logo

PRIVACY POLICY

Date: 23.05.2018

EU General Data Protection Regulation, Articles 13 and 14

1. Data controller

Finavia Corporation Business ID: 2302570-2

Street address: Lentäjäntie 3, 01530 Vantaa Postal address: PL 50, FI-01531 Vantaa, Finland Telephone (main line): 020 708 000

2. Contact Person(s) for filing system related matters

Jani Ceder, Head of APOC (Airport Operations Centre)

Tel. 020 708 3150

jani.ceder@finavia.fi

3. Data Protection Officer

Contact information of Data Protection Officer for Finavia Corp.: Email: tietosuojavastaava@finavia.fi

Telephone: 20 708 2828

4. Register

User register for Finavia Corporation’s AOS situational awareness system

5. Purpose of Processing of Personal Data and the Legal Basis for Data Processing

The purpose of the register is the storage and processing of personal data in order to enable access control for the AOS system and to enable real-time data messaging relating to the the airport operational status -- particularly in the event of disturbances or anomalies -- so that the employer of the users or recipients can conduct its business in an effective manner.


The legal basis for the processing of personal data, with respect to the personnel of the Finavia Group, is to enable the fulfilment of the legal rights of the employer stemming from the data subject’s labour contract or a service contract.


With regard to other data subjects, possible legal bases include:

  • Processing is necessary for compliance with a contract to which the data subject is party to (data subject has requested this service), or

  • Processing is necessary for compliance with a contract between Finavia Corporation and the data subject’s employer

(where Finavia Corporation provides a service which the employer of the data subject has requested)

6. Recipients of Personal Data

  1. Siili Solutions Oy (cloud service provider): The data is stored in a system hosted and maintained by Siili.

  2. Google (Google Cloud services): Storage of the user data of personnel employed by Finavia and Airpro / RTGGH, and user data of stakeholders’ (Google Firebase will send users push notifications)

  3. Microsoft App Center: For the purpose of distributing data to iOS mobile apps and Android apps, and to produce anonymous analyses regarding mobile-app use.

  1. Arena Interactive, to enable Arena Interactive to send text messages to users of the AOS system.

  2. Amazon SES, so that it can process and send e-mail messages to users of the AOS system.

  3. Sentry: Error messages for web- and mobile apps

7. Data Contents of the register

The following data about a person is stored:

  • Identifier used to identify a user

  • Personal contact information:

    • Last name

    • First name(s)

    • Title (e.g. CEO)

    • Organisation

    • E-mail address

    • Mobile phone number

    • User icon for his/her personal profile

  • What user group the person is a member of: on the basis of this information, the person can receive messages and obtain access rights to the system.

  • Recordings and content, events, checklist, and message content that are associated with a given situational picture, and of which the person in question is the creator, modifier or recipient.

    For the purpose of troubleshooting error conditions, the system automatically collects certain information into an error logfile:

  • The messages, and

  • Statistical data concerning system use (e.g. user’s IP address, browser, terminal device, operating system, ID of device in use) which can be used, apart from or in combination with other data to identify a natural person.

8. Data Sources

With regard to those employed by the Finavia Group:

Data is partly collected from the person him-/herself, or the subscriber to the service,

partly from that register of Finavia Corp. or one of its subsidiaries in which data associated with the data subject’s employment relationship is stored.

With regard to stakeholders outside the Finavia Group:

Data is collected from the subscriber to the service, who may be the data subject him-/herself or a representative of the employer.

A person can be assigned, upon his/her request, to user groups that define which data is distributed in different situations.

9. Disclosure of Data and Transfer of Data to the Countries Outside of the European Union or the European Economic Area

Personal data is transferred to the United States according to the Privacy Shield Framework requirements:

  • To Arena Interactive, to enable text message delivery to users of the service,

  • to Amazon SES, to enable the processing and delivery of emails to users of the service, and

  • to Sentry (Functional Software Inc.), to enable delivery of an error log to the user of the service in error situations

All aforementioned recipients have joined the Privacy Shield Framework that sets out the mutually accepted Data Transfer mechanisms between the EU and the United States.

10. Data Retention Period

Finavia Corporation will retain personal data in accordance with the legislation in force and only as long as necessary for the purposes specified in this Privacy Policy. However, personal data may be stored for a period longer than the aforementioned period due to the obligations under applicable law.

We will take reasonable measures to keep the personal data we possess accurate by deleting unnecessary data and updating outdated data. Data will be entered in the register as obtained from the data subject and will be updated to reflect the information provided by the data subject to the data controller.

