Seloste henkilötietojen käsittelystä hankinta-asioissa
Seloste henkilötietojen käsittelytoimista
Tietosuoja-asetus (EU) 2016/679
versio 1.3, 25.7.2023
30 artikla ja 32 artikla
1. Rekisterinpitäjän, rekisterinpitäjän yhteyshenkilön ja tietosuojavastaavan nimi ja yhteystiedot
Rekisterinpitäjän nimi ja yhteystiedot
Tulli
Käyntiosoite: Pasilan virastokeskus, Opastinsilta 12, 00520 Helsinki
Postiosoite: PL 512, 00101 Helsinki
Sähköposti: kirjaamo(at)tulli.fi
Rekisterinpitäjän yhteyshenkilön nimi ja yhteystiedot: Hankintajohtaja Sirpa Reunanen-Alatalo
Sähköpostiosoite: kirjaamo(at)tulli.fi
Tietosuojavastaavan nimi ja yhteystiedot: Laura Ala-Hannula
Sähköpostiosoite: tietosuoja(at)tulli.fi
2. Käsittelyn tarkoitus
Henkilötietojen käsittelyn tarkoitus on toteuttaa Tullin hankintoja ja hankintalainsäädännön mukaisia julkisten hankintojen kilpailutuksia.
Käsitelläkseen tarjouksia hankinnoissaan Tulli tarvitsee tietoja muun muassa hankintamenettelyihin osallistuvien tarjoajien yhteyshenkilöistä ja voittaneen tarjoajan johtohenkilöiden rikosrekisteriotteista. Tullin on välttämätöntä käsitellä myös tarjousten sisältämiä tietoja, kuten tietoja tarjoajien tarjouksissaan ilmoittamien referenssien yhteyshenkilöistä sekä tarjoajan tarjouksessaan ilmoittamien henkilöiden ammatillisista pätevyyksistä ja kokemuksesta.
Tulli tarvitsee tarjoajien yhteyshenkilöiden yhteystietoja ollakseen yhteydessä tarjoajiin hankintamenettelyn aikana, esimerkiksi antaessaan hankintapäätökset tiedoksi tarjoajille. Tulli pyytää toimittajia tarjouksissaan referenssien yhteyshenkilöiden yhteystietoja, jotta Tulli voi tarkistaa referenssitietojen aitouden. Tulli pyytää toimittajia tarjouksissaan nimeämään asiantuntijoita kilpailutettavaa toimeksiantoa varten varmistaakseen, että keskeiset henkilöt ovat Tullin saatavilla tarjouspyynnössä ilmoitettuna ajankohtana. Tarjouksen tiedot liitetään osaksi hankintasopimusta, minkä johdosta Tullilla on tarve käsitellä tarjouksen sisältämiä henkilötietoja hankintasopimuksen voimassaolon ajan sopimuksen täytäntöön panemiseksi. Tarjoukset ja muut hankinta-asiakirjat tallennetaan kilpailutuksen ajaksi valtion yhteiseen kilpailutuspalveluun (Cloudia Kilpailutus/Hanki-palvelu). Tarjoukset ja muut hankinta-asiakirjat tallennetaan myös Tullin sopimusrekisteriin ja sähköiseen arkistoon.
Jos asianosainen hakee muutosta tai oikaisua hankintaa koskevaan päätökseen, Tullin on välttämätöntä käsitellä valituksen kohteena olevien hankinta-asiakirjojen sisältämiä henkilötietoja muutoksenhakuprosessin ja mahdollisen oikeuskäsittelyn ajan sekä asian lopputuloksen edellyttämällä tavalla, esimerkiksi suorittamalla uusi tarjousvertailu tuomioistuimen päätöksen johdosta.
Sopimusaikana Tulli käyttää valtion yhteistä tilaus- ja laskutusjärjestelmää Handi-tilausten hallintaan ja laskujen maksamiseen (Handi-palvelu, sähköisen tilaamisen ja dokumenttien käsittelyn sekä arkistointijärjestelmän tietosuojaseloste). Tilauksissa ja laskuissa käytetään sopimuksen mukaisia laskutustietoja, jotka voivat sisältää myös toimittajan henkilötietoja.
Henkilötietojen käsittelyn peruste
Henkilötietojen käsittelyn perusteena on Tullin lakisääteisen velvoitteen noudattaminen ja yleistä etua koskevan tehtävän suorittaminen (yleinen tietosuoja-asetus 6 artiklan 1 kohdan c ja e alakohdat).
Kilpailutukset
Tulli on viranomaishankintayksikkönä velvoitettu noudattamaan julkisia hankintoja koskevaa lainsäädäntöä, kuten julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016, "hankintalaki"), vesi- ja energia-huollon, liikenteen, postipalvelujen alalla toimivien yksiköiden hankinnoista ja käyttöoikeussopimuksista annettua lakia (1398/2016, "erityisalojen hankintalaki") sekä lain julkisista puolustus- ja turvallisuushankinnoista (1531/2011), ”putu-laki”).
