Behandling av personuppgifter vid upphandling
Syfte med behandlingen av personuppgifter
Tullen behandlar personuppgifter vid upphandling av produkter och tjänster. Tullen behandlar personuppgifter i enlighet med lagstiftningen om offentlig upphandling.
Vi behöver kontaktuppgifter till anbudsgivares kontaktpersoner, så att vi kan kommunicera med anbudsgivarna under upphandlingsförfarandet, till exempel när vi underrättar anbudsgivarna om upphandlingsbeslut. Vi ber företag att meddela kontaktpersonernas kontaktuppgifter som referens till sina anbud, så att vi kan verifiera referensuppgifternas validitet. Vi ber också företag att utse experter för uppdraget som konkurrensutsätts för att säkerställa att centrala personer som har nödvändig kunskap och erfarenhet finns tillgängliga vid den tidpunkt som anges i anbudsbegäran.
Vi bifogar uppgifterna om anbudet till upphandlingsavtalet, och därför behöver vi behandla personuppgifterna i anbudet under upphandlingsavtalets giltighetstid för att fullfölja avtalet. Upphandlingsdokument, såsom anbud, sparas i Cloudia-tjänsten genom vilken vi kommunicerar med företag som lämnar anbud under upphandlingsförfarandet. Vi sparar motsvarande uppgifter i Hansel Ab:s konkurrensutsättningstjänster (kisa-apuri, abonnemangstrafiktjänster, fordonsservice) när vi upphandlar produkter och tjänster enligt avtal som Hansel tillhandahåller. Vi sparar anbud och andra upphandlingsdokument som vi får samt avtal om system i vårt ärendehanteringssystem.
Om en berörd part söker ändring eller korrigering av upphandlingsbeslutet är det nödvändigt för oss att behandla personuppgifter i upphandlingsdokument som är föremål för sökande av ändring under processen och en eventuell rättsprocess såsom resultatet av ändringen eller korrigeringen förutsätter. Vi kan till exempel utföra en ny jämförelse av anbud om ett beslut av domstolen så kräver.
Under avtalstiden använder vi statens gemensamma Handi-tjänst för att administrera beställningar och betala fakturor. I beställningar och fakturor använder vi faktureringsuppgifter enligt anbud eller avtal, vilka också kan innehålla leverantörens personuppgifter.
Rättslig grund för behandling av personuppgifter
Grund för behandlingen av personuppgifter är efterlevnad av Tullens lagstadgade förpliktelse och utförandet av en uppgift som utförs i allmänt intresse (allmänna dataskyddsförordningen, artikel 6, punkt 1, underpunkt c och e).
Konkurrensutsättningar
Som en upphandlande enhet av myndighetskaraktär måste vi följa lagstiftning som gäller offentlig upphandling, såsom lagen om offentlig upphandling och koncession (1397/2016), lagen om upphandling och koncession inom sektorerna vatten, energi, transporter och posttjänster (1398/2016) samt lagen om offentlig försvars- och säkerhetsupphandling (1531/2011)). Upphandlingslagarna föreskriver att offentlig upphandling som överskrider tröskelvärdet måste konkurrensutsättas.
Utöver lagstiftningen följer vi statsförvaltningens anvisningar och rekommendationer som gäller offentlig upphandling, såsom handboken för offentlig upphandling, Tullens upphandlingsstadga och våra interna anvisningar. Granskningen av straffregisterutdrag för den valda anbudsgivarens personal baseras på upphandlingslagarna och straffregisterlagen (770/1993). Lagen om beställarens utredningsskyldighet och ansvar vid anlitande av utomstående arbetskraft (1233/2006) ålägger oss att utreda om avtalsparterna uppfyller sina lagstadgade förpliktelser som avtalsparter och arbetsgivare.
I enlighet med EU:s beslut (YUTP) 2022/578 ålägger finansministeriet oss att beakta EU:s restriktiva åtgärder, dvs. sanktioner, i våra upphandlingar. Sanktionskontrollerna som vi genomför gäller både företag och deras förmånstagare.
Andra upphandlingar
Vi behöver också behandla personuppgifter vid upphandlingar som inte överstiger de tröskelvärden som anges i upphandlingslagstiftningen eller som på grund av undantagsbestämmelser i lagstiftningens tillämpningsområde inte behöver konkurrensutsättas. Vi har då en grund för att behandla personuppgifter i upphandlingen för att utföra en uppgift i allmänt intresse när vi verkställer Tullens uppgifter som baseras på lagen på ett högkvalitativt och kostnadseffektivt sätt och verifierar anbudens kvalitativa egenskaper och kommunicerar med anbudsgivarna.
Övriga behandlingssituationer
Vår behandling av personuppgifter grundas på lagstiftningen även i förfarande vid ändringssökande som gäller upphandlingsbeslut, revisionsförfaranden i enlighet med lagstiftningen om statsbudgeten samt i behandling av begäran om uppgifter som gäller upphandlingsdokument.
Personuppgifter som behandlas och kategorier av registrerade
Vi behandlar bland annat följande personuppgifter avseende företag som tillhandahåller tjänster och produkter till oss samt underleverantörer som de uppger:
- kontaktpersoner för anbud och avtal
- namn, befattning, kontaktuppgifter och FO-nummer
- personer som deltar i leveranser
- namn, beskrivningar av erfarenhet och yrkeskunskaper, kontaktuppgifter och FO-nummer
- kontaktpersoner för referenskunder
- namn, kontaktuppgifter och FO-nummer
- ledamöter i förvaltnings-, lednings- eller tillsynsorgan eller personer som utövar befogenhet att representera, fatta beslut eller övervaka.