If the user has not logged into the AOS service during the last year, his/her username will be automatically erased. Upon request by the user to discontinue his/her access rights to the system or to terminate the message transmission service, the username will be deleted without undue delay.

The erasure of personal data of those external users whose access rights are bound to organizational data (of their employer), the data will be erased on the expiry date of the respective organization.

Personal data of Finavia Group’s personnel will be erased from AOS after the expiration of employment within 6 days from disabling the user account in the Windows domain user database (Active Directory).

11. Data Protection Principles

Data shall be stored in electronic systems protected by firewalls, passwords, and other appropriate technical solutions. Only designated persons employed by Finavia Corporation and other designated persons who need the data to perform their duties, will have access to the register. Anyone having access to the data in the register shall be bound by the professional secrecy.


Finavia Corporation will comply with strict data security requirements in the management and control of access to its IT systems. Employees who process the data contained in this register as part of their duties will receive regular training and instruction concerning data protection and data security matters.

12. Right of Access and its Implementation

After having supplied sufficient search criteria, the data subject shall have the right to know what data concerning to him/her has been recorded in this register, or that the register does not contain his/her personal data. At the same time, the data controller, shall provide the data subject with information about the regular sources of data, the use of data in the register, and the regular destinations of disclosed data.


The data subject, who wishes to inspect personal data concerning him/her in the manner described above, must submit a request to this effect to the contact person indicated in section 2 of this Privacy Policy by a personally signed or otherwise comparably verified document.

13. Right to Data Portability

After the data subject has submitted personal data concerning him/her to the data controller in a structured, commonly used, and machine-readable format, the data subject shall have the right to transmit personal data concerning him/her to another data controller where;

  1. The data processing is based on the data subject's consent or a contract between the data controller and the data subject, and;

  1. The processing is carried out by automated means, and;

  2. If the transmission is technically possible.

14. Right to Withdraw Consent

If the processing of personal data is based on the data subject's consent, the data subject shall have the right to withdraw his/her consent at any time. The consent withdrawal request must be submitted by a personally signed or otherwise comparably verified document, which should be submitted via email to the person indicated in section 2 of this Privacy Policy. However, the processing of data that took place before the withdrawal of consent will remain lawful, even if consent is withdrawn.

15. Rectification, Deletion and Restriction of Processing of Data

The data controller shall, without undue delay on its own initiative or at the request of the data subject, rectify, delete, or supplement inaccurate, unnecessary, incomplete, or outdated personal data in the register for the purpose of processing. The data controller shall also prevent the dissemination of such data if the data could compromise the data subject's privacy protection or his/her rights.

At the data subject's request, the data controller shall restrict the processing of data if the data subject has contested the accuracy of his/her personal data, or if the data subject has claimed that the processing of data is unlawful, and has opposed the erasure of the personal data and requests the restriction of their use instead. The data controller shall also restrict the processing of data when the data controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims. In addition, the data controller shall restrict the processing of data, if the data subject has objected to the processing of personal data pursuant to the General Data Protection Regulation, and while a determination in pending the verification whether the legitimate grounds of the data controller override those of the data subject. If the data controller has restricted the processing for the aforementioned grounds, the data controller shall inform the data subject before the restriction of processing is lifted.

The requests for rectification shall be submitted to the contact person indicated in section 2 of this Privacy Policy.

16. Right to Lodge a Complaint

The data subject shall have the right to lodge a complaint with a supervisory authority in case Finavia Corporation has not complied with applicable data protection regulations.

17. Communications

The data subject shall send the requests concerning his/her rights in writing or by email to the contact person indicated in section 2 of this Privacy Policy.

Finavia Corporation may request the data subject to specify the request and verify his or her identity before processing the request. Finavia Corporation may refuse to execute the request based on the provisions of applicable law.

Finavia Corporation will respond to the requests within one (1) month of receiving the request, unless there are special reasons to change the response time.

18. Automated Decision-Making and Profiling

The data in the register shall not be used for automated decision-making or profiling the data subjects.

19. Right to Object by the Data Subject

The data subject has the right to object to the processing of their personal data by the data controller or a third party based on legitimate interests, in accordance with Article 21 of the EU General Data Protection Regulation (GDPR).

20. Changes to Privacy Policy

Finavia Corporation is continuously developing its business, and therefore reserves the right to change this Privacy Policy by posting a notification of changes on its website. The changes to the Privacy Policy may also be based on the legislative changes. Finavia Corporation recommends that the data subjects check the contents of the Privacy Policy on a regular basis.



