LUPAPISTE DATASKYDDSBESKRIVNING

1. PERSONUPPGIFTANSVARIG OCH KONTAKTINFORMATION

Cloudpermit Oy (organisationsnummer: 2795153–5) Adress: Salomonkatu 17 A, 00100 Helsingfors

E-post: tuki@lupapiste.fi Telefon: 0207 88 9000

Dataskyddsombud: Niina Syrjärinne

E-post: niina.syrjarinne@cloudpermit.com

2. PERSONUPPGIFTANSVARIGAS OCH PERSONUPPGIFTBITRÄDENS ROLL

Cloudpermit Oy

Cloudpermit Oy fungerar som personuppgiftsbiträde för kommuner och städer i tjänsten Lupapiste och Lupapiste Kauppa i fråga om personuppgifter som rör tillståndsprocesser. Cloudpermit Oy fungerar som personuppgiftsansvarig i fråga om användarprofiler och användningsloggdata i tjänsten Lupapiste.

Kommuner och städer

Kommuner och städer är registeransvariga när det gäller personuppgifter relaterade till bygglovsprocesser. Detta innebär att de är ansvariga för behandlingen och lagligheten av dina personuppgifter även när dessa uppgifter behandlas i Lupapiste-tjänsten eller Lupapiste Kauppa.

Denna dataskyddsbeskrivning förklarar behandlingen av dina personuppgifter i samband med användarprofiler och användningsloggdata i Lupapiste-tjänsten som tillhandahålls av Cloudpermit Ltd. Om du vill veta mer om behandlingen av dina personuppgifter i en kommuns eller stads bygglovsprocess, vänligen kontakta kommunen eller staden i fråga.

3. ÄNDAMÅL OCH RÄTTSLIG GRUND FÖR BEHANDLING AV PERSONUPPGIFTER

3.1 Användarprofil

Ändamål med behandlingen:

• Skapande och underhåll av användar-ID
• Användaridentifiering i tjänsten
• Kopiering av data för tillståndsprocesser av användaren
• Tillhandahållande av tjänsten till användaren

Rättslig grund: Behandlingen av personuppgifter baseras på ett avtal mellan användaren och Cloudpermit Ltd (GDPR artikel 6.1 b).

3.2 Användningslogg

Ändamål med behandlingen:

• Säkerställa tjänstens tekniska funktionalitet
• Upptäcka och utreda personuppgiftsincident
• Övervakning av efterlevnaden av avtalsenliga skyldigheter
• Utveckla tjänsten

Rättslig grund: Behandlingen av personuppgifter baseras på den personuppgiftsansvarigas berättigade intresse av att säkerställa efterlevnaden av sina avtalsenliga skyldigheter samt tjänstens säkerhet och tekniska funktionalitet (GDPR artikel 6.1 f).

4. PERSONUPPGIFTER OCH DATAKÄLLOR SOM SKA BEHANDLAS

4.1 Användarprofil

Uppgifter som behandlas:

• Namn
• Adress
• Personbeteckning
• Telefon
• E-post
• Lösenord (krypterat)

Uppgifter som behandlas för byggnadsarbetare: information om yrkeskvalifikationer, meritförteckning, examensbevis och intyg relaterade till kvalifikationer, inklusive personens anställningshistorik och personuppgifter relaterade till yrkeskvalifikationer.

Datakällor:

• När användaren registrerar sig för tjänsten anger hen sitt namn, sin adress, e-postadress och telefonnummer och skapar ett lösenord.
• Vid registreringen hämtas vissa personuppgifter (namn, personbeteckning, adress) från Befolkningsdatasystemet hos Digital- och befolkningsdatatjänst med användarens samtycke genom Suomi.fi-autentisering.
• Byggnadsarbetare anger själva sina yrkesuppgifter (information om yrke, FISE-kvalifikation) i tjänsten och laddar upp sin meritförteckning, examensbevis och andra intyg som rör deras kvalifikationer.

4.2 Användningslogg

Behandlade uppgifter:

• Användar-ID
• IP-adress
• Inloggningstid
• Åtgärder relaterade till användningen av tjänsten (t.ex. nedladdning, redigering, radering av dokument, behandling av licensansökningar)
• Sessionens varaktighet
• Använd webbläsare och enhet

Datakälla: Uppgifterna samlas in automatiskt när tjänsten används.