- straffregisterutdrag
- avsändare av faktura som gäller leverans
- namn på avsändare av faktura, kontaktuppgifter, FO-nummer och fakturans referensuppgifter.
Källor till personuppgifter
Vi får personuppgifter direkt från företag som tillhandahåller produkter och tjänster. Dessutom får vi personuppgifter från allmänna källor, såsom handelsregistret som upprätthålls av Patent- och registerstyrelsen, tjänsten Pålitlig Partner som upprätthålls av Vastuu Group oy samt Suomen Asiakastieto oy:s kreditupplysningsregister för företag och sanktionsregister. Vi övergår till att använda granskningstjänsten för sanktionslista i Palkeet under hösten 2025.
Utlämnande av personuppgifter
Utlämnande av personuppgifter till myndigheter och finansiärer
Uppgifter utlämnas regelbundet från Cloudia- och Handi-tjänsterna till aktör inom finansministeriet förvaltningsområde för insamling av lagstadgad information om upphandling.
Statens revisionsverk kan begära upphandlingsdokument som en del av en revision i enlighet lagen om statsbudgeten (423/1988) och författningar med stöd av den.
I upphandlingar som har fått extern finansiering kan finansiären begära upphandlingsdokumenten som en del av revisionen i enlighet med finansieringsvillkoren.
Upphandlingsdokument kan också överlämnas till Riksarkivet i den mån de har ålagts permanent lagring.
Dessutom kan uppgifter lämnas ut fallspecifikt till en instans som begär det i enlighet med lagen om offentlighet i myndigheternas verksamhet (621/1999). Myndigheternas uppgifter och dokument är offentliga såvida de inte är sekretessbelagda enligt lag.
Handläggare av personuppgifter
Vi lagrar dokument om upphandlingar i ärendehanteringssystemet Viva som tillhandahålls av Valtori, Statens center för informations- och kommunikationsteknik.
Gemensamt personuppgiftsansvar
Vi gör beställningar och tar emot fakturor elektroniskt via Handi-tjänsten som tillhandahålls av Servicecentret för statens ekonomi- och personalförvaltning (Palkeet).
Tullen har gemensamt personuppgiftsansvar i tjänsten tillsammans med Palkeet. Ansvaren för gemensamt personuppgiftsansvariga fastställs i lagen om Servicecentret för statens ekonomi- och personalförvaltning. Enligt den svarar Palkeet för den tekniska funktionen hos de informationssystem som behövs för att producera uppgifterna och tjänsterna samt för relaterade frågor, bland annat tillgänglighet och uppgifternas integritet samt för skydd och bevarande av uppgifterna. Tullen å sin sida svarar för den personuppgiftsansvariges uppgifter i övrigt, såsom att informera kunden. Tullen fungerar också som kontaktpunkt för en kund som vill utöva den registrerades rättigheter, till exempel korrigera uppgifter eller en kund som vill veta vilka uppgifter som behandlas om honom/henne.
Palkeet behandlar personuppgifter som gemensamt personuppgiftsansvarig i produktionen av tjänster till sina kunder. Grunden för behandlingen är då verkställande av lagstadgade förpliktelser (Lagen om Servicecentret för statens ekonomi- och personalförvaltning, 179/2019).
Överföring av personuppgifter till länder utanför EU
Uppgifter lämnas inte ut regelbundet utanför EU/EES-området. Uppgifter kan dock lämnas ut utanför EU/EES i vissa fall till instans som begär det i enlighet med lagen om offentlighet i myndigheternas verksamhet (621/1999). Myndigheternas uppgifter och dokument är offentliga såvida de inte är sekretessbelagda enligt lag.
Lagrings- och raderingstider för personuppgifter
Vi lagrar upphandlingsdokument (upphandlingsannonser, anbudsförfrågan, anbud, öppningsprotokoll, anbudsgivares utvärderingsprotokoll, upphandlingsbeslut, motiveringsprotokoll, avtal, beställningar, orderbekräftelser, reklamationer m.m.) i 10 år efter avtalets slut. För projekt som har fått internationell finansiering lagrar vi uppgifterna i 10 år efter projektets slut. Vi lagrar uppgifter gällande fakturor i 10 år.
Lagringstiden för uppgifter grundas på arkiv- och speciallagar samt på verksamhetens behov att dokumentera och säkerställa rättsligt skydd för såväl myndighet som privatperson och samfund. Lagringstiderna för dokument som gäller upphandlingar har specificerats i Tullens informationshanteringsplan.
Uppgifter som gäller straffregisterutdrag lagras eller förvaras inte, utan de returneras eller förstörs omedelbart efter avslutad granskning av utdrag.
Personuppgiftsansvariges kontaktuppgifter och ytterligare information
Personuppgiftsansvarig för personuppgifter som rör Tullens upphandlingar är Tullen. Den personuppgiftsansvariges kontaktperson är upphandlingsdirektör Sirpa Reunanen-Alatalo, e-postadress sirpa.reunanen-alatalo@tulli.fi.