TIETOSUOJASELOSTE

päivämäärä: 23.05.2018

EU:n yleinen tietosuoja-asetus, artiklat 13 ja 14


1. Rekisterinpitäjä

Finavia Oyj

Y-tunnus: 2302570-2

Käyntiosoite: Lentäjäntie 3, 01530 Vantaa

Postiosoite: PL 50, 01531 Vantaa

Puhelin (vaihde): 020 708 000

2. Yhteyshenkilö(t) rekisteriin liit-tyvissä asioissa

Jani Ceder, Head of APOC (Airport Operations Centre)

p. 020 708 3150

jani.ceder@finavia.fi

3. Tietosuojavastaava

Finavia Oyj:n tietosuojavastaavan yhteystiedot: Sähköposti: tietosuojavastaava@finavia.fi Puhelin: 020 708 2828

4. Rekisterin nimi

Finavia Oyj:n AOS-tilannekuvajärjestelmän käyttäjärekisteri

5. Henkilötietojen käsittelytarkoi-tus ja käsittelyn oikeusperuste

Rekisterin käyttötarkoituksena on säilyttää ja käsitellä henkilötietoja, jotta AOS-tilannekuvajärjestelmään voidaan antaa käyttöoikeuksia ja jotta sen avulla voidaan lähettää ajantasaista tietoa len-toaseman toiminnasta, erityisesti häiriö ja poikkeustilanteissa, jotta käyttäjien tai vastaanottajien työnantaja voi harjoittaa liiketoimintaansa tehokkaasti.


Henkilötietojen käsittelyn oikeusperuste Finavia konsernin henkilö-kunnan osalta on rekisteröidyn työ- tai muusta palvelussuhteesta johtuvien työnantajan oikeuksien toteutumisen mahdollistaminen.


Muiden rekisteröityjen osalta oikeusperuste on sellaisen sopimuk-sen täytäntöönpano, jossa rekisteröity on osapuolena, tai Finavian asiakkailleen tarjoaman palvelun tilaus tai muu palvelun antamista koskeva sopimus rekisteröidyn työnantajan kanssa.

6. Henkilötietojen vastaanottajat

  1. Siili Solutions Oy (pilvipalvelu): Tiedot tallennetaan Siilin yl-läpitämään järjestelmään.

  2. Google (Google Cloud pilvipalvelu): Finaviaan, Airpro:n / RTGGH:n palvelussuhteessa olevien henkilöiden sekä sidos-ryhmien käyttäjätietojen tallentaminen (Google Firebase lähettää käyttäjille push ilmoituksia)

  3. Microsoft App Center: iOS- ja Android-mobiilisovellusten jakelua varten ja mobiilisovelluksen käyttöä koskevien ano-nyymien analyysien tuottamiseksi.

  4. Arena Interactive, jotta se voi lähettää sms-viestejä AOS-järjestelmän käyttäjille.

  5. Amazon SES, jotta se voi käsitellä ja lähettää sähköpostiviestejä AOS-järjestelmän käyttäjille.

  6. Sentry: Verkko- ja mobiilisovelluksen virheilmoitukset

7. Rekisterin tietosisältö

Henkilöstä tallennetaan seuraavat tiedot:

  • Käyttäjän tunnistamiseen käytettävä tunnistetieto

  • Henkilön yhteystiedot:

    • Sukunimi

    • Etunimi / (etunimet)

    • Nimike (esim. toimitusjohtaja)

    • Organisaatio

    • Sähköpostiosoite

    • Matkapuhelinnumero

    • Käyttäjän kuvake omaa profiilia varten

  • Henkilön kuuluminen käyttäjäryhmään, jonka perusteella voi vas-taanottaa viestejä sekä saada käyttöoikeuksia sovelluksessa

  • Tilannekuvaan liittyvät tallenteet ja sisältö, tapahtumat, tarkas-tuslista, viestien sisältö, jonka luojana, muokkaajana tai vastaanot-tajana henkilö on.

  • Käyttäytymistiedot: Viestit virhetilanteissa sekä käyttötilastot, jotka voidaan yhdistää yksin tai yhdessä osaksi henkilötietoa esim. IP-osoite, selain, päätelaite, käyttöjärjestelmä, päätelaitteen tun-niste.

8. Tietolähteet

Finavia konsernin palveluksessa olevien osalta:

Osittain henkilöltä itseltään tai palvelun tilaajalta, osittain Finavia Oyj:n tai sen tytäryhtiön siitä rekisteristä, jossa rekisteröidyn palve-lussuhteeseen liittyviä tietoja säilytetään.


Finavia konsernin ulkopuolisten osalta tiedot saadaan palvelun käytön tilaajalta, joka voi olla rekisteröity itse tai työnantajan edustaja.


