Tietosuojakäytäntö
Yleistä
Pohjoismaiden ministerineuvoston sihteeristö (jäljempänä NMRS) katsoo kuuluvansa yleisen tietosuoja-asetuksen (EU:n asetus 2016/679, annettu 27. huhtikuuta 2016) piiriin julkisoikeudellisena elimenä, joka käsittelee rekisteröityjen luonnollisten henkilöiden henkilötietoja rekisterinpitäjänä. Koska NMRS:n kotipaikka on Tanskassa, se pyrkii käsittelemään henkilötietoja myös Tanskan tietosuojalain (konsolidoitu säädös nro 289, annettu 8. maaliskuuta 2024) mukaisesti.
Pohjoismaiden hallitukset perustivat NMRS:n tukemaan Pohjoismaiden ministerineuvostossa tekemäänsä yhteistyötä. Pohjoismaiden ministerineuvosto perustettiin 23. maaliskuuta 1962 tehdyllä Islannin, Norjan, Ruotsin, Suomen ja Tanskan välisellä yhteistyösopimuksella (Helsingin sopimus). NMRS käsittelee tämän tehtävän suorittamiseksi henkilötietoja sekä pitäessään yhteyttä ulkoisiin toimijoihin että sihteeristön sisäisessä hallinnossa, jossa NMRS toimii työnantajana.
Kun NMRS käsittelee henkilötietoja, se tekee sen laillisin perustein, ja käsittely on rajoitettu siihen, mikä on tarpeen kyseisiä tarkoituksia varten.
Tämä tietosuojakäytäntö sisältää lisätietoja henkilötietojen käsittelytoimista, joista NMRS on vastuussa rekisterinpitäjänä. Kun tietosuojakäytäntöön viitataan linkittämällä ja vastaavin tavoin, siten pyritään lisäksi täyttämään rekisterinpitäjän velvollisuus antaa rekisteröidylle tietoa henkilötietojen käsittelystä.
Keiden henkilötietoja käsittelemme?
NMRS käsittelee sellaisten luonnollisten henkilöiden henkilötietoja, jotka
- osallistuvat pohjoismaiseen yhteistyöhön hallitusten, viranomaisten ja muiden organisaatioiden edustajina tai yksityishenkilöinä. Tämä koskee esimerkiksi henkilöitä, jotka osallistuvat NMRS:n järjestämiin ja hallinnoimiin tai sen avustuksella järjestettäviin kokouksiin ja tapaamisiin tai jotka ovat yhteydessä NMRS:ään esimerkiksi esittämällä kysymyksiä tai pyytämällä oikeutta tutustua ministerineuvoston toimintaan liittyviin asiakirjoihin.
- tarjoavat Pohjoismaiden ministerineuvoston toimintaan liittyviä tavaroita tai palveluita tai jättävät tarjouksia niiden myymisestä organisaatioiden, yritysten tai yksityishenkilöiden edustajina.
- ovat NMRS:n palveluksessa tai toimeksisaajina ja joissakin tapauksissa työntekijöiden ja NMRS:n palvelukseen pyrkivien henkilöiden perheenjäseniä ja/tai lähiomaisia.
- antavat tai ilmoittavat tietoja NMRS:n whistleblower-kanavan kautta ja jotka mainitaan tällaisissa ilmoituksissa tai joihin ne vaikuttavat.
- vierailevat NMRS:n tiloissa Pohjolan talossa Kööpenhaminassa.
Mitä henkilötietoja käsittelemme?
Henkilötiedoilla tarkoitetaan kaikenlaisia tietoja, joita yksin tai yhdessä muiden saatavilla olevien tietojen kanssa voidaan käyttää luonnollisen henkilön tunnistamiseen. Näitä tietoja voivat olla esimerkiksi nimi, osoite, puhelinnumero, kansalaisuus ja henkilötunnus/CPR-numero. Kyse voi olla myös muista tiedoista, joiden avulla luonnollinen henkilö tunnistetaan tai on tunnistettavissa, kuten IP-osoite, kirjautumistiedot tai tiedot, joiden avulla henkilö voidaan paikantaa maantieteellisesti.
