KKV näpäytti ensimmäisellä hankintaratkaisullaan syrjivää vertailuperustetta käyttänyttä hankintayksikköä

Sarjassamme, “enpäs muistanutkaan, että tällaistakin oli” sain kokea tällä viikolla kun kilpailu- ja kuluttajavirasto (“KKV”) antoi historiansa ensimmäisen julkisia hankintoja koskevan valvontaratkaisun. Vuoden alussa voimaan tulleen uuden hankintalain myötä kilpailu- ja kuluttajavirastolle suotiin oikeus valvoa julkisia hankintoja. Hankintalain 139 §:n mukaan jokainen, joka katsoo hankintayksikön menetelleen hankintalain vastaisesti, voi tehdä kilpailu- ja kuluttajavirastolle toimenpidepyynnön menettelyn lainmukaisuuden tutkimiseksi.

KKV voi antaa havaitsemansa lainvastaisuuden johdosta hankintayksikölle huomautuksen tai muuta hallintolain (434/2003) 53 c §:ssä tarkoitettua hallinnollista ohjausta (kiinnittää huomiota, antaa huomautus tai toteuttaa muu hallinnollinen toimenpide). Laittomien suorahankintojen osalta KKV voi hankintalain 140 §:n perusteella kieltää hankintapäätöksen täytäntöönpanon. EU-kynnysarvot ylittävien suorahankintojen osalta KKV voi myös tehdä markkinaoikeudelle esityksen seuraamusten, kuten seuraamusmaksun, sopimuskauden lyhentämisen tai hankintapäätöksen kumoamisen määräämiseksi. Sama koskee kansalliset kynnysarvot ylittäviä hankintalain liitteessä E tarkoitettuja palveluhankintoja tai käyttöoikeussopimuksia, jotka on tehty suorahankintana ilman laissa säädettyä perustetta. Menettely on erillinen ja itsenäinen varsinaisesta markkinaoikeuskäsittelystä.

On ollut pienoinen arvoitus, miten kärkkäästi KKV tulee hankintoja valvomaan, virastolla kun on muutenkin jo varsin isot vastuut harteillaan, sen tehtävänä kun on valvoa myös kilpailua ja kuluttajien oikeuksia. Ensimmäisen päätöksen perusteella ei voi sanoa muuta kuin että KKV teki todella komean hankintamaalin! Ratkaisu nimittäin puuttuu asiaan, joka on käytännössä useiden hankintatoimijoiden tunnustama epäkohta mutta johon on loppujen lopuksi pystytty varsin vähän puuttumaan oikeuskäytännössä.

Mistä oli kyse?

Keski-Pohjanmaan sosiaali- ja terveyspalvelukuntayhtymän (Soite) etälääketieteellisten vastuulääkäripalveluiden kilpailutuksesta oli julkaistu hankintailmoitus 9.1.2017. KKV:lle tehdyn toimenpidepyynnön mukaan tarjouspyynnön vertailuperusteet suosivat käytännössä yhtä markkinoilla toimivaa palveluntuottajaa ja sulkevat pois muut potentiaaliset tarjoajat ja palveluntuottajat.

Tarjouspyynnön vertailuperusteet oli laadittu niin, että painotuksena oli 25 prosenttia hinnalle ja loput 75 prosenttia laadulle. Laatupisteet taas jakaantuvat seuraavasti: a) asiantuntemus ja kokemus 40 pistettä ja b) osoitetut taloudelliset säästöt 35 pistettä. Tarjouspyynnön mukaan hinnan osalta käytetään suhteellista vertailutapaa: ”edullisin hinta saa 25 pistettä, seuraavat tarjoukset pisteytetään kaavalla edullisin tarjottu hinta / tarjoajan tarjoama vertailuhinta * 25 pistettä”.

