Behandling av personuppgifter i Esbo stads M365-miljö

Datum för publicering av dataskyddsbeskrivningen:  10.6.2025, uppdaterad 14.11.2025

Esbo stad använder allmänt taget personuppgifter för produktion, planering och utvärdering av verksamhet och tjänster samt för statistikföring. Microsoft M365 (M365 Copilot) är en digital arbetsmiljö som används av anställda, förtroendevalda och samarbetspartner för fullgörande av arbetsuppgifter och skyldigheter samt av elever som en digital inlärningsmiljö. I M365 ingår e-verktyg och innehåll som användarna producerat.

I särskilt överenskomna användningsfall effektiviseras behandlingen av uppgifterna med hjälp av den Ai-baserade applikationen Copilot i M365-miljön. Artificiell intelligens används inte för att automatisera beslutsfattandet, utan den är ett verktyg för informationsarbete i samband med andra M365-verktyg. 

Personuppgifterna används för: 

• hantering av M365-licenser och inloggning i systemet
• möjliggörande av interaktion mellan användare
• användning av en e-posttjänst
• åtkomst till filtjänster
• arbetsrelaterat samarbete och användning av verktyg samt lösningar för effektivisering av arbetet
• lösningar för hantering av arbetsutrustning och informationssäkerhet

Den registrerades uppgifter behandlas i den här tjänsten på följande rättsliga grund/grunder:

• För att fullgöra den personuppgiftsansvariges lagstadgade skyldigheter [i lagen om informationshantering inom den offentliga förvaltningen finns bestämmelser om behandling av uppgifter]. (Lagen om informationshantering inom den offentliga förvaltningen 906/2019). I informationstekniktjänsterna ingår uppgifter som gäller datasäkerhet och systemhantering i arbetsstationer, tjänster och informationssystem till exempel för att säkerställa säkerheten samt för att skydda tillgången till, autenticiteten hos, integriteten hos och konfidentialiteten hos personuppgifter. Enligt lagen om informationshantering inom den offentliga förvaltningen förutsätter 15 § (Tryggande av säkerheten i fråga om informationsmaterial), 16 § (Kontroll av användarrättigheter för informationssystem) och 17 § (Insamling av logginformation) säkerhetsåtgärder och säkerställande av åtkomsträttigheter samt insamling av logguppgifter.
• För att utföra en uppgift av allmänt intresse eller som ett led i sin myndighetsutövning när arbetstagare använder AI-verktyg för att effektivisera sitt arbete.
• Genomförande av ett avtal. Den registrerade är part i avtalet eller staden vidtar på hens begäran förberedande åtgärder för att ingå ett avtal.

För produktionen av tjänsten är det nödvändigt att behandla följande uppgifter:

Personal, samarbetspartner:

• Användarens namn
• Grupper som personen ingår i
• Användarroll, uppgiftsbeteckning
• Arbetsenhet
• Bild som lagts till av användaren själv
• E-postadress
• Användarnamn
• Identifierare för personal (gäller inte samarbetspartner)
• Telefonnummer (mobiltelefon)
• Kontots egenskaper
• Arbetsadress
• IP-adress

Uppgifter som ska behandlas i fråga om användare som använder AI-verktyg är utöver de uppgifter som nämns ovan:

• Användarspecifik chatthistorik, prompts, svar som producerats av artificiell intelligens

Elever:

• Personens för- och efternamn
• Användarnamn
• E-postadress
• Studentnummer
• Krypterad unik identifikation
• Undervisningsgrupper
• Skola
• Klass
• Kod för läroanstalt
• Uppgifter om den registrerades roll: personal/studerande
• IP-adress

Dessutom innehåller miljön innehåll som användarna själva lägger till. Dessa är till exempel e-postmeddelanden, kalenderanteckningar osv. Med användargenererat innehåll avses bilder, texter, länkar, videor och ljudfiler som förts in i systemet för en bestämd användargrupp. Användaren kan i tjänsten lägga till bland annat en beskrivning av sig själv och sitt ansvarsområde, mobiltelefonnummer, positionsinformation, uppgifter om sitt kunnande, födelsedatum samt andra intressen. Användaren kan välja om hen vill visa dessa uppgifter för alla eller endast för en begränsad grupp användare. Användaren har möjlighet, om hen så vill, att tillåta att det innehåll hen producerat får utnyttjas och få uppgifter om sitt nätverkande och sina närmaste kompisar.