4.3 Chatbot

Lupapiste-tjänsten använder en chatbot för att stödja kundtjänsten, som instruerar kunderna att inte ange personuppgifter i boten. Kunderna kan dock välja att lämna sina personuppgifter till chatboten om de så önskar. Lupapiste fungerar som personuppgiftsansvarig för dessa personuppgifter och behandlar dem i syfte att tillhandahålla kundservice. De uppgifter som kunden anger raderas inom sex månader.

5. MOTTAGARE OCH ÖVERFÖRING AV PERSONUPPGIFTER

Personuppgifter kan lämnas ut i följande situationer:

Tjänsteleverantörer: Cloudpermit Ltd använder IT-tjänsteleverantörer och datacentertjänsteleverantörer i sin verksamhet, som kan behandla personuppgifter på uppdrag av Cloudpermit Ltd. Dessa operatörer fungerar som personuppgiftsbiträden och har ett avtalsförhållande med Cloudpermit Ltd.

Myndigheter: Uppgifter kan lämnas ut till myndigheter i situationer där detta krävs enligt lag.

Tillståndsprocesser: När användare anger sina uppgifter i tillståndsansökningar överförs uppgifterna till kommunens eller stadens register, där kommunen eller staden agerar som personuppgiftsansvarig.

6. ÖVERFÖRING AV UPPGIFTER UTANFÖR EU ELLER EES

Personuppgifter kan överföras utanför EU eller EES under begränsade omständigheter, till exempel vid användning av molntjänster eller teknisk support. Dataöverföringar utförs i enlighet med kapitel V i EU:s allmänna dataskyddsförordning, med följande skyddsåtgärder:

• EU-US Data Privacy Framework-beslut för amerikanska företag som har åtagit sig att följa ramverket: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en
• Standardavtalsklausuler godkända av Europeiska kommissionen (Standard Contractual Clauses): https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

7. LAGRINGSTID FÖR PERSONUPPGIFTER

Användarprofil: Användarprofildata förvaras så länge användarkontot är aktivt. Användare kan när som helst radera sina konton, varvid uppgifterna raderas om det inte finns någon laglig skyldighet att lagra dem.

Användningslogg: Användningsloggdata förvaras i allmänhet i sju (7) år från datumet för loggningen. Loggdata som rör utredning av dataintrång kan förvaras under en längre period om det är nödvändigt för att uppfylla lagkrav.

8. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING

Luvapiste-tjänsten utför inte automatiserat beslutsfattande eller profilering enligt artikel 22 i GDPR.

9. BEHANDLING AV PERSONUPPGIFTER OM KUNDER SOM HAR SPÄRRMARKERING

Lupapiste-tjänsten kontrollerar eller begränsar inte automatiskt behandlingen av uppgifter om personer som har spärrmarkering. Om en person som har en spärrmarkering anger sina personuppgifter i tjänsten trots säkerhetsförbudet kommer deras uppgifter att behandlas på samma sätt som andra användares uppgifter i enlighet med denna dataskyddsbeskrivning.

Personer som har en spärrmarkering bör vara medvetna om att inmatning av sina uppgifter i Lupapiste-tjänsten kan leda till att uppgifterna blir synliga i tillståndsprocesser och dokument som kan vara offentliga eller lämnas ut till tredje part i samband med officiella aktiviteter. Personer som omfattas av säkerhetsrestriktioner rekommenderas att kontakta relevant kommun- eller stadsmyndighet innan de anger sina uppgifter i tjänsten.

Om du har en spärrmarkering ska du inte ange dina personuppgifter i Lupapiste. Instruktioner för kunder med spärrmarkering som använder Lupapiste finns här.

10. DATASÄKERHETSÅTGÄRDER

Cloudpermit Oy har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig åtkomst, ändring, avslöjande, förstörelse och förlust. Åtgärderna för datasäkerhet omfattar bland annat följande:

• Åtkomstkontroll: Personuppgifter kan endast nås av personer som har rätt att göra det på grund av sina arbetsuppgifter.
• Kryptering: Personuppgifter krypteras under överföring och lagring med hjälp av lämpliga krypteringsmetoder.
• Användaridentifiering: Inloggning på tjänsten kräver stark autentisering.
• Loggövervakning: Systemanvändningen övervakas med hjälp av loggdata.
• Hantering av spärrmarkeringar: Processer finns på plats för att upptäcka och reagera på säkerhetsöverträdelser.
• Personalutbildning: Personal som hanterar personuppgifter utbildas i dataskydd och datasäkerhet.
• Regelbundna granskningar: Effektiviteten hos datasäkerhetsåtgärderna utvärderas och testas regelbundet.

