Dataskyddsbeskrivning fullmäktigeval
Dataskyddsbeskrivning och informationsdokument som avses i Europeiska Unionens allmänna dataskyddsförordning (2016/679/EU) kombinerat med dataskyddslagen (1050/2018).
1. Den registeransvarigas kontaktuppgifter
Skogsvårdföreningarna
2. Registrets syfte, namn och säkerhet
Denna dataskyddsbeskrivning har uppgjorts för att verkställa skogsvårdsföreningarnas fullmäktigeval. I valet behandlas de röstberättigades och väljarnas personuppgifter. Rösträttsregistret upprätthålls i egenskap av registeransvarig av den skogsvårdsförening, vars fullmäktigeval det är fråga om. Registrets användning har skyddats genom personliga användarnamn, lösenord och användarrättigheter. Registret används också av Edita Prima Oy, som handhar den fysiska postningen av valmaterial till de röstberättigade samt upprätthåller den elektroniska rösträkningstjänsten.
3. Ändamål och juridisk grund för behandling av personuppgifter
Registrets uppgifter används i huvudsak för följande ändamål:
- information om och informering av dem som är röstberättigade i skogsvårdsföreningarnas fullmäktigeval samt för sändning av röstningsmaterial
- information om och informering av dem som vill ställa upp som kandidater och dem som ställer upp som kandidater
- praktiskt verkställande av valkampanjer för dem som ställer upp som kandidater i valet
- behandling och registrering av avgivna röster i valet och valets resultat
Behandlingen av personuppgifter grundar sig på medlemskap i skogsvårdsföreningen, varvid den registrerade har gett sitt samtycke till registrering och behandling av sina personuppgifter. Skogsvårdsföreningarna är enligt lag skyldiga att förrätta fullmäktigeval och vi behandlar våra medlemmars personuppgifter på grund av nämnda skyldighet.
Personuppgifter behandlas också för valkampanjer och valets praktiska arrangemang också inom marknadsföring, vars lagliga grund är de praktiska arrangemangen för genomförande av valet.
I registret behandlas följande datatyper:
- Namn, adress, telefonnummer, e-postadress
- Personuppgifterna för de personer som sköter ärenden för dödsbon och bolag nämns separat i registret
- Uppgift om medlemskap
- FO-nummer
- Personbeteckning
- Fastighetsuppgifter
- Uppgifter om att ställa upp som kandidat i valet
- Uppgifter om valresultat
4. Personuppgiftsgrupper
Skogsvårdsföreningarnas allmänna personuppgiftsgrupper är: skogsägare, ombud för dödsbon och sammanslutningar samt intressebevakare för de medlemmar som har en utsedd intressebevakare. I fullmäktigevalet behandlas inte särskilda personuppgiftsgrupper, vilka i detta sammanhang avser sådan behandling av personuppgifter, varur framgår:
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i fackförening
- behandling av genetisk eller biometrisk information för entydig identifikation av en individ
- behandling av uppgifter som berör hälsa eller naturliga personers sexuella beteende eller orientering
5. Överföring och utlämnande av uppgifter
Vi överlåter de personuppgifter som vi har samlat in endast till sådana aktörer, som anknyter till valprocessen. Sådana aktörer är Edita Primo Oy som verkställer papperstryck och andra praktiska åtgärder, Centralförbundet för lant- och skogsbruksproducenter MTK samt skogsvårdsföreningarnas serviceföretag MHYP Oy. Dessutom kan personuppgifter på anmodan utlämnas till myndigheter.
Vi utlämnar inte person- eller andra identifikationsuppgifter till någon annan privat- eller juridisk person än dem som nämns i föregående stycke. Till myndigheter utlämnar vi person- och företagsuppgifter endast genom domstolsbeslut eller då lagen så förutsätter. Personuppgifter utlämnas till myndigheter också i sådana fall, att myndigheten har inlett för- eller annan undersökning om någon person eller juridisk person och den myndighet som sköter ärendet anbefaller att uppgifterna ska utlämnas.
Uppgifterna lämnas inte ut utanför EU eller Europeiska ekonomiska samarbetsområdet om det inte är nödvändigt för att uppfylla behandlingens ovan beskrivna syfte eller för det tekniska utförandet av behandlingen. Då tillämpas dataskyddslagstiftningens krav vid överföringen av uppgifter.
6. Bevarandetid för personuppgifter
Skogsvårdsföreningen bevarar personuppgifter över de registrerade röstberättigade personerna samt de personer som har ställt upp som kandidater i valet i form av valresultat i 1-2 månaders tid efter valet. Personuppgifterna om de röster som de röstberättigade har lämnat bevaras 3 månader efter att valet har avslutats.