NMRS käsittelee pääasiassa yleisen tietosuoja-asetuksen 6 artiklaan perustuvia yleisiä henkilötietoja, kuten nimiä ja yhteystietoja sekä tarvittaessa kuvia tai videoita, jotka on tuotettu Pohjoismaiden ministerineuvoston työlle ominaisissa yhteyksissä tai osana rekrytointiprosessia.
NMRS:n työnantajatoiminnassa käsitellään myös yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä, kuten terveydentilaa ja ammattiliittoon kuulumista koskevia tietoja, sekä Tanskan henkilötietolainsäädännön mukaan luottamuksellisina pidettäviä henkilötietoja (henkilötunnus/CPR-numero). Erityisiä henkilötietoryhmiä voidaan käsitellä myös muissa yhteyksissä, esimerkiksi NMRS:n whistleblower-kanavan hallinnoinnissa.
Mihin tarkoituksiin käsittelemme henkilötietoja?
NMRS käsittelee henkilötietoja voidakseen viestiä sidosryhmille osana tehtäväänsä eli Pohjoismaiden ministerineuvostossa tehtävän pohjoismaisen hallitusyhteistyön tukemista. Tässä yhteydessä NMRS käsittelee henkilötietoja esimerkiksi hallinnoidakseen pohjoismaisen yhteistyön kokouksia ja toimintaa, mukaan lukien osallistujien rekisteröinti ja kokousmateriaalin jakelun seuranta.
Henkilötietoja käsitellään myös pyrittäessä huolehtimaan yleisestä edusta, joka liittyy Pohjoismaiden ministerineuvoston työstä tiedottamiseen, sekä pyrittäessä vastaamaan yleisöltä tuleviin konkreettisiin pyyntöihin Pohjoismaiden ministerineuvoston toimintaa koskevan tiedon saamiseksi. Esimerkkeinä ovat pyynnöt, jotka koskevat uutiskirjeiden saamista tai tutustumista ministerineuvoston asiakirjoihin.
Henkilötietojen käsittely on tarpeen myös, jotta NMRS voisi hallinnoida hakemuksia Pohjoismaiden ministerineuvoston budjetista maksettavan taloudellisen tuen myöntämiseksi sekä hankkia Pohjoismaiden ministerineuvoston toiminnassaan tarvitsemia tavaroita ja palveluja.
Lisäksi NMRS käsittelee henkilötietoja suorittaakseen tehtäviään ja täyttääkseen velvollisuutensa työnantajana, mukaan lukien henkilöstön oikeuksien määrittäminen Pohjoismaiden ministerineuvoston henkilöstöohjesäännön mukaisesti. NMRS käsittelee henkilötietoja niin ikään hallinnoidakseen Pohjoismaiden ministerineuvoston whistleblower-kanavaa, jonka tarkoituksena on tutkia Pohjoismaiden ministerineuvoston toimintaan mahdollisesti liittyviä laittomuuksia tai väärinkäytöksiä.
Millä oikeusperusteella käsittelemme henkilötietoja?
NMRS on Pohjoismaiden hallitusten perustama julkisoikeudellinen elin, joka tukee Pohjoismaiden ministerineuvostossa tehtävää yhteistyötä. NMRS:n suorittaman henkilötietojen käsittelyn oikeusperusteena on siten monissa tapauksissa yleisen edun mukaisen tehtävän suorittaminen, vrt. yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Tämä pätee esimerkiksi silloin, kun NMRS viestii yhteistyökumppaneille ja yleisölle tai kun NMRS hallinnoi Pohjoismaiden ministerineuvoston kokouksia tai muuta toimintaa, hallinnoi tukihakemuksia tai käsittelee asiakirjoihin tutustumista koskevia pyyntöjä Pohjoismaiden ministerineuvoston julkisuussääntöjen mukaisesti. Näin on myös silloin, kun NMRS käsittelee whistleblower-kanavansa kautta toimitettuja tietoja.
