Personuppgiftspolicy och allmän dataskyddsbeskrivning
Personuppgiftspolicy för Ålands lagting
Ålands lagting (lagtinget) som personuppgiftsansvarig tar ansvar för den personliga information som du förser oss med. Vi hanterar dina personuppgifter i enlighet med vad som föreskrivs i gällande Dataskyddslagstiftning.
För att du ska känna dig trygg i lagtingets behandling av personuppgifter beskriver denna personuppgiftspolicy hur lagtinget samlar in, lagrar och hanterar dina personuppgifter. Den beskriver också dina rättigheter och hur du kan göra dem gällande.
Det är viktigt att du tar del av och förstår personuppgiftspolicyn.
1. Tillämpningsområde för personuppgiftspolicyn
Denna personuppgiftspolicy gäller för registrerade vars personuppgifter inkommer till lagtinget och därmed behandlas av oss. Den gäller också vid nyttjande av något av våra system, program och/eller tjänster samt vår hemsida.
För att du ska kunna få lagstadgad service behöver du lämna dina personuppgifter. Vi inhämtar dock inte fler personuppgifter än vad vi behöver för att handlägga ditt ärende. Om du inte vill lämna de personuppgifter vi behöver kommer vi inte kunna tillse dina behov som registrerad i samma utsträckning som annars är möjligt.
Personuppgiftspolicyn gäller även dig som anställd på lagtinget.
2. MYNDIGHETEN som ansvarar för dina personuppgifter
Ålands lagting, lagtinget, FO.nr: 0145076-7är personuppgiftsansvarig och ansvarar således för samtliga personuppgifter som du lämnar i kontakten med oss.
Lagtinget når du på följande sätt:
Post: Lagtinget PB 69, 22101 MARIEHAMN,
Adress: Strandgatan 37, AX-22100 Mariehamn
Tel: +358 18 25000
E-post: info@lagtinget.ax
3. Syfte med behandlingen
Vårt främsta syfte för att behandla dina personuppgifter är för att lagtinget ska kunna fullfölja åtaganden mot dig som registrerad.
Lagtinget samlar framför allt in sådana personuppgifter som behövs för att ge den service till dig som registrerad som du enligt lag har rätt till. I de flesta fall är insamlingen av personuppgifter alltså till för att lagtinget ska kunna ge lagstadgad service.
Vi behandlar alltid dina personuppgifter med stöd i de legala grunder som ställs upp enligt Dataskyddsförordningen samt vad som annars stadgas i den åländska och finska lagstiftningen.
4. Vilka data samlar lagtinget in om dig?
Som personuppgiftsansvarig har lagtinget ansvaret för att dina personuppgifter behandlas på ett säkert sätt och att dataskyddsförordningen följs. De personuppgifter som lagtinget inhämtar inhämtas för att du ska kunna få lagstadgad service. Vi inhämtar dock inte fler personuppgifter än vad vi behöver för att handlägga ditt ärende. Om du inte vill lämna de personuppgifter vi behöver kommer du inte kunna få ta del av våra tjänster.
Lagtinget tillämpar inget automatiserat beslutsfattande utan alla beslut görs manuellt av en tjänsteman eller behörigt organ.
Lagtinget kan använda dina personuppgifter för att besvara dina förfrågningar och sända e-post till dig för att informera om lagtingets verksamhet till den e-postadress du uppgett för oss. Du kan när som helst begära att inte få e-post från oss.
Lagtinget kommer att behandla ditt personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något beaktansvärt skäl. Vi minimerar alltid användandet av dina personuppgifter i så stor utsträckning som det är möjligt.
För de fall att du har lämnat ditt samtycke till behandling av dina personuppgifter så har du rätt att när som helst återkalla ditt samtycke, utan att detta påverkar lagligheten av behandlingen.
Vi är skyldiga att meddela dig om vi vill använda oss av personuppgifterna på något annat sätt än det vi inhämtat dem för. I vissa fall kan vi fråga dig om vi får använda tidigare inlämnade personuppgifter för att förenkla handläggningen av ditt ärende.
Vi kan även komma att samla in personuppgifter om dig från tredje part som exempelvis, Ålands landskapsregering, eller andra tillgängliga källor.
5. Hur behandlar vi dina personuppgifter?
Dina personuppgifter behandlas bara av den personal inom lagtinget som behöver dem för att ge dig den lagstadgade servicen.
I lagtingets register lagras sådana uppgifter om dig som du själv angett i samband med att du blev registrerad samt eventuella uppgifter som framkommer vid ett senare skede. Senare behandling av dina personuppgifter kommer hanteras efter samma ändamål som när de samlades in.
