Avgörandeverksamhetens dataskyddsbeskrivning

EU:s dataskyddsförordning: artiklarna 12, 13, 14 och 30
Datum för upprättande 25.5.2018
Uppdaterad 30.8.2024

Personuppgiftsansvarig

Kontaktperson, dataskyddsombud

Besvärsnämnden för olycksfallsärenden
FO-nummer: 0457895-0
adress: PB 10, 00581 Helsingfors
telefon: 09 228 5050
e-post: tl(at)tapaturmalautakunta.fi

Mari Valakari
adress: PB 10, 00581 Helsingfors
e-post: tl(at)tapaturmalautakunta.fi

Ändamålet med behandlingen av personuppgifter och rättslig grund för behandlingen

Ändamålet med behandlingen av uppgifterna i registret över avgörandeverksamheten är att behandla anhängiga och avgjorda besvärsärenden. Personuppgifter behandlas också i syfte att behandla informationsbegäranden med anknytning till avgörandeverksamheten.

Behandlingen av personuppgifter grundar sig på fullgörandet av lagstadgade skyldigheter.
Lagarna i fråga är bl.a. följande:
• lagen om besvärsnämnden för olycksfallsärenden (1316/2010)
• lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015)
• lagen om rättegång i förvaltningsärenden (808/2019)
• lagen om offentlighet i myndigheternas verksamhet (621/1999)
• lagen om offentlighet vid rättegång i förvaltningsdomstolar (381/2007)
• dataskyddslagen (1050/2018)
• EU:s dataskyddsförordning (2016/679)

Grunden för behandling av särskilda kategorier av personuppgifter är 6 § i dataskyddslagen (1050/2018), där det föreskrivs att artikel 9.1 i dataskyddsförordningen inte tillämpas på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag.

För att nämnden ska kunna avgöra ett besvärsärende ska den registrerade lämna in behövliga personuppgifter i enlighet med lagen om rättegång i förvaltningsärenden (808/2019). Besvärsärendet kan inte behandlas utan behövliga personuppgifter.

Registrerade och personuppgifter

Registret innehåller information om vem som är ändringssökande i ett ärende och vem som är den försäkrade. Ändringssökanden kan vara en privatperson eller ett företag. Den försäkrade är den vars skadefall det är fråga om. I de flesta fall är den försäkrade själv också ändringssökande.

Kategorier av personuppgifter med anknytning till ett besvärsärende

De försäkrade:
• namn, personbeteckning, adress, eventuella övriga kontaktuppgifter, yrke, uppgift om eventuell spärrmarkering, diarienummer, språk, skadedag, försäkringsanstaltens ärendenummer och övriga uppgifter som hänför sig till skadan, eventuella av besvärshandlingarna och av handlingar som produceras i avgörandeverksamheten framgående uppgifter om hälsan och den ekonomiska situationen samt i 24 § i offentlighetslagen avsedda eventuella övriga uppgifter som ingår i besvärshandlingarna

Företagens kontaktpersoner:
• kontaktpersonens namn, titel, arbetsgivare, kontaktuppgifter

De ändringssökandes ombud och intressebevakare:
• namn, kontaktuppgifter, fullmakt, uppgift om eventuell spärrmarkering

Handläggarna vid försäkringsanstalterna:
• namn, kontaktuppgifter, arbetsgivare

Personer som handlagt ärendet i nämnden:
• namn, roll, e-postadress, uppgifter som hänför sig till ärendets behandling

Medlemmar som deltagit i beslutsfattandet:
• namn, roll, e-postadress, uppgifter som hänför sig till ärendets behandling

Övriga personer som nämns i besvärshandlingarna:
• namn, eventuellt yrke, arbetsgivare, kontaktuppgifter samt övriga personuppgifter som lämnats in för behandling av ärendet

Registret innehåller dessutom uppgifter om dem som sänt in informationsbegäranden samt kommunikationen i ärendet.

Telefonnummer som anknyter till inkommande samt utgående samtal registreras i nämndens telefonsystem. Samtalen spelas inte in.

Uppgiftskällor

Uppgifterna fås ur de handlingar som kommer in till nämnden: besvärsskriften, anknytande handlingar och tilläggsutredningar. De här handlingarna fås från den ändringssökandes försäkringsanstalt. Dessutom kan uppgifter begäras hos aktörer som nämns i 252 § i lagen om olycksfall i arbetet och om yrkessjukdomar, t.ex. verksamhetsenheter för hälso- och sjukvården. Om uppgifter som rör en ändringssökande fås från de här aktörerna, skickas ett skriftligt meddelande om saken till ändringssökanden eller till ett eventuellt ombud eller en eventuell intressebevakare.

Dessutom kan uppgifter erhållas direkt från ändringssökanden eller dennes ombud eller intressebevakare.

I en tjänst som Myndigheten för digitalisering och befolkningsdata förvaltar kan man vid behov kontrollera uppgifter som behövs för behandlingen.

Utlämnande av personuppgifter och personuppgiftsbiträden

Uppgifter lämnas ut till parter. Andra förutsätts i regel ha en fullmakt som en part gett.

På begäran kan uppgifter lämnas ut till försäkringsdomstolen, som har rätt att få handlingar av nämnden med tanke på sin beslutsprocess. Personuppgifter kan också i andra lagstadgade fall lämnas ut till myndigheter, t.ex. till riksdagens justitieombudsman och dataombudsmannens byrå.