7. Den registrerades rättigheter
7.1 Rätt att få transparent information om behandlingen av personuppgifter
Den registeransvariga ska informera den registrerade om behandlingen av personuppgifter då uppgifterna fås av den registrerade. Den registrerade ska informeras också då uppgifterna inhämtas av andra än den registrerade. Uppgift om behandling ska då lämnas inom skälig tid, dock senast inom en månad efter att uppgifterna har inhämtats. Om personuppgifterna används för skötsel av ärenden med den registrerade, ska uppgift om behandling lämnas senast då man första gången kontaktar den registrerade. Om syftet är att utlämna uppgifter till en annan mottagare, ska uppgift om behandling lämnas senast då uppgifter utlämnas för första gången. Den registrerade ska informeras om:
- den registeransvarigas och dess representants kontaktuppgifter
- syfte och juridisk grund för behandling av personuppgifter
- vilka personuppgiftsgrupper föreningen samlar in och behandlar samt varifrån uppgifterna hämtas
- huruvida personuppgifter utlämnas till utomstående och vilka som mottar uppgifter i så fall
- överföring av personuppgifter utanför EU
- tid för bevarande av personuppgifter eller kriterier för fastställande av tiden då det inte är möjligt att ange en bakre gräns
- den registrerades rättigheter enligt förordningen (bl.a. rätt att begära rättelse av uppgifter som berör den registrerade) samt rätt att återta samtycke och lämna besvär till den övervakande myndigheten, rätt att känna till automatiserat beslutsfattande inkl. profilering samt den logik som processen följer, dess betydelse och eventuella följder
- om personuppgifterna används för andra syften än de som de samlades in för, ska den registrerade informeras om de övriga syftena före fortsatt behandling
7.2 Den registrerades rätt till tillgång till uppgifterna
Den registrerade har i huvudsak rätt att veta vilka uppgifter om den registrerade har registrerats i ifrågavarande register. Om den registeransvariga av grundade skäl kan misstänka identiteten hos den som framställt begäran, kan den registeransvariga begära tilläggsuppgifter som behövs för att försäkra sig om identiteten. Den registeransvariga kan också be den registrerade precisera vilka uppgifter eller vilken behandling den registrerade begäran gäller. Den registrerades begäran ska besvaras inom en månad. Tidsfristen kan förlängas med två månader om begäran är komplex eller om de är många till antalet. Då måste den registeransvariga informera den registrerade om förlängningen av tidsfristen inom en månad efter att begäran har mottagits samt informera om orsakerna till förseningen.
Ovan nämnda begäran ska enligt huvudregeln vara kostnadsfria. Om den registrerades begäran är uppenbart grundlös eller oskälig, till exempel så att de framställs upprepade gånger, kan den registeransvariga dock vägra att besvara begäran eller ta in en skälig avgift med beaktande av de förvaltningskostnader som begäran föranleder.
Av datasäkerhetsskäl ger vi i huvudsak uppgifter om den registrerade endast i våra verksamhetspunkter, varvid vi identifierar den registrerade. Vid behov kan vi lämna registeruppgifter till den registrerade också annars. Då kräver vi en skriftlig begäran, undertecknad av den registrerade, riktad om den person som snsvarar för kundregister.
7.3 Rätt att korrigera uppgifter
Den registrerade har rätt att begära att den registeransvariga utan fördröjning korrigerar felaktiga och inexakta personuppgifter om den registrerade.
- Rätt till radering av data
Den registeransvariga ska på den registrerades begäran utan fördröjning radera den registrerades personuppgifter, om:
- personuppgifterna inte längre behövs för de syften för vilka de samlades in eller varför de behandlades på annat sätt
- den registrerade återtar det samtycke som behandlingen har grundat sig på och det inte finns någon annan laglig grund för behandling
- den registrerade motsätter sig behandling av personuppgifter och det inte finns ett grundat syfte för behandling
- den registrerade motsätter sig behandling av personuppgifter för direktmarknadsföring
- personuppgifterna har behandlats i strid med lag
- personuppgifterna måste raderas för att uppfylla något lagligt krav enligt EU-rätt eller nationella lagstiftning
- personuppgifter har samlats in direkt i samband med tillhandahållandet av informationssamhällets tjänster som erbjuds barnet
Om den registeransvariga måste radera uppgifter och den registeransvariga har publicerat personuppgifterna, ska den registeransvariga de registeransvariga som behandlar personuppgifter om att den registrerade har framställt en begäran om att länkarna till personuppgifter ska avlägsnas jämte avskrifter och kopior av dem.
7.5 Rätt att begränsa behandling
Den registeransvariga ska på den registrerades begäran begränsa den aktiva behandlingen av personuppgifter, om:
- den registrerade bestrider att personuppgifterna är korrekta, varvid behandlingen ska begränsas tills den registeransvariga kan försäkra sig om uppgifternas riktighet
- behandlingen är lagstridig och den registrerade i stället för radering kräver begränsning av behandlingen av uppgifter
- den registeransvariga inte längre behöver ifrågavarande personuppgifter för behandlingens syfte, men den registrerade behöver dem för att ställa upp, framställa och försvara juridiska krav
- den registrerade har motsatt sig behandling av personuppgifter och utredningen är på hälft om huruvida den registeransvarigas berättigade intresse ersätter den registrerades rättigheter
Den registeransvariga får fortfarande bevara personuppgifter, men inte behandla dem på annat sätt utan den registrerades samtycke. Uppgifterna får också behandlas för att ställa upp, framställa och försvara juridiska krav eller för att skydda en annan naturlig eller juridisk persons rättigheter eller för att försvara betydande allmän fördel. Den registrerade ska informeras innan begränsningen av behandlingen avlägsnas.
