Tietosuojailmoitus VTT:n hankinnoissa
Tietosuojailmoitus perustuu EU:n yleiseen tietosuoja-asetukseen (2016/679, ”tietosuoja-asetus”) ja tietosuojalakiin (1050/2018). Versio helmikuu 2023. Tietosuojailmoitusta voidaan päivittää. Rekisteröity voi tarkastaa ajantasaiset tiedot vierailemalla säännöllisesti verkkosivulla, jolla tietosuojailmoitus on saatavilla.
1. Käsittelytarkoituksen nimi
VTT:n toimittaja- ja tarjoajarekisteri.
Henkilötietoja käsitellään seuraavissa tarkoituksissa:
- toimittajasuhteiden hallinta,
- markkinakartoitukset,
- tarjoukset ja tarjousten käsittely,
- sopimusvalmistelu, sopimusten hallinta ja täytäntöönpano,
- sopimusaineiston sähköinen arkistointi,
- sopimuksen voimassaoloaikana sopimuskumppanin (ja kumppanin mahdollisen alihankkijan) taloudellisen tilan seuranta,
- yrityksen taustaselvitykset, yrityskohtaisten riskien tunnistaminen ja hallitseminen
- hankintamenettelyyn liittyvien lakisääteisten velvoitteiden noudattaminen (esim. tarjoajan kelpoisuuden varmistaminen ja tilaajavastuulain (1233/2006) mukaiset selvitykset)
- reklamaatioiden ja oikeudellisen vaateen käsittely
- ostoreskontra, ostolaskujen käsittely, kirjanpito, tilintarkastus ja verotus
- vientivalvonta- ja pakotelistatarkistukset sekä muut liiketoimen lainmukaisuuden varmistamiseen vaadittavat toimenpiteet (know-your-supplier -menettely),
- liiketoiminnan kehitys, laatutoiminnot, sisäinen ennustaminen, raportointi ja seuranta
- projektihallinta ja projektitoiminta
Tietojen käsittelyllä mm. varmistetaan hankintaprosessin lainmukainen toteuttaminen sekä sopimuskauden aikaisen yhteistyön sujuvuus. Tietoja käytetään tarjoajan ja sopimuskumppanin kanssa asioimiseen ja yhteydenpitoon.
2. Rekisterinpitäjä(-t), tietosuojavastaava ja yhteyshenkilö(-t)
Teknologian Tutkimuskeskus VTT Oy (”VTT”), Y-tunnus: 2647375-4, Tekniikantie 21, 02150 Espoo
Tietosuojavastaavan yhteystiedot:
Osoite: Tietosuojavastaava, Teknologian tutkimuskeskus VTT Oy, Kirjaamo, Kivimiehentie 3, 02150 Espoo Sähköposti: [email protected] (tietosuojavastaava ja tietoturvapäällikkö sijaisineen)
3. Käsiteltävät henkilötiedot ja henkilöryhmät
Käsiteltävät henkilötiedot ovat:
Nimi ja henkilöön liittyvät muut tiedot, kuten organisaatio, nimike, ansioluettelotiedot, työnantajan yhteystiedot, kuten katuosoite, sähköposti ja puhelinnumero
Tarjoajien avainhenkilöiden hankintamenettelylliset rikosrekisteriotteet tarkistetaan lakisääteisissä tilanteissa. Otteita ei tallenneta, mutta tarkistamisesta tehdään pöytäkirjamerkinnät (esim. kenen ote tarkistettu ja tiedot tarkistuksen havainnosta).
Henkilöt edustavat mm. seuraavia ryhmiä:
Tarjoajan/ toimittajan edustajat, tarjoajan/ toimittajan nimeämät muut henkilöt (esim. palvelun tuottamiseen osallistuvat henkilöt, laskutusyhteyshenkilöt), referenssiyhteyshenkilöt.
4. Oikeusperuste
Sopimussuhde tai sopimussuhteen valmistelu
Henkilötietojen käsittelyn oikeusperuste on eräissä tilanteissa sopimuksen täytäntöön paneminen tai sopimusta edeltävien toimenpiteiden toteuttamiseen rekisteröidyn pyynnöstä. Tästä on kyse esimerkiksi silloin, kun henkilötietoja käsitellään toimittajasuhteen hallintaan ja hankintasopimuksen valmisteluun liittyen, sopimusten hallintaa ja täytäntöönpanoa varten sekä ostoreskontraan ja ostolaskujen hallintaa varten.
