Dataskyddsbeskrivning

Dataskyddsbeskrivning, utarbetad 14.12.2023 EU:s dataskyddsförordning (2016/679)

1. Registeransvarig

Närings-, trafik- och miljöcentralen i Egentliga Finland

Kontaktuppgifter:
Närings-, trafik- och miljöcentralen i Egentliga Finland.
Självständighetsplan 2
PB 636
20801 Åbo

tfn 0295 022 500
[email protected]

2. Kontaktperson i ärenden som gäller registret

Projektchef för kollektivtrafiken Markus Kivelä
Närings-, trafik- och miljöcentralen i Egentliga Finland.
Självständighetsplan 2
PB 636
20801 Åbo

NTM-centralernas gemensamma dataskyddsombud är Sanni Harju, ställföreträdande Mia Niskanen.

3. Registrets namn

Närings-, trafik- och miljöcentralen i Egentliga Finlands kundregister för biljettsystemet
Närings-, trafik- och miljöcentralen i Egentliga Finlands kundregister för webbtjänsten för biljettsystemet

4. Ändamålet med och grunden för behandlingen av personuppgifter

Biljettsystemets kundregister:

Uppgifterna används för att sköta kundrelationen mellan närings-, trafik- och miljöcentralen i Egentliga Finlands kollektivtrafik och kunden och för att genomföra tjänsten. Kundens identifieringsuppgifter används för att kontrollera rätten att köpa ett personligt resekort och för att säkerställa att kundens personliga ärenden uträttas korrekt:

  • Vid överlåtelse av ett personligt resekort där kundens köprätt konstateras och grundas.
    • personnumret används för att kontrollera rätten att köpa en biljett med skolresestöd av FPA (Folkpensionsanstalt)
  • Stängning av försvunnen resekortskod
  • Byte av en skadad resekortskod
  • Identifiering av ägaren till en upphittad resekortskod
  • Vid identifiering av kunden vid gottgörelse av biljettprodukter som kopplats till resekortskoden och i samband med utredning av felsituationer
  • För kontroll av laddningstransaktioner och eventuella visningstransaktioner för kundens biljettprodukt
  • För import av reserättsuppgifter för en personlig biljettprodukt till webbtjänsten på basis av kundens begäran. Sökningen av kortuppgifter förutsätter stark identifiering med nätbankskoder av kunden.
  • Vid stängning av resekortskontot när kundförhållandet upphör
  • Vid identifiering av en kund när kundförhållandet avslutas.

Webbtjänstens och mobiltjänstens kundregister:

Uppgifterna används för att producera och genomföra tjänsten (produkter som laddas på resekortskoden eller mobilbiljettkoden) samt för att hålla kontakt i anslutning till kundrelationen. Kundens identifieringsuppgifter används för att säkerställa att kundens personliga ärenden uträttas korrekt.

Grunderna för användningen av personbeteckningen är en tillförlitlig identifiering av kunden i registret för att säkerställa att kundens och den registeransvariges samt kollektivtrafikmyndigheternas rättigheter och skyldigheter tillgodoses:

  • För kontroll av laddningstransaktioner och eventuella visningstransaktioner för kundens biljettkod.
  • För kontroll av rätten att köpa en biljett med skolresestöd av FPA (Folkpensionsanstalt)
  • För import av reserättsuppgifter för den personliga koden till webbtjänsten på basis av kundens begäran. Sökningen av kort- eller identifikationsuppgifter förutsätter identifiering av kunden.
  • Vid identifiering av en kund när kundförhållandet avslutas.

Grunden för behandlingen av personuppgifter är i första hand verkställandet av avtalet och Närings-, trafik- och miljöcentralen i Egentliga Finlands, den registeransvariges eller en tredje parts berättigade intressen och genomförandet av dem. Behandlingen kan vara nödvändig för att den registeransvarige ska kunna fullgöra sin lagstadgade skyldighet och/eller för att utöva den offentliga makt som tillhör registeranvändaren.