Tietyt kynnysarvot ylittävät hankinnat on mainitusta lainsäädännöstä johtuen kilpailutettava. Hankintalait velvoittavat, että julkiset hankinnat tulee kilpailuttaa. Hankintayksikkö voi asettaa vaatimuksia ehdokkaiden ja tarjoajien rahoitukselliselle ja taloudelliselle tilanteelle, tekniselle suorituskyvylle ja ammatilliselle pätevyydelle. Jos tarjoajat ja ehdokkaat eivät täytä asetettuja vaatimuksia tai niitä koskee hankintalaeissa esitetyt poissulkemisperusteet, ne on suljettava tarjouskilpailun ulkopuolelle.
Lainsäädännön lisäksi Tulli noudattaa julkisia hankintoja koskevia valtiohallinnon ohjeistuksia ja suosituksia, kuten valtion hankintakäsikirjaa 2017, Tullin hankintasääntöä ja Tullin sisäisiä ohjeistuksia. Valitun tarjoajan henkilöstön rikosrekisteriotteiden tarkastaminen perustuu hankintalakien lisäksi rikosrekisterilakiin (770/1993). Laki tilaajan selvitysvelvollisuudesta ja vastuusta ulkopuolista työvoimaa käytettäessä (1233/2006, ”tilaajavastuulaki”) velvoittaa hankintayksikön selvittämään, että sopimuskumppanit täyttävät sopimuspuolina ja työnantajina lakisääteiset velvoitteensa.
Lisäksi liittyen EU:n päätökseen (YUTP) 2022/578 valtiovarainministeriö on velvoittanut hankintayksiköt huomioimaan hankinnoissaan EU:n rajoittavat toimenpiteet eli pakotteet. Pakotetarkistukset koskevat sekä yrityksiä että sen edunsaajia.
Muut hankinnat
Lisäksi Tullilla on tarve käsitellä henkilötietoja hankinnoissa, jotka eivät ylitä hankintalainsäädännössä asettuja kynnysarvoja tai joita ei lainsäädännön soveltamisalan poikkeussäännöksistä johtuen ole kilpailutettava. Tullilla on tällöin yleistä etua koskevan tehtävän suorittamiseksi peruste käsitellä henkilötietoja hankinnassa Tullin lakiin perustuvien tehtävien suorittamiseksi laadukkaasti ja kustannustehokkaasti, kun Tullilla on tarve varmistua tarjouksen laadullisista ominaisuuksista sekä olla yhteydessä tarjoajiin. Tullin lakisääteisiä tehtäviä ovat mm.
- tulliselvityksestä ja -verotuksesta huolehtiminen
- ulkomaanliikenteen valvonta
- tullirikosten torjunta
- ulkomaankaupan tilastointi
- tullilaboratoriotutkimukset.
Muut käsittelytilanteet
Henkilötietojen käsittely perustuu lainsäädäntöön myös hankintapäätöksiä koskevissa muutoksenhakumenettelyissä, valtion talousarvionlainsäädännön mukaisissa tarkastusmenettelyissä sekä hankinta-asiakirjoja koskevien tietopyyntöjen käsittelyssä.
Käyttäjätunnusten hallinnointi
Tullin henkilöstön henkilötietoja käsitellään eri palveluiden käyttäjätunnusten hallinnoimiseksi.
3. Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä:
Tarjoajan yhteyshenkilötiedot
Tarjoajien yhteyshenkilöiden käsiteltävät henkilötiedot:
- Nimi
- Edustettu organisaatio ja asema organisaatiossa
- Yhteystiedot
Tarjoajien hallinto-, johto- tai valvontaelimen jäsenten tai edustus-, päätös- tai valvontavaltaa käyttävien henkilöiden käsiteltävät henkilötiedot:
- Nimi
- Edustettu organisaatio ja asema organisaatiossa
- Rikosrekisteriotteesta ilmenevät tiedot
Hankintamenettelyn aikana kerättävät tiedot
Tarjouksessa nimettyjen asiantuntijoiden sekä mahdollisiin tarjousarviointiin liittyviin haastatteluihin tai henkilöarviointeihin osallistuvien henkilöiden käsiteltävät henkilötiedot:
- Nimi
- Edustettu organisaatio ja asema organisaatiossa
- Tiedot koulutuksesta ja ammatillisista pätevyyksistä sekä kokemuksesta ja muista hankinnan kohteen kannalta merkityksellisistä ominaisuuksista
Tarjouksessa ilmoitettujen referenssien yhteyshenkilöiden käsiteltävät henkilötiedot:
- Nimi
- Edustettu organisaatio ja asema organisaatiossa
- Yhteystiedot
- Kyseessä olevan referenssin tiedot
Muut tarjousten sisältämät tai hankintamenettelyn aikana kerättävät henkilötiedot
Muut tarjousten sisältämät tai hankintamenettelyn aikana kerättävät henkilötiedot, kuten projekti- tai toteutussuunnitelmien sisältämät tiedot tarjoajan henkilöstöstä, kaupparekisteriotteiden sisältämät tiedot tilintarkastajista, prokuristeista ja muista tarjoajayritykseen tai sen alihankkijaan liittyvistä henkilöistä:
- Nimi
- Edustettu organisaatio ja asema organisaatiossa
- Syntymäaika
- Tiedot koulutuksesta ja ammatillisista pätevyyksistä sekä kokemuksesta ja muista hankinnan kohteen kannalta merkityksellisistä ominaisuuksista
Tilausten ja laskujen sisältämät tiedot
Tilausten ja laskujen sisältämät tiedot, yhteyshenkilötiedot, tiedot laskuttajan henkilöstöstä tai muista laskuttajaan tai sen alihankkijaan liittyvistä henkilöistä:
- Nimi
- Edustettu organisaatio
- Yhteystiedot
Tullin henkilöstön tiedot käyttäjätunnusten hallinnoimiseksi:
- Nimi
- Yhteystiedot
4. Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat:
Tietoja ei luovuteta säännönmukaisesti kolmansille osapuolille. Tietoja voidaan luovuttaa tapaus-kohtaisesti niitä pyytävälle taholle viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaisesti. Viranomaisen tiedot ja asiakirjat ovat julkisia, ellei niitä ole nimenomaisesti lailla säädetty salassa pidettäväksi.
