Tietosuojailmoitus vesistötöiden tietojärjestelmä VESTYssä käsiteltävistä henkilötiedoista

Tämä tietosuojailmoitus sisältää Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen (2016/679) 13 ja 14 artiklan mukaiset tiedot, jotka tulee toimittaa rekisteröidylle. Tässä ilmoituksessa kerrotaan mm. miten keräämme, käytämme, luovutamme ja säilytämme henkilötietoja Suomen ympäristökeskuksessa (Syke).

Sykellä on oikeus tehdä teknisiä muutoksia tähän tietosuojailmoitukseen ilmoittamatta siitä etukäteen rekisteröidyille.

Rekisterinpitäjä ja tietosuojavastaava

Suomen ympäristökeskus (Syke) 
Latokartanonkaari 11 
00790 Helsinki 
Sähköposti: kirjaamo@syke.fi

Salassa pidettävä sähköposti: https://turvaviesti.ymparisto.fi
Puh. 0295 251000

Rekisterinpitäjän yhteyshenkilö

Jari Uusikivi etunimi.sukunimi@syke.fi

Tietosuojavastaava

Juha Ruotsalainen tietosuoja@syke.fi

Henkilötietojen käsittelyn peruste

Syke kehittää ja ylläpitää vesistötöiden tietojärjestelmää (VESTY) maa- ja metsätalousministeriön toimeksiannosta.
Käsittelemme henkilötietoja seuraavan lakisääteisen velvoitteen noudattamiseksi (tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta): 

  • vesilaissa (587/2011) kuvatut valvontatehtävät
  • laissa tulvariskien hallinnaksi (620/2010) kuvatut tehtävät
  • vesienhoidon järjestämiseksi vesien- ja merenhoitolain (1299/2004) mukaisesti huomioiden muun ohella vesien laatu, vesien riittävyys, vesien kestävä käyttö, vesipalvelut ja niiden taloudellinen selvitys, tulvariskien hallinta ja vesiekosysteemien suojelu

Työhön osallistuvat organisaatiot on kuvattu mainitussa laissa ja asetuksissa.

Kerättävät henkilötiedot ja niiden käsittelyn tarkoitukset

Kerättäviä henkilötietoja ovat 

  • luvansaajan, vesialueen omistajan ja kunnossapitäjän, rakenteen omistajan ja kunnossapitäjän tiedot (henkilön nimi tai yrityksen nimi)
  • rakenteen nimi, joka voi sisältää henkilöiden nimiä
  • henkilöiden yhteystietoja ei talleteta, käyttäjiä ohjataan hakemaan ne asianhallintajärjestelmästä
  • asianhallintajärjestelmän diaarinumero, joka viittaa asiaan, johon talletettu tiedot asioinnista viranomaisen ja henkilön tai yrityksen välillä
  • vesistörakenne- ja hanketietoja lisänneen tai muuttaneen henkilön nimi, käyttäjätunnus, organisaatio sekä tallennusajankohta
  • vesistötöihin liittyvät liitteet
    • lupa-asiakirjat ja lausunnot: asianosaisen ja laatijan nimi sekä joissakin tapauksissa yhteystiedot
    • valokuvat: kuvan tallentaja, kuvan sisältämät metatiedot, joissa voi olla kuvan ottajan nimi
  • järjestelmän käyttäjät
    • käyttäjätunnus ja organisaatio käyttöoikeuksien hallintaa varten
    • käyttäjätunnuksen, kirjautumisajankohdan ja IP-osoitteiden lokitus virhetilanteiden selvittämistä varten
  • käyttäjäseuranta
    • IP-osoite, selain, laite ja käyttöjärjestelmä

Käytämme henkilötietoja lakisääteisten velvoitteiden mukaisiin tehtäviin, käyttöoikeuksien hallintaan, virhetilanteiden selvittämiseen sekä järjestelmän kehittämiseen.

Kerättävien henkilötietojen perusteella ei tehdä automaattiseen päätöksentekoon perustuvia päätöksiä eikä profilointia.

Henkilötietojen lähteet

Tietoja syöttävät ELYt ja Syke. Ojitus- ja ruoppausilmoitusten tietoja saadaan tiedonsiirtona sähköisestä asioinnista.

