Dataskyddsbeskrivning för Handi-tjänsten, elektronisk beställning och behandling av dokument samt för arkiveringssystemet

1 a) Gemensamt personuppgiftsansvariga

Tullen
Besöksadress: Böle förvaltningscentrum, Semaforbron 12, Helsingfors
Postadress: PB 512, 00101 Helsingfors
Annan kontaktinformation: kirjaamo(at)tulli.fi, tfn 029 55200
Statens servicecenter för ekonomi- personalförvaltning
Adress: Kauppakatu 40, 80100  Joensuu
Annan kontaktinformation
Telefonväxel 02955 62000
Företrädare för den personuppgiftsansvarige: Upphandlingsdirektör Sirpa Reunanen-Alatalo
Besöksadress: Böle förvaltningscentrum, Semaforbron 12, Helsingfors
Postadress: PB 512, 00101 Helsingfors
Annan kontaktinformation: kirjaamo@tulli.fi
Dataskyddsombud: Laura Ala-Hannula
Kontaktuppgifter: tietosuoja(at)tulli.fi
Registrets namn: Handi-tjänsten, användarregistret för elektronisk beställning och behandling av dokument samt för arkivsystemet

Gemensamt personuppgiftsansvar    

Tullen verkar tillsammans med Servicecentret för statens ekonomi- och personalförvaltning (Palkeet) som gemensamt personuppgiftsansvariga för personuppgifter i informationssystemet Handi. Ansvaren i anknytning till det gemensamma personuppgiftsansvaret har definierats i lagen om Servicecentret för statens ekonomi- och personalförvaltning, enligt vilken:

  • Palkeet svarar för den tekniska funktionen hos de informationssystem som behövs för att producera uppgifterna och tjänsterna, bland annat för informationssystemens tillgänglighet och för uppgifternas integritet, oföränderlighet, skydd och bevarande
  • Tullen svarar för övriga ansvar som hör till den personuppgiftsansvarige, såsom att ge dig information och att fungera som din kontaktpunkt, då du vill utöva de rättigheter som hör till registrerade, till exempel rätta dina uppgifter eller veta vilka egna uppgifter som behandlas.

Din rättighet som registrerad

Då behandlingen av personuppgifter baserar sig på fullgörande av en rättslig förpliktelse för en personuppgiftsansvarig, har du rätt att:

  • få information om behandlingen av personuppgifter. Med denna beskrivning stöds den personuppgiftsansvarige att fullgöra informationsskyldigheten 
  • få tillgång till uppgifter. I punkten ”Den registrerades rätt till tillgång till uppgifterna enligt artikel 15” i denna beskrivning redogörs hur du kan utöva din rättighet
  • rätta uppgifter. I punkten ”Rätten att korrigera uppgifter enligt artikel 16” i denna beskrivning redogörs hur du kan rätta dina uppgifter
  • begränsa behandlingen av uppgifter. I punkten ”Rätten att begränsa behandlingen enligt artikel 18” i denna beskrivning redogörs när och hur du kan begränsa behandling av dina uppgifter
  • få information om korrigering av personuppgifter eller få meddelanden om begränsning av behandlingen. Har beskrivits i punkten ”Skyldigheten att ge information om korrigering eller radering av personuppgifter enligt artikel 19” i beskrivningen
  • du har därtill rätt att göra en överklagan till tillsynsmyndigheten, om du anser att behandlingen av dina personuppgifter bryter mot dataskyddsregleringen

Om behandlingen grundar sig på fullgörande av en rättslig förpliktelse för en personuppgiftsansvarig har du inte:

  • rätt att få dina uppgifter raderade (”rätten att bli bortglömd”). Enligt artikel 17 i allmänna dataskyddsförordningen tillämpas inte denna rättighet, om behandlingen är behövlig för att fullgöra en rättslig förpliktelse
  • rätten att få dina uppgifter överförda från ett system till ett annat. Enligt artikel 20 i allmänna dataskyddsförordningen tillämpas inte denna rättighet, om behandlingen behövs för att fullgöra en rättslig förpliktelse

1 b) Behandlingens ändamål

Förvaltning av de användarrättigheter hos Tullen som kärvs för att elektronisk behandling, hantering av fakturor och handlingar, sakgranskning, godkännande och arkivering. Behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelsen för den personuppgiftsansvarige (bland annat Statsbudgetslagen 13.5.1988/423 § 14, Bokföringslagen 30.12.1997/1336 2 kap. 6 och 7 §). Palkeet behandlar personuppgifter som gemensamt personuppgiftsansvarig då centret producerar tjänster för Kunden, då behandlingsgrunden utgörs av fullgörande av förpliktelser (Lagen om Servicecentret för statens ekonomi- och personalförvaltning, 179/2019).

Uppgifter i registret används inte för profilering och uppgifterna är inte föremål för automatiskt beslutsfattande.
    
c) Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter  

Kategorier av registrerade: Tullens anställda

Kategorier av personuppgifter: Uppgifter om de behörigheter som krävs för elektronisk beställning, hanterings- och arkiveringssystemet för fakturor och handlingar – Handi För- och efternamn, Kieku-personnummer, Virtu-kod, tjänste-e-postadress, start- och slutdatum för behörigheten, användarroller, telefonnummer
Kategorier av registrerade: Personer vars uppgifter finns i uppgifterna i fakturabilagor

Kategorier av personuppgifter: I uppgifterna i fakturabilagor ska faktureraren specificera fakturan med tillräcklig precision för att möjliggöra sakgranskningen. För- och efternamn, adress, e-postadress, telefonnummer.

d) Kategorier av mottagare av personuppgifter, till vilka personuppgifter lämnats ut eller lämnas ut

Uppgifter kan lämnas ut enbart inom de gränser som lagstiftningen förpliktar eller tillåter eller med samtycke av den personuppgiftsansvarige. Personuppgifter i anknytning till behörigheter lämnas i princip inte vidare.  