Vad beträffar verksamheter som nämnden har lagt ut på entreprenad behandlas personuppgifter t.ex. av twoday Oy, som förvaltar ärendehanteringssystemet, av Somic Oy, som förvaltar telefonsystemet, av Microsoft, som producerar M365-tjänster, samt av Posti Group Oyj, som svarar för sändningen av delgivningar.

Överföring av personuppgifter

Uppgifter överförs i regel inte till länder utanför EU eller utanför Europeiska ekonomiska samarbetsområdet.

I fråga om uppgifter som behandlas inom Microsofts M365-tjänster kan uppgifter överföras till länder utanför EU eller utanför Europeiska ekonomiska samarbetsområdet. Från och med 10.7.2023 överförs uppgifter på grundval av Europeiska kommissionens beslut om adekvat skyddsnivå (likvärdighetsbeslut). Efter att ha anslutit sig till ramverket för dataskydd mellan EU och USA har Microsoft förbundit sig till de avtalade skyddsåtgärderna.

Fram till 9.7.2023 var grunden för överföring de standardavtalsklausuler som infördes år 2021. Enligt 2023 års uppdatering av avtalet om uppgiftsbehandling följer Microsoft Europeiska ekonomiska samarbetsområdets dataskyddslagstiftning när det gäller insamling, användning, överföring, lagring och annan behandling av personuppgifter som härrör från Europeiska ekonomiska samarbetsområdet. På all överföring av personuppgifter till ett tredjeland eller till en internationell organisation tillämpas de lämpliga skyddsåtgärder som beskrivs i artikel 46 i dataskyddsförordningen, och sådana överföringar och skyddsåtgärder dokumenteras i enlighet med artikel 30.2 i dataskyddsförordningen.

Skydd av personuppgifter

Alla som behandlar material vilket ingår i registret har tystnadsplikt.

Nämnden har garderat sig mot de risker som behandlingen av personuppgifter är förknippad med, och materialet i registret är skyddat genom tekniska och organisatoriska åtgärder, t.ex. på nedan nämnda sätt:
• behandlingsanvisningar
• skydd av utrustningen
• användaridentifiering samt tilldelning och kontroll av åtkomstbehörighet
• registrering av transaktionerna, dvs. logguppgifterna
• skydd av kanalerna för informationsöverföring
• passerkontroll

Lagringstid för personuppgifter

Personuppgifter som ingår i registret bevaras tills vidare.

Undantag utgör sådana informationsbegäranden till vilka inget beslut av nämnden hänför sig. Sådana informationsbegäranden bevaras i tio år.

Lagringstiden för uppgifter som registreras i telefonsystemet är fem år.

Den registrerades rättigheter samt utövning av dem

Den registrerade kan utöva sina rättigheter genom att skicka en skriftlig begäran till nämnden.
Begäran sänds
• per e-post till adressen tl(at)tapaturmalautakunta.fi eller
• per post till adressen Besvärsnämnden för olycksfallsärenden, PB 10, 00581 Helsingfors

Det rekommenderas att e-postmeddelandet sänds krypterat. En anvisning för sändning av krypterad e-post finns på nämndens webbplats (se Kontaktuppgifter). Begäranden besvaras inom en månad efter det att den har tagits emot.

Nämnden ska kunna identifiera den person som utövar sina rättigheter.
Därför ska följande identifikationsuppgifter anges i begäran:
• namn
• adress
• personbeteckning
• diarienummer

1. Rätt till insyn, dvs. rätt till tillgång

Den registrerade har rätt att få veta vilka personuppgifter om honom eller henne som har registrerats i ett register. Han eller hon har rätt att be om en kopia av sina egna uppgifter.

2. Rätt till rättelse

Den registrerade har rätt att kräva att nämnden rättar inexakta och felaktiga personuppgifter som rör honom eller henne eller kompletterar ofullständiga personuppgifter.

3. Rätt till radering (”rätt att bli glömd”)

Rätten att bli glömd tillämpas inte, eftersom nämnden behandlar personuppgifter för att fullgöra rättsliga förpliktelser.

4. Rätt till dataportabilitet

Rätten att överföra uppgifter från ett system till ett annat tillämpas inte, eftersom behandlingen av personuppgifter inte grundar sig på samtycke eller på ett avtal.

5. Rätt till begränsning av behandlingen

Behandlingen begränsas på basis av en skriftlig anmälan som den registrerade gett in, om det inte finns någon sådan grund för att fortsätta behandlingen som väger tyngre än begränsningen. I begäran ska det anges på vilken grund begränsning av behandlingen begärs och, om möjligt, önskat slutdatum för begränsningen.

6. Rätt att göra invändning mot automatiserat beslutsfattande och mot profilering

Nämnden tillämpar inte automatiserat beslutsfattande och använder inte personuppgifter för vare sig profilering eller direktmarknadsföring.

7. Rätt att göra invändning mot behandlingen av uppgifter (”förbudsrätt”)

Rätten att göra invändning mot behandlingen tillämpas inte, eftersom nämnden behandlar personuppgifter för att fullgöra rättsliga förpliktelser.

8. Rätt att lämna in klagomål till dataskyddsmyndigheten

Den registrerade har rätt att lämna in klagomål till dataombudsmannens byrå, om han eller hon anser att behandlingen av personuppgifter som rör honom eller henne strider mot gällande dataskyddslagstiftning.

Uppdaterad 30.8.2024