Lagtinget kan i vissa fall inhämta personuppgifter som rör dig från någon annan än dig själv. I dessa fall kan det handla om att få tag på dina kontaktuppgifter för att kunna delge dig ett beslut som lagtinget tagit som berör dig eller i övrigt för att kunna fullfölja den serviceskyldighet som stadgas enligt lag. I samband med att vi använder eventuella uppgifter som vi har hämtat från någon annan än dig själv kan vi komma att informera dig om varifrån vi har hämtat uppgifterna och vilka uppgifter vi har hämtat, förutsatt att det inte finns undantag från informationsplikten enligt artikel 14.5 Dataskyddsförordningen.
6. Hur skyddas dina personuppgifter?
Lagtinget tar det förtroende som du som registrerad, givit oss på allvar. För att skydda personuppgifter mot obehörig åtkomst, missbruk, avslöjande eller ändring vidtar vi lämpliga fysiska, tekniska och administrativa åtgärder.
Den fysiska säkerheten är utformad för att förebygga obehörig åtkomst till databasutrustning. Elektroniska säkerhetsåtgärder, såsom brandväggar, tillträdesbegränsningar och kryptering ger skydd mot dataintrång och annan obehörig åtkomst.
Anställda på lagtinget samt personuppgiftsbiträden och underbiträden följer gällande informationssäkerhetsföreskrifter.
Om lagtinget trots vidtagna åtgärder skulle drabbas av en personuppgiftsincident anmäler vi incidenten till Datainspektionen inom 72 timmar utifall vi ser att incidenten utgör en risk mot eventuella fri- och rättigheter för den registrerade. Anmälan sker enligt de regler för rapportering som Datainspektionen tillhandahåller. I vissa fall kontaktar vi även berörda individer som drabbats av personuppgiftsincidenten.
7. Personuppgiftsbiträden
Lagtinget kan använda sig av personuppgiftsbiträden för sina tjänster. Lagtinget förbinder sig att ha personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden.
Personuppgiftsbiträdet agerar i enlighet med de instruktioner som anges i personuppgiftsbiträdesavtalet. Om ett personuppgiftsbiträde i sin tur skulle anlita ett biträde kallas denna för underbiträde. Ett underbiträde kan aldrig anlitas utan vårt medgivande.
8. Med vem delar vi dina personuppgifter?
När personuppgifter delas med personuppgiftsbiträden till lagtinget, sker det endast för ändamål som är förenliga med de ändamål för vilka vi har samlat in informationen.
Lagtinget har skriftliga avtal med personuppgiftsbiträden, genom vilka de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra krav.
Lagtinget säljer inte någon kundinformation vidare. Vid upphandling kan information komma att ges till eventuella tredjepartsleverantörer, dock alltid genom överenskommelse i skriftligt avtal.
Kontaktinformation som behövs för genomförande av lagtingets tjänster och support till användare kan delges till och behandlas av lagtingets personuppgiftsbiträden.
Det är värt att tänka på att som registrerad är inte alla dina personuppgifter som lämnas in till lagtinget sekretessbelagda, till exempel de personuppgifter du lämnar vid en ansökan. Din ansökan har därför allmänheten rätt till att se om någon skulle begära det.
9. Var behandlar vi dina personuppgifter?
Lagtinget strävar efter att personuppgifterna alltid ska behandlas inom EU/EES och att alla våra egna IT-system finns inom EU/EES. I de fall personuppgifter behandlas utanför EU/EES kommer du att få information om detta i förväg och vi gör det i så fall endast för att lagen kräver det.
10. Hur länge lagrar vi dina personuppgifter?
Lagtinget lagrar dina personuppgifter så länge som det är rimligen nödvändigt för att uppfylla det syfte/de syften för vilket de samlades in och för att efterleva dataskyddsförordningen eller tillämpliga lagar. Så snart personuppgifterna inte längre är nödvändiga för de syften för vilka de samlats in eller på annat sätt behandlats kommer de att raderas.
Personuppgifter som skickas in till lagtinget utan att de efterfrågats kommer inte att sparas, med vissa undantag som till exempel spontana arbetsansökningar.
Vid arkivering av personuppgifter måste lagtinget dock följa arkivlagar och andra föreskrifter. Lagtinget har i många fall krav på sig att lagra personuppgifter under väldigt lång tid för att man långt fram i tiden ska kunna se hur man arbetade förr. Allt detta bestäms i enlighet med gällande lagar och andra föreskrifter som reglerar hur uppgifter ska hanteras. Du har även möjlighet att fråga hur länge olika typer av personuppgifter kommer att lagras i vårt arkiv.
