Roskapostisuodatus maksoi hankintayksikölle 50.000 euroa, koska tarjous myöhästyi

Markkinaoikeus antoi 12.9. erittäin mielenkiintoisen ja tärkeän ratkaisun koskien sitä, miten sähköpostitse tehty tarjous katsotaan saapuneeksi hankintayksikölle. Mielestäni kyseessä on pienoinen muutos aiempaan näkemykseen, tosin sillä vivahteella, että viestien sähköistä toimittamista säännellään hieman eri tavalla kuin esimerkiksi postitse lähetettyjä tarjouksia.

MAO 554/17 koski siis hankintaa, jossa tarjoaja lähetti tarjouksensa sähköpostitse siten, että se olisi perillä määräajassa klo 12. mennessä. Viesti ei kuitenkaan saapunut hankintayksikölle (tarkemmin hankintayksikön palvelimelle mutta ei mennä näin tarkasti yksityiskohtiin tämän enempää) kuin vasta 12.17 koska hankintayksiköllä oli käytössään sähköpostien suodatusjärjestelmä, jossa viestien tarkastaminen saattoi kestää jopa 60 minuuttia.

Koska tarjous ei saapunut ennen kello 12, hankintayksikkö yksiselitteisesti katsoi tarjouksen olevan myöhässä ja hylkäsi tarjoajan tarjouksen. Niinkuin pitäisikin aina myöhässä olevien tarjousten osalta. Yleinen käytäntö on ollut, että tarjoajien tasapuolisen kohtelun vuoksi yhdellekään tarjoajalle ei saa antaa lisäaikaa tarjouksen tekemiseen. Siksi tarjousten tulee olla tarkalleen vaaditulla kellonlyömällä perillä.

Meneekö perille vai ei?

Markkinaoikeuden mielestä ei ollut oikein, että viesti oli jäänyt saapumatta hankintayksikön ostaman suodatuspalvelun vuoksi. Tämä on mielenkiintoista, koska esimerkiksi sähköisestä asioinnista viranomaistoiminnassa annetun lain 8 §:n mukaan sähköinen viesti toimitetaan viranomaiselle lähettäjän omalla vastuulla. Viestin  lähettäjä vastaa  siitä, että hän käyttää asioinnissaan toimivaltaisen viranomaisen tai tuomioistuimen ilmoittamaa yhteystietoa. Lähettäjä vastaa myös siitä, että viesti tulee perille määräajan kuluessa, jos viestin toimittamiselle on asetettu jokin määräaika.

Kyseisen lain10 §:n 1 momentissa todetaan, että sähköinen viesti katsotaan saapuneeksi viranomaiselle silloin, kun se on viranomaisen käytettävissä vastaanottolaitteessa tai tietojärjestelmässä siten, että viestiä voidaan käsitellä. Luotettavana selvityksenä viestin lähetysajasta voidaan pitää esimerkiksi viestiä välittäviltä palvelimilta sähköpostiviestin otsikkokenttiin kirjautuvia tietoja viestin saapumis- ja lähettämisajoista.

Lisäksi hallintolain 17§:n § momentin mukaan asiakirja toimitetaan asiassa toimivaltaisen viranomaisen asiointiosoitteeseen lähettäjän omalla vastuulla. Vastuu asiakirjan toimittamisesta on asiakkaalla (eli tässä tapauksessa tarjoajalla) silloinkin, kun asiakirjan perillemeno vaarantuu lähettäjästä riippumattomasta syystä, kuten kolmannen osapuolen toimien vuoksi. Esimerkiksi postin kulussa tapahtuneet häiriöt tai lähetin laiminlyönnit asiakirjan toimittamisessa eivät poista lähettäjän vastuuta.

Hyvin yleinen tapa on ollut ottaa yhteyttä hankintayksikköön viestin perilletulon varmistamiseksi. Siitä ei ole tietoa, onko näin tässä tapauksessa menetelty. Hankintayksikkö kuitenkin vastauksessaan viittaa siihen, että viestin lähettäjällä on ollut mahdollisuus tarkistaa viestin perilletulo puhelimitse.