Tarjouspyynnön mukaan tarjoaja sai kohdan ”Asiantuntemus ja kokemus etälääketieteellisten vastuulääkäripalveluiden tuottamisesta” osalta täydet laatupisteet (40 pistettä) tarjouspyynnössä asetettujen kriteerien täyttyessä. Jos yksikin asetetuista laatukriteereistä jäi täyttymättä, tarjoajan laatupisteet asiantuntemuksen ja kokemuksen osalta jäivät 0 pisteeseen.

Tekemiensä selvitysten perusteella KKV totesi, että vertailuperusteiden painotuksen vuoksi todennäköisesti vain yhdellä toimittajalla on mahdollisuus voittaa kilpailutus. Tämä johtui siitä, että asiantuntemusvaatimus koski sellaista osaamista, jota ei Suomessa ollut päässyt kertymään vielä monelle toimijalle edellytettyä määrää. Tämän seurauksena toimittaja voi käytännössä hinnoitella palvelunsa haluamallaan tavalla.

Päätöksessä KKV kiinnitti hankintayksikön huomion hankintalain 2 §:stä ilmeneviin hankintalain tavoitteisiin ja hankintalain 3 §:n mukaisiin periaatteisiin eli siihen, että hankintamenettelyn osallistujia on kohdeltava tasapuolisesti ja syrjimättömästi. Hankintayksikön on myös toimittava avoimesti ja suhteellisuuden vaatimukset huomioon ottaen. KKV katsoi, että hankintayksikön olisi tullut toteuttaa kilpailutus ja vertailuperusteiden asettaminen tavalla, joka mahdollistaa aidon kilpailutilanteen eri terveyspalvelutoimijoiden välillä, palveluiden laatua kuitenkaan vaarantamatta.

Miten niin tämä oli hienoa?

Julkisissa hankinnoissa on jo pitkään kytenyt “kirjoittamaton sääntö”, jonka mukaan soveltuvuusvaatimuksien asettamisesssa voi syrjiä todennäköisemmin kuin vertailuperusteita asetettaessa. Syy tähän on ollut selvä: jos vaatimukset laitetaan liian korkeiksi, moni toimija ei pääse mukaan ja näin joutuvat syrjityksi. Jos vaatimukset ovat todella tiukat, vain yksi toimija voi päästä tarjousvertailuun. Tämä on selkeästi syrjivää.

Sen sijaan on paljon vaikeampaa osoittaa esimerkiksi markkinaoikeudelle, että tarjoajaa on syrjitty, jos vertailuperusteet on laadittu korostaen jotain tiettyä ominaisuutta, jonka yksi toimija voi täyttää. Syy tähän on ollut usein se, että markkinaoikeuden mielestä tarjoaja voi aina kompensoida hinnalla tai muilla tekijöillä mahdollisia menetyksiä yhdessä vertailuperustekategoriassa. Hankintayksiköllä on myös aina ollut suhteellisen laaja harkintavalta liittyen siihen, miten hankitaan. Eli ajatuksen taustalla lienee, että tarjoajat voivat kilpailla samassa tarjouskilpailuissa eri tekijöillä: toinen hinnalla ja toinen laadulla ja se joka voittaa on joka tapauksessa hankintayksikölle kokonaistaloudellisesti edullisempi. Tämä sääntö ei ole täysin pitävä ja oikeuskäytännössä on ollut myös tilanteita, joissa yllämainitun tyyppisiä vertailuperusteita on katsottu syrjiviksi.

Tässä kyseisessä tapauksessa on pureuduttu juuri tähän ongelmaan mielestäni hyvinkin terävästi. Sinänsä vertailuperusteiden syrjivyys on ollut aika “räikeää” mutta on hyvin mahdollista että markkinaoikeudessa olisi päädytty toiseen ratkaisuun. Tosin yksi asia puhuu tätä vastaan: tarjouskilpailussa hinnalle on annettu hyvin pieni merkitys (25%), joten tarjoajat eivät ole voineet helposti kompensoida pistemenetystä (25 pistettä halvimmasta hinnasta kun yhden vertailuperusteen täyttymisestä saa 40 pistettä). On siten mahdollista, että asia olisi saatu nurin myös markkinaoikeudessa, mutta oikeudenkäyntikuluriski on aika suuri, joten välttämättä valitusta ei kannattaisi heppoisin perustein lähteä tekemään.