Uppgifterna kan också användas för planering, utveckling och statistikföring av den personuppgiftsansvariges egen verksamhet.

5. Registrets datainnehåll

Biljettsystemets kundregister:

Innehåller följande uppgifter om kunderna inom kollektivtrafiken vid Närings-, trafik- och miljöcentralen i Egentliga Finland
(I uppgifterna ingår reseinformation som innehåller positioneringsuppgifter.):

Kunduppgifter

  • Datum då kundrelationen inleddes och avslutades
  • Kundens identifieringsuppgifter: namn, hemkommun och hemkommun, adress, språk
  • Eventuella telefonnummer och e-postadress

Basuppgifter om resekortets kod

  • Resekortets kodnummer
  • Datum för registrering av resekortets kod
  • Slutdatum för resekortets kod och orsakskod till varför resekortet avslutades

Kodens transaktionshistorik

  • Uppgifter om utfall och penningtransaktioner
  • Tidpunkten för överlämnande av resekortet
  • Uppgifter om ibruktagande av biljettprodukter av periodkaraktär (biljettens giltighetstid)
  • Transaktionsuppgifter om seriebiljetter och fakturerade biljettprodukter
  • Sista användningstransaktion (datum, klockslag och biljettprodukt samt linjen där kortet har använts)
  • Eventuella användningsförsök (stämplingen med kortläsaren har inte lyckats, orsakskod)
  • Kodens status (stängd, öppnad, hittad, defekt, ersatt med ny e.d.)

Webbtjänstens och mobiltjänstens kundregister:

Innehåller följande uppgifter om kunderna
(i uppgifterna ingår reseinformation som innehåller positioneringsuppgifter.):

Kunduppgifter

o Datum då kundrelationen inleddes och avslutades
o Kundens identifieringsuppgifter: namn, hemkommun och hemkommun, adress, språk Stark autentisering kan också kräva andra personuppgifter, men de sparas inte i biljettsystemets register.
o Eventuella telefonnummer och e-postadress

Kodens basuppgifter

o Resekortets/kodens nummer
o Kundens användargrupp per resekort/kod (köprättigheten) och dess eventuella tidsbundna giltighetstid

Resekortets/kodens transaktionshistorik

  • Uppgifter om utfall och penningtransaktioner
  • Laddningar på resekortet/koden
  • Uppgifter om ibruktagande av biljettprodukter av periodkaraktär (biljettens giltighetstid)
  • Sista användningstransaktion (datum, klockslag och biljettprodukt samt linjen där kortet har använts)
  • Kodens status (stängd, öppnad, hittad, defekt, ersatt med ny e.d.)

6. Lagenliga informationskällor

Kunduppgifterna i kundregistret erhålls med klientens samtycke av kunden själv, den minderårigas vårdnadshavare, en av kunden befullmäktigad person eller från befolkningsregistercentralens befolkningsdatasystem. Personuppgifterna kan uppdateras från ovan nämnda system.

7. Regelmässigt utlämnande av uppgifter och mottagargrupper

Uppgifterna kan lämnas ut till den registeransvarige, myndighetsanvändarna och systemtjänsteproducenterna för de ändamål som beskrivs i punkt 4 i denna dataskyddsbeskrivning. För att kontrollera rätten att köpa en biljett med skolresestöd av FPA (Folkpensionsanstalt) överförs personnumret till FPA via WalttiPro-gränssnittet.

8. Överföring av uppgifter utanför Europeiska ekonomiska samarbetsområdet

Ingen överföring av uppgifter utanför EES-området.

9. Principerna för skyddet av registret och förvaringstiden för personuppgifter

Resekortssystemets kundregister:

Den personuppgiftsansvarige och systemleverantörerna har ingått ett avtal om dataskydd. Systemleverantörerna sörjer för att kundregistret och uppgifterna i det förvaras enligt god databehandlingssed och iakttar absolut tystnadsplikt och sekretess.