Joissakin tapauksissa henkilötietojen käsittely voi olla tarpeen NMRS:n kannalta oikeutetun edun toteuttamiseksi, vrt. yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta. Esimerkkinä on tilanne, jossa NMRS harkitsee tavaroiden ja palveluiden hankkimista ja käsittelee niiden tarjoajien henkilötietoja tai jossa NMRS käsittelee henkilöstöään ja sen perheenjäseniä koskevia tietoja. Yleisen tietosuoja-asetuksen säännöstä sovelletaan, jos NMRS:n edun voidaan katsoa olevan suurempi kuin henkilötietojen käsittelyn kieltämiseen liittyvä rekisteröidyn etu ja oikeus.
Kun NMRS käsittelee henkilötietoja tavaroiden ja palveluiden oston yhteydessä, se tapahtuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella sellaisen sopimuksen toteuttamiseksi, jossa rekisteröity on osapuolena (esimerkiksi toimittaja ja sopimuspuoli), tai sellaisten toimenpiteiden toteuttamiseksi, jotka toteutetaan rekisteröidyn pyynnöstä ennen sopimuksen tekemistä (esimerkiksi NMRS:n järjestämän tarjouskilpailun tarjoaja). Tämä yleisen tietosuoja-asetuksen säännös voi olla oikeusperusteena myös silloin, kun NMRS käsittelee henkilöstönsä tai NMRS:n palvelukseen hakeutuvien henkilöiden henkilötietoja.
Joissakin tapauksissa NMRS käsittelee luottamuksellisia henkilötietoja, kuten henkilötunnusta/CPR-numeroa, ja tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä, kuten terveydentilaa tai ammattiliittoon kuulumista koskevia tietoja. Kun NMRS käsittelee tällaisia tietoja työnantajana, käsittely perustuu yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan b alakohdan mukaiseen työ- ja sosiaalioikeudellisten velvoitteiden noudattamiseen ja yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan f alakohdan mukaiseen oikeusvaateeseen. Jos tiedot toimitetaan NMRS:n whistleblower-kanavan kautta, niitä voidaan käsitellä yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan g alakohdan mukaisesti unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan tärkeän yleisen edun perusteella. Henkilötietojen käsittely, joka on tarpeen NMRS:n whistleblower-kanavan kautta saatujen ilmoitusten käsittelemiseksi, tapahtuu lisäksi ilmoittajien suojelusta annetun Tanskan lain 22 pykälän perusteella (laki nro 1 436, annettu 29. kesäkuuta 2021). Henkilötunnuksia/CPR-numeroita käsitellään tietosuojalain 7 pykälän 2 momentin mukaisesti, vrt. 11 pykälän 2 momentin kohdat 1 ja 4.
Mistä henkilötiedot ovat peräisin?
NMRS kerää yleensä henkilötotiedot henkilöltä, jota tiedot koskevat, ja niihin sisältyy joissakin tapauksissa myös tietoja muista henkilöön liittyvistä henkilöistä, kuten perheenjäsenistä/lähiomaisista. NMRS kerää tietoja myös kolmansilta osapuolilta, jotka voivat olla organisaatioita tai yksityishenkilöitä. Tiedot voivat tulla myös viranomaiselta.
Kenelle luovutamme henkilötietoja?
NMRS voi joissakin tapauksissa luovuttaa henkilötietoja kolmansille osapuolille. NMRS luovuttaa henkilötietoja vain silloin, kun siihen on laillinen peruste.
NMRS voi luovuttaa henkilötietoja toimijoille, joiden kanssa NMRS tekee yhteistyötä Pohjoismaiden ministerineuvostossa tehtävän yhteistyön tukemiseksi. Näitä voivat olla Pohjoismaiden ministeriöt ja viranomaiset, yhteispohjoismaiset laitokset tai muut organisaatiot.
NMRS voi joissakin tapauksissa luovuttaa henkilötietoja niille, jotka pyytävät saada tutustua julkisiin asiakirjoihin Pohjoismaiden ministerineuvoston julkisuussääntöjen mukaisesti.
NMRS luovuttaa henkilötietoja myös kansallisille viranomaisille, mikäli NMRS:n on lain mukaan tehtävä niin tai mikäli kyse on NMRS:n oikeutetusta edusta tai sen henkilön oikeutetusta edusta, jonka henkilötiedoista on kyse.
Lisäksi NMRS luovuttaa henkilötietoja henkilötietojen käsittelijöilleen (esim. tietotekniikkatoimittajille).
