Minkä ikäisenä lapsi saa yksityisyyttä?

Omakanta.fi tehtyjen linjausten vuoksi vanhemmilla ei ole pääsyä yli 10-vuotiaiden lasten terveystietoihin.  Aiheesta on mainitun Ylen jutun lisäksi kirjoitettu useassa muussakin yhteydessä. Terveydenhuollon sähköistä asiointia vanhemmat eivät voi enää tehdä yli 10-vuotiaan puolesta. Ylen jutussa vedotaan lasten tietosuojaan ja oikeuteen päättää omista asioistaan. Asiaan puuttui jonkin aikaa sitten myös kansanedustaja Jukka Kopra blogissaan sekä esimerkiksi kansanedustaja Sari Essayah. Hän jätti aiheesta kirjallisen kysymyksen eduskunnalle marraskuussa.

Brittien tietosuojaviranomainen ICO julkaisi viime vuoden lopulla lausuntokierrokselle ohjeistuksensa lasten asemasta tietosuoja-asetusta sovellettaessa, jossa on myös hyviä lähtökohtia tähän keskusteluun.

Mielestäni Omakanta-palvelua koskeva linjaus vaikutti varsin mielekiintoiselta tulkinnalta. Käytäntö ei rajoitu ainoastaan Omakanta-palveluun, vaan monilla terveydenhuollon organisaatioilla tuo 10 vuoden ikäraja on käytössä myös muissa tiedoissa. Asiaa on ilmeisesti pohdittu laajasti sosiaali- ja terveydenhuollon ammattilaisten toimesta sillä kyseessä on  sosiaali- ja terveysministeriön tulkinta. En myös itse ole mikään terveydenhuollon juriidiikan asiantuntija. Joten tutkitaanpa hieman mitä lainsäädäntö sanoo alaikäisistä eli lapsista ja tietosuojasta.

Lapsi Suomen oikeudessa

Karkeasti yleistäen voidaan todeta, että Suomessa alle 18-vuotiaat ovat lain edessä lapsia. Vaikka lapsi siis voi pienestä pitäen omistaa asioita, hän ei voi tehdä sopimuksia ilman vanhempiensa (tai oikeastaan edunvalvojiensa mutta puhutaan yksinkertaisuuden nimissä vain vanhemmista) hyväksyntää. Yksi kummallisuus onkin esimerkiksi se, että mikäli 10-vuotias ottaa vaikkapa Omakannan käyttöön, hänen yksin antamansa hyväksyntä palvelun käyttöehdoille ei ole pätevä. Suostumus henkilötietojen käyttöön on myös sopimusoikeudellinen toimenpide eli yksipuolinen tahdonilmaisu joka myös vaatii vanhempien hyväksynnän (tässä on poikkeuksia joista tarkemmin edempänä).

Yksi poikkeus ylläolevaan sääntöön on 15-vuotias, joka on esimerkiksi tienannut itse rahansa kesätöillä. Tällaisia varoja 15 vuotta täyttänyt saa käyttää ilman vanhempiensa “lupaa”.

Rikosoikeudellinen vastuu alkaa 15-vuotiaana eli 15-vuotiasta voidaan syyttää ja tuomita rikoksesta. Alle 15-vuotias voi silti joutua esimerkiksi korvausvastuuseen vahingosta ilman rikosoikeudellista vastuuta. Laskun tässä tapauksessakin yleensä maksavat vanhemmat.

Oikeudessa yli 15-vuotias saa myös itse päättää omasta oikeudenkäynnistään eli käyttää puhevaltaa. 15-vuotiaan ei siis tarvitse kysyä vanhempien hyväksyntää oikeudessa vaan voi sopia asioiden hoitamisesta itsenäisesti asiamiehensä kanssa.

Todistajaksi kelpaa käytännössä minkä ikäinen lapsi tahansa, koska oikeuden keskeinen tehtävä on arvioida lapsen kertomuksen luotettavuutta. Todistajan luotettavuus ja kyky ymmärtää oikeudessa käsiteltäviä asioita arvioidaan tapauskohtaisesti.

Lapsen asema terveydenhuollossa

Terveydenhuollossa lapsi on “asiakas” siinä missä aikuisetkin. Terveydenhuollossa hoitajilla on velvollisuus arvioida lapsen kykyä päättää omasta hoidostaan. Tämä perustuu lakiin potilaan asemasta ja oikeuksista ja sen 2. Luvun 7 §:n jossa todetaan että

Alaikäisen potilaan asema

Alaikäisen potilaan mielipide hoitotoimenpiteeseen on selvitettävä silloin, kun se on hänen ikäänsä ja kehitystasoonsa nähden mahdollista. Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen kanssaan.

Jos alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa.

Pykälää on luettava yhdessä edellisen 6 §:n kanssa jossa puhutaan potilaan itsemäärämisoikeudesta eli siitä, että potilasta on hoidettava yhteisymmärryksessä hänen kanssaan. Jos potilas kieltäytyy tietystä hoidosta tai hoitotoimenpiteestä, häntä on mahdollisuuksien mukaan hoidettava yhteisymmärryksessä hänen kanssaan muulla lääketieteellisesti hyväksyttävällä tavalla. Kiireellisissä ja hengenvaarallisissa tilanteissa potilaan yhteisymmärrystä ei yleensä tarvitse hakea, tarkoituksena on pelastaa henkiä ja silloin tällaiset säännöt lentävät romukoppaan.

Yllämainitun lisäksi lain 9 §:ssä todetaan tiedonsaantioikeudesta näin:

Tiedonsaantioikeus ja toimivalta

Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on 6 §:n 2 ja 3 momentissa tarkoitetussa tapauksessa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta. (9.4.1999/489)

Jos alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää terveydentilaansa ja hoitoansa koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen.

Edellä 5 §:n 1 ja 2 momentissa tarkoitettu selvitys on 7 §:n 2 momentissa tarkoitetussa tapauksessa annettava alaikäisen potilaan huoltajalle tai muulle lailliselle edustajalle.

Alaikäisen tai 6 §:n 2 momentissa tarkoitetun potilaan huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavaa tarpeellista hoitoa. (9.4.1999/489)

Lapsi saa siis estää tietojensa näkymisen, jos terveydenhuoltohenkilökunnan mielestä lapsi on riittävän kypsä ymmärtämään ja päättämään tällaisesta asiasta. Toisaalta taas, lapsen vanhemmilla on oikeus saada tietoja lapsen terveydestä tietyissä tilanteissa.

