M2 Blue rese och passerhanteringssystemets användar- och passagerarregister databeskyddsbeskrivning
Den registeransvariges lagstadgade skyldighet, artikel 6.1 c i dataskyddsförordningen, Meteorologiska institutets resepolicy och reseanvisningar (Ilmatieteen laitoksen matkustuspolitiikka ja -ohjeet) (Dnr: 11/011/2019) kapitel 2 och Meteorologiska institutets ekonomistadga (Dnr 16/011/2019) kapitel 4 och 5.
1. Den registeransvarige Meteorologiska institutet PB 503, Erik Palméns plats 1, 00101 Helsingfors tfn 029 539 2141, kirjaamo@fmi.fi
2. Kontaktperson för registret Riitta Jokinen tfn 029 5392 383, il.taha@fmi.fi
3. Dataskyddsombud Jaana Palmunoksa tfn 029 539 2310, jaana.palmunoksa@fmi.fi
4. Registrets namn M2 Blue-rese och passerhanteringssystemets användar- och passagerarregister
5. Ändamålet med behandlingen av personuppgifter Ändamålet med behandlingen av personuppgifter i rese- och passagerarhanteringssystemet (M2 Blue) är att göra upp resplaner, specificera och motivera resekostnader och andra kostnader, bokföra rese- och kostnadsfakturor och sakgranskning samt godkänna användarrättigheter i anslutning till utbetalning och användning av systemet. För andra än tjänstemän grundar sig behandlingen av personuppgifter på den registrerades samtycke. Även då är ändamålet med behandlingen att godkänna, bokföra och betala dagpenningar, resekostnader, reseersättningar och kostnader samt att administrera användarrättigheter i anslutning till användningen av systemet.
6. Rättslig grund för behandling Den registeransvariges lagstadgade skyldighet, artikel 6.1 c i dataskyddsförordningen, Meteorologiska institutets resepolicy och reseanvisningar (Ilmatieteen laitoksen matkustuspolitiikka ja -ohjeet) (Dnr: 11/011/2019) kapitel 2 och Meteorologiska institutets ekonomistadga (Dnr 16/011/2019) kapitel 4 och 5.
7. Registrets datainnehåll De registrerade är personer som arbetar vid Meteorologiska institutet eller är anställda vid institutet (inklusive personer som fullgör civiltjänst vid institutet) eller utomstående personer som får reseersättningar eller andra ersättningar.
Följande uppgifter om de registrerade sparas:
- förnamn, efternamn, personbeteckning, personnummer, hemadress, e-postadress, telefonnummer
- anställningsförhållandets start- och slutdatum, personens organisatoriska uppgifter för bokföring av resekostnader, bankkonto, land
- M2- eller Virtu-användarnamn, personens rese-, kostnads- och köruppgifter, uppgifter om personens betaltidskort och resekontoköp, användarroll, årsanmälans prestationsslag
8. Regelmässiga uppgiftskällor Uppgifterna fås direkt från den registrerade eller från den som agerar för registrerades räkning.Informationskällor när uppgifter inte har erhållits från den registrerade: Person- och organisationsuppgifter erhålls från personalförvaltningens datasystem. Uppgifter om betalningstids- och resekontoinköp erhålls från banksystemet. Andra uppgifter om åtkomsträttigheter än sådana som hänför sig till tjänstemannens reserättigheter samlas in på basis av en begäran om åtkomsträttigheter som gjorts av den registrerade chefen.
9. Personuppgifternas mottagare eller mottagargrupper Uppgifterna kan endast lämnas ut inom gränserna som gällande lagstiftning förpliktar och tillåter eller med den registeransvariges samtycke. Uppgifter om utbetalning överförs till betalarens och mottagarens bank, lönesystem eller till någon annan betalare. Skattefria ersättningar som betalats till en person ska anmälas till skattemyndigheten en gång per år. Uppgifter om personen överförs till resebyrån (namn, personnummer, land, e-postadress till arbetet, telefonnummer till arbetet, organisatoriska uppgifter). Uppgifterna arkiveras dessutom i Handi-arkivet.
10. Överföring av personuppgifter utanför EU eller EES Uppgifterna överförs inte utanför EU eller EES eller till någon annan instans.
11. Principer för skydd av registret Beskrivning av tekniska och organisatoriska säkerhetsåtgärder
A. Manuellt materialDet manuella materialet behandlas av utbildad personal i låsta utrymmen som motsvarar skyddsnivån för uppgifterna.
B. Material som behandlas digitaltUppgifterna i registret skyddas för obehörig åtkomst, obehörig ändring och obehörigt borttagande. Skyddet grundar sig på förvaltning av användarbefogenheter, tekniskt skyddande av databaser och servrar, fysiskt skydd av utrymmen, tillträdeskontroll, skydd av datakommunikation samt säkerhetskopiering av uppgifterna. Tillträdes- och behandlingsrättigheterna till uppgifterna beviljas utgående från arbetsuppgifter. Tillträdet i systemet baseras på personliga användarnamn. För att övervaka att verksamheten är tillbörlig används administrativa kontroller.
12. Period under vilken personuppgifterna lagras eller kriterier som används för att fastställa denna period Lagringstiderna för de personuppgifter som ingår i användar- och passagerarregistret i M2-systemet grundar sig på lagstiftning där lagringstiderna för bokföringsmaterial fastställs. Palkeet ansvarar för lagringstiden för personuppgifterna i detta register.
13. Den registrerades rättigheter Den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna.
Den registrerade har själv tillgång till rese- och kostnadsuppgifterna via M2 Blue -systemet. I fråga om andra personuppgifter än de som den registrerade själv har tillgång till via M2 Blue-systemet kan den registrerade lämna en begäran om insyn till den registeransvariges representant (punkt 2 i denna beskrivning).
Om det har gått mindre än ett år sedan den registrerade utövade sin rätt till insyn, kan den registeransvarige ta ut en avgift som grundar sig på de administrativa kostnader som utlämnandet av uppgifterna medför (artikel 12.5 a).
Uppgifterna som registret innehåller används inte för profilering och inget automatiserat beslutsfattande riktas till uppgifterna.
Rätt att rätta uppgifter enligt artikel 16
Den registrerade ska ha rätt att av den registeransvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade.
Den registrerade kan uppdatera sina uppgifter genom att be personaladministratören vid ämbetsverket eller en representant för den registeransvarige om uppdatering av uppgifterna (punkt 2 i denna beskrivning).
14. Rätt att klaga hos tillsynsmyndigheten Den registrerade har rätt att klaga hos tillsynsmyndigheten om hen anser att behandlingen av hens personuppgifter bryter mot tillämpliga dataskyddsbestämmelser