EUT nosti IT-hankintasopimusten rimaa merkittävästi

Suorahankinnan perusteet ovat olleet aika pitkään varsin tunnettuja, vaikka tiedossa on, että suorahankintoja tehdään yhä paljon väärin perustein.

Syyskuun alussa EU:n tuomioistuin antoi ratkaisunsa ns. Finn Frogne A/S asiassa (C‑549/14). Siinä kysymys oli tilanteessa, jossa hankintayksikkö huomasi varsin pian sopimuskauden alettua, että hommat eivät toimi ja päätti että sopimus toimittajan kanssa on vain saatava poikki.

Niinpä osapuolet laativat sovintosopimuksen, jossa hankintasopimuksen toimialaa rajattiin merkittävästi alkuperäisestä  siten, että ostettava palvelu olikin vain noin 4,7 miljoonan euron arvoinen alkuperäisen 70 miljoonan sijaan. Sovintosopimukselle tavanomaisesti osapuolet totesivat asiakirjassa, että “kumpikin sopimuspuoli luopuisi kaikista muista alkuperäiseen hankintasopimukseen perustuvista oikeuksistaan paitsi tähän sovintoon perustuvista oikeuksista.”

Hankintayksikkö julkaisi ennen sovintosopimuksen tekemistä suorahankintailmoituksen. Tarjoaja, joka ei ollut osallistunut alkuperäiseen tarjouskilpailuun valitti asiasta tanskalaiseen julkisten hankintojen valituslautakuntaan. Asia eteni lopulta Tanskan korkeimpaan hallintotuomioistuimeen, joka pyysi EU-tuomioistuimelta näkemystä asiaan. Keskeinen kysymys oli se,  voiko kilpailutettua sopimusta muuttaa sovintosopimuksella ilman uutta kilpailutusta sellaisen riidan päättämiseksi, jonka lopputulos on epävarma ja joka johtuu tämän hankintasopimuksen täytäntöönpanoon kohdistuvista häiriöistä.

Suorahankintahan on myös mahdollista joskus myös “lisätilauksena” tai “teknisestä syystä”, mutta tässä tapauksessa ei ollut kysymys edellytetystä lisätilauksesta vaan hankinnan pienentämisestä merkittävästi.

Onko sopimus muuttunut olennaisesti?

Tuomiostuimen mielestä kysymys oli ns Pressetext (C-454/06) –kriteereistä eli siitä, onko sopimus muuttunut olennaisella tavalla ja olisiko tarjoajat antaneet toisenlaisen tarjouksen, jos tämä muutos olisi ollut heillä tiedossa tarjouskilpailun aikana. Tuomioistuin totesi erityisesti sopimuksen koon pienentämisestä että:

[…] hankintasopimuksen osatekijöiden muuttamisen siten, että sen kohdetta pienennetään, seurauksena voi olla se, että se on useamman taloudellisen toimijan saatavilla. Sikäli kun hankintasopimuksen alkuperäinen laajuus on ollut sellainen, että ainoastaan tietyt yritykset saattoivat esittää hakemuksensa tai jättää tarjouksensa, mainitun hankintasopimuksen suuruuden supistuminen on omiaan tekemään sen mielenkiintoiseksi myös pienemmille taloudellisille toimijoille. Koska tietyn hankintasopimuksen osalta asetettujen soveltuvuutta koskevien vähimmäisedellytysten on liityttävä direktiivin 2004/18 44 artiklan 2 kohdan toisen alakohdan mukaan suoraan hankintasopimuksen kohteeseen ja oltava oikeassa suhteessa siihen nähden, sen kohteen supistaminen on omiaan aiheuttamaan sen, että hakijoille tai tarjoajille asetetut soveltuvuutta koskevat vaatimukset pienevät suhteellisesti.

