1. Registrets namn
Pilotprojektet för det digitala resedokumentet DTC
2. Personuppgiftsansvarig
Staben för Gränsbevakningsväsendet
Postadress: PB 3, 00131 Helsingfors
Besöksadress: Vilhelmsbergsgatan 6, 00500 Helsingfors
Telefonväxel: 0295 42 0000
E-postadress: [email protected]
3. Kontaktperson i registerärenden
Kommendörkapten Maija Laukka
Staben för Gränsbevakningsväsendet
Postadress: PB 3, 00131 Helsingfors
Besöksadress: Vilhelmsbergsgatan 6, 00500 Helsingfors
Telefonväxel: 0295 42 0000
E-postadress: [email protected]
4. Gränsbevakningsväsendets dataskyddsombud
Överinspektör Sami Piispanen
Staben för Gränsbevakningsväsendet
Postadress: PB 3, 00131 Helsingfors
Besöksadress: Vilhelmsbergsgatan 6, 00500 Helsingfors
Telefonväxel: 0295 42 0000
E-postadress: [email protected]
5. Rättslig grund för behandling av personuppgifter
Artikel 6.1 a i den allmänna dataskyddsförordningen ((EU) 679/2016) – den registrerades samtycke
Beträffande personuppgifter som hör till särskilda kategorier av personuppgifter, artikel 9.2 a i den allmänna dataskyddsförordningen – den registrerades uttryckliga samtycke.
6. Syftet med behandlingen av personuppgifter
Testanvändning av det digitala resedokumentet i flygtrafiken på Finnairs rutter utanför Schengen området: Sydkorea, Hong Kong, Indien, Irland, Storbritannien, Japan, Kina, Cypern, Qatar, Singapore, Thailand, Turkiet, USA och Förenade Arabemiraten. Syftet med testanvändningen är att reda ut hur användbart det digitala resedokumentet är och hur det fungerar. Testanvändningen är en del av Europeiska kommissionens projekt: 101114725 — DTC Pilot — BMVI-2022-TF1-AG-DTC-IBA; European Commission, Directo-rate-General for Migration and Home Affairs.
I pilotprojektet skapas en digital kod (DTC) som härletts från uppgifterna i chipet i ett befintligt resedokument. Koden lagras i en applikation som flygpassagerarna som deltar i projektet får installerad i sin personliga mobiltelefon. Resenären kan med hjälp av applikationen skicka DTC-koden till Gränsbevakningsväsendet innan resan inleds. Gränsbevakningsväsendet använder DTC-koden för att utföra gränskontrollen.
Gränsbevakningsväsendet samlar in statistikuppgifter om hur det digitala resedokumentet fungerar och hur det påverkar utförandet av gränskontrollen. I detta syfte ombeds de personer som deltar i testanvändningen dessutom besvara frågor som gäller testanvändningen. Statistikuppgifterna och svaren anonymiseras så att resenären inte kan identifieras i materialet.
Gränsbevakningsväsendet behandlar de digitala koder de fått för att utföra gränskontroll och sina övriga lagstadgade uppgifter på det sätt som beskrivs i dataskyddsbeskrivningen för gränsbevakningsverksamheten. Enligt 53 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019) får Gränsbevakningsväsendet inte registrera DTC-koder, om inte något annat föreskrivs.
Ett digitalt resedokument ersätter inte ett fysiskt resedokument. Vid utresan från Finland till ovan listade destinationer och vid inresan till Finland måste resenären ha ett giltigt resedokument, till exempel pass eller identitetskort.
7. Grupper av registrerade
I pilotprojektet deltar finska medborgare som gett sitt samtycke och särskilt utsedda personer vid Gränsbevakningsväsendet som nämns i bilaga 1 (RVL2314662) till Gränsbevakningsväsendets verkställighetsorder RVLDnr-2022-1197.
8. Kategorier av personuppgifter
- namn
- personbeteckning
- kön
- medborgarskap
- resedokumentets nummer
- ansiktsbild (personuppgift som hör till särskilda kategorier av personuppgifter)
- telefonnummer
- e-postadress.
