Euroopan unionin tietosuoja-asetuksen, GDPR:n, myötä henkilötietojen asianmukaiseen käsittelyyn on alettu kiinnittää enemmän huomiota myös julkisissa hankinnoissa. Hanselin ohjeiden mukaisesti tietosuojaan liittyvät vaatimukset kannattaa sisällyttää jo hankinnan valmisteluvaiheessa hankinta-asiakirjoihin, jotta tarjoajat voivat tutustua niihin ajoissa ja arvioida niiden vaikutuksen tarjouksen laadintaan.
Tietosuoja-asetuksen noudattamisen oletuksena on, että tietosuoja on sisäänrakennettua ja oletusarvoista. Tämä tarkoittaa, että oikeus tietosuojaan huomioidaan jo suunniteltaessa, kehittäessä tai valittaessa tuotteita tai palveluita, joissa käsitellään henkilötietoja.
Tietosuoja-asetusta sovelletaan kaikkien EU:n alueella sijaitsevien organisaatioiden toimipisteiden toiminnassa. Henkilötiedoilla tarkoitetaan kaikkia sellaisia tietoja, joita voidaan käyttää luonnollisen henkilön tunnistamiseen. Rekisterinpitäjä, joka päättää mihin tarkoituksiin henkilötietoja käsitellään, vastaa käsittelyn lainmukaisuudesta. Kun ulkoinen palveluntuottaja käsittelee henkilötietoja rekisteripitäjän määräämiin tarkoituksiin, tulee huolehtia, että henkilötietojen käsittelyn ehdot saatetaan käsittelijän tietoon ja että niitä noudatetaan. Etenkin jos käsiteltäviin henkilötietoihin sisältyy arkaluontoisia, kuten vakaumukseen, terveyteen tai ammattiliiton jäsenyyteen liittyviä tietoja, tulee varmistua, että ulkopuolinen palveluntarjoaja voi käsitellä niitä asianmukaisin toimenpitein.
Henkilötietojen käsittelijän vastuista sovitaan sopimuksella, jossa määritellään mitä henkilötietoja käsitellään, mihin tarkoitukseen ja kuinka kauan. Hankintayksikön tietosuojavastaavan tehtäviin kuuluu tarvittaessa ohjeistaa myös hankintaosastoa, jotta varmistutaan tietosuojaperiaatteiden noudattamisesta. Tietosuojavastaavaa voi olla tarpeellista kuulla myös hankintojen valmistelussa, jos hankittavaan palveluun kuuluu henkilötietojen käsittelyä. Jos on todennäköistä, että henkilötietojen käsittely vaarantaa luonnollisten henkilöiden oikeuksia, rekisterinpitäjän tulee ryhtyä toimenpiteisiin riskien pienentämiseksi.
Esimerkki: HR-järjestelmän hankinta
Otetaan esimerkiksi tilanne, jossa suomalainen kunta on hankkimassa uutta HR-järjestelmää. Järjestelmässä käsitellään henkilötietoja, kuten henkilöstön yhteystietoja, palkkatietoja ja muistiinpanoja kehityskeskusteluista. Tietosuojan näkökulmasta hankinnassa tulisi huomioida ainakin seuraavat asiat:
Hankinnan esivalmistelu
Jo ennen varsinaista hankintaprosessia on tärkeää selvittää, millaisia henkilötietoja järjestelmässä tullaan käsittelemään ja mitkä tietosuojavaatimukset koskevat hankintaa. Tämä auttaa määrittelemään selkeät vaatimukset tarjoajille.
Tärkeimmät kysymykset esivalmisteluvaiheessa:
- Mitä kaikkia henkilötietoja järjestelmä sisältää? Onko mukana esimerkiksi sairaslomatodistuksia tai tietoa ammattiliittojäsenyyksistä? Mikäli järjestelmään tallennetaan arkaluonteisia tietoja, tietoturvan ja tietosuojan tason on oltava erityisen korkea.
- Missä henkilötietoja käsitellään? Onko esimerkiksi kunnan omissa tietosuojakäytännöissä määritelty, että tietojen on pysyttävä Suomessa?
- Onko tietosuojan vaikutustenarviointi (DPIA) tarpeen? DPIA on usein laadittava vasta hankintapäätöksen jälkeen, mutta tarjoajan osallistuminen siihen kannattaa huomioida jo hankinta-asiakirjoissa.
Hankinnan valmisteluvaihe ja hankinta-asiakirjojen laatiminen
Varsinaisessa hankintavaiheessa on olennaista varmistaa, että kaikki tietosuojavaatimukset on sisällytetty tarjouspyyntöön ja sopimusasiakirjoihin.
- Tärkeimmät tietosuojavaatimukset tuodaan tarjouspyyntöön ehdoiksi
- Tietosuojasopimuksen laatiminen: hankinta-asiakirjoihin lisätään tietosuojasopimus, jossa määritellään tarjoajan velvollisuus noudattaa tietosuojalainsäädäntöä. Kunnan tietosuojavastaava voi auttaa selvittämään, onko käytössä valmiita sopimuspohjia tai liitteitä, joita tulisi hyödyntää.
- Käsittelytoimien kuvauksen laatiminen: sopimukseen kuuluu erillinen liite, jossa kuvataan yksityiskohtaisesti, mitä henkilötietoja palveluntuottaja käsittelee kunnan puolesta. Mitä tarkempi kuvaus on, sitä selkeämpi kuva tarjoajille muodostuu järjestelmän tietosuojavaatimuksista.
- Vahingonkorvauslausekkeen lisääminen: tietosuojasopimukseen sisällytetään ehto, joka määrittelee tarjoajan vastuun ja mahdolliset korvausvelvoitteet tietosuojasopimuksen rikkomistapauksessa.
On huomioitava, että myös vastaanotetut tarjoukset sisältävät henkilötietoja, ainakin tarjoajan yhteyshenkilöiden osalta. Näitä, kuten muitakaan henkilötietoja ei saa säilyttää kauempaa, kuin mikä on tarpeellista ja lainmukaista. Organisaatiolla tulee olla selkeä prosessi, jossa määritellään kuinka pitkään tarjouksia säilytetään, ja kuka vastaa niiden poistamisesta. Henkilötietojen suojaaminen tulee muistaa myös, jos esimerkiksi tarjouskilpailuun osallistunut tarjoaja pyytää hankintayksiköltä lisätietoja hankintapäätöksestä.

Joni Häggblom
Procurement specialist
Lawder Oy