7.6 Rätt att göra invändningar
Den registrerade har rätt att göra invändningar mot behandling av personuppgifter på grunder som anknyter till den registrerades särskilda, personliga situation, om:
- behandlingen av personuppgifter grundar sig på den registeransvarigas eller en tredje parts berättigade intresse, utförande av en uppgift som anknyter till allmän fördel eller offentlig makt som den registeransvariga utövar. Om den registrerade utnyttjar sin rätt till radering, får personuppgifterna inte längre behandlas om inte:
- den registeransvariga kan påvisa att det finns ett tungt vägande och motiverat syfte för behandlingen, vilket åsidosätter den registrerades förmåner och rättigheter
- behandlingen är nödvändig för att ställa upp, framföra eller försvara ett juridiskt krav
Den registrerade har dessutom rätt att när som helst motsätta sig behandling av sina personuppgifter för direktmarknadsföring inkl. profilering, om den anknyter till direktmarknadsföring. Om den registrerade motsätter sig behandling av personuppgifter för direktmarknadsföring, får uppgifterna inte längre behandlas för direktmarknadsföring. Den registrerade ska informeras tydligt om sin invändningsrätt senast då den registrerade kontaktas första gången.
8. Utlämnande utanför EU-området
Utlämnande av personuppgifter till länder utanför EU-området är tillåten, om kommissionen har fattat ett beslut, där det konstateras att ifrågavarande tredje land garanterar en tillräcklig dataskyddsnivå. Om kommissionen inte har fattat nämnda beslut, är utlämnande av personuppgifter utanför EU-området tillåten om den registeransvariga eller den som behandlar personuppgifter har verkställt sakenliga skyddsåtgärder och om de registrerade har tillgång till verkställbara rättigheter och effektiva rättsskyddsåtgärder. Utlämnande av personuppgifter utanför EU-området är dessutom tillåten i vissa särskilda situationer, även om kommissionen inte har fattat beslut om tillräckligt hög dataskyddsnivå och den registeransvariga eller den som behandlar personuppgifter inte har verkställt ovan nämnda skyddsåtgärder.
Sådana särskilda situationer är bland annat:
- den registrerade har gett sitt uttryckliga samtycke till den föreslagna utlämningen efter att den registrerade har informerats om att en sådan överföring kan innebära risker i fråga om nivån på den registrerades dataskydd då kommissionens beslut om detta saknas och sakenliga skyddsåtgärder saknas
- utlämnandet är nödvändigt för fullföljande av avtal mellan den registrerade och den registeransvariga eller för verkställande av åtgärder som föregår tecknande av avtal på den registrerades begäran
- utlämnandet är nödvändigt för uppställande eller verkställande av ett avtal i enlighet med den registrerades fördel mellan den registeransvariga och en annan naturlig eller juridisk person
- utlämnandet är nödvändigt för att ställa upp, framställa eller försvara ett juridiskt krav
- utlämnandet är nödvändigt för att skydda den registrerades eller andra personers nödvändiga intresse, om den registrerade är fysiskt eller juridiskt förhindrad att ge sitt samtycke
Personuppgifter som gäller kandidater i skogsvårdsföreningarnas fullmäktigeval utlämnas inte utanför EU-området.
9. Datasäkerhetsåtgärder
Då en datasäkerhetsöverträdelse sker, ska Skogsvårdsföreningen informera den övervakande myndigheten (datasäkerhetsombudsmannen) om dataskyddsöverträdelsen utan fördröjning genast, då överträdelsen har kommit till den registeransvarigas kännedom, dock senast inom 72 timmar. För anmälningar som lämnas efter nämnda tidsfrist ska den registeransvariga lämna en motiverad utredning om varför anmälan försenats. Dessutom ska överträdelsen meddelas de personer, vars dataskydd har brutits. Anmälan till den registrerade behöver dock inte lämnas, om den registeransvariga har utverkat erfordrade tekniska och organisatoriska skyddsåtgärder eller om den registeransvariga har genomfört åtgärder, vilka säkrar att risken för att naturliga personers rättigheter bryts inte längre förverkligas.
10. Automatiskt beslutsfattande och profilering
Skogsvårdsföreningarnas valbestyrelser utför inte i egenskap av registeransvariga profilering av kunder utgående från personuppgifter och använder sig inte heller av automatiserat beslutsfattande.