Dataskyddsbeskrivning för lösningen för ekonomiförvaltning Kieku

30.12.2022

1. a) Gemensamma personuppgiftsansvariga

NÖDCENTRALSVERKET
PB 112, 28131 Björneborg
0295480112

Servicecentret för statens ekonomi- och personalförvaltning
Kauppakatu 40, 80100  JOENSUU
Växel 02955 62000

Företrädare för den gemensamma personuppgiftsansvarige

Ekonomichef Tuovi Merkkiniemi
PB 112, 28131 Björneborg
tuovi.merkkiniemi@112.fi eller [email protected]

Dataskyddsombud

Förvaltningsjurist
[email protected]
tfn: 0295480 112 

Registrets namn

Leverantörs- och kundregister för lösningen för ekonomiförvaltning Kieku

Gemensam personuppgiftsansvarig

Vi arbetar med Servicecentret för statens ekonomi- och personalförvaltning som gemensam personuppgiftsansvarig för personuppgifter som finns i datasystemet Kieku. Ansvaret i samband med gemensam registerföring har definierats i lagen om Servicecentret för statens ekonomi- och personalförvaltning, enligt vilken:

  • Servicecentret svarar för den tekniska funktionen hos de informationssystem som behövs för att producera uppgifterna och tjänsterna samt för relaterade ärenden, bl.a. uppgifternas tillgänglighet, integritet, skydd och bevarande.
  • Vi som arbetsgivare ansvarar för den personuppgiftsansvariges andra ansvarsområden, såsom att informera dig och agera som din kontaktpunkt när du vill utöva rättigheter som tillhör den registrerade, till exempel för att rätta till dina uppgifter eller veta vilka uppgifter om dig som behandlas.

Dina rättigheter som registrerad

När behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet, har du rätt att:

  • få information om behandlingen personuppgifter. Med hjälp av denna beskrivning stöds den personuppgiftsansvarige i iakttagandet av informationsskyldigheten 
  • få tillgång till uppgifter. I punkt ”Den registrerades rätt till tillgång enligt artikel 15” i denna beskrivning anges hur du kan utöva din rättighet
  • rätta till uppgifter. I punkt ”Rätt till rättelse enligt artikel 16” i denna beskrivning anges hur du kan rätta till dina uppgifter
  • begränsa behandlingen av uppgifter. I punkt ”Rätt att begränsa behandlingen enligt artikel 18” i denna beskrivning anges hur och när du kan begränsa behandlingen av dina uppgifter
  • få information om meddelanden som gäller rättelse av personuppgifter eller begränsning av behandlingen. Beskrivs i punkten ”Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling i enlighet med artikel 19”
  • Dessutom har du rätt att lämna in ett klagomål till tillsynsmyndigheten om du anser att behandlingen av dina personuppgifter strider mot dataskyddsregleringen

När behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet, har du inte:

  • Rätt att radera dina uppgifter (”rätten att bli bortglömd”). Enligt artikel 17 i den allmänna dataskyddsförordningen tillämpas denna rätt inte om behandlingen är nödvändig för att uppfylla en lagstadgad skyldighet
  • Rätt att överföra dina uppgifter från ett system till ett annat. Enligt artikel 20 i den allmänna dataskyddsförordningen tillämpas rätten inte när behandlingen är nödvändig för att uppfylla en lagstadgad skyldighet

1. b) Ändamålet för behandlingen 

De uppgifter som behövs för administration av kundregistret och leverantörsregistret lagras i registret. I registret lagras och behandlas personuppgifter som är nödvändiga för statens försäljningsfakturering och för uppföljning, inkassering av fordringar och fakturering av dröjsmålsränta. Personuppgifter kan behandlas i samband med statsförvaltningens försäljningsfakturering i olika statliga förvaltningar. I leverantörsregistret administreras grunduppgifter om leverantörer för behandlingen av utgiftsverifikationer. Behandlingen av personuppgifter är nödvändig för att fullgöra den personuppgiftsansvariges lagstadgade skyldighet (t.ex. lagen om statsbudgeten 13.5.1988/423 § 14, förordningen om statsbudgeten 11.12.1992/1243 § 27). Palkeet behandlar personuppgifter som gemensam personuppgiftsansvarig när den producerar tjänster för Kunden, behandlingsgrunden är då uppfyllandet av de lagstadgade skyldigheterna (Lag om Servicecentret för statens ekonomi- och personalförvaltning, 179/2019).

Uppgifterna i registret används inte för profilering och uppgifterna är inte föremål för automatiserat beslutsfattande.