Korkeimman hallinto-oikeuden ratkaisussa KHO 2014:172 alkuperäinen valituskirjelmä ei ollut lainkaan saapunut korkeimpaan hallinto-oikeuteen ja asiassa esitetyn selvityksen mukaan viranomaisen sähköpostipalvelimella oli ollut sähköpostiviestin lähettämisen aikana toimintahäiriö (joka ilmeisesti vaikutti viestien saapumiseen). Tässä tilanteessa KHO piti luotettavana selvityksenä viestin lähettämisestä selvitystä alkuperäisen viestin lähettämisestä määräajassa. Samoin korkeimman oikeuden ratkaisussa 2005:3  viestin katsottiin saapuneeksi perille vaikka oikeusministeriön järjestelmissä oli virhe, joka esti viestien saapumisen. Korkeimman oikeuden ratkaisussa KKO 2011:63  valituksen saapumisajankohtana oli pidettiin hetkeä, jolloin sen sisältänyt viesti oli saapunut käräjäoikeuden tietojärjestelmään, vaikka sitä ei ollut välitetty vastaanottajalle vaan se oli päätynyt roskapostikansioon.

Nyt markkinaoikeudessa ratkaisussa asiassa oli “hauskaa” se, että suodatusohjelman vuoksi sähköpostiviestit päätyivät ensin palveluntarjoajan suodatuspalvelimelle (klo 11.45) ja vasta sen jälkeen (klo 12.17) se oli jatkanut matkaansa hankintayksikön palvelimelle. Eli viestissä olevat tiedot ilmeisesti osoittivat viestin saapuneen kello 12.17 koska tällöin se oli ollut hankintayksikön järjestelmässä siten että sitä voidaan käsitellä. Viestiä oli yritetty lähettää useaan kertaan, ja vasta kolmas yritys meni läpi klo 12.17.

Hankintayksikön käyttämä palveluntarjoaja ilmeisesti lähetti jonkinlaisen tiedon viestin lähettäjälle siitä, että viestin on päätynyt suodatukseen. Eli tämän perusteella tarjoaja olisi ilmeisesti voinut jollakin tavoin reagoida tuohon viestin viivästymiseen.

Ylläolevien tapausten perusteella ymmärtänette homman juonen? Koska hankintayksikön järjestelmät olivat töpänneet, vika oli hankintayksikön, ei tarjoajan. Siksi hankintayksikkö ei olisi saanut hylätä tarjousta. Markkinaoikeus katsoi, että sähköposti liitetiedostoineen on vastaanotettu määräajassa hankintayksikön lukuun toimivalle suodatuspalvelimelle. Lähettävälle sähköpostipalvelimelle järjestelmä on kertonut , että viestin välittäminen on väliaikaisesti estynyt sähköpostin tarkastamisen vuoksi ja lähettävän palvelimen tulisi yrittää myöhemmin uudestaan.

Markkinaoikeus katsoi, että tarjouksen saapumisajankohtana on pidettävä hetkeä, jolloin sen sisältänyt viesti on saapunut hankintayksikön tietojärjestelmään. Ostopalveluna hankittua sähköpostin suodatuspalvelua on pidettävä tässä merkityksessä hankintayksikön tietojärjestelmänä. Esitettyjä lokitietoja voidaan pitää luotettavana selvityksenä viestin lähettämisajankohdasta. Markkinaoikeuden mielestä hankintayksiköllä on ollut ainakin mahdollisuus halutessaan tarkastella tarkastusviiveen vuoksi torjuttuja viestejä. Siten jo kyseiseen, hankintayksikön ulkopuoliseen tietojärjestelmään saapuvien viestien on katsottava olleen hankintayksikön saatavilla ja käsiteltävissä.

