Utarbetades 30.3.2022
1. Personuppgiftsansvarig
Namn: Statskontoret
Adress: Sörnäs strandväg 13, PB 14, 00054 Statskontoret
Övriga kontaktuppgifter (t.ex. telefon under kanslitid, e-postadress)
tfn 0295 50 2000, registrator@statskontoret.fi
2. Kontaktperson i ärenden som gäller registret
Namn: Vesa Hagström
Adress: Statsunderstödstjänster, PB 14, 00054 Statskontoret
Övriga kontaktuppgifter: telefonväxel 0295 50 2000, registrator@statskontoret.fi
3. Kontaktuppgifter till den dataskyddsansvariga
Heikki Kangas, tietosuojavastaava@valtiokonttori.fi, 0295 50 2000
4. Syfte med behandlingen av personuppgifter
Behandlingen av personuppgifter grundar sig på lagen om förvaltning av, tillsyn över och granskning av Europeiska unionens facilitet för återhämtning och resiliens samt på 2 § i lagen om Statskontoret.
Syftet med behandlingen är att fullfölja de åtaganden som avtalats för att skydda Europeiska unionens ekonomiska fördelar. För att skydda de ekonomiska fördelarna krävs att granskningen och tillsynen genomförs i fråga om de slutliga medelmottagarnas, uppdragstagarnas och underleverantörernas namn samt i fråga om uppgifterna om de slutliga medelmottagarnas och uppdragstagarnas verkliga ägare och förmånstagare.
Behandlingen av personuppgifter följer artikel 6.1 c och e i EU:s allmänna dataskyddsförordning (EU 2016/679) (behandlingen är nödvändig för att fullgöra den personuppgiftsansvariges lagstadgade skyldighet och för att utöva den personuppgiftsansvariges offentliga makt).
Registret innehåller även uppgifter om stödmyndighetens kontaktpersoner och om användarna av datasystemet. Användaruppgifter samlas in för att specificera användarna och för skötseln, förvaltningen och utvecklingen av användarrättigheterna och tjänsten. Personuppgifter används även för laglighetsgranskning, säkerställande av informationssäkerheten och kommunikation.
5. Informationsinnehållet i registret
I registret förs in uppgifter om användarna av RRP-datasystemet. Dessa är statliga tjänstemän och statligt anställda samt anställda i statsbolagen. I systemet förs dessutom in uppgifter om de slutliga medelmottagarna, dvs. stödmottagarna. Om stödmottagarna är företag eller samfund, samlas uppgifter om företagens eller samfundens verkliga förmånstagare in.
Personuppgifterna i registret delas in tekniskt på följande sätt:
- De slutliga medelmottagarna samt företagens och samfundens verkliga förmånstagare
- Användarregister
- Register över händelseuppgifter
Om de slutliga medelmottagarna, stödmottagarna och de verkliga förmånstagarna sparas:
- Förnamn
- Efternamn
- Födelsetid
I användarregistret sparas
- Användarens förnamn och efternamn
- E-postadress
- Organisation
- Användarrättsroll (stödmyndighet/ansvarigt ministerium/operatör/granskare/koordinator/EU-myndighet)
I registret över händelseuppgifter sparas:
- Händelseuppgifter som gäller inloggning
- En inloggad persons användarnamn
- Inloggningens tidsstämpel
- Användarens IP-adress
- Händelseuppgifter som gäller ändring av användar- och åtgärdsuppgifter
- Användarnamn för den som gjort ändringen
- Det som ändrades (den tidigare och den ändrade uppgiften)
- Åtgärdens tidsstämpel
6. Regelenliga informationskällor
Statskontoret får uppgifter från stödmyndigheterna och från andra myndigheter trots sekretessbestämmelserna i enlighet med 13 § i lagen om förvaltningen av, tillsynen över och granskningen av lagen om Europeiska unionens facilitet för återhämtning och resiliens samt i enlighet med 2 § i lagen om Statskontoret.