Tässä mielessä siis KKV:n ensimmäinen ratkaisu on nappisuoritus. Ratkaisusta näkee, että asiaan on perehdytty riittävän hyvin. Ratkaisu on myös suhteellisen rohkea, koska ei ole aivan täysin varmaa, että tuomioistuin olisi ratkaissut asian samalla tavalla. Päätöksellä on varmasti myös ohjaava vaikutus, vaikka nyt kyseessä oli vain “huomion kiinnittäminen”. KKV vie siis hankintakäytäntöä mielestäni selkeästi “reilumpaan” suuntaan tavalla, johon tuomioistuin ei ole välttämättä aina pystynyt.

Siksi: ten points KKV, ten points!

Ratkaisun julkinen versio (pdf)

Aikaisempi artikkelini koskien tarjoajan ominaisuuksia vertailuperusteena

Milloin kannattaa valittaa?

Ovatko tietosi oikeasti siellä missä luulet niiden olevan?

Erilaisten sovellusten käyttäminen jättää meistä runsaasti jälkiä eri järjestelmiin ja siten myös esimerkiksi palvelimiin ympäri maailmaa. Yllättävää on se, että tuoreen tutkimuksen mukaan merkittävä osa erilaisten mobiilisovellusten keräämästä datasta, mukaan lukien henkilötiedoista, päätyy melko hallitsemattomasti minne sattuu.

Ranskan tietosuojaviranomaisen (CNIL) tutkimusyksikkö LINC tutki Android-mobiilisovellusten tietojen käyttöä ja erityisesti sitä, mihin tiedot leviävät. Tutkimuksessa syvennyttiin 400 ETA-alueella suosittuun Android-sovellukseen ja niiden keräämään tietoon.

Tutkimus kokonaisuudessaan kattoi 2000 erilaista sovellusta. Tutkimus tehtiin ohjelmistolla, joka pyrki analysoimaan, minne kaikkialle tietoja päätyy. Tutkimus on tehty ennen Safe Harbor-päätöstä ja osa sovelluksista on käyttänytkin Safe Harboria tietojen siirron oikeutuksena. Tutkijat tutkivat myös iOS-laitteiden taustajärjestelmiä ja päättelivät että vastaavanlaisia tuloksia olisi todennäköisesti saatavissa myös Apple-laitteiden tietojen siirrosta.

Yhdysvallat pääosassa

Tutkimuksessa havaittiin, että kaksi kolmasosaa sovellusten käyttämistä palvelimista sijaitsi Yhdysvalloissa. Suurin osa sovelluksista ei kysynyt käyttäjältä suostumusta siirrolle Yhdysvaltoihin ainakaan selkeästi. Tämän lisäksi neljäsosa palvelimista sijaitsi ns. “kolmansissa maissa” eli maissa joissa EU:n komission mielestä ei ole riittävä tietosuojan taso. Tutkimuksessa tunnistettiin sovellusten lähettävän tietoa ainakin Kiinaan, Hong Kongiin ja Venäjälle. Kuvaavaa on myös se, että ainoastaan yksi prosentti sovelluksista välitti tietoa ainoastaan ETA:n sisällä.

Mikäli sovellusten tarjoajilla ei ole riittäviä sopimuksia tai muita sitoumuksia Euroopan Talousalueen ulkopuolella sijaitsevalta vastaanottajalta, kysymys voi olla laittomasta tietojen siirrosta. Vaikuttaisi myös siltä, että vain 53 sovellusta tukeutui jo kuopattuun Safe Harboriin eli merkittävä osa siirroista tapahtui joko muilla keinoin tai ilman mitään turvakeinoja. Tutkijat toteavatkin yksikantaan, että heidän mielestään ainakin 9,5 prosenttia sovelluksista rikkoo tietosuojadirektiivin 25 artiklan mukaista tietojen siirtokieltoa. Siirtokiellolla tarkoitetaan siis sitä, että henkilötietoja ei saa siirtää ETA-alueen ulkopuolelle mikäli rekisterinpitäjä ei ole varmistunut riittävästä tietosuojan tasota eli esimerkiksi käyttänyt EU:n mallisopimusta tai Privacy Shieldiä. Toinen vaihtoehto on kysyä käyttäjältä suostumus tietojen siirtoon.