Kaiken kukkuraksi tarjoajan tekemä tarjous oli kokonaistaloudellisesti edullisin eli jos tarjous olisi katsottu ehtineen ajoissa, tarjoaja olisi voittanut tarjouskilpailun. Tämä tarkoitti sitä, että markkinaoikeus tuomitsi hankintayksikön maksamaan hyvitysmaksua 50.000 euroa tarjoajalle ja lisäksi korvaamaan 4000 euron oikeudenkäyntikulut. Voisi siis sanoa että joskus roskapostisuodatus kannattaa, mutta tällä kertaa ei. Jatkossa siis hankintayksiköiden kannattanee jollakin tavalla mainita tällaisen suodatuksen olemassaolosta tarjoupyyntöasiakirjoissaan.

On kuitenkin kysyttävä, miten moni ei enää nykyään yleisesti tiedä, että sähköpostiviestejä voidaan suodattaa vastaanottajien toimesta? Tarjoajien tulisi ehkä tämäkin ottaa huomioon tarjousta toimittaessaan viime tipassa, mutta tällä kertaa markkinaoikeus katsoi hankintayksikön olevan vastuussa virheestä. Ilmeisesti suurin syy tähän oli se, että kyseessä oli eräänlainen “este” tarjouksen tekemiselle. Yleisellä elämänkokemuksella olisi kyllä voinut päätyä toisenlaiseenkin ratkaisuun, kuten esimerkiksi allaolevassa tapauksessa postitse tehtyjen tarjousten osalta.

Postitse myöhästyt varmasti

Homma sillä selvä? No ei aivan.  Normaalilla postilla tarjousten lähettäminen näyttäisi olevan erilaisessa asemassa kuin sähköpostilla lähetetyt tarjoukset.

Ratkaisussa KHO 2010:67 ehdokkaat olivat lähettäneet osallistumishakemuksensa postitse. Hankintayksikkö oli pyytänyt tarjouksia toimitettavan postilokero-osoitteeseen eli ei siis fyysiseen postilaatikkoon tai kirjaamoon vaan postiin. Tuohon aikaan ja vieläkin postilokerot olivat käytännössä tiettyjä paikkoja Postin tiloissa johon postilokeroon tuleva posti kasattiin ennenkuin se toimitettiin perille. Näin oli myös tässä tapauksessa. Postit kerättiin tiettyyn “rullakkoon” postissa josta ne sitten toimitettiin perille hankintayksikön kirjaamoon.

Ehdokkaat olivat lähettäneet postinsa ajoissa oikein pyydettyyn postilokero-osoitteeseen. Ehdokkaat saivat myös Postilta kuittauksen että lähetys oli saapunut perille postilokeroon. Jostain syystä kuitenkin osa päivän lähetyksestä ei löytänyt perille vaan ne toimitettiin vasta seuraavana päivänä.

Nyt tässä vaiheessa varmaan arvelette ylläolevien sähköpostiratkaisujen perusteella miten kävi? Ehdokkaat saivat mehukkaat korvaukset? Ei! Korkein hallinto-oikeus katsoi nimittäin että osallistumishakemuksen lähettäjällä ja hankintayksiköllä on ollut mahdollisuus selvittää, onko osallistumishakemus saapunut kirjaamoon määräaikaan mennessä. Lisäksi tuomioistuin totesi että pelkästään sillä perusteella, että kaupunki on erikseen sopinut Itella Oyj:n kanssa postilokeronumerolla varustettujen lähetysten toimittamisesta kaupungin kirjaamoon, lähettäjän vastuuta ei ole tässä asiassa syytä arvioida toisin.

Eli vaikka ehdokkailla oli siis kuittaus siitä, että lähetys oli perillä, heidän olisi tullut vielä erikseen varmistua siitä että lähetys oli tosiaankin perillä. Asia, jota sähköpostitse lähetettävien viestin osalta ei tarvitse ilmeisesti tehdä. Tämä siitäkin huolimatta, että viestin vastaanottaminen oli tuoreen markkinaoikeusratkaisun tavoin ulkoistettu toiselle toimijalle ja toimijalta oli saatavissa luotettava selvitys siitä että lähetys on saapunut. Tragikoomisinta tuossa ratkaisussa oli vielä se, että osa ehdokkaista oli toimittanut itse hakemuksensa paikan päälle kirjaamoon ja siten päässeet mukaan. Merkittävä osa ehdokkaista myöhästyi hakemustensa kanssa Postin virheen vuoksi, vaikka heidän hakemuksensa olivat jo itse postilokerossa.

