Dataskyddsbeskrivning

DATASKYDDSBESKRIVNING                               Datum för uppgörandet: 26.6.2018

Vasa stad

1. Registrets namnNätbutikens kundregister
2. Personuppgiftsansvarig  Namn: Vasa stad
Adress: PB 3,
65 101 VASA
Övriga kontaktuppgifter: 06 325 1111
3. Kontaktperson i registerärendenNamn: Medborgarinfo
Telefon: 06 – 325 1111E-post: market@vaasa.fi
4. Den dataskyddsansvarigas kontaktuppgifterTelefonväxel: 06 325 1111E-post: tietosuojavastaava@vasa.fi
5. Avsikt med och rättsgrund för behandlingen av personuppgifterI Vasa stads (nedan den personuppgiftsansvariga) nätbutik (nedan register) kan en registrerad kund (nedan den registrerade) göra beställningar. Personuppgifter tas upp bl.a. för att man ska kunna leverera beställningar, rikta betalningar till rätt ställe, identifiera en kund och/eller en person som uppgetts av en kund, verifiera en kunds ärendehanteringshistorik  och ärendehanteringsrättigheter. Uppgifter om användarna av servicen samlas in för att  definiera användarrättigheterna, övervaka användningen och utreda problemfall.Den personuppgiftsansvarigas rätt att föra register över de personer, mellan vilka den personuppgiftsansvariga och den registrerade har ett tjänstgöringsförhållande eller en saklig anknytning till följd av ett förhållande jämförbart med ett tjänstgöringsförhållande. För övriga registrerades del grundar sig behandlingen av personuppgifterna på ett kundförhållande eller på skötseln av ett förhållande som grundar sig på en saklig anknytning.Uppgifter om användarna av servicen samlas in för att  definiera användarrättigheterna, övervaka användningen och utreda problemfall. Uppgifterna kan användas för planerings-, utvecklings- och statistikföringsbehov inom den personuppgiftsansvarigas egen verksamhet.
6. Registrets datainnehållRegistret innehåller bland annat uppgifter som hör till följande grupper och är nödvändiga med avseende på registrets användningsändamål.Om den registrerade bl.a. följande uppgifter:namnadressuppgifter (gatuadress, husets/trappans/lägenhetens nummer), postnummer och postanstalte-postadressmodersmåltelefonnummerfödelsetidkönfödoämnesallergiövriga särskilda uppgifterI anslutning till kundförhållanden och annan saklig anknytning, uppgifter som t.ex.:användarens identifieringsuppgifter i samband med användning av servicenåtgärder utförda som identifierad användare och händelser i samband med dessa (beställningshistorik, uppgifter i samband med nätbetalning)marknadsförings- och fotograferingstillstånd
7. Regelmässiga uppgiftskällorTill registret förs personuppgifter genom den registrerades egen anmälan samt från den personuppgiftsansvarigas system de uppgifter som tas upp i samband med registrering till servicen och användning (bl.a. yttre system som förmedlar betalningshändelser via anslutningarna).Tjänsten använder kakor i webbläsaren. Med hjälp av kakorna  samlas  uppgifter om användaren och dennas utrustning in, och  med uppgifterna optimeras servicen.Personuppgifter kan samlas in och uppdateras från den personuppgiftsansvarigas och till samma koncern som denna hörande organisationers / företags register.
8. Uppgifternas lagringstidUppgifternas lagringstider bestäms utgående från bokföringslagen och myndighetsbeslut:Bokslutet, verksamhetsberättelsen, bokföringarna, kontoplanen samt förteckningen över bokföringar och material ska bevaras minst 10 år efter räkenskapsperiodens utgång, så att kraven i  6, 7 och 9 § i bokföringslagens 2 kapitel uppfylls.Om inte längre bevaringstid har  föreskrivits i lag ska räkenskapsperiodens verifikationer och korrespondens om affärshändelser samt annat bokföringsmaterial bevaras minst sex år från utgången av det år då räkenskapsperioden har upphört. (2 kap. 10 § 2 mom. i bokföringslagen 1336/1997)
9. Regelmässig utlämning av uppgifterPersonuppgifter utlämnas inte till utomstående.Den personuppgiftsansvariga kan lämna ut uppgifter inom ramarna för vad den ikraftvarande lagstiftningen förpliktar och tillåter till bl.a. organisationer / företag som hör till samma koncern som den personuppgiftsansvariga till andra system / register såsom betalningssystem, fakturering och passagekontroll. För underlättande av problemsituationer och återbetalningar förmedlas, beroende på betaltjänstleverantör, kundens kontaktuppgifter till betalningssystemet i samband med betalningen av en beställning.Den personuppgiftsansvariga kan  i lagstadgade fall lämna ut lagrade uppgifter om den registrerade till myndigheterna.Logguppgifter utlämnas inte till utomstående. Vid utredning av avvikelser i dataskyddet eller vid förundersökning av brott kan den personskyddsansvariga ändå ha rätt att lämna ut uppgifter till polisen eller annan myndighet.
10. Överföring av uppgifter till länder utanför EU eller EESUppgifter överförs inte till länder utanför EU- eller EES-området.
11. Principer för skydd av registretA. Manuellt material förvaras på en låst och elektroniskt skyddad plats.