Vielä hälyyttävämpää oli kuitenkin se, että yli puolella tutkituista sovelluksista ei ollut tarjolla riittäviä tietoja tietosuojan osalta. Sovelluksissa ei ollut esimerkiksi riittävää ns. “privacy policya” eli tietosuojaselostetta. Eli käyttäjät eivät todennäköisesti tiedä tai ainakaan ymmärrä että heidän tietojansa voi päätyä ympäri maailmaa.

Olisikin mielenkiintoista tutkia, miten tärkeänä käyttäjät pitävät sitä, että heillä ei ole mitään tietoja miten heidän tietoja käsitellään ja siirretään maiden rajojen yli. Vaikuttaisi, että sovellusten suosio kuitenkin osoittaa sen, että käyttäjiä ei tämä asia näytä kiinnostavan, vaikka viimeaikaisten tutkimusten mukaan asia on toisin.

Halpa ja tehokas syö lainmukaisuuden

Tutkimus on hyvä osoitus siitä, millaisen haasteen kanssa tietosuojan osalta nykymaailmassa eletään. Henkilötiedot leviävät hyvin laajalle, koska kehittäjät pyrkivät hyödyntämään olemassa olevaa infrastruktuuria mahdollisimman tehokkaasti.

Esimerkiksi Amazonin, Googlen ja Microsoftin tarjoamat virtuaaliset palvelinratkaisut ovat hinnaltaan niin halpoja ja suorituskyvyltään niin tehokkaita, että lähes kaikki aloittelevat sovellusten kehittäjät käyttävät jotakin näistä jossakin osassa palveluaan. Ongelma näissä palveluissa on vain, että monet palveluista pyrkivät mahdollisimman tehokkaaseen tilankäyttöön ja saatavuuteen tarkoittaen käytännössä sitä, että tiedot levitetään ympäri maailmaa.

Monesti palvelun ostajalla ei ole edes mahdollisuutta vaatia, että tieto säilytetään jossain tietyssä maassa tai tietyssä palvelinsalissa. Syy tähän on selvä: kun palveluntarjoaja saa itse päättää miten tilaa käytetään tehokkaasti, hinta pysyy alhaalla.

Tässä on myös keskeisin kysymys tietosuojan kannalta, johon sovelluskehittäjät joutuvat jatkossa vastaamaan: miten varmistan, että informoin ja suojaan käyttäjää riittävän hyvin samalla kun pyrin tekemään tuotteen mahdollisimman halvaksi, ellei jopa ilmaiseksi? Yllämainitun tutkimuksen perusteella on selvää, että monet suositutkin sovellukset joutuvat jatkossa muuttamaan käytäntöjään rajusti jotta ne vastaisivat tietosuoja-asetuksen vaatimuksiin.

En haluaisi uskoa, että kysymys on täysin tahallisesta virheestä vaan enemmänkin tietämättömyydestä: kaikki kehittäjät eivät ehkä ymmärrä tietojen siirron merkitystä. Pikemminkin on varmaan niin, että vahvasti luotetaan siihen, että kun alla on luotettu tekijä kuten Amazon, homma on kunnossa. Tietosuoja-asetus ei kuitenkaan toimi näin, vaan vastuu on rekisterinpitäjällä eli näissä tilanteissa sovelluksen tarjoajalla.

 

Hukassa tietosuoja-asetuksen kanssa? Aloita tutustuminen näistä ilmaisista lähteistä.