Lakisääteinen velvoite
VTT on lain julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016, ”hankintalaki”) mukainen hankintayksikkö. Henkilötietojen käsittelyn perusteena on ko. lain edellytysten täyttämisen osalta VTT:tä koskeva lakisääteinen velvoite. Tästä on kyse mm. tarkistettaessa hankintamenettelyllisiä rikosrekisteriotteita sekä tarjoajien kelpoisuutta hankintalain mukaisesti arvioitaessa.
Lakisääteisestä velvoitteesta on kyse myös silloin, kun henkilötietoja käsitellään kirjanpitoa ja tilintarkastusta sekä laissa säädettyihin vientivalvonta- ja pakotelistatarkistuksiin sekä muihin vastaaviin liiketoimen laillisuuden varmistamiseen liittyvien lakisääteisten toimenpiteiden suorittamiseksi.
Oikeutettu etu
Henkilötietojen laillinen käsittelyperuste on rekisterinpitäjän oikeutettu etu siltä osin kuin henkilötietojen käsittely on muutoin välttämätöntä hankintaprosessin läpiviemiseksi, sopimusten täytäntöönpanemiseksi, riskien hallitsemiseksi ja sopimuskauden aikaisen yhteistyön mahdollistamiseksi. Rekisterinpitäjän oikeutetusta edusta on kyse esim. silloin, kun henkilötietoja käsitellään markkinakartoitusta varten, liiketoiminnan kehitystä, laatutoimintoja, sisäistä ennustamista, raportointia ja seurantaa varten sekä projektihallintaan ja projektitoimintaan.
5. Henkilötietojen tietolähteet
Markkinakartoitusta ja potentiaalisten toimittajien selvittämistä varten tietoja kerätään yritysten verkkosivuilta ja muista julkisista lähteistä.
Henkilötiedot saadaan tiedot saadaan pääsääntöisesti rekisteröidyltä itseltään sekä
organisaatiolta (asiakkailta ja toimittajilta), jota rekisteröity edustaa. VTT saa tietoja myös julkisista rekistereistä kuten Patentti- ja rekisterihallitukselta, Suomen Asiakastieto Oy:stä ja Vastuu Group Oy:stä yrityskohtaisten riskien tunnistamiseksi ja lakisääteisten velvoitteiden noudattamiseksi.
Yrityksen taustaselvityksissä (mm. vientivalvonta- ja pakoteselvitykset) hyödynnetään yritystietopalveluita (mm. Suomen Asiakastieto Oy, Orbis).
6. Henkilötietojen vastaanottajat tai vastaanottajaryhmät
VTT hyödyntää henkilötietojen käsittelyssä palveluntuottajia, kuten järjestelmäpalveluntarjoajia . Palveluntarjoajat käsittelevät henkilötietoja VTT:n lukuun. Henkilötietojen vastaanottajat edustavat erityisesti seuraavia tahoja, jotka vaihtuvat aika ajoin mm. hankintalainsäädäntöön liittyvistä syistä:
- Lakiasiainpalvelu sekä muut asiantuntijapalvelut
- Tilintarkastus, kirjanpito ja näihin liittyvät asiantuntijapalvelut
- Sähköisen arkistoinnin järjestelmän ja reskontrajärjestelmän toimitus ja ylläpito
- Rahoituspalvelut, -järjestelmät ja pankkitoiminnot
- Pilvipalveluratkaisut (mm. Microsoft O365-ympäristö)
VTT:llä on oikeus vaihtaa henkilötietojen käsittelyssä hyödynnettäviä palveluntuottajia mm. tällaisen vaihtuessa kilpailutuksen yhteydessä. Näistä ilmoitetaan tietosuojailmoitusta päivittämällä.
Tietoja luovutetaan ainoastaan hankintalaissa edellytetyissä tapauksissa lain edellyttämille tahoille kuten markkinaoikeudelle ja kilpailu- ja kuluttajavirastolle.
7. Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle
Henkilötietoja voidaan siirtää EU- ja ETA-alueen ulkopuolelle. Tietojen siirrossa noudatetaan tietosuoja-asetuksen asettamia vaatimuksia arvioiden riskit asianmukaisesti. Mikäli Euroopan komissio ei ole katsonut kohdemaan tietosuojan tasoa riittäväksi, VTT voi käyttää muun muassa komission kansainvälisiä tiedonsiirtoja varten laadittuja vakiosopimuslausekkeita ja muita toimenpiteitä tiedon suojaamiseksi. Lisätietoja henkilötietojen siirtoihin liittyen voi tiedustella rekisterinpitäjältä erikseen.
8. Henkilötietojen säilyttäminen
Hankintamenettelyn eri vaiheisiin sekä niitä koskeviin ratkaisuihin liittyvien asiakirjojen säilytysajat on määritelty hankintalaissa ja muissa erityislaeissa. Henkilötietoja säilytetään niin kauan kuin se on yllä mainituissa tarkoituksissa tarpeen. Sen jälkeen henkilötiedot poistetaan tehokkaasti tai tehdään nimettömiksi.
9. Henkilötietojen suojauksen periaatteet
Henkilötiedot suojataan asianmukaisin teknisin ja organisatorisin toimenpitein luvattomalta käsittelyltä ja pääsyltä. Suojatoimenpiteet ovat järjestelmäkohtaisia, mutta näihin lukeutuvat aina rajatut käyttöoikeudet, pääsynhallinta sekä tietoturvaratkaisut, kuten palomuurit. Lisäksi tiedot suojataan kulunvalvonnan, tilaratkaisujen ja tilojen muiden turvallisuusjärjestelyjen avulla. VTT:llä ainoastaan käsittelyyn työtehtäviensä suorittamiseksi pääsyn tarvitsevat henkilöt saavat käsitellä tässä tietosuojailmoituksessa kuvattuja henkilötietoja ja henkilöt ovat sitoutuneet salassapitoon.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat oikeudet, joista kuitenkin voidaan poiketa ja/tai joita voidaan rajoittaa soveltuvan lainsäädännön mukaisesti. Mikäli rekisterinpitäjä ei voi tunnistaa rekisteröityä, rekisteröityjen oikeudet eivät lähtökohtaisesti sovellu, ellei rekisteröity toimita lisätietoja tunnistamista varten. Rajoittaminen ja poikkeaminen tarkistetaan tapauskohtaisesti.
- oikeus saada pääsy tietoihin
- oikeus oikaista tietoja
- oikeus poistaa tiedot (ns. ”oikeus tulla unohdetuksi”)
- oikeus rajoittaa tietojen käsittelyä
- oikeus vastustaa tietojen käsittelyä
- oikeus siirtää tiedot järjestelmästä toiseen
- oikeus tehdä valitus valvontaviranomaiselle
Rekisteröity voi toteuttaa yllämainitut oikeutensa ottamalla rekisterinpitäjään yhteyttä kohdassa 2 määriteltyjen yhteystietojen avulla, mieluiten sähköpostitse.
Lisätietoja rekisteröidyn oikeuksista:
Rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja. Rekisteröidyllä on lisäksi oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin sekä tiedot henkilötietojen käsittelystä.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus saada rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä oikaistua ja puutteelliset henkilötiedot täydennettyä.
Oikeus tietojen poistamiseen, ns. ”oikeus tulla unohdetuksi”
Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on tietyissä tilanteissa oikeus vaatia, että rekisterinpitäjä rajoittaa käsittelyä.
Oikeus vastustaa käsittelyä
Rekisteröidyllä on tietyissä tilanteissa oikeus vastustaa häntä itseään koskevien henkilötietojen käsittelyä.
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle siltä osin kuin käsittely perustuu suostumukseen tai sopimukseen, ja käsittely suoritetaan automaattisesti.
Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaisille, jos rekisteröity katsoo, että hänen oikeuksiaan on EU:n tietosuoja-asetuksen valossa loukattu. Tietosuojavaltuutetun yhteystiedot: https://tietosuoja.fi/yhteystiedot