7. Regelenlig utlämning av uppgifter
Enligt reglerna lämnas personuppgifter inte ut till tredje parter.
Statskontoret lämnar på begäran och i enlighet med 13 och 14 § i lagen om förvaltningen av, tillsynen över och granskningen av lagen om Europeiska unionens facilitet för återhämtning och resiliens ut personuppgifter till Europeiska kommissionen, finansministeriet och myndigheter som utövar tillsyn.
8. Regelenlig utlämning och överföring av uppgifter utanför EU eller EES
Uppgifter lämnas inte ut eller överförs utanför EU eller EES.
9. Principerna för skydd av registret
Endast de personer som har fullmakt av den personuppgiftsansvarige har tillträde till de uppgifter som behandlas i datasystemen. Personerna är säkerhetsutredda och har tystnadsplikt. Man kontrollerar regelbundet att användarrättigheterna är uppdaterade och ser till att rättigheter tilldelats endast personer som behöver dem. Datanätet och de terminaler på vilka registret används har skyddats genom tekniska åtgärder. Applikationsservrarna ligger i skyddade lokaler som hör till leverantören av användartjänsterna. Uppgifter om systemanvändarnas åtgärder och auktorisering av dataåtkomst spåras genom insamling av loggdata.
Manuellt datamaterial förvaras i låsta utrymmen, till vilka endast personer som har fullmakt av den personuppgiftsansvariga, och således tystnadsplikt, har åtkomst. Manuellt material digitaliseras och förstörs på ett datasäkert sätt efter den föreskrivna bevaringstiden.
10. Hur länge uppgifterna bevaras/kriterier enligt vilka bevaringstiden bestäms
Uppgifter bevaras till utgången av 2032 i enlighet med 18 § i lagen om förvaltningen av, tillsynen över och granskningen av lagen om Europeiska unionens facilitet för återhämtning och resiliens.
Därefter arkiveras dokumenten i enlighet med Riksarkivets beslut, eller förstörs.
11. Uppgift om automatiserade beslut (t.ex. profilering) samt om vilken logik som används i behandlingen av uppgifter och hur denna påverkar den registrerade
Behandlingen av uppgifter innefattar inte automatiserade beslut.
12. Rätt till insyn
En registrerad har rätt att kontrollera sina uppgifter i registret. Begäran riktas till Statskontorets registratorskontor.
Om det har gått mindre än ett år från att den registrerade utövade sin rätt till insyn, har Statskontoret rätt att debitera en avgift som baseras på de administrativa kostnader som utlämnandet av uppgifterna orsakar.
13. Rättelse av uppgift
Den registrerade har rätt att kräva rättelse av felaktiga uppgifter om sig i registret. Begäran riktas till Statskontorets registratorskontor.
14. Rätt att motsätta sig behandling av uppgifter
Statskontoret behandlar personuppgifter för att genomföra sin lagstadgade uppgift och den registrerade har inte rätt att motsätta sig behandlingen av uppgifter.
15. Rätt till begränsning av behandling
En registrerad har rätt att kräva att behandlingen av den registrerades personuppgifter begränsas enligt vad som föreskrivs i artikel 18 i allmänna dataskyddsförordningen.
16. Rätt till radering av uppgifter
Statskontoret behandlar personuppgifter för att genomföra sin lagstadgade uppgift och den registrerade har inte rätt att få uppgifterna raderade.
17. Rätt att anföra klagomål
En registrerad har rätt att anföra klagomål hos tillsynsmyndigheten om den registrerade anser att den personuppgiftsansvarige har kränkt den registrerades rättigheter.
18. Andra eventuella rättigheter
Personuppgifterna varken används eller lämnas ut för direktreklam, distansförsäljning eller annan direktmarknadsföring och inte heller för marknads- eller opinionsundersökningar, personmatriklar eller släktforskningsändamål.