Dataskyddsbeskrivning / Rapporteringskanal för misstänkta överträdelser (visselblåsning)

Personuppgiftsansvarig

Sibbo kommun, kommunstyrelsen
Klockarbackavägen 2, PB 7, 04131 Sibbo
Växel +358 9 23531
registrering@sibbo.fi

Registeransvarig

Ethel Eriksson
Chief Digital Officer, Sibbo kommun

Kontaktperson i registerärenden

Ethel Eriksson
Chief Digital Officer, Sibbo kommun

Samtliga begäranden om att få utöva någon av de ovannämnda rättigheterna, frågor gällande denna dataskyddsbeskrivning eller andra kontaktbegäranden ska i första hand riktas till verksamheten i fråga.
Kontakta oss i första hand per e-post på adressen ilmoituskanava@sipoo.fi. Det är möjligt att personligen besöka ett av våra verksamhetsställen, ta kontakt via webbplatsen eller skriva till postadressen ovan.

Hur behandlar vi dina personuppgifter och på vilka grunder?

Avsikten med behandlingen av personuppgifter är att upptäcka, utreda och ingripa i överträdelser som avses i lagen om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (1171/2022) (”visselblåsarlagen”) samt i övriga förfaranden som strider mot lagstiftningen som gäller vår verksamhet eller våra anvisningar utgående från de rapporter som gjorts via rapporteringskanalen.

Grunder för behandlingen av personuppgifter i registret:

Den rättsliga grunden för behandlingen av personuppgifter enligt denna dataskyddsbeskrivning är en lagstadgad skyldighet gällande rapporter som avses i visselblåsarlagen.

  • EU:s allmänna dataskyddsförordning, artikel 6, punkt 1 c: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som vilar på den personuppgiftsansvarige.

Lagstiftning som styr verksamheten:

  • Dataskyddslag (1050/2018)
  • EU:s allmänna dataskyddsförordning (679/2016)
  • Lag om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (1171/2022)
  • Lag om offentlighet i myndigheternas verksamhet (621/1999)
  • Arkivlag (831/1994)

Vilka personuppgifter behandlar vi?

Registrerade som avses i denna uppgiftsbeskrivning är personer som lämnar en rapport, personer som är föremål för en rapport och personer som eventuellt annars har kännedom om de rapporterade händelserna, samt personer som deltar i handläggningen av rapporterna.

I systemet registreras endast de personuppgifter som är nödvändiga med tanke på skötseln av ärenden.

De uppgifter som samlas in om personerna är:

  • Den rapporterande personens namn, ställning/titel, kontaktuppgifter (e-postadress, telefonnummer, postadress) samt övriga uppgifter som lämnas av den rapporterande personen. Rapporten kan också lämnas anonymt varvid de berörda personuppgifterna inte behandlas;
  • Namnet på den person som är föremål för rapporten, hens ställning/titel, kontaktuppgifter (e-postadress, telefonnummer, postadress);
  • Namn på eventuella vittnen, deras ställning/titel, kontaktuppgifter (e-postadress, telefonnummer, postadress);
  • Uppgifter om den misstänkta överträdelsen, bilder/videoinspelningar;
  • Uppgifter som behövs för att utreda rapportens riktighet och vidta nödvändiga åtgärder;
  • Uppgifter som ska sammanställas och uppkommer i samband med utredningen av rapporterna;
  • Nödvändiga uppgifter som lagras om de personer som behandlar rapporterna såsom logguppgifter.

Dessutom samlar vi in:

Rapporter som lämnats in via rapporteringskanalen kan, beroende på händelsens art, innehålla även uppgifter som hör till särskilda kategorier av personuppgifter. Personuppgifter som hör särskilda kategorier av personuppgifter behandlas endast då behandlingen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk och i enlighet med tillämplig dataskyddslagstiftning.

Vem får behandla dina personuppgifter?

BDO Oy sköter rapporteringskanalen för Sibbo kommuns räkning. BDO är en oberoende, utomstående aktör, som ansvarar för den förberedande handläggningen av rapporterna och rapporterar endast till de ansvariga personer som utsetts av Sibbo kommun. Dina uppgifter behandlas endast av personer som på grund av sina arbetsuppgifter har rätt att använda registret, och uppgifterna behandlas endast i den utsträckning som arbetsuppgifterna förutsätter. Information i elektronisk form lagras i system som är skyddade med adekvata skyddsmekanismer. Endast personer befullmäktigade av registerföraren har tillgång till personuppgifterna.

Hur samlar vi in personuppgifter som behövs för handläggningen?

Vi samlar in personuppgifter

  • av de registrerade själv, när den registrerade lämnar in en rapport i sitt eget namn och när de berörda personerna lämnar personuppgifter om sig själva i samband med handläggningen av rapporten;
  • av andra personer än den registrerade, bland annat när rapporten innehåller personuppgifter om andra personer än den rapporterande personen eller när personuppgifter erhålls av en annan person än den rapporterande personen själv i samband med handläggningen av rapporten;
  • från andra källor i samband med handläggningen av rapporten, t.ex. företagsdokument och material från övervakningskameror, i den utsträckning som dataskyddslagstiftningen tillåter.