 

Lähteitä:

HE 17/2002 vp. sivu 37, 40, 41

HE 153/1999 vp.

 

Miten GDPR tulee huomioida hankintasopimuksessa? OSA II

Edellisessä osassa tarkastelimme yleisiä edellytyksiä GDPR:n huomioimiseksi hankintasopimuksessa. Tällä kertaa sukellamme suoraan tietosuoja-asetuksen vaatimuksiin ja erityisesti sen 28 artiklaan, jonka sisältönä on henkilötietojen käsittelijän velvoitteet ja se mitä sopimuksissa on sovittava näiden velvoitteiden osalta.

Tässä kirjoituksessa käsitellään pääosin tavanomaisinta hankintatilannetta, jossa toimittaja toimii käsittelijänä ja asiakas rekisterinpitäjänä. Vaatimukset koskevat mitä tahansa hankintasopimusta lajista riippumatta, ellet ole aivan varma että yhtään henkilötietoa ei käsitellä sopimusaikana. Tällaisesta ei voi kyllä todellisuudessa olla kovinkaan varma ikinä, joten järkevintä on viedä nämä asiat joka sopimukseen viimeistään nyt.

Typistäen sanottuna tietosuoja-asetuksen 28 artiklassa edellytetään rekisterinpitäjän ja käsittelijän välisessä sopimuksessa sovittavan ainakin seuraavista asioista:

  1. Käsittelyn kohde ja kesto:  Eli sopimuksen piirissä olevien henkilötietojen kuvaus (voi olla hyvin yleisluontoinenkin) ja kesto. Kestossa tulee huolehtia myös siitä, että henkilötietojen säilytysajat on myös sovittu.
  2. Käsittelyn luonne ja tarkoitus: Eli sopimuksen tarkoitus: asiakaspalvelu/it-palvelu/toimitussopimus ja se miksi henkilötietoja käsitellään: esimerkiksi “palvelun toteuttamiseksi hankintayksikölle”
  3. Henkilötietojen tyyppi ja rekisteröityjen ryhmät
  4. Rekisterinpitäjän velvollisuudet ja oikeudet: eli ne yleiset sopimusvelvoitteet mitä asiakkaalla on toimittajaansa nähden: esimerkiksi velvollisuus maksaa, toimittaa oikeita tietoja ja oikeus tarkastaa toiminta, saada tasokasta palvelua jne..

Sopimuksessa on sovittava erityisesti, että henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti. Samaten henkilötietoja ei myöskään saa siirtää (luovuttaa, antaa pääsyä jne.) EU:n ulkopuolelle ilman rekisterinpitäjän nimenomaista lupaa. Tämä lupa voidaan kuitenkin antaa myös “yleisluontoisesti” eli jokaista tehtävää siirtoa tai esimerkiksi alihankkijan käyttöä ei tarvitse hyväksyä erikseen.

Salassapidosta sovittava

Tavanomaisesti hankintasopimuksissa on salassapitovelvoite ja tietosuoja-asetus edellyttää että tämä salassapitovelvoite ulotetaan koskemaan myös henkilötietoja. Kannattaa kuitenkin huomioida, että tämä ei tosin aina ole täysin ongelmatonta, sillä kaikki henkilötiedot eivät ole automaattisesti salassa pidettäviä: esimerkiksi henkilön sähköposti on harvoin salainen koska se on hyvin monen osapuolen tiedossa ja usein julkisestikin saatavilla. Salassapitosäännöksissä todetaan nimittäin usein, että tieto ei ole salassa pidettävä, mikäli se on julkisesti saatavilla muualta kuin sopimusosapuolelta. Siksi olisi hyvä erikseen mainita vielä sopimuksessa, että käsiteltävät henkilötiedot ovat salassapidettäviä siitäkin huolimatta että ne ovat julkisesti muualta saatavilla. Salassapitovelvoitteen tulee ulottua myös tietoja käsittelevään henkilöstöön.