1. c) Beskrivning av grupper av registrerade och kategorier av personuppgifter  

Grupper av registrerade: Nödcentralsverkets leverantörer och kunder

Kundregistret:
Kundens namn, kundens nummer, företagsnamn, gatuadress, husnummer, postnummer, postanstalt, land, region, tidszon, postbox, postnummer, företagets postnummer, språk, telefon, mobiltelefon, fax, e-postadress, kundens fo-nummer, kundens moms.reg-nummer, kundens personbeteckning, mottagarens nätfakturaadress (EDI-kod), mottagarens operatörskod (operatör) och kundens konsumentfakturauppgifter. 

Leverantörsregistret: 
Leverantörens namn, leverantörens nummer, företagsnamn, gatuadress, husnummer, postnummer, postanstalt, land, region, tidszon, postbox, postnummer, företagets postnummer, språk, telefon, mobiltelefon, fax, e-postadress, leverantörens fo-nummer, leverantörens personbeteckning, bankkontots IBAN- och SWIFT-nummer

1. d) Grupper av mottagare av personuppgifter till vilka personuppgifter har lämnats ut eller lämnas ut

Uppgifter får endast lämnas ut i situationer som krävs och tillåts enligt gällande lagstiftning. Uppgifter lämnas ut till Statens revisionsverk och betalningsuppgifter överförs till betalarens och mottagarens bank, utsökningsmyndigheterna och Skatteförvaltningen.

Lagen om Servicecentret för statens ekonomi- och personalförvaltning (179/2019) och lagen om ändring av lagen om Servicecentret för statens ekonomi- och personalförvaltning (558/2020) definierar Servicecentret och dess kunder som gemensamt personuppgiftsansvariga för uppgifter i informationssystemen. Palkeet är gemensamt personuppgiftsansvarig tillsammans med kunder för uppgifter som finns på en faktura då kunden äger handlingarna.

Uppgifter lämnas ytterligare ut till Aitomation Oy och Snowfox.AI, som i egenskap av underbiträde producerar en på artificiell intelligens baserad konteringstjänst för leverantörsfakturor.

1. e) Överföring av personuppgifter till ett tredjeland eller till en internationell organisation

Tjänsten som levereras av leverantören som producerar AI-kontering administreras i Google Cloud. Lagringen och administrationen av uppgifterna sker inom EU/EES-område, och Googles administration har inte åtkomst till uppgifterna, då de är krypterade. Det är möjligt att det finns åtkomst till uppgifterna från ett land utanför EU/EES-området, eftersom AI-konteringstjänsten byggts i en molntjänst som har sitt säte i USA (Google Cloud). Förenta staternas nuvarande lagstiftning möjliggör åtkomst till uppgifterna även om servern fysiskt finns i EU/EES-området.

När det är fråga om eventuell överföring av personuppgifter till ett land utanför EU/EES-området, förutsätter den allmänna dataskyddsförordningen att det finns en
grund för överföring av personuppgifterna. De standardiserade dataskyddsbestämmelser som kommissionen antagit är en behörig överföringsgrund med stöd av artikel 46 och avgörandet i Schrems II-fallet.
De standardiserade dataskyddsbestämmelserna ingås mellan uppgiftsutföraren och uppgiftsinföraren, inte mellan de parter som utför överföringen och mottagningen av personuppgifter i ett land utanför EU/EES-området. I detta fall är den exportör och importören av data som avses i dataskyddslagstiftningen Snowfox.AI och Google.   

Personuppgifter kan finnas i mottagna nätfakturor som behandlas i Snowfox.AI:s AI-konteringstjänst. Fakturaförmedlingen förmedlar nätfakturor som inte har någon inriktningsuppgift (avtalsnummer, köpbeställningsnummer eller kontoföringsreferens) till AI-konteringen. Snowfox.AI hämtar en bild på nätfakturan och en XML-fil till sitt förfogande.  Med fakturan förmedlas ingen uppgift om den som kontrollerat eller godkänt fakturan, inte heller fakturans bilageuppgifter.

Personer som anknyter till AI-kontering är personer vilkas personuppgifter kan finnas på levererade nätfakturor. Registrerade kan således vara:

  • Personer som anknyter till den aktör som sänt fakturan och vilkas uppgifter eventuellt har lagts till i egenskap av referensperson. Även fakturerarens uppgifter kan innehålla uppgifter om en privatperson, till exempel i fråga om en företagare med firma.
  • Personer som anknyter till den aktör som tar emot fakturan (bokföringsenhet, ämbetsverk) och vilkas uppgifter eventuellt har lagts till i egenskap av referensperson.
  • Av själva fakturans innehåll framgår personuppgifter som kan ha lagts till fakturan i strid med anvisningarna.