Henkilö lisätään pyydettäessä käyttäjäryhmiin, joiden kautta jae-taan tietoa eri tilanteista.

9. Tietojen luovutukset ja tietojen siirto Euroopan unionin tai Euroopan talousalueen ulkopuoli-siin maihin

Henkilötietoja siirretään EU:n ja Yhdysvaltain välisiä Privacy Shield –järjestelyjä käyttäen:

  • Arena Interactive, jotta se voi lähettää sms-viestejä palvelun käyttäjille ja

  • Amazon SES, jotta se voi käsitellä ja lähettää sähköpostiviestejä palvelun käyttäjille

  • Sentrylle, jotta se voi virhetilanteissa lähettää virhelogin palvelun ylläpitäjälle

  • Em. siirron vastaanottajilla on Privacy Shield sertifikaatti.

10. Tietojen säilytysaika

Finavia Oyj säilyttää henkilötietoja voimassa olevan lainsäädännön mukaisesti ja vain niin kauan, kuin on tarpeen tässä tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi. Soveltuvan lainsäädännön velvoitteista johtuen tietoja voidaan joutua säilyttämään edellä mainittua ajanjaksoa pidempään.


Pyrimme kohtuullisin keinoin pitämään hallussamme olevat henki- lötiedot oikeellisina poistamalla tarpeettomia tietoja sekä päivittämällä vanhentuneita tietoja. Tiedot merkitään rekisteriin sellaisina kuin ne saadaan rekisteröidyltä ja niitä päivitetään sen mukaan, mitä rekisteröity ilmoittaa rekisterinpitäjälle.


Jos käyttäjä ei ole kirjautunut AOS:nviimeisen vuoden aikana, poistetaan hänen käyttötunnuksensa automaattisesti. Käyttäjän pyytäessä järjestelmän käyttöoikeuden poistoa tai sen lähettämien viestien välityksen päättämistä poistetaan hänen käyttäjätunnuksensa tästä rekisteristä ilman aiheetonta viivästystä.


Niiden ulkoisten käyttäjien, jotka on sidottu organisaatiotietoon, tietojen poistaminen tapahtuu organisaatiolle määritellyn päättymisajan mukaisesti.


Finavia konsernin henkilökunnan henkilötiedot poistetaan AOS:sta työsuhteen päättymisen jälkeen 6 päivän kuluessa siitä, kun henkilön käyttäjätiedot kytketään pois käytöstä Windows toimialueen (Active Directory) käyttäjätietokannassa.

11. Tietojen suojaamisen periaat-teet

Tämän rekisterin sisältämiä henkilötietoja suojataan teknisillä ja or-ganisatorisilla toimenpiteillä perusteetonta ja/tai laitonta pääsyä, muuttamista ja tuhoamista tai muuta käsittelyä vastaan mukaan lukien tämän rekisterin tietojen luvaton luovuttaminen ja siirto.


Tiedot säilytetään sähköisissä järjestelmissä, jotka ovat palomuu-rein, salasanoin ja muilla asianmukaisilla teknisillä ratkaisuilla suo-jattuja. Rekisterin käyttöoikeus on vain määrätyillä Finavia Oyj:n palveluksessa olevilla henkilöillä ja muilla määritellyillä henkilöillä, jotka tarvitsevat tietoja tehtävissään. Kaikilla, joilla on pääsy rekisterin tietoihin, sitoo vaitiolovelvollisuus.


Häiriötilanteiden varalle rekisterin tietoja säilytetään varatoimenpi-teenä myös sähköisenä rekisterinä järjestelmän ulkopuolella Finavian verkkoasemalla. Rekisterin käyttöoikeus on vain määrätyillä Finavia Oyj:n palveluksessa olevilla henkilöillä ja muilla määritellyillä henkilöillä, jotka tarvitsevat tietoja tehtävissään. Kaikilla, joilla on pääsy rekisterin tietoihin, sitoo vaitiolovelvollisuus.


Finavia Oyj noudattaa tarkkoja tietoturvavaatimuksia IT-järjestel-miensä pääsyhallinnassa ja pääsyn valvonnassa. Työntekijöitä, jotka osana työtehtäviään käsittelevät tämän rekisterin sisältämiä tietoja koulutetaan ja ohjeistetaan tietosuojaa ja tietoturvaa koske-vista asioista säännöllisesti.

12. Tarkastusoikeus ja sen toteut-taminen

Rekisteröidyllä on oikeus tiedon etsimiseksi tarpeelliset seikat il-moitettuaan saada tietää, mitä häntä koskevia tietoja tähän rekisteriin on tallennettu tai ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjä ilmoittaa samalla rekisteröidylle rekisterin sään-nönmukaiset tietolähteet sekä mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan.