11. Vilka rättigheter har du?
Den registrerade har rätt att kontrollera vilka uppgifter som har sparats om honom eller henne hos lagtinget. Enligt dataskyddsförordningen ska den personuppgiftsansvarige besvara den registrerades begäran om att få utöva sina rättigheter senast en månad efter att ha mottagit begäran.
Den registrerade kan utöva sina rättigheter på följande sätt:
A. Rätt till tillgång till personuppgifter
Den registrerade har rätt att kontrollera vilka uppgifter om honom eller henne som behandlas.
B. Rätt att få uppgifter rättade och att begränsa behandlingen
Den registrerade har rätt till att av den personuppgiftsansvarige kräva att behandlingen begränsas, om något av följande alternativ är tillämpligt:
- Den registrerade bestrider personuppgifternas riktighet (rätt till rättelse), varvid behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga.
- Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
- Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
C. Rätt till radering
Den registrerade har rätt att få personuppgifter som gäller honom eller henne raderade utan ogrundat dröjsmål om något av följande gäller:
- Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
- Den registrerade återkallar sitt samtycke som behandlingen grundar sig på och det finns inte någon annan rättslig grund för behandlingen.
- Personuppgifterna har behandlats på olagligt sätt.
- Personuppgifterna måste raderas för att uppfylla en sådan rättslig förpliktelse i unionsrätten eller i den nationella lagstiftningen som den personuppgiftsansvarige omfattas av.
D. Rätt att överföra uppgifter från ett system till ett annat (rätt till dataportabilitet)
Den registrerade har rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige och att överföra dessa uppgifter till en annan personuppgiftsansvarig, om den automatiserade behandlingen av personuppgifter grundar sig på samtycke eller på ett avtal.
E. Rätt att göra invändningar mot behandling av personuppgifter
Den registrerade har, av skäl som hänför sig till hans eller hennes specifika situation, rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som sker för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, inbegripet profilering som grundar sig på bestämmelserna i dataskyddsförordningen. Den registeransvariga får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
F. Rätt att återkalla samtycke
Den registrerade har rätt att när som helst återkalla sitt samtycke till behandling utan att det påverkar lagligheten av den behandling som utförs på grundval av samtycke.
G. Rätt att lämna in klagomål till en tillsynsmyndighet
Den registrerade har rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot de tillämpliga dataskyddsreglerna.
Om du vill åberopa någon av dina rättigheter så kontaktar du kanslisekreteraren Jessica Laaksonen via telefon +3581825332 eller via e-post till info@lagtinget.ax.
12. Dataskyddsombud
Dataskyddsombudets roll är att kontrollera att dataskyddsförordningen följs genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet kan du kontakta om dina personuppgifter hanteras av lagtinget och du har några frågor om det.
Dataskyddsombud
Telefon: +358 (0)18 25199
E-post: dataskyddsombud@regeringen.ax
13. Datainspektionen – Om du har klagomål
Datainspektionen är ansvarig för att övervaka tillämpningen av dataskyddsförordningen.
Om du anser att lagtinget har behandlat dina personuppgifter på ett sätt som strider mot dataskyddsförordningen har du rätt att lämna in ett klagomål till Datainspektionen
Kontaktuppgifter hittar du via deras hemsida, http://www.di.ax/
14. Ändringar av denna personuppgiftspolicy
Eventuella uppdaterade versioner av policyn kommer att publiceras på vår hemsida, www.lagtinget.ax.
Allmän dataskyddsbeskrivning
1. Syftet med behandlingen av personuppgifter samt den rättsliga grunden för behandlingen
Lagtingets kansli behandlar personuppgifter när det utför sin uppgift att skapa förutsättningar för Ålands lagting att fullgöra sina uppgifter i enlighet med Självstyrelselagen för Åland samt lagtingets interna regelverk, lagtingsordningen och arbetsordningen.
Behandlingen av personuppgifter vid lagtinget grundar sig på en lagstadgad uppgift, en uppgift av allmänt intresse eller myndighetsutövning.
2. Personuppgifter som behandlas och var uppgifterna kommer från
Det rör sig vanligen om personuppgifter som personen själv lämnat in. Personuppgifterna kan också komma från en annan myndighet eller någon annan än personen själv.
