Käyttäjähallinta- ja lokirekistereiden tietosuojaseloste

VAV-konsernin käyttäjähallinta- ja lokirekistereiden tietosuojaseloste

1. Rekisterinpitäjän yhteystiedot tietosuoja-asioissa

Rekisterinpitäjät

Rekisterinpitäjiä ovat alla mainittujen VAV-yhtymän yhtiöiden asuntojen vuokranantajat kukin omien vuokralaistensa osalta, jäljempänä ”VAV” tai ”Rekisterinpitäjä”.

VAV Yhtymä Oy (y-tunnus 0640915-7) ja sen alla mainitut tytäryhtiöt

  • VAV Asunnot Oy
  • VAV Palvelukodit
  • VAV Hoiva-asunnot Oy

Yhteystiedot tietosuoja-asioissa

Vav.fi/tietosuoja

sähköposti: tietosuoja@vav.fi

osoite: VAV Yhtymä Oy, Tietosuoja-asiat, Veturikuja 7, 01300 Vantaa

2. Rekisteröidyt ja rekisterin tietosisältö

Rekisterinpitäjän tieto- ja viestintäjärjestelmissä on käytössä käyttöoikeuksien hallinta, jolla hallitaan järjestelmiin pääsyä ja niiden käyttöä. Rekisteriin tallennetaan tietoja rekisteröidyistä, eli järjestelmien käyttäjistä, joita ovat Rekisterinpitäjän työntekijät, asiakkaiden, alihankkijoiden ja muiden tahojen työntekijät, joille Rekisterinpitäjä on antanut pääsyoikeuden Rekisterinpitäjän järjestelmiin.

Käyttäjähallintarekisteri sisältää tiedot järjestelmiin myönnetyistä käyttöoikeuksista, niiden kestosta ja sisällöstä. Se sisältää seuraavia henkilötietoja:

  • etunimi ja sukunimi, käyttäjän tunniste, työntekijän henkilönumero
  • yhteystiedot
  • organisaatioyksikkö, toimipiste, tehtäväryhmä
  • ulkopuolisen henkilön osalta sopimus, jonka perusteella käyttöoikeus on myönnetty
  • tieto siitä kuka /mikä yksikkö käyttöoikeudet antaa
  • mahdollinen tieto käyttäjä- ja vaitiolositoumuksen antamisesta Rekisterinpitäjälle
  • käyttöoikeudet, niiden voimassaolo, käyttäjätunnus

Lokirekisterit sisältävät järjestelmien tapahtumatietoja: aika, tapahtuma, tekijä, käyttöoikeus, jolla tapahtuma tehtiin, tapahtuman lähde (mistä tehtiin, mistä muutostieto on peräisin), tapahtuman kohde (mihin tietoon tai järjestelmään toiminta kohdistui), tapahtuman tila. Esimerkiksi:

  • Ylläpitoloki sisältää tiedot käyttöoikeuksien muutoksista, poistoista ja lisäyksistä, rekistereiden käyttöön liittyvien virhetilanteiden hallinnasta, järjestelmään tehdyistä muutoksista
  • Pääsynvalvontaloki sisältää tiedot sisään- ja uloskirjautumisista käyttäjä-, ryhmä- ja sovellustietotasoilla, epäonnistuneista kirjauksista, käyttöoikeuksien vaihdosta
  • Muutosloki sisältää tiedot järjestelmien tietosisällön muutoksista: poistoista ja lisäyksistä, järjestelmäparametrien ja asetustiedostojen muutoksista
  • Virheloki sisältää tiedot seurattavassa järjestelmässä tai tapahtumassa havaituista virheistä, rekisterissä havaituista virheistä ja epäjatkuvuuksista.

Lisäksi käyttäjähallinta- ja lokitietojärjestelmässä käsitellään ja kerätään käyttöoikeus- ja lokirekisterin käyttäjien henkilötietoja, esim. käyttöoikeustaso lokijärjestelmään (miten kyseinen käyttäjä voi katsella, muokata ja/tai poistaa lokeja), tämän katsomat, muokkaamat ja poistamat lokitiedot sekä näihin toimenpiteisiin liittyvät aikaleima- ja tunnistetiedot.