Omakanta -palvelussa vanhemmilta on järjestelmällisesti estetty yli 10-vuotiaiden lasten tietojen näkeminen. Ilman siis mitään erityistä pyyntöä lapselta tai arviota siitä, onko lapsi riittävän kehittynyt tekemään tällaisen päätöksen.  Syyksi tähän näyttää paljastuvan tietojärjestelmämäärittely, jossa on jouduttu vetämään raja mahdollisimman alas varmuuden vuoksi. Tavoitteena on, että järjestelmä sallisi jatkossa kielto-oikeuden eli että lapsi voisi itse kieltää terveystietojensa näkymisen vanhemmilleen ja tällöin myös tuosta automaattisesta ikärajasta voitaisiin luopua. Silti itse ikäraja kieltämiseen pysyisi ilmeisesti samana eli edelleen yli 10-vuotias voisi estää tietojensa näkymisen.

On mielenkiintoista, että tässä tapauksessa ikäraja on vedetty näinkin alas kun muualla lainsäädännössä ei vastaavaa ikärajaa tunneta. Sen sijaan esimerkiksi yllämainittu 15-vuotias on oikeutettu tekemään tiettyjä toimenpiteitä. Toisaalta taas, esimerkiksi tietosuojavaltuutettu on todennut, että periaatteessa minkä tahansa ikäinen lapsi voi ainakin tarkistaa terveystietonsa itsenäisesti, kunhan on kykenevä siihen ikänsä, kehitystasonsa ja asian luonteen perusteella. Tärkeää tässä on huomata se, että merkitystä on myös asian luonteella, eli esimerkiksi terveysasiat lapsi saattaa ymmärtää helpommin kuin vaikkapa talousasiat.

GDPR:n ikäraja 13-16 vuotta

Tietosuoja-asetus salli ikärajan asettamisen kansallisesti jopa 13-vuoteen tiettyjen tietoyhteiskunnan palvelujen käytön osalta. Muutoin ikäraja on 16 vuodessa. Eli alle 13/16-vuotias ei tarvitsisi vanhempiensa hyväksyntää esimerkiksi somen käyttöön. On hyvä huomata, että tässäkin suostumuksen antaminen on rajattu selkeästi vain tietoyhteiskunnan palveluihin eikä siten esimerkiksi vaikuttaisi ainakaan suoraan terveydenhuoltoon. Lisäksi kyseinen säännös koskee ainoastaan suostumusta eli esimerkiksi edelleen palvelun käyttöä koskevat ehdot vaatisivat vanhempien hyväksynnän, ellei palvelun käyttöä pidettäisi “tavanomaisena”. Riskinä liian nuoren kanssa tehdyssä sopimuksessa on sopimuksen pätemättömyys, joka ei ole vähäpätöinen asia.

Lapsilla on täsmälleen samat oikeudet kuin aikuisilla tietosuoja-asetuksen näkökulmasta. Alaikäisten erityinen asema kuitenkin tarkoittaa sitä, että se, kuka saa toimia heidän puolestaan esimerkiksi toteutettaessa rekisteröityjen oikeuksia (esimerkiksi oikeus poistoon, käsittelyn rajoitukseen, tietojen oikaisuun).

Tietosuoja-asetus edellyttää, että alaikäisille suunnatut palvelut ovat myös alaikäisille ymmärrettäviä. Eli ei riitä pelkästään se, että palvelu sallii esimerkiksi rekisteröitymisen alle 16-vuotiaalle. Palvelun on kyettävä selittämään “nuorten ja lasten kielellä” mitä rekisteröityminen tarkoittaa ja myös mitä tietosuojaan liittyviä oikeuksia käyttäjillä on. Lapsilla on GDPR:ssä tämän vuoksi erityisasema ja on selvää, että viranomaiset tulevat tämän vuoksi varsin tiukasti arvoimaan lapsille suunnattuja palveluja.

Suomessa tietosuojalainsäädännön kansallista uudistusta luonnosteleva TATTI-työryhmä ei osannut vielä päättää suosittaako se ikärajaksi 13 vai 15 vuotta. Päätöstä ei haluttu vielä tehdä vaan tarkoitus on seurata muiden Pohjoismaiden käytäntöä. Ruotsissa näytetään päätyvän 13 ikävuoteen, joten on odotettavaa että näin käy myös Suomessakin. Vaikka ikäraja on menossa varsin alhaiseksi, en mitenkään usko, että noita yllämainittuja ikärajoja (rikosoikeudellinen vastuu tai vaikkapa sopimuksen tekeminen) ryhdyttäisiin systemaattisesti alentamaan.

Omakanta-palvelun osalta ikäraja on vedetty alas todennäköisesti siksi, että on hyvin mahdollista että on olemassa 10-vuotiaita, jotka ovat riittävän kypsiä päättämään omasta hoidostaan ja myös siitä, saavatko hänen vanhempansa tietoja. Ja on myös mahdollista, että eteen sattuu tilanteita, joissa vanhemmille tai yhdelle vanhemmalle ei haluta antaa tietoja lapsen terveydentilasta. On selvää, että tällä pyritään suojelemaan lapsia ja näin pitääkin olla.

 

WP29:n tuore ohjeistus vaikuttaa merkittävästi kaikkiin tietosuojaselosteisiin

Vuosi 2018 on täällä ja samoin GDPR:n voimaantulo! Enää muutama kuukausi ja uutta asetusta sovelletaan kaikkailla EU:ssa. Moni yritys ja toimija on päässyt jo hyvään vauhtiin GDPR-työnsä kanssa, mutta tietosuojaviranomaisten yhteistyöelin Article 29 Working Party eli tuttavallisemmin WP29 heittää välillä melko isoja kapuloita rattaisiin.

Käymme blogissa läpi seuraavien viikkojen aikana näitä ohjeistuksia. Tällä kertaa suuntaamme katseet marraskuussa julkaistuun ohjeistusluonnokseen koodinimellä WP260 joka koskee transparencya eli läpinäkyvyyttä. Keskeisenä tavoitteena on antaa selvyyttä tietosuoja-asetuksen 13 ja 14 artiklan jo varsin laajaan ja seikkaperäiseen listaan siitä, mitä rekisteröidylle on kerrottava henkilötietojen käsittelystä. Artikla 13 koskee tilanteita, joissa rekisterinpitäjä kerää henkilötiedot suoraan rekisteröidyltä kun taas artikla 14 taas koskee tilanteita, jossa henkilötiedot kerätään muista lähteistä kuin rekisteröidyltä itseltään.

