Personuppgiftsansvarig
Folkpensionsanstalten
Nordenskiöldsgatan 12, 00250 Helsingfors
PB 450, 00056 FPA
tfn 020 634 11
Person som sköter registerärenden eller kontaktperson
I frågor om registerärenden i anslutning till MittKanta-applikationen kan kunden kontakta Kanta-tjänsternas kundsupport på asiakaspalvelu@kanta.fi.
I frågor som gäller den registrerades rättigheter kan den registrerade skicka förfrågningar per e-post till dataskyddsombudet för Kanta-tjänsterna på tietosuoja@kanta.fi.
Registrets namn
Register för MittKanta-applikationen
Ändamålet med och grunden för behandlingen av personuppgifter
FPA behandlar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och de lagar som reglerar behandlingen av personuppgifter.
Med stöd av 65 § i lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023, kunduppgiftslagen) svarar FPA för den tekniska realiseringen och förvaltandet av medborgargränssnittet (nedan MittKanta). FPA är personuppgiftsansvarig för MittKanta-applikationens (nedan applikationen) inloggningsloggregister samt användar- och enhetsregister och det tillhörande loggregistret.
- Uppgifter i användar- och enhetsregistret och inloggningsloggregistret börjar samlas när användaren tar i bruk MittKanta-applikationen. Vid den första användningen av applikationen och därefter med ett års intervaller ska användaren autentisera sig i Suomi.fi-identifikationstjänsten med nätbankskoder, certifikatkort eller mobilcertifikat. Myndigheten för digitalisering och befolkningsdata ansvarar för den gemensamma Suomi.fi-identifikationstjänsten i den offentliga förvaltningens e-tjänster. Uppgifterna om Suomi.fi-identifikation och användning av applikationen registreras av följande skäl:
- Uppgifter om användare och enhet läggs automatiskt till i användar- och enhetsregistret när en person använder applikationen. Uppgifterna används för att identifiera användaren och för att identifiera och administrera de mobila enheter på vilka användaren har tagit applikationen i bruk. Användaren kan själv radera enhetsuppgifter i registret via enhetshanteringen i MittKanta-applikationen. Om enhetshanteringen inte är tillgänglig kan användaren i akuta situationer begära att uppgifterna raderas genom att ringa FPA:s tekniska support (t.ex. om enheten har stulits). När användaren tar bort den sista enheten ur registret raderas användaruppgifterna automatiskt. Om användaren inte själv tar bort uppgifterna, sparas de i högst fyra år från den senaste användningen av applikationen.
- Användar- och enhetsregistrets loggdata används för att verifiera vem som har lagt till, tagit bort eller redigerat uppgifter i användar- och enhetsregistret. Loggdata förvaras i 12 år från det att de bildades.
- Uppgifter lagras i inloggningsloggregistret för varje identifikation och inloggning i användarens applikation. På basis av uppgifterna kan man på begäran ta reda på vem som har identifierat sig eller loggat in i MittKanta, när och från vilken IP-adress. Enligt bilagan till kunduppgiftslagen är bevarandetiden 12 år efter logghändelsen. Uppgifter i inloggningsloggregistret som hämtats ur befolkningsdatasystemet bevaras i fem år, varefter de utplånas (lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata 661/2009, 20 §).
Uppgifterna i de ovan beskrivna registren används också för att sammanställa användarstatistik och för att utreda problemsituationer (t.ex. problemsituationer i anslutning till datasäkerheten, då FPA behöver verifiera användaruppgifterna i tjänsten). Dessa uppgifter behandlas endast till den del som den personuppgiftsansvariges och administratörens lagstadgade uppgifter förutsätter det.
Registrets datainnehåll
Användar- och enhetsregistret för MittKanta-applikationen innehåller följande uppgifter om användaren och användarens enhet:
- Uppgifter om användaren
- Användarens för- och efternamn
- Användarens personbeteckning
- Tidpunkt för användarregistrering
- Uppgifter om enheten
- Kod för identifiering av enheten
Kod för identifiering av enhetsanvändaren
- Enhetsnamn
- Aviseringar tillåtna/förbjudna
- Aviseringsspråk
- Senaste användning av applikationen på enheten
- Tidpunkt då applikationen installerades på enheten
Användar- och enhetsregistrets loggdata innehåller följande uppgifter
- Typ av ändring i användar- och enhetsregistret (t.ex. borttagning av enhet)
- Kod för den enhet som ändringen gäller
- Personbeteckning eller kod för den som gjort ändringen
- Uppgift om huruvida ändringen har gjorts av användaren i MittKanta-applikationen
- Tidpunkt för ändringen
Inloggningsloggregistret innehåller följande uppgifter
- den inloggades personbeteckning
- inloggningstidpunkt
- IP-adress
- tidsstämpel
- identifikationssätt
- uppgift om huruvida användaren har loggat in i MittKanta-applikationen
- uppgifter som hämtats ur befolkningsdatasystemet (förvaring 5 år)
- hemkommun (permanent boendekommun)
- namnuppgift
Regelmässiga uppgiftskällor
Uppgifter i användar- och enhetsregistret och inloggningsloggregistret fås från Suomi.fi-identifikationstjänsten och användarens enhet när användaren tar i bruk applikationen och autentiserar sig. Vid autentiseringen väljer användaren själv autentiseringssätt/certifikatutfärdare och går med på att i Suomi.fi-identifikationstjänsten förmedla sin personbeteckning, sitt för- och efternamn och sin hemkommun till applikationen. Namn och hemkommun är uppgifter som förmedlas av Myndigheten för digitalisering och befolkningsdata från befolkningsdatasystemet. Uppgifterna från Suomi.fi-identifikationen uppdateras i registret varje gång användaren autentiserar sig i applikationen efter att ha tagit den i bruk.
Uppgifterna om aviseringar och deras språk uppdateras i registret enligt de val som användaren gjort i applikationen.
Den senaste användningen av applikationen uppdateras automatiskt i registret när användaren använder applikationen.
Regelmässigt utlämnande av uppgifter och överföring av uppgifter utanför EU och Europeiska ekonomiska samarbetsområdet
Inget regelrätt utlämnande. Uppgifter överförs inte till länder utanför EU eller Europeiska ekonomiska samarbetsområdet.
Principerna för skyddet av registret
Organisatoriska skyddsprinciper
FPA ska ha en informationssäkerhetsplan för att säkerställa dataskyddet och datasäkerheten. FPA ska ha ett namngivet dataskyddsombud.
FPA ska ge skriftliga anvisningar om behandlingen av registeruppgifter och om de förfaranden som ska följas samt se till att personalen har tillräcklig sakkunskap och kompetens vid behandlingen av registeruppgifter i sin egen verksamhet.
FPA ska på eget initiativ vidta nödvändiga åtgärder om någon lagstridigt har läst, använt eller lämnat ut uppgifter i MittKanta-applikationen.
Tekniska principer för skydd av registret
Den som läser eller på annat sätt behandlar uppgifter i MittKanta-applikationen måste identifiera sig med stark autentisering, och hantering av åtkomsträttigheter till systemet förutsätts. Myndigheten för digitalisering och befolkningsdata ansvarar för identifikations- och certifikattjänsterna.
Loggdata om behandlingen av uppgifter sparas i användar- och enhetsregistrets logg.
För att fullgöra sina lagstadgade uppgifter och nödvändiga administrativa uppgifter har FPA som teknisk administratör begränsad åtkomsträtt till MittKanta-applikationens register. FPA ansvarar för administrationen av åtkomsträttigheterna till MittKanta-applikationen.
Fysiska principer för skydd av registret
Uppgifterna i MittKanta-applikationens register är tekniskt skyddade mot ändring och radering. FPA:s tekniska utrymmen samt uppgifterna är fysiskt placerade i Finland. FPA:s tekniska administratörer har begränsat tillträde till de tekniska utrymmen som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.
Rätt att klaga hos tillsynsmyndigheten
Kunder som anser att behandlingen av deras personuppgifter strider mot tillämplig dataskyddslagstiftning har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten i enlighet med artikel 77 i dataskyddsförordningen och 21 § i dataskyddslagen. I Finland är dataombudsmannen tillsynsmyndighet.
Rätt att få tillgång till egna uppgifter och andra rättigheter i anslutning till behandlingen av personuppgifter
I enlighet med artikel 15 i EU:s allmänna dataskyddsförordning (2016/679) har den registrerade rätt att ta del av sina egna uppgifter i användar- och enhetsregistret. Kunden kan också be FPA om loggdata för användar- och enhetsregistret och inloggningsloggregistret.
En person kan uträtta ärenden för en myndig persons räkning med fullmakt eller som laglig företrädare och begära rätt att ta del av uppgifter i användar- och enhetsregistret eller begära loggdata genom att lämna en begäran om uppgifter till FPA. En företrädare kan begära uppgifter under förutsättning att företrädaren har rätt att företräda sin huvudman i det aktuella ärendet. FPA kontrollerar personens rätt att ta emot uppgifterna. På grunder som anges i lag kan FPA vägra lämna ut uppgifter.
En vårdnadshavare kan begära rätt att ta del av uppgifter om den minderåriga i användar- och enhetsregistret eller begära loggdata genom att lämna en begäran om uppgifter till FPA. När en vårdnadshavare begär uppgifter om en minderårig kontrollerar FPA vårdnadens giltighet. På grunder som anges i lag kan FPA vägra lämna ut uppgifter.
Begäran om uppgifter från inloggningsloggregistret eller uppgifter eller loggdata från användar- och enhetsregistret kan göras på en blankett som finns på FPA:s kundserviceställen och på webbplatsen www.kanta.fi. Begäran om uppgifter kan också formuleras fritt per telefon eller e-post. Begäran riktas till FPA:s registratorskontor (kirjaamo@kela.fi) eller FPA registratorskontor, PB 450, 00056 FPA).
För loggdata som är äldre än två år krävs en särskild orsak. Kunden får inte använda eller lämna loggdata vidare för något annat ändamål.
FPA svarar på begäran inom en månad från det att den inkommit till FPA för behandling. Om uppgifterna av grundad anledning inte kan lämnas inom denna tid, kan behandlingen av begäran förlängas med högst två månader.
Kunden har rätt att få samma uppgifter på nytt av grundad anledning för att kundens intressen och rättigheter ska kunna tillgodoses. FPA får ta ut en avgift som motsvarar kostnaderna för att lämna ut uppgifter som begärs på nytt.
FPA:s verksamhet och administreringen av Kanta-tjänsterna baserar sig på nationell lagstiftning. Av dessa orsaker tillämpas inte den registrerades rätt till överföring av uppgifter från ett system till ett annat enligt artikel 20 i EU:s allmänna dataskyddsförordning på uppgifter som lagrats i användar- och enhetsregistret.