3. Henkilötietojen käsittelyn oikeusperusteet ja tarkoitukset

Rekisterin käyttötarkoituksena on Rekisterinpitäjän palveluiden ja toimintojen jatkuvuuden ja tietoturvan varmistaminen sekä Rekisterinpitäjälle, käyttäjille ja muille tahoille aiheutuvien vahinkojen ja haittojen välttäminen ja minimoiminen sekä

  • estää ja selvittää tietojärjestelmissämme esiintyviä virhe- ja vikatilanteita
  • henkilötietojen ja muiden salassa pidettävien tietojen suojaaminen
  • tietoturvapoikkeamien analysointi ja tietoturvaloukkausten estäminen ja selvittäminen
  • puuttuminen käyttöoikeuden vastaiseen tietojen käyttöön, luovutukseen ja muuhun käsittelyyn
  • järjestelmien käytön tilastointi.

Henkilötietoja sisältävien tietojärjestelmien osalta käsittelyn perusteena on rekisterinpitäjän lakisääteinen velvollisuus toteuttaa riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet (EU:n yleisen tietosuoja-asetuksen 32 artikla ja tietosuojalain 6 §).

Sähköisen viestinnän tietojärjestelmien käyttäjähallinnan ja lokitietojen käsittelyn osalta rekisterin pitäminen perustuu sähköisen viestinnän palveluista annetun lain 17 ja 33 lukuun.

Valtion tuella rakennettujen vuokra-asuntojen asukasvalintaa koskevien tietojärjestelmien osalta käsittely perustuu julkista hallintotehtävää suorittavan yksityisen tahon lakisääteiseen velvollisuuteen huolehtia tietojärjestelmien käyttöoikeuksien hallinnasta ja lokitietojen keräämisestä (laki julkisen hallinnon tiedonhallinnasta 16-17 §).

Muiden tietojärjestelmien osalta käsittelyn perusteena on tietojen ja tietojärjestelmien omistajuuteen, hallintaan ja käyttöön perustuva oikeutettu etu (EU:n yleinen tietosuoja-asetus 6 artikla, 1. (f) kohta).

4. Mistä tietoja kerätään

Käyttäjähallintarekisterin tiedot kerätään säännönmukaisesti rekisteröidyltä itseltään käyttöoikeutta haettaessa ja käyttöoikeuksien luomisen yhteydessä Rekisterinpitäjän henkilöstöhallinnon järjestelmästä tai rekisteröidyn työnantajalta. Lokirekisteriin tallennettavien tietojen ensisijainen tietolähde on rekisteröity sekä tietojärjestelmät, joiden tapahtumia tallennetaan lokeihin.

5. Kenelle tietoja luovutetaan tai siirretään

Rekisterinpitäjä ei luovuta tietoja ulkopuolisille tahoille ilman Rekisteröidyn suostumusta, ellei se ole tarpeen väärinkäytösten ehkäisyä ja selvittämistä varten poliisille ja muille tutkintaviranomaisille sekä oikeudellisten vaatimusten käsittelyä varten esim. oikeudellisille avustajille ja tuomioistuimille tai Rekisterinpitäjän lakisääteisen velvollisuuden täyttämiseksi.

Rekisterinpitäjä käyttää alihankkijoita tämän selosteen mukaisessa henkilötietojen käsittelyssä. Tällöin henkilötietoja voidaan siirtää alihankkijoille siinä määrin, kuin se on tarpeen alihankkijan palvelujen toteuttamiseksi. Alihankkijat käsittelevät henkilötietoja Rekisterinpitäjän puolesta ja lukuun sen ohjeiden mukaisesti. Alihankkijoita sitovat Rekisterinpitäjän kanssa tehdyt sopimukset henkilötietojen käsittelystä mukaan lukien salassapitoa ja tietoturvaa koskevat ehdot. Ajantasainen listaus Rekisterinpitäjän käyttämistä alihankkijoista tallennetietojen käsittelyssä.

Jos henkilötietoja käsitellään poikkeuksellisesti muissa maissa, VAV varmistaa tietosuojan riittävän tason sopimalla siirrosta Euroopan komission hyväksymillä vakiosopimusehdoilla.

