens ekonomi- och personalförvaltningens (hädanefter i denna text: Palkeet) lagstadgade analys- och rapporteringstjänster behandlar personuppgifter i analyssyfte om det är nödvändigt med tanke på analysens ämne. Information produceras för kundämbetsverkens förvaltningsbehov och för utvecklingen av hela statsförvaltningen.

    Personuppgifter som behandlas i analystjänsterna från Servicecentret för statens ekonomi- och personalförvaltning (Palkeet) omfattas inte av automatiskt beslutsfattande eller profilering.

    3 Den rättsliga grunden för behandlingen av personuppgifter

    Lagenligheten av de personuppgifter som Palkeet behandlar i produktionen av analystjänsterna grundar sig på artikel 6.1 c i dataskyddsförordningen, i enlighet med den personuppgiftsansvariges lagstadgade skyldighet (Lag om Servicecentret för statens ekonomi- och personalförvaltning 8.2.2019/179 1 § 3, enligt vilken servicecentrets uppgift är att producera analys- och rapporteringstjänster för servicecentrets kunder som stöd till förberedelse och beslut).

    4 Personuppgifter som behandlas

    Informationen som används i de analystjänster som tillhandahålls av Palkeet kommer från registren som förs av Palkeet, kundämbetsverken eller en annan aktör i koncernen. De personuppgifter som behandlas inkluderar uppgifter om statlig personal. I vissa fall kan personuppgifterna som behandlas innehålla upphandlingsleverantörernas personuppgifter.

    Analys- och rapporteringstjänsterna behandlar inte skydd av fysiska personer när det gäller behandling av personuppgifter, och inte heller uppgifter som tillhör specifika kategorier av personuppgifter i den mening som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 om fritt flöde för sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Det finns dock ett undantag från detta, eftersom information om varaktighet av frånvaro på grund av sjukdom, yrkesbetingad sjukdom eller arbetsolycka behandlas. Detta föreskrivs separat i lagen om Servicecentret för statens ekonomi- och personalförvaltning (8.2.2019/179 1 b § 2 mom.).

    Före överföring av data för analys omvandlas direkta personuppgifter till oidentifierbara genom att pseudonymisera materialet. Resultaten av analys- och rapporteringsverksamheten som ska publiceras anonymiseras eller aggregeras på ett sådant sätt, att en enskild individ inte kan identifieras från uppgifterna, såvida inte analysen genomförs som en riktad tjänst till en aktör som har rätt att behandla de personuppgifter som lämnats till hen.

    5 Personuppgifternas källor

    Analys- och rapporteringstjänsterna använder sig av registren som produceras av statens gemensamma koncerntjänster, som innehåller planering och övervakning av statliga ämbetsverk och institutioners verksamhet, information om ekonomi- och personalförvaltning, gemensam grundläggande informationsteknik, upphandlingsförvaltning, lokalförvaltning, centraliserade utbildningstjänster, projektförvaltning och organisationsstruktur.  Statens gemensamma producenter av koncerntjänster är Servicecentret för statens ekonomi- och personalförvaltning Palkeet, Statens center för informations- och kommunikationsteknik Valtori, Myndigheten för digitalisering och befolkningsdata, Senatsfastigheter, Hansel Oy och HAUS utvecklingscentral Ab.

    De ovannämnda registren innehåller personuppgifter om statlig personal samt personuppgifter om leverantörer som är involverade i upphandling. Annan oidentifierad information och annan offentlig information som är nödvändig för genomförandet av analys- och rapporteringstjänsterna kan också användas i verksamheten.

    6. Överföring eller utlämnande av personuppgifter

    I analystjänsterna som Palkeet producerar lämnas inte personuppgifter ut till utomstående. Personuppgifter som behandlas överförs inte till länder utanför EU eller EES.

    7. Tekniska och organisatoriska skyddsåtgärder för behandling av personuppgifter

    I analystjänsterna som produceras av Palkeet behandlas personuppgifter endast av analytiker i en miljö som motsvarar uppgifternas skyddsnivå, och åtminstone en grundläggande säkerhetsutredning har gjorts av Skyddspolisen för alla personer som är inblandade i behandlingen av uppgifterna. Uppgifterna är skyddade mot obehörig granskning, ändring och radering. Skyddet består av användarverifiering, tekniskt skydd av databaser och servrar, fysiskt skydd av lokaler, passerkontroll, datakommunikationsskydd samt säkerhetskopiering av uppgifterna. Behörighet för åtkomst och hantering beviljas utifrån arbetsuppgifterna och tillgång till systemen grundar sig på personliga användaruppgifter. Apparatlokalerna och uppgifterna finns fysiskt inom EU eller EES. För övervakning av verksamhetens korrekthet tillämpas dessutom administrativa kontroller.

    8. Lagring av personuppgifter

    Som utgångspunkt ska personuppgifter som behandlas i de analystjänster som produceras av Palkeet endast sparas så länge och i den utsträckning som är nödvändig för analysens genomförande. När det gäller kunduppdrag bevaras uppgifterna i högst ett år efter uppdragets slut, om inga ytterligare behov uppstår om samma ämne och för samma kund.