Tuomioistuimen mielestä sopimuksen pienentäminen on samalla tavalla muuttamista kuin mikä muu tahansa muutos ja täten siitä saa tehdä ainoastaan suorahankintana (eli esim hankintayksiköstä riippumattomasta syystä) jos kriteerit täyttyvät. Muuten on järjestettävä uusi tarjouskilpailu. Finn Frogne tapauksessa erikoista oli kuitenkin se, että tilanne vaikutti olevan hankintayksikön kannalta kestämätön: palvelu oli tarpeen, mutta palvelu ei pelannut. Ainoa järkevä vaihtoehto oli sopia voittaneen tarjoajan kanssa, koska muuten vaihtoehtona olisi ollut todennäköisesti pitkähkö riita tuomioistuimissa ilman toimivaa palvelua.

Hankintayksikön mielestä kyseisen hankintasopimuksen täytäntöönpanossa ilmenneet häiriöt olivat objektiivisia eli eivät välttämättä kummastakaan osapuolesta johtuvia ja myöskin ennalta-arvaamattomia eli niihin ei voitu sopimuksessa varautua.

Tuomioistuin otti kuitenkin varsin tiukan linjan ja totesi, että erityisesti IT-hankkeissa epävarmuus onnistumisesta on “fakta” eli hankintayksikön tulisi osata varautua tällaisiin epävarmuuksiin ja ongelmiin etukäteen sopimuksissa. Mikäli hankintayksikkö “maalaa itsensä nurkkaan” liian tiukalla tai epämääräisellä sopimuksella, kyseessä ei ole suorahankinnan edellyttämä hankintayksiköstä riippumaton syy.

En ole nähnyt itse sopimusasiakirjoja, mutta ilmeisesti tuomioistuimen mielestä sopimuksessa ei ollut riittäviä muotoiluja epävarmuustekijöiden osalta, sillä suurin ongelma oli juuri se, että sopimusta täytyi muuttaa eikä siinä ollut riittävästi “pelivaraa” mahdollisten virheiden, myöhästymisten tai epävarmuuksien osalta. Tuomioistuin itse asiassa meni vielä pidemmälle ja totesi, että

Vaikka yhdenvertaisen kohtelun periaatteen ja avoimuusvelvoitteen noudattaminen on taattava myös erityisissä julkisia hankintoja koskevissa sopimuksissa, tämä ei estä ottamasta huomioon niiden erityispiirteitä. Kyseisen oikeudellisen velvoitteen ja tämän konkreettisen tarpeen yhteensovittaminen tapahtuu yhtäältä hankintasopimusta koskevien ehtojen, sellaisena kuin ne on määritetty hankintasopimusta koskevissa asiakirjoissa, tarkalla noudattamisella aina kyseisen hankintasopimuksen täytäntöönpanovaiheen päättymiseen saakka, mutta toisaalta myös sillä, että on mahdollista määrätä näissä asiakirjoissa nimenomaisesti, että hankintaviranomaisella on oikeus sopeuttaa tämän hankintasopimuksen tiettyjä, jopa olennaisia, ehtoja kyseisen julkisen hankintasopimuksen sopimuspuolen valinnan jälkeen. Määräämällä nimenomaisesti tästä oikeudesta ja säätämällä sen soveltamistavoista näissä asiakirjoissa hankintaviranomainen takaa, että kaikki mainittuun hankintamenettelyyn osallistumisesta kiinnostuneet taloudelliset toimijat ovat siitä tietoisia heti alusta lähtien ja ovat siten yhdenvertaisessa asemassa tarjoustensa laatimishetkellä (ks. vastaavasti tuomio 29.4.2004, komissio v. CAS Succhi di Frutta, C-496/99 P, EU:C:2004:236, 112, 115, 117 ja 118 kohta).

Tuomioistuin varsin mielenkiintoisesti ulottaa näkemyksensä varsinaisen hankintaprosessin ulkopuolelle ja toteaa, että sopimuksella on merkitystä siihen, milloin saa tehdä suorahankinnan.

Aluksi tällainen tulkinta kuulostaa varsin tiukalta ja jopa hieman “ylitsepääsemättömältä”, koska perinteisesti on ajateltu, että hankintalain soveltaminen “päättyy” hankintapäätökseen ja että varsinaista sopimusta tarkastellaan ainoastaan sopimusoikeuden näkökulmasta.