Lyhyenä kertauksena vielä vaatimuksista, jotka ovat kutakuinkin molemmissa tilanteissa samat. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot:

  1. rekisterinpitäjän tai tämän edustajan identiteetti ja yhteystiedot;
  2. tietosuojavastaavan yhteystiedot;
  3. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
  4. rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f (eli kolmansien osapuolien oikeutettua etua varten) alakohtaan;
  5. henkilötietojen vastaanottajat tai vastaanottajaryhmät;
  6. tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta,
  7. henkilötietojen säilytysaika tai tämän ajan määrittämiskriteerit;
  8. rekisteröidyn oikeudet
  9. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos suostumus on käsittelyperuste
  10. oikeus tehdä valitus valvontaviranomaiselle
  11. onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset
  12. automaattisen päätöksenteon, kuten mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on lisäksi kerrottava mistä henkilötiedot on saatu ja se onko ne saatu yleisesti saatavilla olevista lähteistä. Tämän lisäksi on vielä kerrottava, mitä henkilötietoryhmiä käsittely koskee.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja yllämainitun lisäksi muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat tiedot yllämainitun mukaisesti.

WP29:n tarkennuksia ohjeistukseen

Tietosuojaviranomaisten ohjeistus muuten ei ole toimijoita sitovaa, vaan ilmaisu siitä, miten EU:n tietosuojaviranomaiset tulkitsevat tulevaa asetusta. Tietenkin tällä hetkellä kysymys on vain luonnoksesta, johon voidaan vielä vaikuttaa kommenttien muodossa 23.1.2018 asti. Mikäli ohjeistus hyväksytään sellaisenaan, yrityksillä on siis vaihtoehtona joko täysin noudattaa suositusta tai sitten mennä niin sanotusti GDPR:n mukaan ja tulkita itse asetusta toisella tavalla. Tämä on tietysti iso riski, koska viranomaiset tulevat varmasti haastamaan heidän näkemyksensä vastaisen tulkinnan.

Läpinäkyvyys-ohjeistuksen keskeisenä tarkoituksena on antaa suuntaa siihen, miten rekisterinpitäjät informoivat rekisteröityjä (eli esimerkiksi asiakkaitaan tai työntekijöitään) tietosuoja-asetuksen vaatimusten mukaisesti. Yleensä tämä tieto kootaan ns. “tietosuojailmoitukseen” eli privacy statementiin. Tällä tavalla rekisterinpitäjä täyttää tietosuoja-asetuksen 13 ja 14 artiklan mukaiset velvoitteensa. Tämä ilmoitus ei ole tietenkään ainoa tapa, mutta yleisimmin käytetään varsin yleisluontoista selostusta henkilötietojen käsittelystä.

Läpinäkyvyys-ohjeistuksen suurimpana ongelmana on se, että vaatimuksissa mennään hyvin syvälle detaljitasoihin ja samalla vaaditaan, että rekisteröidylle toimitetaan tiedot “selkeästi, tiiviisti ja helposti saatavasti”. On erittäin haastavaa ellei mahdotonta tuottaa tietoa tiiviisti, jos vaatimuksena on samalla kattavuus ja selkeys. Selvää on, että ohjeistuksella tulee olemaan vaikutusta kaikkiin tietosuojaselosteisiin, riippumatta siitä, koskevatko ne ennen tai jälkeen GDPR:n voimaantuloa tehtävää henkilötietojen käsittelyä.

Privacy notice kahden klikkauksen päässä

Tässä muutamia poimintoja WP29:n läpinäkyvyyttä koskevasta ohjeluonnoksesta:

Tietosuojaan liittyvät tiedot tulee olla helposti saatavilla (ohjeen sivu 8). Ohjeistuksessa esimerkiksi edellytetään, että henkilötietojen käytöstä kertovaan sisältöön tulisi päästä online-palveluissa “kahden klikkauksen” kautta. Eli esimerkiksi sovelluksen valikossa tulisi olla suoraan erillinen “tietosuoja/henkilötietojen käyttö” -kohta josta pääsee tarkastamaan tietosuojaa koskevat tiedot. Tämä on muuten sovelluskehityksessä yleinen valituksen aihe, kun kaiken maailman privacypolicyjen takia kännykän ruudun tila (eli “real estate”) täytyy täyttää kaikella tylsällä eikä päästä myymään käyttäjälle peliä halvalla (eli saada koukuttavaa hintaa riittävän isolla ruudulle).

Yksinkertainen ja selkeä kieliasu (sivu 9). Käytettävän kielen tulisi olla yksinkertaista eikä se saisi sisältää “juridisia termejä”. Tietoa ei myöskään saa jakaa “varmuuden vuoksi” tai epäselvyyden lisäämiseksi. Esimerkiksi seuraavat toteamukset eivät täytä “selkeysvaatimusta”:

  •  Saatamme/voimme käyttää henkilötietojasi uusien palveluiden kehittämiseksi. -> Tässä ongelmana on se, että lukijalle ei avaudu, mitä nämä kyseiset  palvelut ovat ja miten henkilötietoja käytettäisiin kehityksessä.
  • Saatamme/voimme käyttää henkilötietojasi tutkimukseen. -> Ongelmana se, että ei tarkemmin määritellä millaiseen tutkimukseen (kaupalliseen/tieteelliseen/yrityksen sisäiseen) tietoja käytetään.
  • Saatamme/voimme käyttää henkilötietojasi palvelujen personointiin. -> Ongelmana se, että ei tarkemmin kerrota mitä personointi käytännössä tarkoittaa (eli miten tietoja käytetään ja miten personoinnin tulokset näkyvät käyttäjälle.

Kahden ensimmäisen osalta oma kysymyksensä on esimerkiksi se, miksi palveluntarjoaja käyttäisi juuri henkilötietoja tällaiseen palvelun kehittämiseen tai tutkimukseen. Tällaisissa tilanteissa voisi olla järkevää esimerkiksi anonymisoida tiedot siten, että ne eivät ole enää henkilötietoja (ja siten eivät informointivelvoitteen piirissä). Viranomaiset pyrkivät osoittamaan, että epävarman kielen (saatamme, ehkä, voi olla että) käyttäminen hämärtää rekisteröidyn mahdollisuutta täysin ymmärtää henkilötietojen käsittelyä.

Ensimmäisen esimerkin osalta WP29 edellyttää rekisterinpitäjältä mahdotonta: sen pitäisi pystyä ennustamaan, mitä palveluja se tulee kehittämään ja kertomaan tämän, keskeisimmän liikesalaisuutensa, rekisteröidylle.

Asteittainen/kerroksittainen tietosuojaseloste (sivu 17). Ohjeistuksessa tuodaan esiin myös ns. “Layered notice/Just in time notice” joka tässä nyt suomennettakoon vaikkapa asteittaiseksi tai kerroksittaiseksi tietosuojaselosteeksi. Ajatuksena on siis se, että esimerkiksi sovelluksen käyttäjälle näytetään hänen sovelluksensa tekemän toimenpiteen (vaikkapa kuvan lataaminen palveluun) kannalta keskeisiä tietosuoja-asioita (esimerkiksi kuka voi nähdä kuvan, keneltä pitää kysyä lupa kuvan julkaisemiseen jne). Lisäksi käyttäjälle annetaan mahdollisuus tutustua tarkemmin (esimerkiksi linkin muodossa) koko tietosuojaselosteeseen ennen tai jälkeen toimenpiteen tekemisen. Toteutusmuotoja on satoja: ponnahdusikkunoita, videoita, ääniviestejä jne jne.

Juristien ammatin pelastus on ollut se, että harva lukee pitkiä sopimustekstejä ja ilmeisesti vielä harvempi lukee tietosuojaselosteita (minä kyllä luen ja pidän niitä kiehtovina!). WP29:n toiveena ilmeisesti on, että tiedon palasteleminen auttaisi rekisteröityjä ymmärtämään paremmin hänen käytämänsä palvelun tietosuojavaikutuksia hänelle ilman että käyttäjä “väsyy” tietoon ja “hyväksyy kaiken” lukematta. On tietenkin aika paksua vaatia rekisterinpitäjää innostamaan rekisteröityjä innostumaan tietosuojasta, mutta toisaalta mielestäni GDPR:n henki on, että halutessaan tieto on helposti saatavilla.

Ohjeistuksessa on myös muita varsin mielenkiintoisia tulkintoja, kuten esimerkiksi se, että liitteenä olevassa taulukossa edellytetään että henkilötietojen siirrosta ETA-alueen ulkopuolelle tulisi kertoa erittäin seikkaperäisesti rekisteröidylle. Vaatimus edellyttäisi, että rekisterinpitäjän tulisi esimerkiksi mainita kaikki maat joihin henkilötietoja siirretään. Tämä on jo selkeää GDPR:n ylitulkintaa, koska artikla 13:ssa edellytetään ainoastaan mainitsemaan, että tehdäänkö siirtoja ETA:n ulkopuolelle vai ei.

Toteutuessaan ehdotetun muotoisena uusi ohjeistus tulee vaikuttamaan moneen tietosuojaselosteeseen, jopa ns. “GDPR-valmiiseen”, koska harva on varmasti osannut arvioida vaatimusten menevän näin tiukaksi. Toivottavaa on, että kommenttikierroksella saadaan palautetta joka muuttaa ohjeistusta lievemmäksi. Aiempien ohjeistuksien, perusteella vaikuttaa kuitenkin siltä, että viranomaisten ambitiotaso on korkealla.

Vuoden 2017 top 5: GDPR, suorahankinnat, #milläoikeudella, ulkomaille lähteminen ja kiitos!

Vuosi 2017 on nyt paketissa ja on aika katsoa tämä vuoden JIT-Blogin ilmiöitä ja keskeisimpiä aiheita.  Eli vuoden 2017 top 5 on seuraava:

1. GDPR, GDPR, Kekkonen, GDPR

Tietosuoja-asetuksen eli GDPR:n voimaan tuloon on enää muutama hassu kuukausi. Meno alkoi selvästi kiristyä loppuvuodesta 2017, kun konsultit ovat pääseet “veren makuun” ja myllyttäneet GDPR myyttejä (isot sakot kaikesta!) ja paniikkia. Kirjoitin aiheesta myös runsaasti, kuten esimeriksi sitä, miten tietosuoja-asetus tulisi huomioida hankintasopimuksissa (osa 1 ja osa 2). Lisäksi tarkasteltiin hankintarintamalta muun muasssa siitä, miten asetuksen voimaantulo on huomoitu hankintasopimuksissa (spoiler: huonosti) ja jos ei ole, oikeuttaako tietosuoja-asetus hankintasopimuksen muutokseen?

Kesäkuussa myös julkaistiin tietosuoja-asetuksen kansallista voimaansaattamista pohtineen työryhmän mietintö, joka ehdotti että henkilötietolaki kumotaan ja tilalle säädetään tietosuojalaki. Työryhmän työtä on jatkettu ja hallituksen esitys on tulossa lähiaikoina, merkittäviä laajennuksia ei ainakaan tällä hetkellä ole työryhmän mietintöön tulossa.

Muita aiheita tietosuoja-asetuksen osalta olivat muun muassa tietojen poistaminen.

2. Suorahankinnat

Tänä vuonna blogissa puhuttiin paljon suorahankinnoista, kuten esimerkiksi autoverotuksen uudistuksen yhteydessä käytetyistä konsulteista. Useampi konsulttiyhtiö oli  laskuttanut liikenne- ja viestintäministeriöltä: alle silloisen hankintalain 30.000 euron soveltamisrajan. Valtio käyttää myös runsaasti asianajajia konsultteinaan, sillä heille maksettiin lähes kolmen miljoonan euron edestä palkkioita vuonna 2016.

Lisäksi mielenkiintoinen tapaus oli markkinaoikeuden ratkaisu, jossa roskapostisuodatuksesta pärähti 50.000 euron lasku.

3. No, kannattiko ulkomaille lähteä?

Vuonna 2017 tuli myös täyteen ensimmäinen kokonainen vuosi Suomessa kolmen vuoden ulkomaillaolon jälkeen. Ihme ja kumma, vieläkin poden välillä pientä kulttuurishokkia tässä hiljaisten kansalaisten maassa. Uuden vuoden myötä moni varmaan pohtii tai haaveilee että lähtisinkö ulkomaille ja kannattaisiko lähteä. Oman näkemykseni tähän kysymykseen voi varmaan jo arvatakin, mutta sen löydät parhaiten lukemalla itse postauksen. Suomi 100 -juhlavuoden kunniaksi kirjoitin myös pienen pätkän siitä, mitä kaikkea hollantilaiset tekevät meitä paremmin.

4. #milläoikeudella

Vuoden 2017 lopussa juristipiireissä toden teolla kohahti, kun #milläoikeudella -kampanja julkisti kertomuksia laajasta ahdistelukulttuurista juristien piirissä. Tähän tarinaan on vastanneet jo lakimiesliitto ja asianajajaliitto omilla selvityksillään, mutta selvästi työ on vasta alussa. Esimerkiksi asianajotoimistojen johtopaikoilla on vielä varsin suuri miesvalta.

5. Te, rakkaat lukijat ja kuulijat!

JIT-blogi on vuoden 2017 aikana kasvattanut hurjasti lukijakuntaansa ja tässä hyvin kapean alan asiantuntijablogissa on kuukausittain jo yli tuhat lukijaa. Aivan uskomattoman hurjaa! Siitä suuri kiitos teille, rakkaat lukijat! Ensi vuonna meno jatkuu samanlaisena, mutta mielelläni otan palautetta vastaan siitä, mistä ja miten pitäisi kirjoittaa. Tervetuloa siis kommentoimaan, esimerkiksi @twitterissä, Linkedinissä tai Facebookissa.

Bloggaamisen lisäksi siirryin loppuvuodesta myös podcastien tekemiseen. Se on ollut todella hauskaa. Ensi vuonna on tarkoitus jo ihan haastatellakin ihmisiä juridiikan ilmiöistä, joten pysykää kuulolla. Podcastin nimi on Ibid Podcast ja se löyty tällä hetkellä ainakin Soundcloudista .

Eli kiitos kiitos kiitos kuluneesta vuodesta ja tavataan ensi vuonna, virtuaalisesti tai ihan henk koht!

Podcast: Juristien paimenkirjeet

Jit-blogi on nyt myös kuulokkeissasi! Ensimmäisessä podcastissa aiheena paljon puhutut juristien paimenkirjeet.

 

Juristien ala on miesvaltainen, ja #milläoikeudella avaa tärkeän keskustelun

Olen seurannut epäuskoisena ja hyvin harmistuneena #milläoikeudella -sivustolle kerättyjä kertomuksia naisten kokemasta ahdistelusta ja seksuaalisesta häirinnästä juristien ammattikunnassa. Sivustolle (tiistaihin mennessä) kerätyt 200 kertomusta piirtävät kuvan pitkään jatkuneesta ilmapiiristä, jossa ahdistelu on sallittua tai ainakin se on painettu villaisella.

Tämä ei ole mitenkään oikein. Naisten ei pitäisi joutua kohtaamaan tällaista syrjintää, ahdistelua tai häirintää työskennellessään juristina tai missään muussakaan työssä. On suuri vääryys, että näin on päässyt tapahtumaan ja asian on muututtava.

Kertomukset luovat kuvan juristien ammatista erittäin epämieluisan kuvan. Toisaalta se mustamaalaa myös kunnollisesti käyttäytyviä miesjuristeja, -osakkaita, -laamanneja ja -virkamiehiä. Lisäksi sivuston julkilausuma on sellainen, jota on vaikea tasa-arvoa rakentavasti tavoittelevan miehen allekirjoittaa: “Ongelman ydin ei ole vain muutamassa huonosti käyttäytyvässä miehessä, vaan koko juristikuntaan pesiytyneessä kulttuurissa, joka sallii naisten epätasa-arvoisen kohtelun ja jättää uhrit yksin.”

On ehkä hieman ylilyönti syyttää koko juristikuntaa, yhtään vähättelemättä itse ongelmaa. Olen itsekin todistanut, että ahdisteluun on puututtu ja pyrkinyt hillitsemään esimerkiksi seksistä kommentointia tai vitsailua. En ole havainnut esimerkiksi kertomuksissa mainitun kaltaista käyttäytymistä nykyisellä työpaikallani. Ahdisteluun myös puututaan eikä mielestäni kyseessä ole aivan koko juristikuntaan pesiytyneestä kulttuurista, mutta tietyissä työpaikoissa kuulemani mukaan meno on aika pitkälle kertomusten kaltaista. Ahdistelu ja epätasa-arvoinen kohtelu on laaja ilmiö, mutta on väärin leimata kaikki juristit asian hyväksyviksi.

Koska itse olen ollut aktiivisesti tämäntyyppistä epäasiallista ja syrjivää kohtelua vastaan, olen siksi todennäköisesti jäänyt myös suurelta osin tällaisen syrjivän keskustelun ulkopuolelle. On siis mahdollista, että omakin kuvani alasta on “vääristynyt” eli että en ole saanut nähdä ahdistelua niin laajana kuin se todellisuudessa on.

Numeroilla nähden tilanne on selkeä

Mutta yritetäänpä piirtää kertomusten ja saatavilla olevien faktojen avulla edes jonkinlainen kuva tästä miesvaltaisesta alasta. On nimittäin numerojen perusteella selvää, että miehillä on valtaa juridiikassa.

Oikeustieteen opiskelijoissa on jo pitkään ollut naisvalta: esimerkiksi Turun yliopistossa vuonna 2016 oikeustieteen opiskelijoista naisia oli 65,4 % ja miehiä loput 34,6%. Lukemat ovat samansuuntaisia kaikissa muissakin yliopistoissa, joissa oikeustiedettä opetetaan: naisia on selvä enemmistö. Sukupuolijakauma on ollut samansuuntainen jo pitkään, reilusti yli 15 vuotta.

Tutkin viime vuoden alussa asianajotoimistojen osakkaiden sukupuolijakaumaa. Tarkoituksena oli selvittää, onko naisilla vaikutusta asianajotoimiston tulokseen. Lievä veikkaukseni on että kyllä vaikuttaa ja positiivisesti. Tarkoituksenani on tehdä sama vertailu myös tänä vuonna ja siksi keräsin jälleen mies- ja naisosakkaiden määrät. Naisia oli 20 suurimmassa asianajotoimistossa osakkaina keskimäärin 24,1 %, määrä on noussut viime vuoden 22 %:sta.

Näyttökuva 2017-12-11 kello 22.29.33

Määrä on mielestäni pieni, jos vertaa sitä naisopiskelijoiden määrään. Samoin määrä on pieni, jos sitä vertaa esimerkiksi yrityksessä johtoasemassa olevien juristien sukupuolijakaumaan. Tästä minulla ei ole tarkkaa tietoa, mutta tutkin viime vuonna pörssiyhtiöiden lakiasianjohtajien sukupuolijakaumaa ja oma käsitykseni on, että naisia on merkittävästi suurempi määrä johtavissa juristien tehtävissä yrityksissä kuin tuo 24,1%.

Olisi naiivia ajatella, että tuollaisella sukupuolijakaumalla ei olisi vaikutusta alan kulttuuriin ja toimintatapoihin. Lisääntyvä naisten määrä asianajotoimistojen johtotehtävissä toivottavasti tuo tähän muutosta. En ole tarkkaan tutkinut tilannetta, mutta oma käsitykseni on myös, että osakkaiden alapuolella työskentelevissä johtotehtävissä on suurempi määrä naisia, eli oletettavaa on, että jossakin vaiheessa tulevaisuudessa naisosakkaiden määrä tulee kasvamaan. Mutta ihmeellisen hidasta kehitys on ollut, kun ottaa huomioon esimerkiksi juuri tuon opiskelijoiden sukupuolijakauman. Ympärillä oleva yhteiskunta on muuttunut nopeammin kuin juristien maailma.

Otetaanpa vertailukohdaksi esimerkiksi korkeimmissa tuomioistuimissa, eli korkeimmassa oikeudessa ja korkeimmassa hallinto-oikeudessa johtoasemissa eli jäseninä olevien sukupuolijakauma. KKO:ssa naisia on jäsenistössä 32% ja KHO:ssa 45 %.

Näyttökuva 2017-12-11 kello 22.47.03

Eli luvut ovat huomattavasti korkeampia kuin esimerkiksi asianajotoimistoissa. Asianajomaailma on siis merkittävästi miesvaltaisempi kuin vaikkapa ylimmät tuomioistuimet. Korkeimman oikeuden jäseneksi pääsy on pidemmän työkierron takana kuin asianajotoimiston osakkaaksi pääseminen. Tästä huolimatta osakkaiksi päätyy vähemmän naisia. #milläoikeudella kampanjan yksi suuri pyrkimys vaikuttaa olevan kulttuurimuutos. Juuri tällainen muutos on vaikein toteuttaa. Mutta se on ehdottomasti tehtävä. On todella väärin, että kokemus tällaisesta vaikenemisen ja hyssyttelyn kulttuurista on olemassa. Naisten määrän kasvu johtotehtävissä ei automaattisesti tarkoita sitä, että kulttuuri muuttuisi, mutta varmasti sillä on suuri vaikutus kulttuuriin. Pyrkimyksenä ei myöskään tarvitse mielestäni olla se, että joka paikassa olisi naisia yhtä paljon kuin miehiä johtotehtävissä, vaan siitä, että tehtäviin valitaan sopivimmat, olivat he sitten miehiä tai naisia.

Juridiikassa ei ole miesten tai naisten töitä, vaan ainoastaan töitä. Asianajotyö ei ole sen enempää miehille kuin naisille sopivaa. Samoin työ tuomarina, virkamiehenä tai vaikkapa yrityksen juristina on yhtä lailla yhtä kovaa ja vaikeaa miehelle kuin naiselle. Tämä työ vaatii itseluottamusta, osaamista ja kokemusta, ei tiettyä sukupuolta. Mitään perustetta vähätellä vastakkaista sukupuolta ei siis ole.

Liittojen on puututtava epätasa-arvoiseen kohteluun

Kävin nopeasti läpi asianajajaliiton ja lakimiesliiton sivustot ja suuri yllätys ja pettymys oli se, että  kumpikaan ei ilmeisesti ole tehnyt vielä yhtään selvitystä aiheesta, vaikka sen olemassaolosta on ilmeisesti tiedetty jo pitkään. Lisäksi tarjolla ei ole ilmeisesti ollut minkäänlaista foorumia syrjinnän tai ahdistelun ilmituomiseksi.

Tähän olen todella pettynyt. Olen kiltisti maksanut lakimiesliiton jäsenmaksua, jota ei todellakaan ole käytetty järkevään, jos tämä tieto pitää paikkansa.  Liittojen on nyt näytettävä tietä ja avattava omat resurssinsa ongelman ratkaisemiseksi laajamittaisesti.  Kyselyjen lisäksi molemmilla liitoilla tulisi olla henkilökuntaa tämän asian käsittelyyn.

#milläoikeudella nostaa rohkeasti esiin ilmiön, johon on puututtava. Toivon hartaasti että työhön otetaan mukaan myös kertomuksia jakaneita ja julkilausuman allekirjoittaneita.

Selvitys: Yli puolessa hankintasopimuksista ei ole huomioitu tietosuoja-asetusta

Jit-Blogin työryhmä kävi läpi hankintailmoituksia viikon ajalta ja sai todeta, että GDPR tulee liian aikaisin hankintayksiköille. Lähes puolessa läpikäydyistä relevanteista sopimuksista ei ollut minkäänlaista mainintaa tietosuoja-asetuksesta.

Selvitys tehtiin Hilma-palvelun ja Hanki-tarjouspalvelun avulla. Kävimme läpi satunnaisotannalla 32 EU-hankintailmoitusta, joiden tietosuoja-aspektit analysoitiin. Otos on suhteellisen pieni lähinnä siksi, että tarkastelu haluttiin rajata sellaisiin sopimuksiin, joissa tietosuoja-asetuksen voimaantulolla olisi edes teoriassa vähäistä suurempaa merkitystä. Eli arviossa ei ole huomioitu esimerkiksi rakennusurakoita tai tavarahankintoja.

Vaikka määrä on pieni, on se mielestämme erittäin edustava otos keskeisimmistä sopimuksista, joissa tietosuoja-asiat tulisi olla huomioitu. Tämä johtuu siitä, että valitut sopimukset ovat sellaisia, missä on erittäin ilmeistä että sopimuskaudella käsitellään merkittävissä määrin henkilötietoja ja että siksi asiasta tulisi olla jotain sopimuksessakin. Joukossa on muun muassa ICT-sopimuksia ja muita palveluhankintoja.

Olisi väärin käydä läpi kaikki hankintailmoitukset ja laskea niistä miten GDPR tai tietosuoja ylipäätään mainittu. Tällöin saataisiin aikaan vinoutuneita lukuja kuten vaikkapa että “75 prosenttia hankinnoissa ei huomioida tietosuojaa”, koska tietosuoja-asetuksen merkitystä vaikkapa rakennusurakassa on turha ylikorostaa. On selvää, että käytännössä kaikissa sopimuksissa tulisi mainita jotain tietosuojasta tai sitten todeta yksinkertaisesti, että “henkilötietoja ei käsitellä”. Mutta katsoimme tärkeämmäksi keskittyä vain olennaisiin sopimuksiin.

Läpikäydistä 32 hankintailmoituksen liitteenä olleesta hankintasopimuksesta 19:sta ei löytynyt minkäänlaista mainintaa tietosuoja-asetuksesta.Näyttökuva 2017-11-18 kello 11.41.54

Määrä on merkittävä. Joko asiaa ei ole ymmärretty tai sitten se on kokonaan unohdettu. Tai pahimmassa tapauksessa asiasta ei ole vielä mitään tietoa. Näin iso määrä kertoo osaamisen puutteesta, varsinkin kun GDPR:n voimaantuloon on enää seitsemän kuukautta.. Tosin tietosuoja-asetus ei edellytä, että se mainitaan hankintasopimuksessa eli GDPR:n vaatimukset voi täyttää ilman mainintaa laista. Asetuksen mainitseminen sopimuksessa ei ole mikään itseisarvo. Siksi tarkastelimme myös tästä näkökulmasta analysoimalla sopimuksia 28 Artiklan vaatimusten täyttymistä. Tältä osin tulos oli otoksessa vielä huonompi:

nacc88yttocc88kuva-2017-11-18-kello-12-28-54.png Eli vaikka tietosuoja-asetus oli jollakin tavoin huomioitu sopimuksessa, hankintayksiköt eivät olleet vaivautuneet syventymään vaatimuksiin sen enempää. Artikla 28:n vaatimukset soveltuvat rekisterinpitäjä-käsittelijä-suhteeseen ja on siksi juuri hankintasopimuksessa olennainen tekijä. Yli 70 prosentissa sopimuksissa ei ollut mainintaa esimerkiksi riittävistä turvatoimista tai vaikkapa velvollisuudesta ilmoittaa tietoturvauhkista hankintayksikölle.

Vaikuttaisi siltä, että ajatusmallina on vieläkin, marraskuussa 2017, että “asia hoidetaan sitten myöhemmin”. Tämä on huolestuttavaa muun muassa siksi, että sopimuksen jälkikäteinen muuttaminen ei ole ongelmatonta.

Roolit jäävät määrittelemättä

Jos taas katsotaan yhtä keskeisintä sopimuselementtiä eli osapuolten rekisterinpitäjä-käsittelijä suhteen määrittelyä sopimuksessa, tulokset eivät myöskään ole rohkaisevia:

Näyttökuva 2017-11-18 kello 13.46.45 Vain 40 prosentissa sopimuksista sopijapuolten roolit oli määritelty eli todettu että esimerkiksi hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä. On suuri mysteeri, miksi määritelmiä ei ole tehty. Pitääkö hankintayksikkö asemaansa esimerkiksi lainsäädännön valossa niin selkeänä eli että viranomainen olisi aina rekisterinpitäjä? Vai onko kysymys vain huolimattomuudesta? Niissäkin sopimuksissa, joissa on tietosuojalauseke, osapuolten roolit jäävät määrittelemättä melkein puolessa (45 %) tapauksista.

Laadullista arviointia

Hankintayksiköiden osaamista päästiin arvioimaan myös hankintaprosessin vaiheissa. Hanki-palvelun etuna on se, että sinne rekisteröidyttyään ja tarjouspyyntöä katsottuaan saa sähköpostiinsa myös vastaukset tarjoajien esittämiin kysymyksiin. Tarjoajilla näyttää olevan yleisesti selkeänä huolenaiheena monen muun ohella myös tietosuoja. Hankintayksiköiden vastaukset eivät ole mairittelevia. Perusymmärrys esimerkiksi suostumuksen merkityksestä tai muista käsittelyperusteista on olematonta.

Selvityksessä on siis katsottu tarjouspyyntöjen liitteinä olevia sopimuksia tai sopimusmalleja. On tietenkin mahdollista, että tietosuoja-asiat hoidetaan kuntoon sopimusvaiheessa eli että tarjouspyynnössä ei olisi koko sopimus. Tarjoajien palautteen ja kysymysten perusteella on kuitenkin päätettävissä, että tällainen lähestymistapa ei ole mitenkään suositeltava. Koska asia huolettaa tarjoajia, tulisi se olla selvästi kunnossa jo tarjouspyyntövaiheessa.

Joissakin tapauksissa hankintayksikkö on ottanut käytännökseen erillisen tietojenkäsittelysopimuksen laatimisen,. Vaikka mitään tarvetta tällaiselle erilliselle sopimukselle ei ole, se on kuitenkin tästä aineistoista parhaiten tietosuoja-asetuksen vaatimukset täyttävä malli. Mallina oli käytetty tätä kuntaliiton laatimaa versiota, mikä pyrkii varsin hyvin täyttämään tietosuoja-asetuksen vaatimukset. Jostain syystä markkinoille on osittain syntynyt harhaluulo, että tietosuoja-asiat vaatisivat normaalista sopimuksesta erillisen, oman sopimuksensa. Käytäntönä tämä ei ole suositeltavaa, koska tällöin itse sopimuksen suorittaminen ja henkilötietojen käsittely ovat juridisesti omat “maailmansa”, joka voi riitatilanteessa aiheuttaa merkittäviä ongelmia. On hyvä myös muistaa, että esimerkiksi artikla 28 vaatimusten täyttämiseen vaaditaan paljon myös asioita itse normisopimuksesta, koska sopijapuolten on esimerkiksi määriteltävä käsittelyn tarkoitus ja vaikkapa salassapitokäytännöt. Siksi erillisen sopimuksen laatiminen on vaarallista, koska on mahdollista että näin luodaan “tuplastandardi”.

Tutkihankintoja.fi näyttää hallinnon todellisuuden ja se suurimmaksi osaksi on tylsä

Julkisten hankintojen keskeisenä tarkoituksena on hallinnon avoimuuden ja läpinäkyvyyden lisääminen. Mutta jos totta puhutaan, ilman tutkihankintoja.fi -sivustoa julkiset hankinnat eivät täytä tehtäväänsä. Vaikka tarjouskilpailut ovat avoimia ja viranomaisilla on velvollisuus luovuttaa asiakirjojaan julkisesti saataville, vasta kun tämä hankintatieto kootaan yhteen paikkaan helposti käsiteltävään muotoon, voidaan puhua todellisesta läpinäkyvyydestä.

Olen itse siinä mielessä outo juristi, että pidän datasta ja numeroista, vaikka en kumpienkaan käsittelyssä ole mitenkään hyvä. Datan avulla juristi voi ottaa täysin uuden näkökulman jo olemassa olevaan asiaan. Vielä ei olla siinä vaiheessa, että data ja sen analysointi voisi korvata  juristia, mutta se voi olla merkittävä apu juristinkin päätöksenteossa. On ollut myös hauskaa huomata, että data antaa monesti samanlaisia tuloksia kuin kokenut juristi.

