M2 Blue -matka ja kulunhallintajärjestelmän käyttäjä- ja matkustajarekisterin tietosuojaseloste

EU:n yleinen tietosuoja-asetus (679/2016)

1. Rekisterinpitäjä Ilmatieteen laitos PL 503, Erik Palménin aukio 1, 00101 Helsinki puh. 029 539 2141, kirjaamo@fmi.fi 2. Rekisterin yhteyshenkilö Milla Salminen il.taha@fmi.fi 3. Tietosuojavastaava Jaana Palmunoksa puh. 029 539 2310, jaana.palmunoksa@fmi.fi 4. Rekisterin nimi M2 Blue -matka ja kulunhallintajärjestelmän käyttäjä- ja matkustajarekisteri

5. Henkilötietojen käsittelyn tarkoitus Matka- ja kuluhallintajärjestelmän (M2 Blue) käyttäjä- ja matkustajarekisterin henkilötietojen käsittelytarkoituksena on matkasuunnitelmien laadinta, matkustamiseen liittyvien kulujen sekä muiden kulujen erittely ja perustelut, matka- ja kululaskujen tiliöinti ja asiatarkastus sekä hyväksyminen maksatukseen ja järjestelmän käyttöön liittyvien käyttöoikeuksien hallinnointi. Muiden kuin virkamiesten osalta henkilötietojen käsittely perustuu rekisteröidyn suostumukseen. Tällöinkin käsittelyn tarkoitus on päivärahojen, matkakulujen, matkakorvausten sekä kulujen hyväksyminen, tiliöinti ja maksaminen ja järjestelmän käyttöön liittyvien käyttöoikeuksien hallinnointi. 6. Käsittelyn oikeusperuste Rekisterinpitäjän lakisääteinen velvoite, tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, Ilmatieteen laitoksen matkustuspolitiikka ja -ohjeet (Dnro: 11/011/2019) kappale 2 ja Ilmatieteen laitoksen taloussääntö (Dnro 16/011/2019) kappaleet 4 ja 5. 7. Rekisterin tietosisältö Rekisteröidyt ovat Ilmatieteen laitoksessa työskenteleviä tai laitokseen palvelussuhteessa olevia henkilöitä (mukaan lukien laitoksessa siviilipalvelusta suorittavat henkilöt) tai ulkopuolisia henkilöitä, joille maksetaan matka- tai muita korvauksia. Rekisteröidyistä tallennetaan seuraavat tiedot: - etunimi(t), sukunimi, henkilötunnus, henkilönumero, kotiosoite, sähköpostiosoite, puhelinnumero - työsuhteen alkamis- ja päättymispäivä, henkilön organisatoriset tiedot matkustuksen kulujen tiliöintiä varten, pankkitili, maa - M2- tai Virtu-käyttäjätunnus, henkilön matka-, kulu- ja ajotiedot, tiedot henkilön maksuaikakortti- ja matkatiliostoista, käyttäjärooli, vuosi-ilmoituksen suorituslaji

8. Säännönmukaiset tietolähteet Tiedot saadaan suoraan rekisteröidyltä tai hänen puolestaan toimivalta. Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä: Henkilö- ja henkilön organisaatiotiedot saadaan henkilöstöhallinnon tietojärjestelmästä. Maksuaika- ja matkatiliostoihin liittyvät tiedot saadaan pankkijärjestelmästä. Muut kuin virkamiehen matkustajan oikeuksiin liittyvät käyttövaltuustiedot kerätään rekisteröidyn esimiehen tekemän käyttöoikeuspyynnön perusteella.

9. Henkilötietojen vastaanottajat tai vastaanottajaryhmät Tietoja voidaan luovuttaa ainoastaan voimassa olevan lainsäädännön velvoittamissa ja sallimissa rajoissa tai rekisterinpitäjän suostumuksella. Maksatukseen liittyviä tietoja siirretään maksajan ja saajan pankkiin, palkkajärjestelmiin tai muulle maksajalle. Henkilölle maksetuista verottomista korvauksista tehdään ilmoitus verottajalle kerran vuodessa. Henkilöön liittyviä tietoja siirretään matkatoimistoon (nimitiedot, henkilönumero, maa, työsähköpostiosoite, työpuhelinnumero, organisatoriset tiedot). Tietoja arkistoidaan lisäksi Handi-arkistoon. 10. Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle Tietoja ei luovuteta EU:n tai ETA:n ulkopuolelle tai muulle taholle. 11. Rekisterin suojauksen periaatteet Kuvaus teknisistä ja organisatorisista turvatoimista A. Manuaalinen aineisto Manuaalinen aineisto käsitellään koulutetun henkilökunnan toimesta tietojen suojaustasoa vastaavissa lukituissa tiloissa. B. Digitaalisesti käsiteltävät aineistot Rekisterin tiedot on suojattu asiattomalta katselulta, muuttamiselta ja hävittämiseltä. Suojaus perustuu käyttövaltuushallintaan, tietokantojen ja palvelinten tekniseen suojaukseen, tilojen fyysiseen suojaukseen, kulunvalvontaan, tietoliikenteen suojaukseen sekä tietojen varmuuskopiointiin. Pääsy- ja käsittelyoikeus tietoihin myönnetään työtehtävien perusteella. Pääsy järjestelmään perustuu henkilökohtaisiin käyttäjätunnuksiin. Toiminnan asianmukaisuuden valvomiseksi käytetään hallinnollisia kontrolleja. 12. Henkilötietojen säilyttämisaika tai määrittämiskriteerit M2-järjestelmän käyttäjä- ja matkustajarekisterin sisältämien henkilötietojen säilytysajat pohjautuvat lainsäädäntöön, jossa määritellään kirjapitoaineiston säilytysajat. Tämän rekisterin sisältämien henkilötietojen säilytysajasta vastaa Palkeet. 13. Rekisteröidyn oikeudet Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröidyllä on pääsy itsellään matka- ja kulutietoihin M2 Blue -järjestelmän kautta. Muiden henkilötietojen osalta, kuin mihin rekisteröidyllä itsellään on pääsy M2 Blue -järjestelmän kautta, voi rekisteröity tehdä tarkastuspyynnön rekisterinpitäjän edustajalle (tämän selosteen kohta 2). Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 kohta 5 alakohta a). Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa. Artikla 16:n mukainen oikeus tietojen oikaisemiseen Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröity voi päivittää omia tietojaan pyytämällä tietojen päivitystä virastonsa henkilöstöasiainhoitajalta tai rekisterinpitäjän edustajalta (tämän selosteen kohta 2). 14. Oikeus tehdä valitus valvontaviranomaiselle Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.