Mellan Snowfox.AI och Google gäller de allmänna servicevillkoren för Google Cloud (Google Cloud Platform Terms of Service). Dessa villkor
gäller för alla nya och befintliga Google Cloud-användare som inte har köpt en licens via en återförsäljare. Dessa användarvillkor inkluderar villkoren för databehandling (Data Processing and Security Terms) samt Europeiska kommissionens år 2021 uppdaterade standardiserade dataskyddsbestämmelser mellan personuppgiftsbiträden (EU Standard Contractual Clauses, Module 3: Processor-to-Processor). Eventuell överföring av uppgifter till ett land utanför EU/EES-området sker i detta fall mellan (under)biträden.

1. f) Planerade tidsfrister för radering av olika kategorier av uppgifter

Lagringstiderna för personuppgifter i kund- och leverantörsregistret som ingår i lösningen för ekonomiförvaltning Kieku baserar sig på budgetlagen och -förordningen, som definierar bokföringsunderlagets lagringstider.

1. g) Beskrivning av tekniska och organisatoriska säkerhetsåtgärder

A. Manuellt material 

Manuellt material behandlas av utbildad personal i låsta utrymmen som motsvarar uppgifternas skyddsnivå. All personal vid Nödcentralsverket har genomgått minst en begränsad säkerhetsutredning som genomförts av skyddspolisen. 

B. Material som behandlas digitalt 

Uppgifterna i registret är skyddade mot obehörig visning, ändring och bortskaffande. Skyddet grundar sig på åtkomstkontroll, tekniskt skydd av databaser och servrar, fysiskt skydd av utrymmen, passerkontroll, skydd av datakommunikation samt säkerhetskopiering av uppgifter. 

Tillgång till och rätten att behandla uppgifter beviljas på grundval av arbetsuppgifterna. Tillgång till systemet baseras på personliga användarnamn. Utrustningsanläggningarna och uppgifterna finns fysiskt i Finland.
Administrativa kontroller används för att övervaka verksamhetens ändamålsenlighet. 

Informationskällor när uppgifterna inte har erhållits från den registrerade

Om den personuppgiftsansvarige har ett separat behandlingssystem för kunder och deras beställningar, skapas kunderna först där. Kundernas uppgifter förmedlas med anslutningen för försäljningsbeställning eller försäljningsreskontra till lösningen för ekonomiförvaltning Kieku, om lösningen för ekonomiförvaltning Kieku används som försäljningsreskontra. Kunduppgifter som överförts med anslutningen överförs till en separat kundkontogrupp för anslutningskunder i det gemensamma kundregistret.

Den registrerades rätt till tillgång enligt artikel 15

Den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna.

Den registrerade kan lämna in en begäran om insyn till den personuppgiftsansvarigas representant (avsnitt 1a i denna beskrivning).

Om mindre än ett år har förflutit sedan den registrerades användning av sin rätt till insyn får den Personuppgiftsansvarige ta ut en avgift baserad på administrativa kostnader för tillhandahållande av uppgifterna (artikel 12 [5]). 

Rätt till rättelse enligt artikel 16

Den registrerade har rätt att kräva att den personuppgiftsansvarige rättar inexakta och felaktiga personuppgifter om den registrerade utan onödigt dröjsmål. Den registrerade kan uppdatera sina egna uppgifter genom att skicka ett skriftligt meddelande till den personuppgiftsansvariges företrädare.

Rätt till begränsning av behandling enligt artikel 18

Den registrerade har rätt att begränsa den personuppgiftsansvariges behandling om:

  • den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta
  • behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning
  • den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk

Om den registrerade bestrider personuppgifternas korrekthet, begränsas deras behandling under en tid som ger den gemensamt personuppgiftsansvarige möjlighet att kontrollera huruvida personuppgifterna är korrekta. Den registrerade riktar begäran med motiveringar till företrädaren för den gemensamma personuppgiftsansvarige (första punkten i 1 a i denna blankett), varvid den personuppgiftsansvarige begränsar behandlingen av personuppgifter i datasystemet. Behandlingen begränsas genom att blockera användningen av personuppgifter genom att begränsa åtkomsträttigheterna. Den personuppgiftsansvarige begär en begränsning av behörigheten [email protected].  

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling i enlighet med artikel 19

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifter har lämnats ut om rättelser, raderingar eller begränsningar i behandlingen av personuppgifter enligt artikel 16 och artikel 18, såvida detta inte visar sig omöjligt eller kräver oskäligt besvär. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare, om den registrerade begär det. Om den registrerade vill känna till mottagarna ska den registrerade göra en begäran till den gemensamma personuppgiftsansvariges företrädare (första punkten 1 a i denna beskrivning).