När kundrelationen upphör raderas kunduppgifterna genast, om inte andra lagstadgade förpliktelser hindrar att uppgifterna raderas. Efter att uppgifterna har raderats är det inte längre möjligt att reklamera, gottgöra och utreda felsituationer.

Webbtjänstens och mobiltjänstens kundregister:

Den personuppgiftsansvarige, myndighetsanvändarna, produktägarna av produkter som säljs i butiken och systemleverantörerna har ingått ett avtal om dataskydd. Systemleverantörerna sörjer för att kundregistret och uppgifterna i det förvaras enligt god databehandlingssed och iakttar ovillkorlig tystnadsplikt och sekretess.

När kundrelationen upphör raderas kunduppgifterna genast, om inte andra lagstadgade förpliktelser hindrar att uppgifterna raderas. Efter att uppgifterna har raderats är det inte längre möjligt att reklamera, gottgöra och utreda felsituationer.

Användarrättigheter och hantering av dem

Användarrättigheterna till kundregistren beviljas till personalen vid kollektivtrafikenheten och dess kundserviceställen som behöver det i sina arbetsuppgifter. Rättigheterna fastställs av huvudanvändaren vid Närings-, trafik- och miljöcentralen i Egentliga Finland och av ansvarspersonerna som denne befullmäktigat.

På basis av uppdraget fastställs användarrättigheterna för de personer som behandlar kundregistrets uppgifter (till exempel andra eventuella serviceställen) enligt de principer som nämns i uppdragsavtalet mellan uppdragstagaren och Närings-, trafik- och miljöcentralen i Egentliga Finland.

Handläggarna iakttar ovillkorlig tystnadsplikt och sekretess. Användarrätten upphör när personen lämnar de uppgifter för vilka han eller hon har beviljats användarrätt.

Tystnadsplikten och sekretessen fortsätter även efter att de arbetsuppgifter som innehåller behandling av klientuppgifter eller ett anställningsförhållande upphör.

Övervakning av användningen

Med registret för övervakning av användningen övervakas användningen av registret enligt arbetsuppgifterna och företagen som använder registret. De uppgifter som behövs för övervakningen sparas både i databasen och i en logg i filformat. Tjänstens delsystem skapar loggar enligt styrparametrarna. Loggfilerna förvaras i ett filsystem som har begränsad åtkomst (läs- eller skrivrättigheter) till dem som ansvarar för tjänstens underhåll.

Loggfilerna förvaras i regel nio (9) månader.

Uppgifter om användningen av registren sparas i databasen för övervakningen av användningen (användarnamn, tidsstämpel, sökvillkor och orsak). Med hjälp av de uppgifter som sparats i databasen kan man följa upp och rapportera om korrekt användning av kundregistren. Utifrån uppgifterna produceras de rapporter som behövs för uppföljningen av användningen. I en logg i filformat sparas sökningar och ändringar som gjorts i kunduppgifterna per användare och dag samt identifieringsuppgifter för den användare som gjort förfrågan.

Tekniskt underhåll

Systemleverantörerna ansvarar för att kundregistrets tekniska integritet bevaras. Teknisk information om systemet behövs för att upprätthålla och säkerställa systemets tekniska användbarhet och integritet. Som tekniska uppgifter sparas de händelser som apparaten producerar. Personuppgifter samlas inte in och registreras inte som tekniska uppgifter.

Säkerställande av användbarhet

Uppgifterna skyddas mot avsiktlig och oavsiktlig förstöring (bl.a. finns centralenheterna i låsta utrymmen med passerkontroll och säkerhetskopior av filerna i en separat brandsäkerhetsavdelning) och uppgifternas integritet skyddas genom teknisk underhållsinformation och händelseinformation. Systemets interna dataförbindelser har genomförts med slutna nät. Externa förbindelser skyddas med brandväggar. Systemet och dess dataförbindelser övervakas 24 timmar per dygn.

10. Den registrerades övriga rättigheter med anknytning till behandling av personuppgifter

Den registrerades rätt att få tillgång till uppgifterna (rätt till insyn)

När den registrerade loggar in i webbtjänsten eller mobiltjänsten kan han eller hon alltid se största delen av de uppgifter som tjänsten innehåller om honom eller henne.