Toisaalta taas on selvää, että EUT:n täytyy vetää tässä kohdassa tiukkaa linjaa. Mikä esimerkiksi estäisi hankintayksikköä muuten laatimasta tarjouspyyntöä ja sopimusta, jonka toteuttaminen on mahdotonta ja sitten sopimuskaudella “tehdä sovinto” jostain ihan muusta? Tällöin voisi varsin helposti kiertää hankintalain velvoitteet – ja vielä tärkeämpää – sen perusperiatteet.

Eikö sovintosopimusta saa tehdä?

Eli ovatko sovintosopimuksen nyt täysin kiellettyjä julkisissa hankinnoissa? Eivät ole. Sovintosopimus on täysin mahdollinen, kunhan edellytykset täyttyvät. Ja edellytykset voivat täyttyä monella eri tapaa:

  • laatimalla sopimus riittävän “väljäksi” eli jättämällä pelivaraa esimerkiksi siten että ostaja ei sitoudu volyymeihin tai mahdollisuus vetäytyä hankkeesta kesken kaiken.
  • käyttämällä suorahankintaan kun suorahankinnan kriteerit täyttyvät

Molemmat ylläolevat vaihtoehdot ovat todennäköisiä, mutta on hyvä huomata että Finn Frogne -ratkaisun perusteella kynnys suorahankinnalle on hieman korkeammalla kuin mitä aiemmin on ymmärrety. On mielenkiintoista nähdä, että sopimukselle annetaan näin paljon painoarvoa myös suorahankinnana arvioinnista. Se tarkoitaa vain sitä, että ennakoiva sopiminen on entistä suuremmassa asemassa jatkossa, kun tällaisia sopimuksia arvioidaan oikeudessa.

Ensimmäisen edellytyksen osalta kyseessä voi olla hankintayksikön painajainen. Kun sopimuksesta tekee liian “ostajamyönteisen”, tarjoajat kaikkoavat tai hilaavat hintansa pilviin riskiensä vuoksi. Toisaalta taas on vain viisautta tehdä hankinta esimerkiksi siten, että koko palvelua ei tarvitse ostaa samalta toimittajalta, vaan että jatkotyöt voi teettää muilla ja kilpailuttaa.

Seitsemän myyttiä tietosuojasta – BUSTED

Hankintaturisti sen aloitti hankintamyyttien murtamisella, joten otetaanpa käsittelyyn muutama tietosuojaan liittyvä myytti murrettavaksi. Alla seitsemän maagista tietosuojaan  liitttyvää myyttiä, joihin tietosuojan parissa työskentelevät törmäävät hyvin usein.

1. Henkilötietolaki kieltää tietojen siirtämisen alihankkijalle tai toiseen valtioon

TARUA! Mikään säännös ei kiellä toimittajaa tai palvelun tarjoajaa siirtämästä henkilötietoja kolmanne osapuolelle. Mikään säännös ei myöskään estä esimerkiksi täysin ulkoistamasta tietojen käsittelyä kolmannelle osapuolelle. Tietosuojasäännökset (eli Suomessa esimerkiksi henkilötietolaki ja EU:n uusi tietosuoja-asetus) kuitenkin sääntelevät tarkasti tällaisia siirtoja ja ulkoistuksia. Ja vaikka itse toiminnan voisi ulkoistaa, vastuuta ei voi: se, joka kerää ja päättää miten tietoja käyttää on vastuussa siitä, miten tietoja käytetään ja vastaa myös väärinkäytöksistä ja lain noudattamisesta.

2. Amerikkaan ei saa siirtää henkilötietoja, koska NSA

TARUA! Vaikea asia, mutta yksinkertaistaen: tietosuojasäännöstö ei estä tietojen siirtämistä Yhdysvaltoihin. Henkilötietoja voidaan siirtää tämänhetkisten sääntöjen mukaan myös Yhdysvaltoihin, kunhan huolehditaan riittävästä suojasta: tähän on olemassa muutama käytännöllinen mekanismi: ns. Privacy Shield -järjestely tai EU:n hyväksymät mallilausekkeet. Mutta: koska Yhdysvalloissa on todettu tiettyjen tahojen, kuten esimerkiksi NSA:n. harjoittavan massavalvontaa, EU:n tuomioistuin on todennut tämän olevan ongelmallista. Siksi on mahdollista, että tämä myytti muuttuu jossakin vaiheessa todeksi.

