Julkaistu 20.06.2018

Sitran asiakkaita ja sopimuskumppaneita koskevan rekisterin tietosuojaseloste

1 Rekisterinpitäjä

Rekisterin rekisterinpitäjä on Suomen itsenäisyyden juhlarahasto Sitra (y-tunnus 0202132-3).

Rekisteriasioiden yhteyshenkilö:
Mirja Gröhn
Johtava asiantuntija, Tapahtumat ja asiakkuudet

Suomen itsenäisyyden juhlarahasto Sitra
Osoite: Itämerenkatu 11 – 13, PL 160, 00181 Helsinki
Puhelin: +358 294 618 991
Sähköposti: kirjaamo@sitra.fi

Tietosuojavastaava:
Kristoffer Bergström
Tietohallintopäällikkö
kirjaamo@sitra.fi

2 Rekisterin nimi

Rekisterin nimi on Sitran asiakas- ja sopimuskumppanirekisteri.

3 Henkilötietojen käsittelyn tarkoitus

Sitra käsittelee henkilötietoja tarkoituksissa, jotka todetaan Suomen itsenäisyyden juhlarahastosta annetussa laissa (717/1990) Sitran tehtäviin ja tavoitteisiin kuuluviksi siltä osin kuin ne liittyvät toimeksianto-, palvelu- ja sopimussuhteiden hallinnointiin, niihin liittyvien Sitran tehtävien, velvoitteiden ja oikeuksien toteuttamiseen sekä toimeksisaajiin, palveluntuottajiin ja sopimuskumppaneihin liittyvien velvoitteiden hoitamiseen.

Lisäksi henkilötietoja käsitellään tarkoituksissa, jotka liittyvät palkkion tai korvauksen suorittamiseen sellaiselle henkilölle, joka ei ole työsuhteessa Sitraan, mutta joka tuottaa korvauksesta palveluita Sitralle.  Henkilötietoja käsitellään hankintojen ja rahoitushakujen yhteydessä, toimeksianto-, palvelu- ja sopimussuhteiden aikana ja niiden päättymisen jälkeen siltä osin kuin se on tarpeellista mainitun tarkoituksen toteuttamiseksi.

Hankintojen yhteydessä henkilötietoja käsitellään hankintamenettelyn toteuttamisessa, tarjouksia pyydettäessä ja näihin vastatessa. Tietoja käsitellään menettelyyn liittyvässä päätöksenteossa, siihen liittyvässä yhteydenpidossa ja viestinnässä sekä muissa menettelyn toteuttamisen tarkoituksissa.

Rahoitushakujen yhteydessä henkilötietoja käsitellään vastaavalla tavalla, kuin hankinnoissa.

Henkilötietoja ei käsitellä automaattisen päätöksenteon keinoin.

Sitra käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä Sitran puolesta ja lukuun toimivia alihankkijoita.

4 Käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”TSA”) mukaiset perusteet:

(a) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

(b) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

Palkkionsaajien osalta lisäksi:

(c) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

5 Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä:

(a) perustiedot kuten nimi ja yhteystiedot;

(b) henkilön (rekisteröidyn) työhön ja asemaan liittyvät tiedot kuten työpaikka (organisaatio), ammatti-/tehtävänimike ja organisaation mahdollinen muu edustaja (rekisteröity);

Rekisteri sisältää seuraavat henkilötiedot niistä, jossa sopimuksen osapuolena on yksityishenkilö:

(c) Tilinumero ja henkilötunnus;

Rekisteri sisältää seuraavat henkilötiedot siltä osin, kun Sitra on ne vastaanottanut osana tarjousta:

(d) henkilön (rekisteröidyn) ansioluettelo, johon sisältyvät henkilön osaamista, työkokemusta ja taustaa koskevat tiedot;

(e) henkilön (rekisteröidyn) kuva;

(f) henkilön (rekisteröidyn) referenssit, työskentelytiimin muut jäsenet (rekisteröityjä) ja työskentelytiimin osaamista kuvaavat tiedot;

(g) Hankintalainsäädännön ja muun soveltuvan lainsäädännön mukaiset tiedot muun muassa hankintalainsäädännön edellyttämä rikosrekisteriote.

6 Säännönmukaiset tietolähteet

Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään tai tämän työnantajalta.

Henkilötietoja kerätään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä sekä muilta kolmansilta tahoilta, joiden kanssa tai joiden kautta Sitra toteuttaa tarjous- ja hankintamenettelyyn liittyviä velvollisuuksiaan.

7 Henkilötietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Lisäksi alla lueteltuja tietoja säilytetään seuraavien säilytysaikojen mukaisesti:

(a) rekisterin sisältämät rekisteröityjä koskevat perustiedot säilytetään niin kauan kuin se on tarpeen rahoitushaun, tarjous- ja hankintamenettelyn, toimeksianto-, palvelu- tai sopimussuhteen toteutuksen onnistuneen loppuun saattamisen kannalta sekä mahdollisten sopimuksen päättämistä seuraavien velvoitteiden täyttämiseksi;

(b) rekisterin sisältämiä henkilötietoja, mukaan lukien arkaluonteisia henkilötietoja, säilytetään niin kauan kuin se on tarpeellista sopimussuhdetta, hankintaa tai rahoitushakua koskevan oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

(c) rikosrekisteriote tuhotaan tai palautetaan, kun lain vaatima tarkastus on tehty.

Sitra arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi Sitra toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

8 Henkilötietojen vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset

Rekisteriin sisältyviä henkilötietoja ei luovuteta säännönmukaisesti ulkopuolisille henkilöille tai organisaatioille. Henkilötietoja saatetaan luovuttaa osana julkisuuslakiin (621/1999) perustuvaa tietopyyntöä.

9 Tietojen siirto EU:n tai ETA:n ulkopuolelle

Rekisteriin sisältyviä henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle. Siirtäessään henkilötietoja Sitra noudattaa Euroopan komission hyväksymiä mallisopimuslausekkeita koskien henkilötietojen siirtoa kolmansiin maihin.

10 Rekisterin suojauksen periaatteet

Henkilötietoja sisältäviä mahdollisia fyysisiä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävät tietokannat ovat palvelimilla, joita säilytetään lukitussa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelimet on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Sitra on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät Sitran IT-järjestelmien lokitietoihin.

Sitran työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Arkaluonteisten henkilötietojen käsittely on sallittua ja teknisesti mahdollistettua käyttäjähallinnan keinoin ainoastaan erityisesti valituille ja rajatuille henkilöille, joiden on työtehtäviensä vuoksi tarpeen käsitellä tällaisia tietoja.

11 Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

(a) oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot; ja (viii) automaattisen päätöksenteon olemassaolo, sekä merkitykselliset tiedot tällaiseen käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle;

(b) oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin;

(c) oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) henkilötietoja on käsitelty lainvastaisesti; tai (iii) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;[A22]

(d) oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö Sitran oikeutetut perusteet rekisteröidyn perusteet;

(e) oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa;

(f) oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta.

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle Sitran yhteyshenkilölle.