Avoin
Tätä uutista voi käyttää vapaasti. Muistathan kuitenkin mainita lähteen edilex.fi.

31.5.2017 11.48 Senior Associate Outi Jousi: Tietosuoja-asetus huomioitava myös julkisissa hankinnoissa

Senior Associate Outi Jousi: Tietosuoja-asetus huomioitava myös julkisissa hankinnoissa

Uusi hankintalaki tuli voimaan tammikuun alussa 2017. Laki perustuu vuonna 2014 annettuihin hankintadirektiiveihin. EU:ssa on valmisteltu samanaikaisesti myös toista merkittävää uudistusta eli tietosuoja-asetusta (GDPR). Tietosuoja-asetus asettaa henkilötietojen käsittelylle aiempaa tiukempia ja yksityiskohtaisempia vaatimuksia. Käytännössä tietosuoja-asetus voi vaikuttaa esimerkiksi sote-tietojärjestelmähankintoihin hankintaprosessien jokaisessa vaiheessa. Se voidaan huomioida niin tarjoajan soveltuvuudessa, ehdottomissa vaatimuksissa, pisteytysperusteissa kuin sopimuskaudellakin, Senior Associate Outi Jousi kirjoittaa Edilexin Vierashuoneessa.

Hankittavan uuden tietojärjestelmän on oltava tietosuoja-asetuksen mukainen, eli sen pitää tarjota muun muassa sisäänrakennettua ja oletusarvoista tietosuojaa. Käyttäjien tiedot pitää esimerkiksi pystyä tarvittaessa poistamaan laajankin järjestelmän syövereistä. Uusissa järjestelmissä tietojen poisto onkin usein huomioitu, mutta on varsin suositeltavaa saattaa myös vanhat järjestelmät tietosuoja-asetuksen mukaisiksi ensi vuoden toukokuuhun mennessä. Asetuksen noudattaminen on pakollista, mutta on selvää, ettei esimerkiksi vanhoja nauhajärjestelmiä saada muutettua asetuksen mukaisiksi, koska niistä ei voida poistaa yksittäisiä tietoja. 

Mikäli asetusta ei noudateta, seuraa tästä käytännössä huomattava maineriski. Lisäksi - kuten useat ovat kyllästymiseen saakka kuulleet jankutettavan - tietosuojaviranomaisilla on mahdollisuus määrätä ennennäkemättömän suuret sakot, jopa 20 miljoonaa euroa tai neljä prosenttia konsernin globaalista liikevaihdosta. Asetuksen rikkomisen johdosta määrättävien sakkojen määrä jää kuitenkin toimivaltaisen tietosuojaviranomaisen harkintaan, eikä asetuksessa ole suoraa sakotusautomaattia. Sakkojen uhka on kuitenkin selkeästi aiempaa suurempi. Sakkojen välttämisen kannalta on olennaista ymmärtää muun muassa osoitusvelvollisuuden merkitys: hankintayksikön tulee voida todistaa esimerkiksi dokumentaation avulla, että asetusta noudatetaan. Tämä on osittain ristiriidassa julkissektorillakin yleistyneen ketterän ohjelmistokehityksen periaatteiden kanssa, joten dokumentointivaatimuksiin kannattaa kiinnittää aiempaa enemmän huomiota.

Hankintayksiköiden käyttämien tietojärjestelmien osalta asetuksen noudattaminen tarkoittaa usein käytännössä tarvetta tehdä merkittäviä muutospyyntöjä järjestelmätoimittajalle. Hankintayksiköt eivät hankintalain mukaan kuitenkaan saa tehdä olennaisia sopimusmuutoksia, ellei niitä ole huomioitu jo alkuperäisissä sopimuksissa. Hankintayksiköiden onkin hyvä arvioida tapauskohtaisesti, olisiko muutos mahdollista tehdä esimerkiksi hankintalain eri kohtien sanamuotojen tai sopimusmuotoilujen nojalla. Arvion perusteella saattaa olla tarkoituksenmukaista teettää kokonaan uusi järjestelmä, joten arviointityöhön on ryhdyttävä ripeästi.

Myös toimittajat hyötyvät sopimusmuutosten lainmukaisuuden arvioinnista. Hankintayksiköllä on suoraan uuden hankintalain nojalla oikeus irtisanoa sopimus, johon on tehty olennainen eli lainvastainen sopimusmuutos. Markkinaoikeus puolestaan voi määrätä sopimuksen tehottomaksi, joten riskit on hyvä selvittää ennen investointien tekemistä.

Käytännössä hankintayksiköiden tulisi ensin arvioida, missä määrin tietojärjestelmät ovat tietosuoja-asetuksen mukaisia, eli millaisia muutostöitä järjestelmiin pitää tehdä. Kun muutostöiden laajuus on selvillä, tulisi arvioida, löytyykö muutosprojektiin hankintalain mukainen peruste. 

Gartner arvioi, että puolet yrityksistä ei täytä tietosuoja-asetuksen vaatimuksia ajoissa sakkoriskistä huolimatta. Julkissektorin puolella Valtionhallinnon tieto- ja kyberturvallisuuden ohjausryhmä VAHTI yrittää yhdessä JUHTAn kanssa lisätä osaamista julkaisemalla opetusvideoita kesäkuussa. Sekä Gartnerin arvio että VAHTIn toimet tukevat tekemiäni havaintoja - asiaa ei ole huomioitu riittävästi kaikissa tietojärjestelmissä ja sopimuksissa. Mikäli selvitys- ja muutosprojekti ei vielä ole käynnissä, nyt todellakin tulisi ryhtyä toimeen, sillä aikaa on enää vuosi. 

Outi Jousi
@OutiJousi
Senior Associate
Asianajotoimisto Bird & Bird Oy

Lue myös Edilex-uutinen


Toimittaja: Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)