3. Intiaan ei saa siirtää henkilötietoja, koska ne on EU:n ulkopuolella

TARUA! Henkilötietoja saa ja voi käsitellä EU:n ulkopuolella, mutta rekisterinpitäjän on huolehdittava, että käsittely hoituu EU:n tietosuojavaatimusten mukaisesti. Muualle kuin Yhdysvaltoihin tämä hoituu esimerkiksi EU:n mallilausekkeiden avulla. Yhtiö voi siis ulkoistaa asiakastietojen käsittelyn Intiaan tai esimerkiksi puhelintukensa Indonesiaan, kunhan vain sopimuksissa huolehditaan tietosuojasta riittävästi.

4. Meidän henkilötiedot on tallennettu suomalaiselle serverille ja alihankkijoilla on ainoastaan pääsy tietoihin, ei latausmahdollisuutta, joten ei ongelmia

TARUA! Vaikka henkilötiedot olisivat tallennettuna johonkin tiettyyn EU:n jäsenvaltioon, kysymys voi silti olla henkilötietolain mukaisesta tietojen siirrosta EU:n ulkopuolelle. Jo pelkkä pääsyoikeuden antaminen tai jopa pelkkä mahdollisuus pääsyyn katsotaan tietojen siirroksi EU:n ulkopuolelle. Jos esimerkiksi intialaiselle alihankkijalle annetaan pääsy suomalaisella serverillä sijaitsevaan tietokantaan, kysymys on henkilötietolain mukaisesta henkilötietojen siirrosta EU:n ulkopuolelle ja osapuolten on esimerkiksi allekirjoitetava EU:n mallilausekesopimus.

5. Ei meillä mitään henkilötietoja ole, ei meidän tarvitse tätä noudattaa

TARUA! En ole keksinyt vielä yritystä, joka ei käsittelisi henkilötietoja. Jos totta puhutaan, ei sellaista ole olemassakaan. Jos yhtiö toimittaa tuotteita tai palveluita jollekin yritykselle, tarvitaan aina yhteystietoja, sähköpostiosoitteita, puhelinnumeroja jne. Henkilötietolaki koskee kaikkia, tasapuolisesti. Sen lisäksi tietosuojalainsäädäntö tulee muuttamaan jokaisen yrityksen liiketoimintaa merkittävästi seuraavan kahden vuoden aikana. Be prepared!

6.Ok, meillä on asiakasrekisteri, mutta ei meillä muuten mitään henkilötietoja käsitellä

TARUA! Henkilötiedon käsite on laaja: mikä tahansa tieto, minkä perusteella henkilö voidaan tunnistaa on henkilötieto. Se voi olla yksi yksittäinen tieto, tai tietojen yhdistelmä. Se voi olla kuva tai IP-osoite. Tähän taruun törmään kaikkein eniten: hyvin harva vielä käsittää miten monella tapaa tietosuojalainsäädäntö koskettaa yrityksiä.

7. No problem! Asiakkaat ovat antaneet suostumuksen yleisten sopimusehtojen 7.12 ii) – kohdassa

TARUA! Suostumus on yksi keino käsitellä henkilötietoja. Ongelmana on kuitenkin se, että vaatimukset suostumuksen osalta kiristyvät koko ajan. Vielä suurempi ongelma on se, että suostumus voidaan peruttaa minä hetkenä hyvänsä.

Kuka omistaa Pokestoppisi?

Nyt kun PokemonGon suosio on pikkuhiljaa hiipumassa, lienee aika tuoda esille yksi näkökulma peliin, joka on puhuttanut juristeja maailmalla. Muun muassa Samuli Simojoki avasi omassa kirjoituksessaan aihetta hieman, joten jatketaanpa keskustelua vielä tovi.

PokemonGo:n tarkoituksena on kerätä mahtavia pokemoneja, jotka ilmestyvät pelissä “kartalle”. Kartta vastaa oikeata karttaa ja siis ihan oikeata fyysistä maailmaa ja pelissä ei liikutakaan sovelluksessa, vaan pelaajan tulee itse liikkua “oikeassa maailmassa”, jotta pelihahmo liikkuisi pelissä. Pelaajat voivat kerätä kaikenlaista kivaa Pokestopeista, joita on sijoitettu pelissä kartalle sinne tänne kiinnostaviin paikkoihin. Lisäksi jotkut kiinnostavat paikat on merkitty PokeGymeiksi, joissa pokemonit taistelevat.