Salassapidon yhteyteen olennaisesti liittyy velvoite vaatia, että käsittelijällä on käytössään riittävät “organisatoriset ja tekniset” toimenpiteet henkilötietojen käsittelyn turvaamiseksi. Tästä on tarkemmin säädetty asetuksen 32 artiklassa ja kysymys on pitkälti ns. tietoturvaosaston hommista eli heidän tulisi varmistaa, että käsittelijä/toimittaja on riittävän tasokas käsittelemään tietoja.  Artikla 32:n velvollisuuksiin  sisältyy muun muassa velvollisuus kyetä palauttamaan tiedot saataville nopeasti, salata henkilötiedot tarvittaessa sekä riittävä testaus ja valvonta turvatoimien osalta.

Käsittelijällä laaja avustamisvelvoite

Rekisterinpitäjällä on tietosuoja-asetuksen myötä runsaasti velvollisuuksia rekisteröityjä kohtaan. Rekisteröidyllä on myös runsaasti oikeuksia, jotka rekisterinpitäjä on velvollinen toteuttamaan. Tällaisia rekisteröityjen oikeuksia ovat esimerkiksi henkilön oikeus  saada pääsy tietoihinsa, poistaa tai oikaista tietoja tai oikeus siirtää tietonsa järjestelmästä toiseen. Vaikka nämä velvoitteet koskevat rekisterinpitäjää, ne tulee velvoitteet on hyvä ottaa huomioon myös hankintasopimuksessa jotta toimittaja pystyy avustamaan yllämainituissa tilanteissa.

‘Rekisterinpitäjä ei nimittäin voi vedota siihen, että tietoja ei voida esimerkiksi poistaa, koska “toimittajan järjestelmä ei siihen taivu”.

Tietosuoja-asetuksen 28 artiklassa on edellytetty, että toimittajan, toimiessaan käsittelijänä, on annettava tukea ja apua rekisterinpitäjälle jotta tämä pystyy täyttämään tietosuoja-asetuksen käsittelijälle asettamia vaatimuksia.  Käsittelijän on avustettava rekisterinpitäjää muun muassa seuraavissa toimenpiteissä:

  1. avustaa rekisteröityjen pyyntöihin vastaamisessa;
  2. henkilötietojen käsittelyn vaikutuksenarvioinnissa;
  3. tietoturvaloukkauksista ilmoittaminen viranomaisille ja rekisteröidyille;
  4. rekisterinpitäjän osoitusvelvollisuuden täyttämisessä

Neljännen kohdan osalta asetus edellyttää käsittelijää myös sallimaan  rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset liittyen osoitusvelvollisuuteen. Tämä voi olla aika usein ongelma erityisesti pilvipalveluja hankittaessa ja hyvästä syystä: toimittajat harvoin haluavat kenen tahansa käveleskelemään omissa konesaleissaan.

On tärkeää, että kaikki nuo yllämainitut avustamisvelvoitteet on mainittu sopimuksessa, sillä ne ovat toimittajalle sellaisia asioita, jotka vaikuttavat varmasti hinnoitteluun.

Tietojen hävittäminen

Sopimuksen päättyessä käsittelijän on rekisterinpitäjän valinnan mukaan joko poistettava kaikki henkilötiedot tai palautettava henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset. Lue tarkemmin poistamisesta täältä. Tietosuoja-asetus kuitenkin sallii henkilötietojen säilyttämisen muun muassa lainsäädännöllisen velvoitteen täyttämiseksi, eli esimerkiksi kirjanpitolainsäädännön, verolainsäädännön tai vaikkapa rahanpesulainsäädännön vaatimusten vuoksi.