Den registrerade har också rätt att kontrollera vad som har registrerats om honom eller henne i systemets kundregister. Begäran om kontroll ska göras enligt punkt 11 i denna dataskyddsbeskrivning.

Utgångspunkten är att användningen av korrigeringsrätten är avgiftsfri.

Om den registrerades framställningar är uppenbart ogrundade eller orimliga, särskilt om de framställs upprepade gånger, får den personuppgiftsansvarige antingen ta ut en skälig avgift med hänsyn till de administrativa kostnaderna för tillhandahållandet av uppgifter eller meddelanden eller för genomförandet av den begärda åtgärden eller vägra att vidta den begärda åtgärden. I dessa fall skall den personuppgiftsansvarige visa att begäran är uppenbart ogrundad eller oskälig.

Den registrerades rätt att kräva att uppgifter rättas, raderas eller att behandlingen begränsas

Den registrerade kan uppdatera sina egna basuppgifter både i systemets kundregister och i webbtjänstens och mobiltjänstens kundregister. Till den del den registrerade själv kan agera ska han eller hon utan obefogat dröjsmål efter att ha fått kännedom om felet eller själv upptäckt felet på eget initiativ korrigera, radera eller komplettera en felaktig, onödig, bristfällig eller föråldrad uppgift i registret.

Till den del den registrerade inte själv kan korrigera uppgifterna görs begäran om rättelse enligt punkt 11 i denna dataskyddsbeskrivning.

Den registrerades rätt att motsätta sig behandling av personuppgifter

Den registrerade har rätt att i anslutning till sin personliga särskilda situation motsätta sig profilering och andra behandlingsåtgärder som Närings-, trafik- och miljöcentralen i Egentliga Finland riktar mot den registrerades personuppgifter till den del som grunden för behandlingen av uppgifterna är kundrelationen mellan Närings-, trafik- och miljöcentralen i Egentliga Finland och den registrerade. Den registrerade kan framställa sin motsättning i enlighet med punkt 11 i denna dataskyddsbeskrivning. Den registrerade ska i samband med yrkandet specificera den särskilda situation utifrån vilken han eller hon motsätter sig behandlingen. Närings-, trafik- och miljöcentralen i Egentliga Finland kan vägra att verkställa en begäran om motsättning på de grunder som anges i lagen.

Den registrerades rätt att överföra uppgifter från ett system till ett annat

Om den registrerade själv har lämnat uppgifter som behandlas med den registrerades samtycke till resekortssystemets kundregister samt webbtjänstens och mobiltjänstens kundregister, har den registrerade rätt att få dessa uppgifter i regel i maskinläsbar form och rätt att överföra dem till en annan registeransvarig.

Den registrerades rätt att anföra besvär hos tillsynsmyndigheten

Den registrerade har rätt att anföra besvär till den behöriga tillsynsmyndigheten, om den registeransvarige inte har iakttagit den dataskyddsreglering som tillämpas i verksamheten.

Övriga rättigheter

Om personuppgifterna behandlas på basis av den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke genom att anmäla detta till Närings-, trafik- och miljöcentralen i Egentliga Finland i enlighet med punkt 11 i denna dataskyddsbeskrivning.

11. Kontakt

I alla frågor som gäller behandlingen av personuppgifter och i situationer som gäller utövandet av de egna rättigheterna ska den registrerade kontakta servicestället, Närings-, trafik- och miljöcentralen i Egentliga Finland per e-post på adressen [email protected] eller per post på adressen:

Närings-, trafik- och miljöcentralen i Egentliga Finland
Kollektivtrafik
PB 636
20101 Åbo

Närings-, trafik- och miljöcentralen i Egentliga Finland kan vid behov be den som framställt begäran att styrka sin identitet. Den personuppgiftsansvarige svarar kunden inom den tid som föreskrivs i EU:s dataskyddsförordning (i regel inom en månad).