Valtiontalouden tarkastusvirasto voi käsitellä hankinta-asiakirjoihin sisältyviä henkilötietoja osana valtion talousarviosta annetun lain (423/1988) ja sen nojalla annettujen säädösten mukaista tarkastusta.
Lakisääteisten velvollisuuksiensa täyttämiseksi ja hankintojen toteuttamiseksi Tulli voi käyttää sopimuskumppaneitaan henkilötietojen käsittelijöinä. Henkilötietoja käsitellään tarpeen mukaan Tullin tai sopimuskumppanien tietojärjestelmissä, joiden toimittajat toimivat myös henkilötietojen käsittelijöinä tai alikäsittelijöinä.
Julkisten hankintojen kilpailutusprosessien yhteydessä henkilötietoja käsitellään mm. Cloudia Oy:n ylläpitämässä Hanki-kilpailutusjärjestelmässä sekä Palkeiden ylläpitämässä tilaus- ja laskutusjärjestelmässä (Handi).
Tietoja voidaan siirtää myös Kansallisarkistoon siltä osin kuin ne on määrätty pysyvästi säilytettäviksi.
5. Tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto:
Tietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.
6. Eri tietoryhmien säilyttämisen ja poistamisen suunnitellut määräajat:
Tiedot arkistoidaan Tullin tiedonhallintasuunnitelman mukaisesti. Käytössä on sekä sähköinen että paperiarkisto. Säilytysaika perustuu arkisto- ja erityislakeihin sekä toiminnan tarpeeseen dokumentoida ja taata sekä viranomaisen että yksityisen henkilön ja yhteisön oikeusturva.
Tulli säilyttää hankinta-asiakirjoja (hankintailmoitukset, tarjouspyynnöt, tarjoukset, avauspöytäkirjat, tarjoajien arviointipöytäkirjat, hankintapäätökset, perustelumuistiot, sopimukset, tilaukset, tilausvahvistukset, reklamaatiot, ym.) 10 vuotta sopimuksen päättymisestä. Kansainvälistä rahoitusta saaneissa hankkeissa säilytysaika on 10 vuotta hankkeen päättymisestä.
Valtion yhteisessä kilpailutusjärjestelmässä (Hanki) tallennettavat tiedot ja tilaus- ja laskutusjärjestelmässä (Handi) tallennettavat tiedot (tilaukset, laskut, ym.) säilytetään niiden tietosuojaselosteissa ilmoitetun ajan.
Rikosrekisteriotteita koskevia tietoja ei tallenneta tai säilytetä, vaan ne palautetaan tai hävitetään välittömästi otteiden tarkastuksen päätteeksi.
7. Tietolähteet
Tulli saa tiedot osana tarjousta. Tarjouksen antaja on
- rekisteröity itse,
- rekisteröidyn työnantaja tai
- taho, joka on pyytänyt rekisteröidyn luvan tietojen käyttämiseen tarjouksessaan esim. referenssin yhteyshenkilönä.
Rikosrekisteriotteita koskevat tiedot Tulli saa valitulta tarjoajalta.
Tulli saa tietoja myös yleisistä lähteistä, kuten Patentti- ja rekisterihallituksen ylläpitämästä kaupparekisteristä, Vastuu Group Oy:n ylläpitämästä Luotettava Kumppani -palvelusta, sekä Suomen Asiakastieto Oy:n yritysluottotieto- ja pakoterekistereistä.
Yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista on tämän selosteen liitteenä. Teknisillä ja organisatorisilla turvatoimenpiteillä tarkoitetaan suojatoimenpiteitä, kuten esimerkiksi henkilöstön koulutusta, henkilöstölle annettuja ohjeita ja määräyksiä, salassapitositoumuksia, tilavalvontaa, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta, tietojen anonymisointia, tietojen pseudonymisointia, auditointeja, etäkäyttöyhteyksiä, teknisiä rajoituksia, tarkastus- ja valvontajärjestelmiä, tietotilinpäätösprosessia sekä käytännesääntöjen sekä sertifikaattien käyttöönottoa.