Rekisteröidyn, joka haluaa tarkastaa itseään koskevat tiedot edellä kuvatulla tavalla, on esitettävä tätä tarkoittava pyyntö tämän tietosuojaselosteen kohdassa 2 ilmoitetulle yhteyshenkilölle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa.

13. Oikeus siirtää tiedot järjestelmästä toiseen

Kun rekisteröity on toimittanut rekisterinpitäjälle häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti lu-ettavassa muodossa, hänellä on oikeus saada siirrettyä häntä koskevat henkilötiedot toiselle rekisterinpitäjälle silloin, kun;


  1. käsittely perustuu rekisteröidyn suostumukseen tai rekisterinpitäjän ja rekisteröidyn väliseen sopimukseen, ja;

  2. käsittely suoritetaan automaattisesti, ja;

  3. jos siirto on teknisesti mahdollista.

14. Oikeus suostumuksen peruut-tamiseen

Mikäli henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, rekisteröidyllä on milloin tahansa oikeus peruut-taa antamansa suostumus. Suostumuksen peruutusta koskeva pyyntö on esitettävä omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa, joka tulee esittää sähköpostitse tämän tietosuojaselosteen kohdassa 2 mainitulle henki-lölle. Ennen suostumuksen peruuttamista tapahtunut henkilötietojen käsittely ei kuitenkaan muutu oikeudettomaksi, vaikka suostumus peruutetaan.

15. Tiedon korjaaminen, poistami-nen ja käsittelyn rajoittaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täyden-nettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheel-linen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan.


Rekisterinpitäjän on rekisteröidyn vaatimuksesta rajoitettava käsittelyä, mikäli rekisteröity on kiistänyt henkilötietojensa paikkansapi-tävyyden tai rekisteröity on esittänyt väitteen käsittelyn lainvastai-suudesta ja vastustanut henkilötietojensa poistamista ja vaatinut sen sijaan niiden käytön rajoittamista. Rekisterinpitäjän on rajoitettava käsittelyä myös silloin, kun rekisterinpitäjä ei enää tarvitse ky-seisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity ilmoittaa tarvitsevansa niitä oikeudellisen vaateen laatimiseksi, esit-tämiseksi tai puolustamiseksi. Lisäksi rekisterinpitäjän on rajoitettava käsittelyä silloin, kun rekisteröity on vastustanut henkilötietojen käsittelyä tietosuoja-asetuksen nojalla odottaessaan sen toden-tamista, syrjäyttävätkö rekisterinpitäjän oikeutetut käsittelyperus-teet rekisteröidyn esittämät perusteet. Jos rekisterinpitäjä on ra-joittanut käsittelyä edellä mainituilla perusteilla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.


Korjauspyynnöt tulee esittää tämän tietosuojaselosteen kohdassa 2 mainitulle yhteyshenkilölle.

16. Valitusoikeus

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontavi-ranomaiselle, mikäli Finavia Oyj ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.

17. Yhteydenotot

Rekisteröidyn tulee lähettää oikeuksiaan koskevat pyynnöt kirjalli-sena tai sähköpostitse tämän tietosuojaselosteen kohdassa 2 mainitulle yhteyshenkilölle.


Finavia Oyj voi pyytää rekisteröityä tarkentamaan pyyntöään ja var-mentamaan henkilöllisyyden ennen pyynnön käsittelemistä. Finavia Oyj voi kieltäytyä pyynnön toteuttamisesta sovellettavassa laissa säädetyllä perusteella.


Finavia Oyj vastaa pyyntöihin yhden (1) kuukauden sisällä pyynnön esittämisestä, ellei ole erityisiä syitä muuttaa vastaamisaikaa.

18. Automaattinen päätöksenteko ja profilointi

Rekisterin tietoja ei käytetä automaattiseen päätöksentekoon eikä rekisteröityjen profiloimiseen.

19. Rekisteröidyn vastustamisoikeus

Rekisteröidyllä on oikeus vastustaa rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun perustuvaa tietojensa käsittelyä EU:n yleisen tietosuoja-asetuksen 21 artiklan mukaisesti.

20. Tietosuojaselosteen muuttaminen

Finavia Oyj kehittää liiketoimintaansa jatkuvasti ja pidättää siksi oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä verkkosivustollaan. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Finavia Oyj suosittelee rekisteröityjä tutustumaan tietosuojaselosteen sisältöön säännöllisesti.