Vi får uppgifter ur användarregistret, dit uppgifter om elever ur elevregistret, uppgifter om personalen ur HR-systemet och om samarbetspartner (utomstående användare) som de själva uppger. 

Personuppgifterna lagras endast så länge det behövs med tanke på tjänsteproduktionen eller så länge lagstiftningen förpliktar till det. Uppgifter för den här tjänsten raderas enligt följande:

Personal/samarbetspartner:

I samband med att ett anställningsförhållande upphör eller en samarbetspartners avtal upphör och användarnamnet raderas, aktiveras automatisk radering av uppgifterna. Efter att användarnamnet har raderats lagras personuppgifter i molntjänsten i 30 dagar efter att användningen av tjänsten har upphört. Användarens e-postadress och personliga lagringsmapp kan återställas i fyra år.  De uppgifter som användaren lagrar på andra ställen i miljön lagras i enlighet med informationens livscykel.

Elever och lärare:

Uppgifter om elever och lärare lagras i 366 dagar efter att elevförhållandet/anställningsförhållandet upphört. Raderingen av uppgifterna sker automatiskt.  Användarens e-postadress och personliga lagringsmapp kan återställas i fyra år.

Logguppgifterna bevaras i högst två år. I de fall då användarens verksamhet måste utredas i efterhand lagras uppgifterna separat under den tid som fallet kräver.

M365-miljön är avsedd som en arbetsmiljö där handlingar som arkiveras eller säkerhetskopieras ska lagras i arkivdugliga system.

Personuppgifterna behandlas av tjänsteinnehavare och andra anställda vid Esbo stad samt av aktörer som staden köper tjänster av eller med vilka staden genomför samarbetsprojekt. Till avtalsparter väljs endast sådana personuppgiftsbiträden som följer god praxis inom behandling av personuppgifter och som uppfyller kraven i dataskyddsförordningen. Kraven på att dataskyddet uppfylls säkerställs genom skriftliga avtal.

I denna tjänst använder vi följande utomstående aktörer: Fujitsu Finland Ab och deras underleverantörer Atea, Toshiba och Barona. Elisa Abp (SOC tjänster).

Uppgifter lämnas ut till myndigheter som begär dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. I denna tjänst lämnas uppgifter ut till myndigheterna endast i samband med en lagbaserad begäran.

Esbo strävar som standard efter att säkerställa att dina personuppgifter behandlas inom EU/EES-området. Stadens tjänster och funktioner kan dock i vissa fall också tillhandahållas med hjälp av tjänsteleverantörer, tjänster eller servrar som är belägna någon annanstans. I samband med produktionen av denna tjänst överförs information till USA.

Esbo har förbundit sig att iaktta kriterierna för överföring av personuppgifter som anges i dataskyddsförordningen. I denna tjänst har Esbo stad säkerställt en tillräcklig skyddsnivå för personuppgifter genom att använda EU-kommissionens godkända standardavtalsklausuler samt genom dataskyddsramverket mellan EU och USA.

EU:s allmänna dataskyddsförordning garanterar dina rättigheter i anslutning till behandlingen av dina personuppgifter. Läs mer om rättigheterna och utövandet av dem på Esbo stads webbplats. https://www.espoo.fi/sv/staden-och-beslutsfattandet/sakerhet/dataskydd#den-registrerades-rttigheter-7317

Personuppgiftsansvarig är Esbo stad.

Om du har frågor eller önskar preciseringar om behandlingen av dina personuppgifter, kan du kontakta registrets kontaktperson:

Juha Valtaharju, dataadministrationschef

juha.valtaharju@esbo.fi

+358 44 5123529

Ändringshistoria

1. publiceringsdatum 10.6.2025