Beskrivning av behandlingen av personuppgifter i upphandlingsärenden
Beskrivning av behandlingsåtgärder som gäller personuppgifter
Dataskyddsförordningen (EU) 2016/679
version 1.3, 25.7.2023
Artikel 30 och artikel 32
1. Namn och kontaktinformation för den personuppgiftsansvarige, den personuppgiftsansvariges kontaktperson och dataskyddsombudet
Den personuppgiftsansvariges namn och kontaktinformation
Tullen
Besöksadress: Böle förvaltningscentrum, Semaforbron 12, 00520 Helsingfors
Postadress: PB 512, 00101 Helsingfors
E-post: kirjaamo(at)tulli.fi
Namn och kontaktinformation för den personuppgiftsansvariges kontaktperson: Upphandlingsdirektör Sirpa Reunanen-Alatalo
E-postadress: kirjaamo(at)tulli.fi
Dataskyddsombudets namn och kontaktinformation: Laura Ala-Hannula
E-postadress: tietosuoja(at)tulli.fi
2. Ändamål med behandlingen:
Ändamålet med behandlingen av personuppgifter är att genomföra Tullens upphandlingar och konkurrensutsättningar av offentliga upphandlingar enligt upphandlingslagstiftningen.
För att behandla anbud i sina upphandlingar behöver Tullen uppgifter bland annat om kontaktpersonerna för de anbudsgivare som deltar i upphandlingsförfarandena och straffregisterutdrag över ledande personer hos den vinnande anbudsgivaren. För Tullen är det nödvändigt att behandla också de uppgifter som finns i anbuden, såsom uppgifter om kontaktpersoner för de referenser som anbudsgivarna gett i sina anbud och om yrkeskompetens och erfarenhet hos de personer som anbudsgivaren meddelat i sitt anbud.
Tullen behöver kontaktinformation om anbudsgivarnas kontaktpersoner för att vara i kontakt med anbudsgivarna under upphandlingsförfarandet, till exempel då de delger upphandlingsbeslut till anbudsgivarna. Tullen begär att leverantörerna i sina anbud ger kontaktinformation för referensernas kontaktpersoner, så att Tullen kan granska referensuppgifternas riktighet. Tullen begär att leverantörerna i sina anbud namnger sakkunniga för det konkurrensutsatta uppdraget för att säkerställa att de centrala personerna är tillgängliga för Tullen under den tidpunkt som meddelats i anbudsbegäran. Uppgifterna i anbudet fogas till upphandlingsavtalet, varför Tullen har ett behov av att behandla personuppgifter som ingår i anbudet under giltighetstiden för upphandlingsavtalet för att verkställa avtalet. Anbud och andra upphandlingshandlingar sparas under tiden för konkurrensutsättningen i statens gemen-samma konkurrensutsättningstjänst (Cloudia Konkurrensutsättning/Hanki-tjänsten). Anbud och andra upphandlingshandlingar sparas också i Tullens avtalsregister och elektroniska arkiv.
Om en part söker ändring eller rättelse i ett beslut som gäller upphandling, är det nödvändigt för Tullen att behandla personuppgifter i de upphandlingshandlingar som är föremål för överklagan under tiden för processen för ändringssökande och för en eventuell rättslig behandling samt på det sätt som utfallet i ärendet förutsätter, till exempel genom att göra en ny anbudsjämförelse med anledning av ett domstolsbeslut.
Under avtalstiden använder Tullen statens gemensamma beställnings- och faktureringssystem Handi för att han-tera beställningar och betala fakturor (Handi--tjänsten, dataskyddsbeskrivningen för elektronisk beställning och behandling av dokument samt arkiveringssystemet). I beställningarna och fakturorna används faktureringsuppgif-ter enligt avtalet, vilka också kan innehålla personuppgifter om leverantören.
Grunden för behandlingen av personuppgifter
Grunden för behandlingen av personuppgifter är att Tullen ska fullgöra en rättslig förpliktelse och utföra en upp-gift som gäller ett allmänt intresse (artikel 6.1 c och e i allmänna dataskyddsförordningen).
Konkurrensutsättningar
I egenskap av en upphandlande myndighetsenhet är Tullen förpliktad att iaktta lagstiftningen om offentliga upp-handlingar, såsom lagen om offentlig upphandling och koncession (1307/2016, ”upphandlingslagen), lagen om upphandling och koncession inom sektorerna vatten, energi, transporter och posttjänster (1398/2016, ”upphandlingslagen för specialområden” och lagen om offentlig försvars- och säkerhetsupphandling (1531/2011).