Överför kommunen dina personuppgifter till tredje parter?

Personuppgifter lämnas inte ut till tredje parter, förutom när EU-lagstiftningen eller den nationella lagstiftningen förutsätter det lämnar vi ut personuppgifter som ingår i rapporten till myndigheter för att de ska kunna fullgöra sina lagstadgade skyldigheter, t.ex. brottsutredningar eller rättsliga förfaranden, samt vid behov till våra rådgivare för att uppgöra, framställa eller försvara rättsliga anspråk. Personuppgifter om de registrerade kan dessutom, när EU-lagstiftningen eller den nationella lagstiftningen förutsätter det, lämnas ut till vederbörande myndigheter samt på grund av ett berättigat intresse hos den personuppgiftsansvarige till dess rådgivare i samband med uppgörande och försvar av rättsliga anspråk.

Underleverantörer:

Den tekniska plattformen för rapporteringskanalen tillhandahålls av vår underleverantör EasyWhistle Oy, som i egenskap av teknisk leverantör av tjänsten har tillgång till de personuppgifter som vi behandlar i tjänsten och fungerar sålunda som vårt personuppgiftsbiträde för uppgifterna i rapporteringskanalen. Dessutom kan andra leverantörer av våra IT-system och de tjänsteleverantörer som vi använder för att underhålla våra system och deras underleverantörer få tillgång till personuppgifter som behandlas i rapporteringskanalen i samband med att de utför sina uppgifter enligt sina serviceavtal. Vi kräver att alla våra underleverantörer följer tillämplig dataskyddslagstiftning i sin verksamhet, och vi ingår ändamålsenliga databehandlingsavtal med alla underleverantörer som kräver att de endast behandlar personuppgifter i enlighet med våra anvisningar dataskyddslagstiftningen.

Överförs dina uppgifter utanför EU eller EES?

Personuppgifter överförs inte utanför EU eller EES-området om inte EU-lagstiftningen eller den nationella lagstiftningen förutsätter det.

Ingår automatiskt beslutsfattande eller profilering i behandlingen?

Automatiskt beslutsfattande eller profilering ingår inte i behandlingen.

Hur länge lagras dina personuppgifter?

Lagringen genomförs enligt lagstiftningen och kommunens informationsstyrningsplaner.

Uppgifter som kommit in via rapporteringskanalen ska raderas fem (5) år efter att rapporten kom in, om det inte är nödvändigt att bevara uppgifterna för att rättigheter eller skyldigheter enligt lag ska tillgodoses eller fullgöras, eller för att uppgöra, framställa eller försvara rättsliga anspråk.

Personuppgifter som tydligt inte har någon betydelse för handläggningen av en rapport ska raderas utan obefogat dröjsmål.

Hur skyddas dina personuppgifter?

Dina personuppgifter får användas endast för det ändamål för vilket de har samlats in. Uppgifterna i registret är skyddade från utomstående med hjälp av olika metoder. Skyddet betyder att:

  • lokalerna och datasystemen är säkra
  • behandlingen av personuppgifter planeras i förväg
  • kompetensen hos den personal som behandlar uppgifterna säkerställs och avtalsbestämmelserna diskuteras med personuppgiftsbiträdena
  • dina uppgifter behandlas alltid i skyddade miljöer
  • alla datorer och program i Sibbo kommun är skyddade enligt både kommunens egna och systemleverantörernas datasäkerhetsbestämmelser
  • anställda tilldelas användarrättigheter endast enligt arbetsuppgifterna och respektive system används med personliga användarnamn och lösenord
  • Sibbo kommun övervakar användarrättigheterna och lösenorden byts regelbundet
  • användarrättigheterna raderas när den anställdas arbetsförhållande upphör
  • kommunens material i pappersform lagras i låsta utrymmen och arkiveras enligt arkivlagen och arkivförordningen i mappar speciellt avsedda för arkivbruk
  • uppgifterna lagras endast under den tid som avses i lagen och de raderas när de inte längre behövs.

Den registrerades rättigheter

Den registrerade har rättigheter enligt EU:s allmänna dataskyddsförordning när det gäller de personuppgifter som behandlas. Det bör dock observeras att utövandet av den registrerades rättigheter kan begränsas i vissa avseenden för att följa bestämmelserna i dataskyddsförordningen eller annan lagstiftning, t.ex. för att skydda utredningen av en händelse eller för att skydda den rapporterande personen.

Den registrerade har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten om hen anser att hens rättigheter enligt dataskyddslagstiftningen har kränkts. Dataombudsmannens kontaktuppgifter finns på adressen: www.tietosuoja.fi/sv.

Mer information om behandling av personuppgifter i Sibbo kommun

Den registrerades rättigheter | Dataombudsmannens byrå