B. Det adb-baserade systemet1. Data som innehåller personuppgifter behandlas i en skyddad servermiljö. All datatrafik mellan systemen sker krypterat (SSL-skyddat) eller på annat sätt skyddat i datanätet.2. Personuppgifterna skyddas från obehörigt tillträde och olaglig behandling (t.ex. förstöring, ändring eller utlämning).3. Databehandlingsrättigheterna övervakas med hjälp av användarrätts-  och övervakningsförfaranden.4. Användarkontona för den personuppgiftsansvarigas användare är skyddade med lösenord som användaren ska byta regelbundet.5. Den personuppgiftsansvariga ser till att endast de av den personuppgiftsansvarigas arbetstagare, och de av arbetstagarna inom de företag som verkar för den personuppgiftsansvariga, som behöver uppgifter för att kunna sköta sina arbeten har åtkomst till uppgifterna. Arbetarna binds av tystnadsplikten.6. Anvisningar för användningen av registret finns.
12. Eventuell förekomst av automatiserat beslutsfattandeTjänsten gör inga profileringar på basis av de uppgifter som registreras och inga automatiserade beslut.
13. Den registrerades rättigheterA. Rätt att få tillgång till uppgifter (artikel 15, begäran riktas till kontaktpersonen)Den registrerade har rätt att få veta att de uppgifter som berör den registrerade behandlas eller inte behandlas. Den registrerade har rätt att få åtkomst till sina egna uppgifter och granska de personuppgifter som rör hen själv. Den personuppgiftsansvariga ska på begäran ge en kopia på de personuppgifter som behandlas. Om den registrerade begär flera kopior kan den personuppgiftsansvariga ta ut en skälig avgift  för dem baserad på förvaltningsmässiga kostnader.Den personuppgiftsansvariga ska lämna uppgifterna utan obefogad fördröjning och i varje fall inom en månad efter mottagandet av begäran. Tidsfristen kan vid behov förlängas med högst två månader med hänsyn till begärandenas komplexitet och mängd. Den personuppgiftsansvariga ska meddela den registrerade om en sådan här möjlig förlängning inom en månad efter mottagandet samt orsaken till fördröjningen.Om den personuppgiftsansvariga inte genomför åtgärder på basis av den registrerades begäran ska den personuppgiftsansvariga utan dröjsmål och senast inom en månad från att begäran mottagits meddela den registrerade orsakerna därtill och informera om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och använda andra rättsskyddsmedel.En begäran om insyn görs i samband med ett personligt besök eller med en egenhändigt undertecknad eller på annat tillförlitligt sätt bestyrkt handling. Den registrerades identitet fastställs och vid behov kontrolleras den innan uppgifterna lämnas ut. Begäran om insyn riktas till den personuppgiftsansvarigas kontaktperson.Om den registrerades begäranden är uppenbart ogrundade eller orimliga, i synnerhet om de framförs upprepade gånger, kan den personuppgiftsansvariga antingenta ut en rimlig avgift med beaktande av de förvaltningsmässiga kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts; ellervägra att tillmötesgå begäran.I dessa fall ska den personuppgiftsansvariga påvisa att begäran är uppenbart ogrundad eller orimlig.I lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) har särskilt föreskrivits om klientens rätt att få logguppgifter. Mer allmänt har man tillämpat  bestämmelsen om en parts rätt att ta del av en handling i 11 § i offentlighetslagen. Bestämmelsen gör det möjligt att även få ta del av handlingar som är sekretessbelagda.De logguppgifter som uppkommer när den personuppgiftsansvarigas användare behandlar personuppgifter hör inte till den rätt till utövande av insyn som avses i artikel 15 i dataskyddsförordningen, eftersom den som är registrerad i loggregistret är användare, inte klient.  

B. Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77)Den registrerade kan göra en åtgärdsbegäran om saken på dataombudsmannens webbsidor (tietosuoja.fi/sv).

C. Rätt att kräva rättelse av en uppgift (artikel 16)Den registrerade har rätt att kräva att den personuppgiftsansvariga utan onödigt dröjsmål rättar oprecisa och felaktiga personuppgifter som rör den registrerade. Med beaktande av ändamålen med behandlingen, har den registrerade rätt att få de ofullständiga personuppgifterna kompletterade, bland annat genom att lämna in en tilläggsutredning.Om registret grundar sig på material som hämtas från ett bakgrundssystem ska begäran om rättelse framföras till kontaktpersonen för bakgrundssystemets personregister. Begäran om rättelse ska göras skriftligen och tillräckligt specificerat. Den registrerades identitet fastställs och vid behov kontrolleras den innan uppgifterna korrigeras.Begäran om rättelse av uppgifterna riktas skriftligen till den personuppgiftsansvarigas kontaktperson. Den registrerade ansvarar själv för att hålla de  egna uppgifter som ingår i registeruppgifterna uppdaterade.Om man vägrar rätta en uppgift ges den registrerade ett skriftligt intyg över vägran. Av intyget framgår orsakerna till att kravet inte har blivit godkänt.Logguppgifter korrigeras inte eftersom loggarna skyddas mot överträdelser av deras integritet och konfidentialitet.

D. Rätt att radera uppgifterna (artikel 17) ”rätten att bli bortglömd” tillämpas INTE i fråga om lagstadgade registerDen personuppgiftsansvariga är skyldig att radera personuppgifterna utan onödig fördröjning. De personuppgifter som finns i registret raderas / anonymiseras och / eller pseudonymiseras regelbundet när identifikation av uppgifterna inte längre behövs. Om den registrerade vill begära att de uppgifter som rör hen raderas snabbare, ska en begäran om radering riktas skriftligen till den personuppgiftsansvarigas kontaktperson.Den registrerade har rätt att begära radering av uppgifter som rör den registrerade själv.  Personuppgifterna raderas från registret i den mån lagen och myndighetsbeslut gör det möjligt. Om det mellan den registrerade och den personuppgiftsansvariga råder ett tjänstgöringsförhållande eller ett med detta jämförbart förhållande, har den registrerade ingen rätt att få uppgifter raderade. (8 § 1 mom. 5 punkten i PuL 523/1999)Om man vägrar radera en uppgift, ges den registrerade ett skriftligt intyg över vägran. Av intyget framgår orsakerna till att kravet inte har blivit godkänt.

E. Rätt att överföra uppgifterna från ett system till ett annat (artikel 20)Den registrerade har rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt.

F. Den registrerades återkallande av samtyckeBehandlingen av personuppgifter grundar sig på samtycke som fåtts av den registrerade eller på ett rådande tjänstgöringsförhållande mellan den personuppgiftsansvariga och den registrerade eller på en saklig anknytning på grund av ett  förhållande jämförbart med ett tjänstgöringsförhållande. En registrerad som är i ett kundförhållande eller motsvarande sakligt förhållande har rätt att  återkalla sitt samtycke när som helst. Återkallandet av samtycket avslutar kundförhållandet. Återkallandet av samtycket inverkar inte på lagenligheten av behandling som utförts med stöd av samtycket innan det återkallades. Den registrerade har inte rätt att återkalla samtycket så länge som ett tjänstgöringsförhållande eller därmed jämförbart förhållande råder mellan den registrerade och den personuppgiftsansvariga.

G. Övrig informationUppgifter som lagrats i ett register används/utges inte för direktreklam, distansförsäljning, annan direktmarknadsföring, marknads- och opinionsundersökningar, personmatriklar eller släktforskning.En vårdnadshavare eller intressebevakare kan fungera i den registrerades ställe med den registrerades medgivande.