Upphandlingar som överskrider vissa tröskelvärden ska med anledning av lagstiftningen konkurrensutsättas. Upp-handlingslagarna förpliktar att offentliga upphandlingar ska konkurrensutsättas. En upphandlande enhet kan ställa krav på den finansiella och ekonomiska situationen för kandidater och anbudsgivare, deras tekniska prestanda och yrkeskompetens. Om anbudsgivarna och kandidaterna inte uppfyller de fastställda kraven eller om de omfattas av de uteslutningsgrunder som lagts fram i upphandlingslagarna ska de uteslutas från anbudsinfordran.
Utöver lagstiftningen ska Tullen iaktta statsförvaltningens anvisningar och rekommendationer om offentliga upphandlingar, såsom statens upphandlingshandbok 2017, Tullens upphandlingsreglemente och Tullens interna an-visningar. Granskningen av straffregisterutdrag för personalen hos den valda anbudsgivaren baserar sig på upp-handlingslagarna och därtill på straffregisterlagen (770/1993). Lagen om beställarens utredningsskyldighet och ansvar vid anlitande av utomstående arbetskraft (1233/2006, ”beställaransvarslagen”) ålägger den upphandlande enheten att utreda om avtalsparterna fullgör sina lagstadgade skyldigheter som avtalsparter och arbetsgivare.
I anknytning till EU:s beslut (GUSP) 2022/578 har Finansministeriet därtill ålagt den upphandlande enheten att i sina upphandlingar beakta EU:s begränsande åtgärder, det vill säga sanktioner. Sanktionsgranskningarna gäller såväl företag som deras företrädare.
Övriga upphandlingar
Utöver det ovan nämnda har Tullen ett behov av att behandla personuppgifter i upphandlingar där de tröskelvärden som fastställts i upphandlingslagstiftningen inte överskrids eller som på grund av undantagsbestämmelserna om lagstiftningens tillämpningsområde ska konkurrensutsättas. Tullen har då en grund som baserar sig på utfö-rande av en uppgift av allmänt intresse att behandla personuppgifter i upphandlingen för att högklassigt och kost-nadseffektivt utföra Tullens lagbaserade uppgifter, då Tullen har ett behov av att förvissa sig om att de kvalitets-mässiga egenskaperna i anbudet är uppfyllda och vara i kontakt med anbudsgivarna. Tullens lagstadgade uppgifter omfattar bland annat
- skötsel av tullklarering och -beskattning
- övervakning av utrikestrafiken
- bekämpning av tullbrott
- statistikföring av utrikeshandel
- tullaboratorieundersökningar.
Andra behandlingssituationer
Behandlingen av personuppgifter baserar sig på lagstiftningen också i andra förfaranden för ändringssökande som gäller upphandlingsbeslut, granskningsförfaranden enligt statsbudgetslagstiftningen samt i behandlingen av begäranden om uppgifter som gäller upphandlingshandlingar.
Administrering av användarnamn
Personuppgifter som gäller Tullens personal behandlas för att administrera användarnamn för olika tjänster.
3. Beskrivning av kategorier av registrerade och kategorier av personuppgifter:
Uppgifter om anbudsgivarens kontaktpersoner
Personuppgifter som behandlas i fråga om anbudsgivarens kontaktpersoner:
- Namn
- Företrädd organisation och ställning i organisationen
- Kontaktinformation
Personuppgifter som ska behandlas i fråga om medlemmar av anbudsgivarnas förvaltnings-, lednings- eller tillsynsorgan eller personer som utövar representations-, besluts- eller tillsynsbefogenheter:
- Namn
- Företrädd organisation och ställning i organisationen
- De uppgifter som framgår av straffregisterutdraget
Uppgifter som samlas in under upphandlingsförfarandet
Personuppgifter som behandlas i fråga om de sakkunniga som namngetts i anbudet och eventuella personer som deltar i intervjuer i anknytning till bedömningar av anbud eller personbedömningar:
- Namn
- Företrädd organisation och ställning i organisationen
- Uppgifter om utbildning och yrkeskompetens, erfarenhet och andra egenskaper som är betydelsefulla för upphandlingsobjektet
Personuppgifter som behandlas i fråga om kontaktpersoner för de referenser som meddelats i anbudet:
- Namn
- Företrädd organisation och ställning i organisationen
- Kontaktinformation
- Uppgifter om referensen i fråga
Andra personuppgifter som ingår i anbuden eller som samlas in under upphandlingsförfarandet
Andra personuppgifter som ingår i anbuden eller som samlas in under upphandlingsförfarandet, såsom uppgifter i projekt- och genomförandeplaner rörande anbudsgivarens personal, uppgifter om revisorer i handelsre-gisterutdrag, prokurister och andra personer i anknytning till det budgivande företaget eller en underleverantör till det:
- Namn
- Företrädd organisation och ställning i organisationen
- Födelsetid
- Uppgifter om utbildning och yrkeskompetens, erfarenhet och andra egenskaper som är betydelsefulla för upphandlingsobjektet
Uppgifter som ingår i beställningar och fakturor
Uppgifter som ingår i beställningar och fakturor, uppgifter om kontaktpersoner, uppgifter som fakturerarens personal eller andra personer med koppling till faktureraren eller dess underleverantör:
- Namn
- Företrädd organisation
- Kontaktinformation
Uppgifter om tullens personal för administrering av användarnamn:
- Namn
- Kontaktinformation
4. Kategorier av mottagare av personuppgifter till vilka personuppgifter lämnats ut eller lämnas ut, inklusive mottagare i tredje länder eller internationella organisationer:
Uppgifter lämnas inte ut regelbundet till tredje parter. Uppgifter kan lämnas ut från fall till fall till aktörer som begär sådana i enlighet med lagen om offentlighet i myndigheternas verksamhet (621/1999). Myndigheternas uppgifter och handlingar är offentliga, såvida de inte uttryckligen sekretessbelagts i lagen.