PokemonGo on perinyt kaikki nämä Pokestopit ja Pokegymit pelin kehittäneen Nianticin aiemmasta strategiapelistä nimeltään Ingress, jossa toiminta-ajatuksena on enemmänkin tiettyjen paikkojen “valtaaminen” ja alueiden muodostaminen. Ingressissä on portaaleja, jotka ovat kiinnostavia paikkoja kartalla. Kuulostaa tutulta vai? Portaalit ovat käyttäjien itse ehdottamia, jotka Niantic sitten lisää peliin, jos ehdotus täyttää pelin asettamat vaatimukset (mm. julkinen paikka, ei yksityisomaisuutta, jne..).

Jännitteet virtuaalisen ja oikean maailman välillä

Koska Pokestopit ovat oikeita pisteitä oikeassa maailmassa, pelin ja oikean maailman välille kehittyy konflikteja. Jotkut omistajat ovat valittaneet Nianticille siitä, että ihmisiä kerääntyy heidän talonsa eteen. Yhdysvaltojen länsirannikolla sijaitseva Des Moinesin kaupunki taas suunnittelee vaativansa Nianticia poistamaan kaikki kaupungissa olevat Pokestopit koska olevat nuoret “vetelehtivät” ja “rasittavat kaupunkia”. Vaikka en ole enää nuori, minullakin tulee muutama rolling eyes tälle pyynnölle. Amerikkalaisille näyttäisi olevan valtava ongelma se, että nuoriso kävelee kaupungilla. Ranskassa myös yksi pikkukylä on vaatinut Pokestoppien poistamista kaupungistaan. Milwaukeen kaupunki vaatii Nianticia hankkimaan ns. “geokätköilyluvan” kaupungilta Pokestopeille ja ilmeisesti jopa Pokemonien ilmestymispaikoille.

Mutta voiko Des Moines tai ranskalainen kylä tehdä näin? Kysymys on erittäin mielenkiintoinen. Puhtaasti juridisesta näkökulmasta Des Moinesin kaupunki tai kukaan yksityishenkilö ei omista Pokestoppia tai esimerkiksi Ingress -pelin portaaleja. Ne ovat Nianticin omaisuutta eivätkä mitään fyysisiä asioita vaan ainoastaan pätkä koodia miljoonien koodinpätkien seassa. Tilannehan on sama kuin esimerkiksi auton navigaattorissa, johon on luotu digitaalinen versio ympäröivästä maailmasta.

Muutamia juridisia “tarttumapintoja” tosin on: Pokestoppien kuvat voivat esimerkiksi loukata jonkun yksityisyyttä. Tai voi olla, että pelin aiheuttama “haitta” tietylle asumukselle voisi olla esimerkiksi kotirauhan rikkomista. Tällöinkin kotirauhaa rikkoo käsittääkseni peliä pelaava henkilö itse, eikä Niantic. Varmaankin yhdysvaltalaisesta oikeusjärjestelmästä löytyy keinoja haastaa tällaisessa tilanteessa myös Niantic oikeuteen “vaaran” tai “haitan” aiheuttamisesta.

Vielä mielenkiintoisempi kysymys on kuitenkin se, että voisiko omistajuus jossakin vaiheessa ulottua myös digimaailmaan? Olen muutamassa sivulauseessa kuullut tällaisia pohdintoja. Yksi vaihtoehto olisi ajatella digimaailmaan liittyviä oikeuksia samalla tavalla kuten esimerkiksi tontinomistajan oikeudet. Tontinomistaja omistaa siis tonttinsa, eli näkyvän osan maasta. Mutta hänellä on omistusoikeus tai oikeammin määräämisoikeus myös jossakin määrin tontin alapuolella (eli maa-ainekseen) ja yläpuolella sijaitsevaan tilaan (eli ilmatilaan). Tätä ajatusjuoksua seuraamalla voisi kuvitella tällaisten omistusoikeuksien ulottuvan digimaailmaankin. Tällä hetkellä lainsäädäntö ei tällaista mahdollista.

Paikkatieto: onko se henkilötieto?

Paikkatieto on erittäin arvokasta tietoa, joten voin hyvin kuvitella, että monella eri taholla on intressejä sen omistamisen suhteen. Toisaalta tietoa keräävät yritykset haluavat hyötyä maksimaalisesti  itse keräämästään tiedosta. Toisaalta taas fyysisten kohteiden omistajat haluaisivat itse päättää, kerätäänkö heistä tietoa vai ei. Suomessa on viime aikoina puhuttanut Metsäkeskuksen keräämät tarkat paikkatiedot.

Kuten Simojoki kirjoittaa, metsänomistajat ovat mielenkiintoisesti vedonneet juuri tähän aspektiin: metsätiloista kerättävä tieto on niin tarkkaa, että se menee jo yksityisyyden puolelle. Olen samaa mieltä Simojoen kanssa siitä, että tietyissä tilanteissa paikkatieto on niin yksityiskohtaista, että sitä voidaan pitää henkilötietona. Henkilötiedon edellytyksenähän on siis se, että tiedon avulla voidaan tunnistaa joku henkilö. Vaatimuksena ei ole esimerkiksi, että henkilön nimi tiedetään (näin on esimerkiksi kuvan osalta-  pystyt tunnistamaan ihmisen joukosta kuvan perusteella vaikka et tietäisi hänen nimeään). Henkilötieto ei ole ainoastaan jokin tietty yksittäinen tieto (kuten esimerkiksi vaikka osoiterivi), vaan myös tietojen yhdistelmä: esimerkiksi PokemonGo:n minusta keräämät yksittäiset paikkatiedot eivät vielä välttämättä vielä ole henkilötietoa, mutta olen aivan varma että yhtiö yhdistää nämä pienet pisteet kartalla reitiksi, josta aika pian käy ilmi esimerkiksi missä asun ja käyn töissä (tosin minähän en töissä pelaa..).

Tietosuoja onkin mielestäni tällä hetkellä paras keino “puolustautua”  paikkatiedon osalta niiden kerääjiä ja kehittäjiä vastaan. Koska paikkatiedosta muodostuu myös ainakin osittain henkilötietoa, yrityksellä on velvollisuus käsitellä tietoa lainsäädännön vaatimusten, eli esimerkiksi tietosuojaperiaatteiden mukaisesti. Tämä tarkoittaa, että tiedon on oltava esimerkiksi täsmällistä ja tarpeeton tieto on poistettava jos sitä ei enää käytetä. Tämä mielestäni myös tarkoittaa, että esimerkiksi kaupungilla tai muulla ulkopuolisella toimijalla ei ole mahdollisuutta puuttua pelien tuottamaan “ongelmiin”, ellei pelissä sitten esimerkiksi yllytetä rikokseen, tällöin kysymys on tietenkin poliisiasiasta.

Tietosuoja-asetuksen top 3: aloita valmistautuminen jo nyt

Tietosuojaan liittyvät asiat tulevat muuttamaan lähestulkoon jokaista vähänkin aktiivista verkkosivustoa seuraavan kahden vuoden aikana, riippumatta siitä onko sivusto EU:ssa vai ei.

Uusi EU:n tietosuoja-asetus tulee voimaan kahden vuoden kuluttua. Suomessa voimaantulo hoidetaan erittäin mittavalla lakiuudistuksella, jonka valmistumisaikataulu on vielä hieman avoinna.

Tietosuoja-asetus sääntelee henkilötietojen käsittelyä. Henkilötietoja ovat mitkä tahansa henkilöön liitettävissä olevat tiedot, kuten nimi, puhelinnumero, sähköpostiosoite, ip-osoite ja kuva. Siksi tietosuoja-asetuksen vaikutus verkossa liikkumisen, työskentelyn ja toimimisen arkeen on käsittämättömän laaja. Kuka tahansa joka ylläpitää verkkosivuja tai esimerkiksi uutiskirjettä on asetuksen vaikutuksen piirissä.