    9. Den registrerades rättigheter

    Enligt dataskyddsförordningen varierar den registrerades rättigheter beroende på grunden till behandlingen av personuppgifterna. Eftersom den rättsliga grunden för behandling av personuppgifter i analystjänsterna producerade av Palkeet är lagstadgad beskrivs den registrerades rättigheter i detta uttalande i enlighet med den rättsliga grunden.

    9.1 Rätt till att få information om behandlingen av sina personuppgifter

    Enligt artikel 12 i dataskyddsförordningen måste behandlingen av personuppgifter vara transparent och den registrerade har rätt att få information om behandlingen av sina personuppgifter. När det gäller de analystjänster som produceras av Palkeet, genomförs denna rätt genom dataskyddsdokumentation. De dataskyddspraxis som ska följas vid all serviceproduktion i Palkeet beskrivs i bilagan till serviceavtalet och för analystjänsternas del görs en specificering i denna policy.

    9.2 Rätt till tillgång till uppgifterna (Rätt att granska de uppgifter som gäller en själv)

    Enligt artikel 15 i dataskyddsförordningen har den registrerade rätt att få tillgång till att granska sina egna personuppgifter. I analystjänsten som produceras av Palkeet har den registrerade rätt att inom rimlig tid få bekräftelse av Palkeets personuppgiftsansvarige på huruvida personuppgifter som berör hen håller på att behandlas och i så fall få tillgång till personuppgifterna.

    Om inte den registrerade själv har möjlighet att kontrollera sina personuppgifter som behandlas, kan den registrerade göra en kontrollbegäran till personuppgiftsansvariges representant (punkt 1 i denna policy). Om det har gått mindre än ett år sedan den registrerade senast utnyttjade sin kontrollrätt, har Palkeet som personuppgiftsansvarig rätt att debitera en avgift som täcker de administrativa kostnaderna för överlämnandet av uppgifterna (artikel 12 [5]).

    9.3 Rätt till korrigering av uppgifterna

    I enlighet med artikel 16 i dataskyddsförordningen har den registrerade rätt att kräva att Palkeet som personuppgiftsansvarig korrigerar otydliga och felaktiga personuppgifter om den registrerade utan ogrundade dröjsmål i de analystjänster som produceras av Palkeet. Beroende på data och åtkomstbegränsningar kan uppgifterna också korrigeras av den registrerade själv, på begäran av hens chef, eller på basis av ett skriftligt meddelande om personuppgifter från den registrerade som representant för personalförvaltningen på hens arbetsgivarämbetsverk

    9.4 Rätt att begränsa behandlingen

    Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att få behandlingen begränsad av den personuppgiftsansvarige, det vill säga av Palkeet när det gäller de analystjänster som produceras av Palkeet, om:

    • den registrerade bestrider personuppgifternas riktighet, då behandlingen begränsas under en tid som ger Palkeet som personuppgiftsansvarig möjlighet att kontrollera om personuppgifterna är riktiga
    • behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning
    • Palkeet som personuppgiftsansvarig inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk

    Om den registrerade bestrider personuppgifternas riktighet, begränsas behandlingen av uppgifterna under en tid som ger Palkeet som personuppgiftsansvarig möjlighet att kontrollera om personuppgifterna är riktiga. Den registrerade ska lämna in en kontrollbegäran och dess motivering till representanten för den personuppgiftsansvarige (punkt 1 i denna policy) då Palkeet som personuppgiftsansvarig ska begränsa behandlingen av personuppgifterna i datasystemet. Behandlingen begränsas genom att förhindra tillgång till uppgifterna med hjälp av att begränsa användarbehörigheter.

    9.5 Skyldighet att underrätta om korrigering, radering eller begränsning av behandlingen av personuppgifter

    Enligt artikel 19 i dataskyddsförordningen har den personuppgiftsansvarige, dvs. Palkeet när det gäller de analystjänster som tillhandahålls av Palkeet, skyldighet underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Palkeet som personuppgiftsansvarig ska underrätta den registrerade om dessa mottagare på den registrerades begäran. Om den registrerade vill vara informerad om mottagarna ska hen lämna in en begäran till representanten för den personuppgiftsansvarige (punkt 1 i denna policy).

    9.6 Rätt att inte bli föremål för automatiskt beslutsfattande

    Enligt artikel 22 i dataskyddsförordningen har den registrerade rätt att inte bli föremål för automatiskt beslutsfattande. När det gäller analystjänster som produceras av Palkeet genomförs den registrerades rätt som utgångspunkt, eftersom de personuppgifter som behandlas inte är föremål för automatiskt beslutsfattande eller profilering.

    9.7 Rätt att lämna in besvär till en tillsynsmyndighet

    Den registrerade har alltid rätt att få lagligheten av behandlingen av personuppgifter granskade av Dataombudsmannen.

    Kontaktuppgifter
    Dataombudsmannens byrå
    Besöksadress: Bangårdsvägen 9, vån. 6, 00520 Helsingfors
    Postadress: PB 800, 00521 Helsingfors
    Växel: 02956 66700
    Fax: 02956 66735
    E-post: tietosuoja(at)om.fi