Dataskyddsbeskrivning Enkätregister för planläggningen – svarsmaterial från invånarenkäter

Dataskyddsbeskrivning Esbo stad

Utarbetad: 9.7.2020

1. Registrets namn

Enkätregister för planläggningen – svarsmaterial från invånarenkäter

2. Personuppgifts-ansvarig

Esbo stad

3. Ansvarig person för registret

Stadsplaneringsdirektör

Stadsplaneringscentralen, Teknikvägen 15, 02150 ESBO

fornamn.efternamn@esbo.fi

4. Kontaktperson för registret

Minna Hietanen, specialplanerare

Stadsplaneringscentralen, Teknikvägen 15, 02150 ESBO

fornamn.efternamn@esbo.fi

5. Dataskyddsombud

Stadens dataskyddsombud

PB 12, 02070 Esbo stad

tietosuoja@espoo.fi

6. Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Syftet med behandlingen av personuppgifterna i registret är att förverkliga kommunikation kring planeringen och samla in ett kunskapsunderlag som behövs för planeringen av markanvändningen. Enkätresultaten används i planeringen av markanvändningen.

Behandlingen av personuppgifterna i registret är nödvändig för att utföra en uppgift som anknyter till allmänt intresse och för att utöva den offentliga makt som tillkommer den personuppgiftsansvarige. (Markanvändnings- och bygglagen 132/1999)

7. Registrets datainnehåll

Respondenterna i invånarenkäterna och användarna av systemet för respons på planer kan bli tillfrågade om bland annat kontaktuppgifter samt respondentens ålder, familj, rörelser eller användning av tjänster.

UPPGIFTERNAS OFFENTLIGHET OCH KONFIDENTIALITET:

Uppgifterna är huvudsakligen offentliga.

GRUNDER FÖR SEKRETESS:

Enligt offentlighetslagen, om det finn sekretessbelagd information

8. Uppgiftskällor för personuppgifter

Personuppgifterna i registret fås från de registrerade själva. Man behöver inte uppge personuppgifter för att kunna svara på enkäten.

9. Utlämning av uppgifter

Svarsmaterial som samlats in genom systemet Maptionnaire kan överlåtas till samarbetspartner för analys.

10. Överföring av uppgifter utanför EU eller EES

Svarsmaterial överförs inte till länder utanför EU eller EES. Andra uppgifter om respondenterna, såsom exempelvis IP-adress och uppgifter om webbläsaren, kan behandlas och överföras utanför EU/EES till sådana underleverantörer (bl.a. Mapbox, Maptiler) som följer de gällande kraven för överföring av personuppgifter inom EU.

11. Lagringstider för uppgifter

Förvaringstiderna för uppgifter definieras i Esbo stads informationsstyrningsplan.

12. System för registerföring och principer för skydd av registret

PRINCIPER FÖR SKYDDET AV UPPGIFTER:

A. Elektroniskt material

It-utrustningen ligger i skyddade och övervakade lokaler.

Rätten att använda kunddatasystemen och filerna baserar sig på personliga användarrättigheter och användningen övervakas. Användarrättigheterna beviljas enligt arbetsuppgift. Varje användare godkänner en användnings- och sekretessförbindelse för uppgifterna och datasystemen.

Uppgifterna finns även på Mapita Oy:s server, som kräver inloggning med användarnamn och lösenord. Servern är skyddad på adekvat sätt. Mapitas servrar finns i Irland och följer dataskyddslagstiftningen i EU och Finland. Servrarna upprätthålls av Amazon Web Services, Inc., som följer EU:s dataskyddslagstiftning.

B. Manuellt material

Arkiven och enheterna har passerkontroll och dörrlåsning. Handlingarna förvaras i övervakade lokaler och/eller i låsbara skåp.

Anvisningar om hur uppgiftsbegäran enligt dataskyddsförordningen riktas till Esbo stad:

Dataskydd/Kunders ratt till uppgifter

13. Rätt att kontrollera uppgifter

Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna.

Den personuppgiftsansvarige ska lämna uppgifterna utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

På basis av en begäran att få tillgång till egna uppgifter ska information som tillhandahållits enligt artiklarna 13 och 14 i EU:s allmänna dataskyddsförordning, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 tillhandahållas kostnadsfritt.

Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

14. Rätt till rättelse

Den registrerade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade.

Den registrerade har rätt att komplettera ofullständiga uppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Huruvida det finns brister i uppgifterna, avgörs med beaktande av ändamålet med behandlingen av personuppgifter i registret.

Om den personuppgiftsansvarige inte godkänner den registrerades krav på rättelse av en uppgift, ska den personuppgiftsansvarige ge ett skriftligt intyg om detta. I intyget ska man också ange orsakerna till att kravet inte har godkänts och informera om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

15. Rätt att inge klagomål

Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har en registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. Rätten grundar sig på EU:s allmänna dataskyddsförordning (2016/679 artikel 77).

16. Övriga eventuella rättigheter

Rätt till radering (artikel 17 i dataskyddsförordningen)

Den registrerade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade förutsatt att någon av förutsättningarna i leden i artikel 17.1 uppfylls. Den registrerade har inte rätt att få uppgifter raderade bland annat om behandlingen av uppgifter förutsätts för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Rätt att begära att behandlingen begränsas (artikel 18 i dataskyddsförordningen)

Den registrerade har rätt att av den personuppgiftsansvarige kräva att behandlingen av personuppgifter begränsas, om någon av förutsättningarna i artikel 18.1 a–d uppfylls.

Rätt att göra invändningar (artikel 21 i dataskyddsförordningen)

Den registrerade har, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på utförandet av en uppgift som gäller ett allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen.

Om personuppgifterna behandlas för direkt marknadsföring har den registrerade rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring. Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

Rätt till dataportabilitet (rätt att överföra uppgifter från ett system till ett annat) (artikel 20 i dataskyddsförordningen)

Den registrerade har rätt till överföringen endast om behandlingen grundar sig på samtycke eller ett avtal och om behandlingen sker automatiserat. Rätten att överföra uppgifter från ett system till ett annat gäller inte i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Om behandlingen grundar sig på samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke.