Tietosuoja-asetus hyväksyttiin, Privacy Shield vielä arvoitus

Euroopan Parlamentti lopulta hyväksyi uuden tietosuoja-asetuksen lopullisesti istunnossaan eilen torstaina. Seuraava vaihe on asetuksen julkaisu, jonka uskotaan tapahtuvan kesäkuun puolella ja tämän perusteella vaikuttaisi siltä että asetus tulee voimaan vuoden 2018 puolella.

Hyväksynnän lisäksi tällä viikolla tietosuojan kannalta tuikitärkeä Privacy Shield nytkähti eteenpäin, kun tietosuojaviranomaisten yhteistyöelin (“Article 29 Working Party” tai “WP29”) antoi oman näkemyksensä järjestelystä.

Privacy Shield on hienolta kuulostavasta nimestään huolimatta vain “järjestely” Yhdysvaltojen ja EU:n välillä, jolla pyritään turvaamaan henkilötietojen siirto mannerten välillä.  Tietosuojadirektiivi ja myös uusi tietosuoja-asetus edellyttää riittävää turvamekanismia tällaisilta henkilötietojen siirrolta. Privacy Shield on yksi tapa ratkaista tämä ongelma, siinä yritykset itse vakuuttavat tai “sertifioivat” itsensä järjestelyyn ja siten saattavat ainakin osan toiminnastaan EU:n kansallisten  tietosuojaviranomaisten valvonnan piiriin.

Komissio julkaisi helmikuun lopussa päätösluonnoksen, jonka mukana oli myös tarkempi kuvaus Privacy Shieldistä. Komission päätösluonnoksen tarkoituksena on todeta, että Privacy Shield on riittävä EU:n tietosuojasäännösten kannalta ja siten henkilötietoja voidaan siirtää sen avulla EU:n ulkopuolelle Yhdysvaltoihin.

Tietosuojaviranomaisten yhteistyöelimen näkemys on että Privacy Shield tuo “selkeä parannus” aiempaan Safe Harbor -järjestelyyn verrattuna. Tästä huolimatta WP29 näkee Privacy Shieldissä useita ongelmia. Järjestely on WP29:n mielestä vielä varsin epäselvä. Ongelmana on esimerkiksi se, että Privacy Shield ei WP29:n mielestä ei riittävissä määrin vastaa EU:n tietosuojaan liittyviä periaatteita eli EU:n kansalaiden tietosuojaan liittyvät oikeudet voisivat heikentyä ratkaisun myötä.

Toinen iso ongelma on massatiedustelu, jonka rajoittamisesta ei ole riittäviä takuita. Tältä osin WP29 katsoo, että Yhdysvaltojen lainsäädäntö ei vielä turvaa riittävän hyvää oikeussuojaa rekisteröidyille eli henkilöille joiden tietoja käsitellään. Kyseinen näkökohta on ollut alusta alkaen keskeinen ongelma erityisesti Saksan tietosuojaviranomaisille. Tämä asia on myös keskeinen kysymys koko Safe Harborin kaataneessa Schrems -tapauksessa, jossa EUTI katsoi, että lainsäädäntö ja viranomaisten toiminta Yhdysvalloissa ei mahdollista riittävää turvaa EU:n kansalaisille.

On mielenkiintoista nähdä, että WP29 on lähtenyt näyttämään hieman vaaleavihreää valoa Privacy Shieldille. Ainakin vielä viime viikolla useampi lähde kertoi, että esimerkiksi saksalaisten viranomaisten vastustus olisi kaatamassa koko Privacy Shieldin. Ongelmana lienee kuitenkin se, että Privacy Shield alkaa olla “too big to fail” eli jotain jota on vain pakko saada aikaiseksi.

Kansalaisoikeuksia puolustavat järjestöt ovat jo alusta alkaen teilanneet Privacy Shieldin riittämättömäksi. Hiljattain alan yrityksiä edustavan etujärjestö Digital Europe julkaisi Hogan Lovells asianajotoimistolla teetetyn raportin, jossa todettiin että Privacy Shield täyttäisi kaikki oikeuskäytännössä edellytetyt vaatimukset. Varmaa lienee siis vain se, että Privacy Shield tulee olemaan vielä pitkään kiistakapula ja todennäköisesti järjestely tulee päätymään EU:n tuomioistuimiin jossain vaiheessa.

No mitä tästä seuraa?

WP29 on EUn tietosuojaviranomaisten ja komission yhteistyöelin. Lausunto koskee komission päätösluonnosta. Tietosuojaviranomaisten näkemys ei ole komissiota sitova. Silti komissio todennäköisesti ainakin yrittää selventää yllämainittuja ongelmakohtia ennen kuin Privacy Shield lopullisesti hyväksytään.

Privacy Shield on vain yksi tapa huolehtia tietojen siirrosta Yhdysvaltoihin. Tältä osin on hyvä huomata, että tietojen siirtoa koskeva velvoite on rekisterinpitäjällä, eli esimerkiksi yhdysvaltalaista yritystä käyttävällä suomalaisella asiakkaalla. Eli asiakkaan tulee huolehtia riittävästä henkilötietojen suojasta kun se käyttää yhdysvaltalaisen yrityksen palveluja. Privacy Shieldin tarkoituksena on hoitaa asia “yksinkertaisesti” eli tavallaan siten, että yrityksellä on ns. “sertifikaatti” joka tarkoittaa että asiakkaan ei tarvitse tehdä mitään muuta.

Koska Privacy Shield ei ole vielä voimassa, tulee väliaikaisesti käyttää vieläkin ns. mallilausekkeita eli erillistä sopimusta asiakkaan ja yrityksen välillä tietojen siirron turvaamiseksi.

Tietosuojaviranomaisten yhteistyöelimen lausunto.

Hyvä koonti englanniksi.

 

Mikä muuttuu avoimessa menettelyssä?

Uusi hankintadirektiivi sisältää runsaasti myös hankintamenettelyyn liittyvää sääntelyä. Muun muassa neuvottelunmenettelyä uudistetaan ja esitellään uusi hankintatapa: innovaatiokumppanuus. Tämän lisäksi direktiivissä on myös tavanomaisimpia, kuten avointa ja rajoitettua menettelyä koskevaa sääntelyä. Onko näillä vaikutusta hankintayksikön arkeen?

Avoin menettely on eniten käytetty hankintamenettely. Uusi hankintadirektiivi tulee voimaan 18.4.2016 ja hankintalakia ei saada päivitettyä vasta kuin tämän vuoden lopussa. Hankintadirektiiviä sovelletaan hankintoihin, joiden kynnysarvo ylittää EU-kynnysarvot ja joiden hankintamenettely aloitetaan (eli julkaistaan hankintailmoitus) 18.4.2016 jälkeen.

Avoimeen menettelyyn uudella hankintadirektiivillä ei ole suurta vaikutusta, mutta yksi merkittävä uusi muutos on. Tarjousten vähimmäismääräajat lyhenevät. Kun aiemmin avoimessa menettelyssä tarjoajille tuli antaa vähintään 45 päivää (ilmoitus tehty sähköisesti) tarjouksen tekemiseen, nyt vähimmäismääräaika on 35 päivää. Määräaika lasketaan hankintailmoituksen lähettämispäivästä. Kyseinen 35 päivän vähimmäismääräaika lyhenee vielä viidellä päivällä, jos tarjouksen voi jättää sähköisesti. Todennäköisesti tarjous katsotaan jätetyn “sähköisesti”, kun se on jätetty sähköpostilla, eli erityistä järjestelmää tarjousten jättämistä varten ei tarvittane.

Lisäksi ennakkoilmoituksella voi edelleen lyhentää vähimmäismääräaikaa avoimessa menettelyssä 15 päivään. Ennakkoilmoitus ei saa olla tarjouskilpailukutsu, eli siinä ei ilmeisesti saa vielä pyytää tarjoajia jättämään tarjousta tiettyyn päivään mennessä. Lisäksi ennakkoilmoituksen tulee sisältää kaikki hankintadirektiivin liitteen V osan B  ensimmäisessä jaksossa hankintailmoitusta varten vaaditut tiedot. Ennakkoilmoitus tulee jättää myös vähintään 35 päivää ja korkeintaan vuosi ennen varsinaisen hankintailmoituksen julkaisemista.

Hankintayksikkö voi myös lyhentää määräaikaa 15 päivään jos tavanomaisen tarjousajan noudattaminen olisi asianmukaisesti perustellun kiireen vuoksi käytännössä mahdotonta. Kynnys tällaiselle “kiireelle” lienee kuitenkin varsin korkea, todennäköisesti saman suuntainen kuin suorahankinnassa (kiire on harvoin hyväksyttävä syy suorahankinnalle).

Uusi Hankintalaki – blogitekstit kootusti yhdessä paikassa

Kaikki hankintalain uudistusta käsittelevät Hankintaturistin ja JIT-Miehen blogin jutut löytyvät nyt kootusti osoitteesta uusihankintalaki.fi Pysy kuulolla!