Kuinka kauan säilytämme henkilötietoja?
NMRS säilyttää henkilötietoja niin kauan kuin henkilötiedot ovat välttämättömiä niiden keruu- ja käsittelytarkoitusta tai -tarkoituksia varten.
NMRS laatii henkilötietojen säilyttämistä koskevat sisäiset ohjeet ottaen huomioon NMRS:n oikeudelliset velvoitteet, kuten dokumentointi- ja tilintarkastusvaatimukset, sekä henkilötietojen säilyttämiseen liittyvät NMRS:n ja rekisteröityjen tarpeet ja edut.
NMRS:lle lähetettyihin työhakemuksiin sisältyviä henkilötietoja säilytetään 8 kuukautta hakuajan päättymisen jälkeen.
NMRS:llä on sopimus NMRS:n sähköisen asian- ja asiakirjahallintajärjestelmän siirtämisestä tallennettavaksi Tanskan kansallisarkistoon, minkä vuoksi myös henkilötietoja säilytetään arkistolainsäädännön mukaisesti.
Mitä oikeuksia sinulla on rekisteröitynä?
Rekisteröitynä sinulla on yleisen tietosuoja-asetuksen 15–21 artiklan mukaisesti useita oikeuksia, jotka liittyvät NMRS:n suorittamaan henkilötietojen käsittelyyn. Jos haluat käyttää oikeuksiasi rekisteröitynä, ota yhteyttä NMRS:ään käyttämällä kohdassa 10 annettuja yhteystietoja.
Yleisen tietosuoja-asetuksen mukaan sinulla on seuraavat oikeudet:
- oikeus tutustua NMRS:n käsittelemiin sinua koskeviin tietoihin ja erilaisiin lisätietoihin
- oikeus saada itseäsi koskevat virheelliset tiedot oikaistuksi
- oikeus saada erityistapauksissa sinua koskevat tiedot poistetuksi ennen NMRS:n yleisesti tekemää tietojen poistamista
- oikeus tietyissä tapauksissa rajoittaa henkilötietojesi käsittelyä NMRS:ssä siten, että NMRS käsittelee tietoja jatkossa – säilytystä lukuun ottamatta – vain suostumuksellasi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi, yksilön suojelemiseksi tai tärkeän yleisen edun vuoksi, joihin myös arkistointitarkoitukset luetaan
- oikeus tietyissä tapauksissa vastustaa sitä, että NMRS käsittelee henkilötietojasi, vaikka se muutoin on laillista
- oikeus tietyissä tapauksissa saada kopio henkilötiedoistasi tai oikeus saada henkilötietosi siirrettyä suoraan NMRS:ltä toiselle rekisterinpitäjälle (oikeus siirtää tiedot järjestelmästä toiseen).
Jos henkilötietojesi käsittely NMRS:ssä perustuu suostumukseesi, voit peruuttaa suostumuksesi milloin tahansa ottamalla yhteyttä NMRS:ään käyttämällä jäljempänä kohdassa 10 annettuja yhteystietoja. Jos päätät peruuttaa suostumuksesi, päätös ei vaikuta peruuttamisajankohtaa edeltäneen NMRS:n henkilötietojen käsittelyn laillisuuteen, joka perustui aiemmin antamaasi suostumukseen. Jos siis peruutat suostumuksesi, peruutus tulee voimaan vasta kyseisestä hetkestä alkaen.
NMRS:n yhteystiedot
Voit ottaa yhteyttä NMRS:ään kirjoittamalla sähköpostia osoitteeseen personoplysninger@norden.org, jos haluat käyttää edellä kohdassa 9 kuvattuja oikeuksiasi tai jos sinulla on kysyttävää NMRS:n tietosuojakäytännöstä.
Jos haluat valittaa henkilötietojesi käsittelystä NMRS:ssä, voit kirjoittaa NMRS:n tietosuojavastaavalle Christian Søndergaard Christensenille sähköpostia osoitteeseen chrson@norden.org.
Tietosuojakäytännön muutokset
NMRS:n tietosuojakäytäntöä päivitetään säännöllisesti. Viimeksi tietosuojakäytäntöä päivitettiin 30. toukokuuta 2024.