Tyypillinen ongelma ovat varmuuskopiot, sillä useat toimittajat käyttävät joissain järjestelmissä vielä nauhavarmistusta ja nimenomaisesti juuri yhden asiakkaan yksittäisten tietojen poistaminen voi olla vaikeata. Jos käsittelijä säilyttää tietoja, on tällöinkin noudatettava asetuksen käsittelyperiaatteita kuten esimerkiksi tietojen minimointia tai käyttötarkoitussidonnaisuutta.

Poistamisesta tulee siis sopia sopimuksessa riittävän tarkasti, jotta yllämainitut velvoitteet täyttyvät.

Alihankkijoiden käyttö

Sopimuksessa on hyvä olla maininta myös siitä, saako toimittaja käyttää alihankkijoita. On selvää, että tietosuoja-asetuksen perusteella asiakas eli rekisterinpitäjä on velvollinen olemaan tietoinen varsin tarkalla tasolla siitä, mitä osapuolia sen toimittajat käyttävät alihankkijoina. En kuitenkaan suosittele, että jokaisesta alihankkijasta pitäisi sopia erikseen, koska se ei vain ole käytännöllistä. Vain keskeisimpien henkilötietoja käsittelevien alihankkijoiden vaihdoista tulisi sopia osapuolten kesken.

Tietosuoja-asetuksen 28 artiklassa edellytetään, että henkilötiedon käsittelijä eli toimittaja velvoittaa myös alihankkijansa noudattamaan GDPR:n vaatimuksia sekä sopimusta toimittajan ja asiakkaan välillä. Näistä kahdesta ensimmäinen voi olla helppo vaatimus neuvotteluissa, toinen tulee olemaan vaikeampi, koska jotkut alihankkijat eivät moiseen helpolla suostu.

Toimittaja on vastuussa alihankkijansa lainmukaisesta henkilötietojen käsittelystä. Tietosuoja-asetuksen mekanismit tarkoittavat sitä, että mikäli toimittajan alihankkija ei täytä lainmukaisia velvollisuuksiaan, toimittaja on jo pelkästään tietosuoja-asetuksen perusteella vastuussa tällaisesta rikkeestä. Siitä huolimatta on hyvä huolehtia sopimuksessa siitä, että vastuu alihankkijoiden käytöstä sovitaan oikein eli siten että toimittaja vastaa alihankkijoiden suorituksistaan kuten omistaan.

Alihankkijoiden käytössä on hyvä tiedostaa, että “hyvämaineinen”, “suomalainen” ja “perinteinen” toimittajakin voi käyttää alihankkijoinaan yllättäviä tahoja. Jos esimerkiksi käyttämällä suomalaista toimittajaa automaattisesti ajattelee, että kaikki henkilötiedot pysyvät Suomessa, saattaa yllättyä. On hyvin tyypillistä, että tietoja tallennetaan pilvipalvelutarjoajien palvelimille ympäri maailmaa, vaikka “palvelu” vaikuttaisikin olevan Suomessa tai Euroopassa. Esimerkiksi Amazonin Web Services on niin suosittu ja ylivoimainen suorituskyvyltään ja hinnaltaan, että sitä käytetään erittäin laajasti palvelujen alustatoimittajana. Siksi on sopimusta laadittaessa hyvä selvittää riittävän perinpohjaisesti, missä tietoja tullaan säilyttämään käsittelyn lisäksi.

Se, että henkilötiedot ovat ympäri maailmaa ei ole tietosuojan näkökulmasta mikään ongelma, mutta on tärkeätä ymmärtää, että mikäli henkilötietoja säilytetään, luovutetaan tai edes katsellaan ETA-alueen ulkopuolelta, sopimuksessa tulee huolehtia riittävistä suojamekanismeista, kuten komission mallilausekkeista tai Privacy Shieldistä. Tietojen siirtoa ulkomaille käsitellään laajemmin seuraavassa GDPR Hankintasopimuksessa -postauksessa.