Datasäkerhetsåtgärderna uppdateras kontinuerligt för att återspegla den tekniska utvecklingen och identifierade risker.

11. Kakor och liknande teknik

Kakor är små textfiler som lagras i användarens webbläsare. Vi använder endast kakor på vår webbplats som är tekniskt nödvändiga för att webbplatsen och tjänsten ska fungera. Dessa inkluderar till exempel kakor som behövs för att upprätthålla sessionen och säkerställa tjänstens säkerhet. De nödvändiga cookies vi använder är följande:

• Sessionskakor (_HOST-lupapistunto): möjliggör navigering inom tjänsten och upprätthåller den inloggade sessionen. Kakan raderas när webbläsaren stängs.
• Säkerhetskakor (t.ex. anti-csrf-token): förhindrar missbruk och säkerställer säkerheten för formulär- och förfrågningstrafik.

Eftersom vi endast använder dessa nödvändiga kakor begär vi inte separat samtycke för dem. Användningen av kakor baseras på berättigat intresse och nödvändigheten av att tillhandahålla tjänsten (e-integritetsdirektivet och dataskyddslagstiftningen).

Om du vill kan du blockera användningen av kakor i dina webbläsarinställningar. Observera dock att radering eller blockering av nödvändiga kakor kan påverka tjänstens funktionalitet.

12. DEN REGISTRERADES RÄTTIGHETER

Du har följande rättigheter när det gäller behandlingen av dina personuppgifter:

12.1 Rätt till tillgång (artikel 15 i GDPR)

Du har rätt att få information om huruvida dina personuppgifter behandlas och, om så är fallet, rätt att få tillgång till dina personuppgifter och erhålla en kopia av de personuppgifter som behandlas.

12.2 Rätt till rättelse (artikel 16 i GDPR)

Du har rätt att begära att dina felaktiga eller oriktiga personuppgifter rättas utan onödigt dröjsmål. Du kan uppdatera din användarprofil direkt i tjänsten.

12.3 Rätt till radering (artikel 17 i GDPR)

Du har rätt att begära radering av dina personuppgifter under vissa omständigheter, till exempel när uppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller när du återkallar ditt samtycke.

12.4 Rätt till begränsning av behandling (artikel 18 i GDPR)

Du har rätt att begära begränsning av behandlingen av dina personuppgifter i vissa situationer, till exempel när du bestrider riktigheten i dina personuppgifter.

12.5 Rätt att göra invändningar (artikel 21 i GDPR)

Du har rätt att invända mot behandlingen av dina personuppgifter när behandlingen baseras på ett berättigat intresse. Cloudpermit Ltd kan dock fortsätta behandlingen om företaget kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än dina intressen.

12.6 Rätt att överföra data från ett system till ett annat (GDPR artikel 20)

Du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig.

12.7 Rätt att lämna in ett klagomål till en tillsynsmyndighet (GDPR artikel 77)

Du har rätt att lämna in ett klagomål till en tillsynsmyndighet om du anser att behandlingen av dina personuppgifter strider mot GDPR.

Dataskyddsombudsmannens kontor: Besöksadress: Lintulahdenkuja 4, 00530 Helsingfors Postadress: PB 800, 00531 Helsingfors

Tel: 029 566 6700 E-psot: tietosuoja@om.fi Webbplats: www.tietosuoja.fi

12.8 Utövande av dina rättigheter

Du kan utöva dina rättigheter genom att kontakta den personuppgiftsansvarige via ovanstående kontaktuppgifter. Vi ber dig att skicka in din begäran skriftligen och att styrka din identitet. Vi kommer att besvara din begäran så snabbt som möjligt och i regel inom en månad efter att vi mottagit den.

Denna dataskyddsbeskrivning uppdaterades den 16 januari 2026.