Uppgifter lämnas regelbundet ut till Statens revisionsverk (VTV) för den lagstadgade granskningen. Därtill lämnas uppgifter ut till Softco Oy för tillhandahållandet av support- och administreringstjänster för Handi-systemet.

e) Överföring av personuppgifter till ett tredje land eller en internationell organisation

Uppgifter överförs inte till områden utanför EU eller EES och inte till internationella organisationer.

f) De planerade tidsfristerna för radering av olika kategorier av uppgifter 

Behandlingen av personuppgifter begränsas automatiskt då tjänsteförhållandet upphör. Förvaringstiderna för personuppgifter i användarregistret baserar sig på lagstiftningen, där förvaringstiderna för bokföringsmaterial fastställs. Förvaringstiden för personuppgifter är högst lika lång som för material som den registrerade behandlat.

g) Beskrivning av tekniska och organisatoriska säkerhetsåtgärder

A. Manuellt material 

Manuellt material behandlas av utbildad personal i låsta utrymmen enligt skyddsnivån för uppgifterna. Skyddspolisen har gjort åtminstone en säkerhetsutredning av grundform för alla hos Tullen. 

B: Material som behandlas digitalt 

Registeruppgifterna har skyddats från obehörig insyn, ändring och radering. Skyddet baserar sig på behörighetshantering, tekniskt skydd av databaser och servrar, fysiskt skydd av utrymmena, passerkontroll, skydd av datakommunikationen och säkerhetskopiering av uppgifterna. 

Rätten att få tillgång till och behandla uppgifter beviljas utifrån arbetsuppgifterna. Tillgången till systemet baserar sig på personliga användarkoder. Datorsalarna och uppgifterna finns i EU-området. För att övervaka att verksamheten är ändamålsenlig görs administrativa kontroller. 

Uppgiftskällor då uppgifterna inte fåtts av den registrerade

Behörighetsuppgifter samlas in utifrån en begäran om behörighet av den registrerades chef eller ekonomichefen. 

Den registrerades rätt till tillgång till uppgifter enligt artikel 15

En registrerad har rätt att av den personuppgiftsansvarige få en bekräftelse på att personuppgifter som gäller hen behandlas eller inte behandlas och om sådana personuppgifter behandlas, rätt att få tillgång till personuppgifterna. En registrerad kan till dataskyddsombudet framföra en begäran om granskning rörande egna personuppgifter som behandlas i Handi-tjänsten (punkt 1 i denna beskrivning).
    
Om mindre än ett år förflutit från det att den registrerade utövat sin rätt till granskning, kan den Personuppgiftsansvarige debitera en avgift för utlämnandet av uppgifter, vilken baserar sig på de administrativa kostnaderna (artikel 12.5). 

Rätten att få uppgifter korrigerade enligt artikel 16

Den registrerade har rätt att kräva att den personuppgiftsansvarige utan oskäligt dröjsmål korrigerar inexakta och felaktiga personuppgifter.

En registrerad kan uppdatera sina uppgifter genom att framföra en begäran om uppdatering av uppgifter till den person som gett hen behörighet till Handi-tjänsten eller till företrädaren för den gemensamt personuppgiftsansvarige (punkt 1 i denna beskrivning).

Rätten till begränsning av behandling enligt artikel 18

En registrerad har rätt att den personuppgiftsansvarige begränsar behandlingen, om:

  • den registrerade bestrider personuppgifternas korrekthet, då behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta 
  • behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning 
  • den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk

Om en registrerad bestrider personuppgifternas korrekthet, begränsas behandlingen av dessa för den tid då den personuppgiftsansvarige säkerställer att de är korrekta. En registrerad ska framföra begäran jämte motiveringar till företrädaren för den gemensamt personuppgiftsansvarige (första punkten 1 a på denna blankett), varvid den gemensamt personuppgiftsansvarige begränsar behandlingen av personuppgifter i Handi-systemet. Behandlingen begränsas genom att hindra användningen av personuppgifter genom att begränsa användarrättigheterna. Den gemensamt personuppgiftsansvarige framför begäran om begränsning av behörigheter. En registrerad kan framföra begäran till den person som gett hen behörigheter till Handi-tjänsten eller till företrädaren för den gemensamt personuppgiftsansvarige (punkt 1 i denna beskrivning). 

Anmälningsskyldighet om korrigering eller radering eller begränsning av behandling av personuppgifter enligt artikel 19

Den personuppgiftsansvarige ska ge information om alla korrigeringar, raderingar eller begränsningar av behandlingen enligt artikel 16 och artikel 18 till samtliga mottagare till vilka personuppgifter lämnats ut, förutom om detta visar sig vara omöjligt eller medför oproportionell ansträngning. Den personuppgiftsansvarige ska ge den registrerade information om sådana mottagare, om den registrerade så begär. Om en registrerad vill ha information om mottagarna, ska hen framföra en begäran till företrädaren för den gemensamt personuppgiftsansvarige (första punkten 1 a i denna beskrivning). En registrerad kan framföra begäran till den person som gett hen behörigheter till Handi-tjänsten eller till företrädaren för den gemensamt personuppgiftsansvarige (punkt 1 i denna beskrivning).