9. Uppgifter om varifrån personuppgifterna har erhållits
De som deltar i pilotprojektet registreras vid två av tillståndsförvaltningens verksamhetsställen vid polisinrättningen i Östra Nyland (Helsingfors-Vanda flygplats och Dickursby). Den som deltar i pilotprojektet ska vid registreringen ha med sig ett finskt pass eller identitetskort som gäller minst till den 31 mars 2024.
10. Uppgifter som i regel lämnas ut
Registeruppgifter lämnas inte ut.
11. Lagringstid för personuppgifter
En registrering som gjorts vid polisinrättningen sparas fram till den 31 mars 2024 då pilotprojektet avslutas.
12. Den registrerades rättigheter
12.1. Rätt att få tillgång till uppgifter
Enligt artikel 15 i den allmänna dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
Ändamålen med behandlingen.
- De kategorier av personuppgifter som behandlingen gäller.
- De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
- Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
- Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
- Rätten att inge klagomål till en tillsynsmyndighet.
- Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
- Förekomsten av automatiserat beslutsfattande, inbegripet profilering, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
Den personuppgiftsansvarige eller en av den personuppgiftsansvarige utsedd person som sköter registerärenden lämnar ut uppgifterna som behövs för granskningen och ger den registrerade tillfälle att göra sig förtrogen med sina uppgifter. På begäran ska uppgifterna lämnas skriftligt.
12.2. Rättelse och radering av personuppgifter samt begränsning av behandlingen
Enligt artikel 16 i den allmänna dataskyddsförordningen har den registrerade rätt att få den personuppgiftsansvarige att rätta eller komplettera inexakta eller felaktiga uppgifter om honom eller henne.
Enligt artikel 17 i den allmänna dataskyddsförordningen har den registrerade rätt att få den personuppgiftsansvarige att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
- Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
- Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.
- Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.
- Personuppgifterna har behandlats på olagligt sätt.
- Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
Enligt artikel 18 i den allmänna dataskyddsförordningen har den registrerade rätt att få den personuppgiftsansvarige att begränsa behandlingen i följande fall:
- Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.
- Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
- Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
- Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.
En skriftlig, motiverad begäran om rättelse, radering eller begränsning av behandlingen av personuppgifter ska lämnas till kontaktpersonen för registerärenden.
12.3. Rätt att överföra uppgifter från ett system till ett annat, rätt att motsätta sig behandlingen av personuppgifter och rätt att inte bli föremål för automatiskt beslutsfattande
Den registrerade har enligt artikel 20 i den allmänna dataskyddsförordningen rätt att överföra uppgifterna till en annan personuppgiftsansvarig.
Den registrerade har inte rätt att motsätta sig behandlingen av sina personuppgifter i enlighet med artikel 21 i den allmänna dataskyddsförordningen, eftersom behandlingen av personuppgifter inte grundar sig på artikel 6.1 e eller f och uppgifterna inte används för direktmarknadsföring eller vetenskapliga eller historiska forskningsändamål.
Personuppgifter behandlas inte i automatiskt beslutsfattande eller profilering.
12.4. Avgiftsfritt utövande av den registrerades rättigheter och åtgärder
Den registrerades rättigheter tillgodoses i regel avgiftsfritt. Om begärandena är uppenbart ogrundade eller oskäliga, kan man ta ut en skälig avgift för dem eller vägra att utföra den begärda åtgärden.
12.5. Utövande av rättigheter via dataombudsmannen
Om den registrerade vill anmäla ett problem med behandlingen av sina personuppgifter ska han eller hon i första hand kontakta den personuppgiftsansvariges representant eller dataskyddsombudet.
Den registrerade har rätt att lämna in ett klagomål om behandlingen av sina uppgifter även till en tillsynsmyndighet på det sätt som föreskrivs i artikel 77 i den allmänna dataskyddsförordningen. Tillsynsmyndigheten i Finland är dataombudsmannen (tietosuoja.fi).