Läpinäkyvyyttä lisää

Avoimuus ja läpinäkyvyys on taas sitä syvintä demokratian ydintä. Kun kykenemme tarkastelemaan riittävällä tarkkuudella jokapäiväistä päätöksentekoa, voimme varmistua päätöksenteon oikeellisuudesta. Avoimuus on mielestäni sitä, että viranomaisten asiakirjat ovat lähtökohtaisesti julkisia. Läpinäkyvyys taas on vielä enemmän: mahdollisuus yhdistää avoimen asiakirjat helposti keskenään. Läpinäkyyvyden avulla pystytään muodostamaan käsitys siitä, miten viranomaiset toimivat ja mihin rahaa käytetään.

Tutkihankintoja.fi -sivuton kaltaisia palveluja tarvitaan todellisen läpinäkyvyyden saavuttamiseksi. Palvelu on tietyllä tavalla loistava. Se on helppokäyttöinen ja sillä saa helposti dataa nähtäville. Mutta samalla siinä on yksi erittäin iso puute. Palvelu ei vielä tällä hetkellä näytä riittävällä tarkkuudella hankintayksiköiden hankintoja. Hankintayksiköittäin tarkastelemalla näkee vain suurimpia hankintoja ja tietynlaisen “yleiskatsauksen”. Tällöin saa kyllä jonkinlaisen käsityksen, mutta “täyttä kuvaa” ei vielä muodostu.

Lisäksi hankintojen luokittelu on surkeata: asianajopalveluita on päätynyt luokitteluissa ties minkä luokan alle: henkilöstopalvelut, hallinnolliset palvelut, ICT-hankinnat, Koneet laitteet ja kuljetusvälineet tai matkustuspalvelut. Nämä tekijät voivat aiheuttaa vinouman: näyttää siltä, että palveluita on ostettu vähemmän kuin mitä alun perin oli tarkoitus.  Epämääräisesti ja vinoutuneesti esitetty data ei olekaan enää dataa vaan propagandaa.

Vasta kun lataat avoindata.fi -sivustolta jättimäisen, useamman sadan megatavun kokoisen ja satoja tuhansia rivejä sisältävän excelin, pääset tutkimaan toden teolla hankintojen ydintä. Käytännössä blogipostaustani varten jouduin lähes käsin poimimaan satojen tuhansien tiedonmurusten joukosta kaipaamani tiedot. Onneksi asianajotoimistoilla on velvollisuus mainita yhtiönsä nimessä “asianajotoimisto”, tämä helpotti tekstihakua merkittävästi! Excelin avulla pystyi suhteellisen nopeasti luomaan myös suhteita hankintayksiköiden ja virastojen välille ja näin pääsi käsiksi myös siihen, kuka oli hankkinut ja keneltä.

Tuo on juuri mielestäni tutkihankintoja -sivuston suurin puute: vasta excelin avulla päästään kysymään oleellisia kysymyksiä. Skaalaamaan mittasuhteita: ylätasolta yksityiskohtiin ja päinvastoin. Miksi yksi valtion virasto ostaa omalta lakimieheltään vuosittain noin 300 euron edestä lakimiespalveluita? Miksi merkittävä, yli sadan tuhannen euron ministeriön asianajokeikka on päätynyt erittäin pienelle, Helsingin ulkopuoliselle asianajotoimistolle? Miksi erään asianajotoimiston laskuja on useita samalle päivälle ja hankintayksikölle?

En halua herättä turhaa epäilystä, sillä todennäköisesti jokaiselle kysymykselle on olemassa järkevä ja tylsä selitys. Ensimmäisessä kysymyksessä vastaus on todennäköisesti että kyseessä on jokin kulukorvaus. Toinen kysymys voi johtua esimerkiksi asianajotoimistojen esteellisyyssäännöksistä, jonka seurauksena juttu saattaa päätyä monien mutkien jälkeen aivan muualle kuin oli alun perin tarkoitus. Vastaus kolmanteen kysymykseen voi olla esimerkiksi, että laskut on vain lähetetty tai maksettu samaan aikaan. Virastojen todellisuus on monesti paljon tylsempää kuin mitä iltapäivälehdet kirjoittavat.

Saiko valtio halvalla?

No entä ne isot asianajolaskut sitten? Jotkut asianajotoimistot “pääsivät” laskuttamaan ministeriöitä ja virastoja satojen tuhansien eurojen edestä. Syitä voi olla monia: jokin tietty iso valtion it-hanke joka vaatii erillistä juridista apua, oikeudenkäynti käräjäoikeudessa tai markkinaoikeudessa tai pelkästään suuren luokan asiantuntija-apu.

On vaikeaa ja lähes mahdotonta arvioida onko valtio maksanut liikaa vai ei. Satojen tuhansien lasku kuulostaa suurelta, mutta asianajajamaailmassa tuntihinnalla on merkitystä. Esimerkiksi suuren toimiston huippuosakkaan laskutus voi hipoa helposti kuutta sataa euroa tunnilta (+alv). Jos satojen tuhansien vastineeksi valtio on saanut tuhansia tunteja maan parasta asianajotyötä, kyseessä on ollut erittäin hyvä “diili” valtiolle. Tai sitten asianajajat ovat laskuttaneet ylihintaa.

Valtion tämän alan tarjouskilpailuja seuranneena voin todeta että ensimmäinen vaihtoehto on todennäköisempi: asianajotoimistoille on hyvää mainosta päästä avustamaan valtiota ja kovan kilpailun vuoksi hinnat ovat varsin edulliset. Kun mukana ovat maan ykkösrivin toimistot, kysymys on aika hyvästä diilistä.

Seuraavaksi kuntasektori?

On hienoa, että tutkihankintoja -sivusto on tehty. Muutamalla varsin kosmeettisella käyttöliittymäkorjauksella palvelusta saadaan erittäin hyvin tehtävänsä hoitava läpinäkyvyyden työkalu. Sivuston pitäisi jatkossa pystyä yhdistämään laskut myös kilpailutukseen jotta todellisesta läpinäkyvyydestä voidaan puhua.

Sivusto kuitenkin kattaa vain pienen osan Suomessa tehtävistä julkisista hankinnoista ja jossakin vaiheessa siihen olisi ehdottomasti lisättävä myös muut hankintayksiköt eli esimerkiksi kunnat tai seurakunnat. Tällöin puhuttaisiin todellisesta läpinäkyvyydestä julkisissa hankinnoissa.