6. Rekisterin suojauksen periaatteet ja tietojen säilytysaika

Tietojen käyttöön ovat oikeutettuja vain ne henkilöt, jotka tarvitsevat tietoja työtehtäviensä hoitamiseen.

Tiedot on suojattu henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Pääsy- ja käsittelyoikeus tietoihin myönnetään työtehtävien perusteella. Tietoja käsittelevä henkilöstö ja alihankkijat ovat sitoutuneet salassapito- ja tietoturvavelvoitteisiin. Sähköisesti säilytettävien tietojen suojaus perustuu käyttöoikeushallintaan, tietokantojen ja palvelinten tekniseen suojaukseen, niiden käytön valvontaan lokitietoja keräämällä, tilojen fyysiseen suojaukseen, kulunvalvontaan, palomuureihin ja muuhun tietoliikenteen suojaukseen sekä tietojen varmuuskopiointiin.

Henkilöstöä perehdytetään ja koulutetaan henkilötietojen käsittelyyn säännöllisesti järjestettävissä tietosuoja- ja tietoturvakoulutuksissa.

Henkilötietoja säilytetään niin kauan, kuin se on henkilötiedon käyttötarkoituksen vuoksi tarpeellista.  Lähtökohtaisesti tietoja säilytetään niin kauan, kuin rekisteröidyllä on käyttöoikeus tietojärjestelmään ja kohtuullisen ajan käyttöoikeuden päättymisestä.

Käytännössä suurinta osaa henkilötiedoista voidaan tarvita esimerkiksi tietosuojaloukkausten tai tietomurtojen selvittämiseksi, minkä vuoksi tietoa säilytetään vähintään, kunnes niitä koskeva rikos- ja vahingonkorvausoikeudelliset kanneajat ja mahdolliset oikeudelliset käsittelyt ovat päättyneet. Kanne- ja syyteajat vaihtelevat tietosuojarikoksissa ja -rikkeissä sekä niistä seuraavissa vahingonkorvauskanteissa kahden ja viiden vuoden välillä. Sähköisen viestinnän palveluja koskevan lain 145 §:n mukaan tapahtumatietoja on säilytettävä kaksi vuotta niiden tallentamisesta.

7. Tietojen tarkastus-, oikaisu- ja muut rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat yleisen tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet:

  • Asiakkaalla on oikeus tarkistaa itseään koskevat rekisterissä olevat henkilötiedot.
  • Rekisteröidyllä on oikeus vaatia virheellisen, vanhentuneen, tarpeettoman tai lain vastaisen tiedon oikaisua tai poistamista.
  • Rekisteröidyllä on myös oikeus milloin tahansa peruuttaa henkilötietojensa käsittelyyn aiemmin antamansa suostumus. Suostumuksen peruuttaminen ei vaikuta ennen suostumuksen peruuttamista tapahtuneen käsittelyn lainmukaisuuteen.

Jos rekisteröity on toimittanut henkilötietojaan rekisterinpitäjälle ja käsittely perustuu suostumukseen tai sopimukseen, hänellä on oikeus saada nämä tiedot itselleen jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää tiedot toiselle rekisterinpitäjälle voimassa olevan lainsäädännön mukaisesti.

Kun henkilötietojen käsittelemisen perusteena on oikeutettu etu, rekisteröidyllä on oikeus vastustaa tietojensa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella. Rekisteröidyn on pyynnön yhteydessä yksilöitävä vastustamisen perusteena oleva erityinen tilanne.

Rekisteröity voi laissa määritellyissä tilanteissa vaatia henkilötietojensa käsittelyn rajoittamista, esimerkiksi keskeyttämistä kokonaan tai osittain silloin, kun rekisteröidyn mielestä on epäselvyyttä tietojen virheettömyydestä tai niiden käsittelystä.

Tietojen tarkastamista tai rajoittamista koskevan pyynnön voi tehdä VAV:n verkkosivuilla olevan tietopyyntölomakkeen kautta. Tietojen oikaisua koskevan pyynnön voi tehdä OmaVAV-palvelun kautta tai verkkosivuilla olevan tietopyyntölomakkeen kautta.

Rekisteröidyllä on oikeus tehdä valitus henkilötietojen käsittelystä tietosuojavaltuutetulle.

Ajankohtaista