Tietojen tallentajan tiedot saadaan joko henkilöltä itseltään tai järjestelmä kirjaa tiedon tallennuksen yhteydessä. 

Viranomaiskäyttäjä lisää liitteet järjestelmään käsitellessään kyseistä kohdetta. 

Järjestelmän käyttäjien tiedot saadaan henkilön kirjautuessa järjestelmään.

Henkilötietojen vastaanottajat

Vesty-järjestelmän viranomaiskäyttäjien lisäksi Syken palvelua kehittävillä ja ylläpitävillä henkilöillä sekä Vesty-järjestelmän palveluntarjoajan henkilöstöllä on pääsy henkilötietoihin. Palvelun tarjoaja on tietosuoja-asetuksen mukainen henkilötietojen käsittelijä, jonka tulee noudattaa Syken sille antamia ohjeita henkilötietojen käsittelyssä.

Henkilötietoja ei siirretä tai luovuteta EU:n tai ETA:n ulkopuolelle Syken toimesta aktiivisesti. Syke käyttää toiminnassaan kuitenkin esimerkiksi Yhdysvaltalaisten ohjelmistopalveluiden tuottajien kuten Microsoftin ohjelmistoja, jotka toimivat pilvipalveluina. Näiden tietojen katsotaan tosiasiallisesti siirtyvän EU/ETA-alueen ulkopuolelle siitä huolimatta, missä tiedot sijaitsevat. 

Euroopan komissio hyväksyi 10. heinäkuuta 2023 päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta. Tietosuojan riittävyyspäätöksen perusteella tietoja voidaan siirtää EU- ja ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille ilman erillisiä 46 artiklan mukaista siirtoperustetta.

Riittävyyspäätöksen nojalla henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Riittävyyspäätöstä ei voi käyttää tiedonsiirtoihin julkisen sektorin toimijoiden välillä.

Syke huolehtii omalta osaltaan siitä, että sen käyttämät palveluntarjoajat ovat Euroopan tietosuojaviranomaisten ylläpitämällä listalla. https://www.dataprivacyframework.gov/list 

VESTY-palvelun tietojenkäsittelyssä käytetään Valtorin Sykelle tarjoamaa Microsoftin Azure-pilviympäristöä. Microsoft voi joutua antamaan kolmannelle osapuolelle pääsyoikeuden Azure-palvelimiin, jolloin tietoja voi tällaisessa tilanteessa siirtyä EU:n tai ETA:n ulkopuolelle.

Syke voi luovuttaa henkilötietoja edelleen muille viranomaisille. 

Syke näyttää avoimissa karttapalveluissaan Karpalossa ja Kunnostajan karttapalvelussa suppeita näkymiä tiedoista. Näytettävien rakenteiden nimet saattavat sisältää henkilön nimen.

Henkilötietojen suojaaminen

Suomen ympäristökeskus (Syke) rekisterinpitäjänä on toteuttanut tarvittavat tekniset ja organisatoriset toimet sekä vaatii niitä myös käyttämiltään palveluntarjoajatahoilta.

Henkilötietojen säilytys

Tietoja säilytetään niin kauan kuin tarve vaatii. Tiedot poistetaan, kun niitä ei enää tarvita.

Syken tiedonohjaussuunnitelman mukaan järjestelmän lokitiedot säilytetään 10 vuotta.

Henkilötietojen käsittelyyn liittyvät tietosuojaoikeutesi

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan tai ei tai onko niitä käsitelty.
Rekisteröidyllä on myös oikeus:

  • pyytää itseään koskevat henkilötiedot
  • pyytää rekisterinpitäjää oikaisemaan tai poistamaan virheelliset tai vanhentuneet tiedot
  • pyytää henkilötietojen käsittelyn rajoittamista
  • vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
  • peruuttaa suostumus milloin tahansa
  • tehdä valitus valvontaviranomaiselle

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, rekisteröidyllä on oikeus tehdä asiasta valitus tietosuojavaltuutetulle.

Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Sähköposti: tietosuoja(at)om.fi
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
 

Julkaistu 1.7.2025