Mitä sitten tapahtuu? Alla oma top 3 lista asioista, jotka jokainen verkkosivuston ylläpitäjä (mukaan lukien minä blogini ylläpitäjänä) joutuu ainakin tarkistamaan.

  1. Suostumus tietojen käsittelyyn.
    • Aiemmin: Asiakas tai käyttäjä antoi palvelun ylläpitäjälle suostumuksen henkilötietojensa käsittelyyn tuhansiin eri tarkoituksiin. Suostumus oli haudattu jonnekin syvälle verkkosivuston kilometrejä pitkiin käyttöehtoihin, joihin käyttäjä automaattisesti suostui ryhtyessään käyttämään palvelua
    • Miten muuttuu: Palvelun ylläpitäjän on kysyttävä varsin tarkasti ja erikseen käyttäjältä lupa tietojen käsittelyyn muuhun kuin pelkästään palvelun tarjoaamiseen. Annettava suostumus on pystyttävä erittelemään eli jos tietoja käytetään palvelun tuottamisen lisäksi esimerkiksi suoramarkkinointiin, siihen on saatava erillinen suostumus, “yleisluontoinen” suostumus ei riitä. Tietojen edelleenluovutukseen suostuminen ei saa olla palvelun käytön ehdoton edellytys eli käyttäjän pitäisi pystyä käyttämään palvelua ilman, että hänen tietojaan luovutetaan muille osapuolille. On mahdollista että palvelujen ylläpitäjien (kuten esimerkisi tämän blogin Automatticin ehdot) yleiset ehdot eivät aina riitä vaan saatat joutua laatimaan lisäksi omat ehdot tietojen käsittelyllesi.
  2. Tiedottaminen henkilötietojen käytöstä.
    • Aiemmin: Varsin yleisluonteiset vaatimukset siitä, mitä käyttäjille pitää kertoa heidän henkilötietojensa käsittelystä. Ympäripyöreät ja epäselvät ehdot katsottiin usein “riittäviksi”
    • Miten muuttuu: Vaatimukset tietojen käsittelyn “läpinäkyyvyden” kasvavat merkittävästi. Esimerkiksi aiempaa selkeämmin on kerrottava siitä, mihin tarkoitukseen tietoja käytetään ja miten kauan tietoja säilytetään. Lisäksi käyttäjille on kerrottava että heillä on oikeus siirtää omat henkilötietonsa, pyytää ne poistettavaksi ja rajoittaa niiden käyttöä. Käyttäjälle on myös kerrottava minne he voivat valittaa, jos he eivät ole tyytyväisiä tietojen käsittelyyn.
  3. Tietojen siirtäminen EU:n ulkopuolelle
    • Aiemmin: Yleisluontoinen viittaus “tietojen turvallisesta siirrosta” EU:n ulkopuolelle oli riittävä.
    • Miten muuttuu: Käyttäjälle on kerrottava, mitä tietoja luovutetaan EU:n ulkopuolelle ja miten luovutus on suojattu. Lisäksi ilmeisesti myös tarvittaessa on annettava käyttäjän nähtäväksi kopiot tällaisista sopimuksellisista järjestelyistä, kuten esimerkiksi EU:n mallilausekkeista, ns. BCR-sopimuksista tai Safe Harbor/Privacy Shield-järjestelystä. Siis pelkästään toteamus, että näitä keinoja käytetään, ei olisi ilmeisesti riittävä, vaan käyttäjälle tulisi tarvittaessa antaa myös tietoja itse sopimuksen sisällöstä

Ylläolevat kohdat ovat varsin yleisluontoisia ja koskevat siis verkkosivuja, Tämän lisäksi uusi tietosuoja-asetus vaikuttaa monella tavalla yrityksen tai toimijan velvollisuuksiin ja tietojen käsittelyyn. Ja niitä tarkastellaan seuraavissa postauksissa.

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi hiljattain raportin jossa annetaan hyvä kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin. Kyseiset suositukset ovat hyvin “organisaatiolähtöisiä” ja osoittavat selvästi sen asennemuutoksen, jonka tietosuojan “uusi tuleminen” vaatii.