Hyppää sisältöön

Handi-palvelu, sähköisen tilaamisen ja dokumenttien käsittelyn sekä arkistointijärjestelmän tietosuojaseloste

1 a) Yhteisrekisterinpitäjät

Tulli
Käyntiosoite: Pasilan virastokeskus, Opastinsilta 12, Helsinki
Postiosoite: PL 512, 00101 Helsinki
Muut yhteystiedot: kirjaamo(at)tulli.fi, puh. 029 55200
Valtion talous- ja henkilöstöhallinnon palvelukeskus
Osoite: Kauppakatu 40, 80100  Joensuu
Muut yhteystiedot: Puhelinvaihde 02955 62000
Yhteisrekisterinpitäjän edustaja: Hankintajohtaja Sirpa Reunanen-Alatalo
Käyntiosoite: Pasilan virastokeskus, Opastinsilta 12, Helsinki
Postiosoite: PL 512, 00101 Helsinki
Muut yhteystiedot: kirjaamo(at)tulli.fi
Tietosuojavastaava: Laura Ala-Hannula
Yhteystiedot: tietosuoja(at)tulli.fi
Rekisterin nimi: Handi-palvelu sähköisen tilaamisen ja dokumenttien käsittelyn sekä arkistojärjestelmän käyttäjärekisteri

Yhteisrekisterinpitäjyys    

Tulli toimii Valtion talous- ja henkilöstöhallinnon palvelukeskuksen (Palkeet) kanssa yhteisrekisterinpitäjinä Handi-tietojärjestelmässä olevien henkilötietojen osalta. Yhteisrekisterinpitoon liittyvät vastuut on määritelty Valtion talous- ja henkilöstöhallinnon palvelukeskuksesta annetussa laissa, sen mukaan:

  • Palkeet vastaa tehtävien ja palvelujen tuottamisessa tarvittavien tietojärjestelmien teknisestä toiminnasta ja siihen liittyvistä asioista, mm. käytettävyydestä, tietojen eheydestä, suojaamisesta ja säilyttämisestä
  • Tulli vastaa muista rekisterinpitäjälle kuuluvista vastuista kuten sinun informoimisesta ja toimimme yhteyspisteenäsi, kun haluat käyttää rekisteröidylle kuuluvia oikeuksia, esimerkiksi oikaista tietojasi tai tietää mitä tietoja sinusta käsitellään.

Oikeutesi rekisteröitynä

Henkilötietojen käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, on sinulla oikeus:

  • saada informaatiota henkilötietojen käsittelystä. Tämän selosteen avulla tuetaan rekisterinpitäjää informointivelvoitteen noudattamisessa 
  • saada pääsy tietoihin. Tämän selosteen kohdassa ”Artikla 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin” kerrotaan miten voit käyttää oikeuttasi
  • oikaista tietoja. Tämän selosteen kohdassa ”Artikla 16:n mukainen oikeus tietojen oikaisemiseen” miten voit oikaista tietojasi
  • rajoittaa tietojen käsittelyä. Tämän selosteen kohdassa ”Artikla 18:n mukainen oikeus käsittelyn rajoittamiseen” milloin ja miten voit rajoittaa tietojesi käsittelyä
  • saada tieto henkilötietojen oikaisua tai käsittelyn rajoitusta koskevista ilmoituksista. Kuvattu selosteen kohdassa ”Artikla 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus”
  • sinulla on lisäksi oikeus tehdä valitus valvontaviranomaiselle, mikäli katsot, että henkilötietojesi käsittelyssä rikotaan tietosuojasääntelyä

Käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi sinulla ei ole:

  • oikeutta tietojesi poistamiseen (”oikeus tulla unohdetuksi”). Yleisen tietosuoja-asetuksen artikla 17 mukaan tätä oikeutta ei sovelleta, jos käsittely on tarpeen lakisääteisen velvollisuuden noudattamiseksi
  • oikeutta siirtää tietojasi järjestelmästä toiseen. Yleisen tietosuoja-asetuksen artikla 20 mukaan oikeutta ei sovelleta, kun käsittely on tarpeen lakisääteisen velvollisuuden noudattamiseksi

1 b) Käsittelyn tarkoitus

Tullin sähköisen tilaamisen, laskujen ja asiakirjojen kierrätykseen, asiatarkastukseen, hyväksyntään ja arkistointiin vaadittavien käyttöoikeuksien hallinnointi. Henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (mm. Laki valtion talousarviosta 13.5.1988/423 § 14, Kirjanpitolaki 30.12.1997/1336 2 luku 6 ja 7 §). Palkeet käsittelee henkilötietoja yhteisrekisterinpitäjänä tuottaessaan palveluja Asiakkaalle, käsittelyperusteena on tällöin lakisääteisen velvollisuuksien toteuttaminen (Laki Valtion talous- ja henkilöstöhallinnon palvelukeskuksesta, 179/2019).

Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.

c) Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä

Rekisteröityjen ryhmät: Tullin työntekijät

Henkilötietoryhmät: Sähköisen tilaamisen, laskujen ja asiakirjojen kierrätys- ja arkistointijärjestelmä – Handi-palvelu käyttöä varten vaadittavat käyttövaltuustiedot. Etu- ja sukunimi, Kieku-henkilönumero, Virtu-tunnus, virkasähköpostiosoite, käyttöoikeuden alku- ja loppumispäivämäärä, käyttäjäroolit, puhelinnumero

Rekisteröityjen ryhmät: Henkilöt, joiden tietoja on laskun liitetiedoissa

Henkilötietoryhmät: Laskujen liitetiedoissa laskuttajan tulee yksilöidä lasku riittävällä tarkkuudella asiatarkastuksen mahdollistamiseksi. Etu- ja sukunimi, osoite, sähköpostisoite, puhelinnumero.

d) Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan

Tietoja voidaan luovuttaa ainoastaan voimassa olevan lainsäädännön velvoittamissa ja sallimissa rajoissa tai rekisterinpitäjän suostumuksella. Käyttövaltuuksiin liittyviä henkilötietoja ei lähtökohtaisesti luovuteta eteenpäin.  

Tietoja luovutetaan säännöllisesti Valtiontalouden tarkastusvirastolle (VTV) lakisääteisen tarkastuksen suorittamiseksi. Lisäksi tietoja luovutetaan Softco Oy:lle Handi-järjestelmän tuki- ja ylläpitopalveluiden tuottamiseksi.

e) Henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle

Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille.

f) Eri tietoryhmien poistamisen suunnitellut määräajat

Henkilötietojen käsittelyä rajoitetaan automaattisesti, kun palvelussuhde päättyy. Käyttäjärekisterin sisältämien henkilötietojen säilytysajat perustuvat lainsäädäntöön, jossa määritellään kirjanpitoaineiston säilytysajat. Henkilötietoja säilytysaika on korkeintaan yhtä pitkä kuin aineiston, jota rekisteröity on käsitellyt.

g) Kuvaus teknisistä ja organisatorisista turvatoimista

A. Manuaalinen aineisto 

Manuaalinen aineisto käsitellään koulutetun henkilökunnan toimesta tietojen suojaustasoa vastaavassa lukituissa tiloissa. Kaikista Tullin henkilöistä on tehty suojelupoliisin toimesta vähintään perusmuotoinen turvallisuusselvitys. 

B. Digitaalisesti käsiteltävät aineistot 

Rekisterin tiedot on suojattu asiattomalta katselulta, muuttamiselta ja hävittämiseltä. Suojaus perustuu käyttövaltuushallintaan, tietokantojen ja palvelinten tekniseen suojaukseen, tilojen fyysiseen suojaukseen, kulunvalvontaan, tietoliikenteen suojaukseen sekä tietojen varmuuskopiointiin. 

Pääsy- ja käsittelyoikeus tietoihin myönnetään työtehtävien perusteella. Pääsy järjestelmään perustuu henkilökohtaisiin käyttäjätunnuksiin. Laitetilat ja tiedot sijaitsevat EU-alueella. Toiminnan asianmukaisuuden valvomiseksi käytetään hallinnollisia kontrolleja. 

Tietolähteet silloin kun tietoja ei ole saatu rekisteröidyltä

Käyttövaltuustiedot kerätään rekisteröidyn esimiehen tai talouspäällikön tekemän käyttöoikeuspyynnön perusteella. 

Artikla 15:n mukainen rekisteröidyn oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin. Rekisteröity voi tehdä tarkastuspyynnön siitä, mitä henkilötietoja hänestä käsitellään Handi-palvelussa tietosuojavastaavalle (tämän selosteen kohta 1).
    
Jos rekisteröidyn käyttämästä tarkastusoikeudesta on kulunut vähemmän kuin yksi vuosi, voi Rekisterinpitäjä periä tietojen antamisesta aiheutuvat hallinnollisiin kustannuksiin perustuvan maksun (artikla 12 [5]). 

Artikla 16:n mukainen oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Rekisteröity voi päivittää omia tietojaan pyytämällä tietojen päivitystä henkilöltä, joka on anonut hänelle käyttöoikeudet Handi-palveluun tai yhteisrekisteripitäjän edustajalle (tämän selosteen kohta 1).

Artikla 18:n mukainen oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos:

  • rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
  • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
  • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi

Mikäli Rekisteröity kiistää henkilötietojen paikkansapitävyyden, rajoitetaan niiden käsittelyä ajaksi, jonka kuluessa Rekisterinpitäjä varmistaa niiden paikkansapitävyyden. Rekisteröity osoittaa pyynnön perusteluineen yhteisrekisterinpitäjän edustajalle (tämän lomakkeen 1 a ensimmäinen kohta) jolloin yhteisrekisterinpitäjä rajoittaa henkilötietojen käsittelyä Handi-järjestelmässä. Käsittelyä rajoitetaan estämällä henkilötietojen käyttö käyttöoikeuksia rajaamalla. Yhteisrekisterinpitäjä pyytää käyttöoikeuksien rajoittamista. Rekisteröity voi osoittaa pyynnön henkilölle, joka on anonut hänelle käyttöoikeudet Handi-palveluun tai yhteisrekisterinpitäjän edustajalle (tämän selosteen kohta 1). 

Artikla 19:n mukainen henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista artikla 16 ja artikla 18 mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Rekisteröidyn halutessa tiedon vastaanottajista tulee hänen tehdä pyyntö yhteisrekisterinpitäjän edustajalle (tämän selosteen 1 a ensimmäinen kohta). Rekisteröity voi osoittaa pyynnön henkilölle, joka on anonut hänelle käyttöoikeudet Handi-palveluun tai yhteisrekisterinpitäjän edustajalle (tämän selosteen kohta 1).