3. Personuppgifternas mottagare eller mottagarkategorier
Personuppgifter behandlas av de tjänstemän eller andra anställda vid lagtinget vars arbetsuppgifter innefattar behandling av sådana uppgifter. Personuppgifter kan också behandlas av exempelvis underleverantörer eller systemförvaltare i den omfattning det är nödvändigt för syftet med behandlingen och på grundval av ett avtal om behandling av personuppgifter.
Till den som begär det lämnas uppgifter (inkl. personuppgifter) ut i enlighet med Offentlighetslagen (2021:79) för Åland. Uppgifter och handlingar är offentliga om de inte uttryckligen är sekretessbelagda enligt lag.
Uppgifter lämnas inte ut för direktmarknadsföring, opinionsundersökningar eller marknadsundersökningar, om det inte föreskrivs särskilt om utlämnande för det ändamålet.
4. Överföring till tredjeländer
Uppgifter överförs i allmänhet inte till tredjeländer utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Om uppgifter överförs till tredjeländer, nämns detta särskilt.
5. Personuppgifternas lagringstid
Lagringstiden beror på vad användningsändamålet kräver och kan basera sig på en lagstadgad skyldighet eller en lagringstid enligt arkivbildningsplanen eller datastyrningsplanen.
För arkivändamål av allmänt intresse eller för vetenskaplig eller historisk forskning får uppgifterna lagras längre än vad det ursprungliga ändamålet kräver.
6. Automatiserat beslutsfattande och profilering
Registrerade personuppgifter används inte för automatiserat beslutsfattande eller för profilering utan att det nämns särskilt.
7. Den registrerades rättigheter
Den registrerade har rätt att kontrollera vilka uppgifter som har sparats om honom eller henne hos lagtinget. Enligt dataskyddsförordningen ska den personuppgiftsansvarige besvara den registrerades begäran om att få utöva sina rättigheter senast en månad efter att ha mottagit begäran. Den registrerade kan utöva sina rättigheter på följande sätt:
A. Rätt till tillgång till personuppgifter
Den registrerade har rätt att kontrollera vilka uppgifter om honom eller henne som behandlas.
B. Rätt att få uppgifter rättade och att begränsa behandlingen
Den registrerade har rätt till att av den personuppgiftsansvarige kräva att behandlingen begränsas, om något av följande alternativ är tillämpligt:
- Den registrerade bestrider personuppgifternas riktighet (rätt till rättelse), varvid behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga.
- Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
- Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
C. Rätt till radering
Den registrerade har rätt att få personuppgifter som gäller honom eller henne raderade utan ogrundat dröjsmål om något av följande gäller:
- Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
- Den registrerade återkallar sitt samtycke som behandlingen grundar sig på och det finns inte någon annan rättslig grund för behandlingen.
- Personuppgifterna har behandlats på olagligt sätt.
- Personuppgifterna måste raderas för att uppfylla en sådan rättslig förpliktelse i unionsrätten eller i den nationella lagstiftningen som den personuppgiftsansvarige omfattas av.
D. Rätt att överföra uppgifter från ett system till ett annat (rätt till dataportabilitet)
Den registrerade har rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige och att överföra dessa uppgifter till en annan personuppgiftsansvarig, om den automatiserade behandlingen av personuppgifter grundar sig på samtycke eller på ett avtal.
E. Rätt att göra invändningar mot behandling av personuppgifter
Den registrerade har, av skäl som hänför sig till hans eller hennes specifika situation, rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som sker för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, inbegripet profilering som grundar sig på bestämmelserna i dataskyddsförordningen. Den registeransvariga får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
F. Rätt att återkalla samtycke
Den registrerade har rätt att när som helst återkalla sitt samtycke till behandling utan att det påverkar lagligheten av den behandling som utförs på grundval av samtycke.
G. Rätt att lämna in klagomål till en tillsynsmyndighet
Den registrerade har rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot de tillämpliga dataskyddsreglerna.
Datainspektionens, kontaktuppgifter:
Datainspektionen
Besöksadress: Styrmansgatan 12
AX-22100 Mariehamn
Telefon: + 358 18 25 550
E-post: https://securemail.di.ax/
8. Den personuppgiftsansvariges och dataskyddsombudets kontaktuppgifter
Lagtingets kansli
Strandgatan 37, AX-22100 Mariehamn
Tfn +358 18 25000
Närmare kontaktinformation till lagtinget
Dataskyddsombudet
Strandgatan 37, AX-22111 Mariehamn
Tfn +358 18 25199
E-post: dataskyddsombud@regeringen.ax