Statens revisionsverk kan behandla personuppgifter som ingår i upphandlingshandlingar som en del av en granskning enligt statsbudgetslagen (423/1988) och de författningar som getts med stöd av den.
För att fullgöra sina lagstadgade skyldigheter och genomföra sina upphandlingar kan Tullen anlita sina avtalsparter som personuppgiftsbiträden. Personuppgifter behandlas enligt behov i Tullens eller dess avtalsparters informat-ionssystem, vars leverantörer också fungerar som personuppgiftsbiträden eller underbiträden.
I samband med konkurrensutsättningsprocesserna för offentliga upphandlingar behandlas personuppgifter bland annat i Hanki-konkurrensutsättningssystemet som administreras av Cloudia Oy och i beställnings- och faktureringssystemet Handi, som administreras av Palkeet.
Uppgifter kan lämnas ut också till Riksarkivet i den utsträckning som de förordnats att förvaras permanent där.
5. Vid behov uppgifter om överföring av personuppgifter till ett tredje land eller en internationell orga-nisation, inklusive information om vilket tredje land eller vilken internationell organisation det handlar om, och handlingar som gäller ändamålsenliga säkerhetsåtgärder vid överföring enligt artikel 49.1.2:
Uppgifter överförs inte till områden utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
6. De planerade tidsfristerna för förvaring och radering av olika kategorier av uppgifter:
Uppgifterna arkiveras enligt Tullens informationshanteringsplan. Såväl ett elektroniskt arkiv som ett pappersarkiv är i användning. Förvaringstiden baserar sig på arkiv- och speciallagarna och behovet i verksamheten av att dokumentera och trygga såväl myndigheternas som privata personers och sammanslutningars rättsskydd.
Tullen förvarar upphandlingshandlingar (upphandlingsannonser, begäran om anbud, anbud, öppningsprotokoll, protokoll över bedömning av anbudsgivare, upphandlingsbeslut, motiveringspromemorior, avtal, beställningar, beställningsbekräftelser, reklamationer och dylika) i tio år efter avtalets utgång. För projekt som fått internationell finansiering är förvaringstiden 10 år från projektets slut.
Uppgifter som sparas i statens gemensamma konkurrensutsättningssystem (Hanki) och uppgifter (beställningar, fakturor och dylika) som sparas i beställnings- och faktureringssystemet (Handi) förvaras i den tid som meddelats för dessa i dataskyddsbeskrivningarna.
Uppgifter som gäller straffregisterutdrag sparas och förvaras inte, utan de returneras eller förstörs omedelbart ef-ter granskningen av utdragen.
7. Uppgiftskällor
Tullen får uppgifter som en del av anbuden. Anbudsgivaren är
- den registrerade själv,
- den registrerades arbetsgivare eller
- en aktör som bett om tillstånd att använda uppgifter av den registrerade i sitt anbud, till exempel som kon-taktperson för referensen.
Tullen får uppgifter om straffregisterutdrag av den valda anbudsgivaren.
Tullen får uppgifter också från allmänna källor såsom handelsregistret, som administreras av Patent- och regis-terstyrelsen, tjänsten Pålitlig partner, som administreras av Vastuu Group Oy och från Suomen Asiakastieto Oy:s företagskredituppsysnings- och sanktionsregister.
En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna enligt artikel 32.1 finns som bilaga till denna beskrivning. Med tekniska och organisatoriska säkerhetsåtgärder avses säkerhetsåtgärder, såsom till exempel personalutbildning, anvisningar och föreskrifter till personalen, sekretessförbindelser, övervakning av utrymmen, användningsövervakning genom egenkontroll, informationssystemens dataskydd, kryptering av uppgifter, anonymisering av uppgifter, pseudonymisering av uppgifter, kvalitetsrevisioner, fjärranvändningsförbindelser, tekniska begränsningar, kontroll- och övervakningssy-stem, databokslutsprocessen samt införande av uppförandekoder och certifikat.