Selvitys: Yli puolessa hankintasopimuksista ei ole huomioitu tietosuoja-asetusta

Jit-Blogin työryhmä kävi läpi hankintailmoituksia viikon ajalta ja sai todeta, että GDPR tulee liian aikaisin hankintayksiköille. Lähes puolessa läpikäydyistä relevanteista sopimuksista ei ollut minkäänlaista mainintaa tietosuoja-asetuksesta.

Selvitys tehtiin Hilma-palvelun ja Hanki-tarjouspalvelun avulla. Kävimme läpi satunnaisotannalla 32 EU-hankintailmoitusta, joiden tietosuoja-aspektit analysoitiin. Otos on suhteellisen pieni lähinnä siksi, että tarkastelu haluttiin rajata sellaisiin sopimuksiin, joissa tietosuoja-asetuksen voimaantulolla olisi edes teoriassa vähäistä suurempaa merkitystä. Eli arviossa ei ole huomioitu esimerkiksi rakennusurakoita tai tavarahankintoja.

Vaikka määrä on pieni, on se mielestämme erittäin edustava otos keskeisimmistä sopimuksista, joissa tietosuoja-asiat tulisi olla huomioitu. Tämä johtuu siitä, että valitut sopimukset ovat sellaisia, missä on erittäin ilmeistä että sopimuskaudella käsitellään merkittävissä määrin henkilötietoja ja että siksi asiasta tulisi olla jotain sopimuksessakin. Joukossa on muun muassa ICT-sopimuksia ja muita palveluhankintoja.

Olisi väärin käydä läpi kaikki hankintailmoitukset ja laskea niistä miten GDPR tai tietosuoja ylipäätään mainittu. Tällöin saataisiin aikaan vinoutuneita lukuja kuten vaikkapa että “75 prosenttia hankinnoissa ei huomioida tietosuojaa”, koska tietosuoja-asetuksen merkitystä vaikkapa rakennusurakassa on turha ylikorostaa. On selvää, että käytännössä kaikissa sopimuksissa tulisi mainita jotain tietosuojasta tai sitten todeta yksinkertaisesti, että “henkilötietoja ei käsitellä”. Mutta katsoimme tärkeämmäksi keskittyä vain olennaisiin sopimuksiin.

Läpikäydistä 32 hankintailmoituksen liitteenä olleesta hankintasopimuksesta 19:sta ei löytynyt minkäänlaista mainintaa tietosuoja-asetuksesta.Näyttökuva 2017-11-18 kello 11.41.54

Määrä on merkittävä. Joko asiaa ei ole ymmärretty tai sitten se on kokonaan unohdettu. Tai pahimmassa tapauksessa asiasta ei ole vielä mitään tietoa. Näin iso määrä kertoo osaamisen puutteesta, varsinkin kun GDPR:n voimaantuloon on enää seitsemän kuukautta.. Tosin tietosuoja-asetus ei edellytä, että se mainitaan hankintasopimuksessa eli GDPR:n vaatimukset voi täyttää ilman mainintaa laista. Asetuksen mainitseminen sopimuksessa ei ole mikään itseisarvo. Siksi tarkastelimme myös tästä näkökulmasta analysoimalla sopimuksia 28 Artiklan vaatimusten täyttymistä. Tältä osin tulos oli otoksessa vielä huonompi:

nacc88yttocc88kuva-2017-11-18-kello-12-28-54.png Eli vaikka tietosuoja-asetus oli jollakin tavoin huomioitu sopimuksessa, hankintayksiköt eivät olleet vaivautuneet syventymään vaatimuksiin sen enempää. Artikla 28:n vaatimukset soveltuvat rekisterinpitäjä-käsittelijä-suhteeseen ja on siksi juuri hankintasopimuksessa olennainen tekijä. Yli 70 prosentissa sopimuksissa ei ollut mainintaa esimerkiksi riittävistä turvatoimista tai vaikkapa velvollisuudesta ilmoittaa tietoturvauhkista hankintayksikölle.

Vaikuttaisi siltä, että ajatusmallina on vieläkin, marraskuussa 2017, että “asia hoidetaan sitten myöhemmin”. Tämä on huolestuttavaa muun muassa siksi, että sopimuksen jälkikäteinen muuttaminen ei ole ongelmatonta.

Roolit jäävät määrittelemättä

Jos taas katsotaan yhtä keskeisintä sopimuselementtiä eli osapuolten rekisterinpitäjä-käsittelijä suhteen määrittelyä sopimuksessa, tulokset eivät myöskään ole rohkaisevia:

Näyttökuva 2017-11-18 kello 13.46.45 Vain 40 prosentissa sopimuksista sopijapuolten roolit oli määritelty eli todettu että esimerkiksi hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä. On suuri mysteeri, miksi määritelmiä ei ole tehty. Pitääkö hankintayksikkö asemaansa esimerkiksi lainsäädännön valossa niin selkeänä eli että viranomainen olisi aina rekisterinpitäjä? Vai onko kysymys vain huolimattomuudesta? Niissäkin sopimuksissa, joissa on tietosuojalauseke, osapuolten roolit jäävät määrittelemättä melkein puolessa (45 %) tapauksista.

Laadullista arviointia

Hankintayksiköiden osaamista päästiin arvioimaan myös hankintaprosessin vaiheissa. Hanki-palvelun etuna on se, että sinne rekisteröidyttyään ja tarjouspyyntöä katsottuaan saa sähköpostiinsa myös vastaukset tarjoajien esittämiin kysymyksiin. Tarjoajilla näyttää olevan yleisesti selkeänä huolenaiheena monen muun ohella myös tietosuoja. Hankintayksiköiden vastaukset eivät ole mairittelevia. Perusymmärrys esimerkiksi suostumuksen merkityksestä tai muista käsittelyperusteista on olematonta.

Selvityksessä on siis katsottu tarjouspyyntöjen liitteinä olevia sopimuksia tai sopimusmalleja. On tietenkin mahdollista, että tietosuoja-asiat hoidetaan kuntoon sopimusvaiheessa eli että tarjouspyynnössä ei olisi koko sopimus. Tarjoajien palautteen ja kysymysten perusteella on kuitenkin päätettävissä, että tällainen lähestymistapa ei ole mitenkään suositeltava. Koska asia huolettaa tarjoajia, tulisi se olla selvästi kunnossa jo tarjouspyyntövaiheessa.

Joissakin tapauksissa hankintayksikkö on ottanut käytännökseen erillisen tietojenkäsittelysopimuksen laatimisen,. Vaikka mitään tarvetta tällaiselle erilliselle sopimukselle ei ole, se on kuitenkin tästä aineistoista parhaiten tietosuoja-asetuksen vaatimukset täyttävä malli. Mallina oli käytetty tätä kuntaliiton laatimaa versiota, mikä pyrkii varsin hyvin täyttämään tietosuoja-asetuksen vaatimukset. Jostain syystä markkinoille on osittain syntynyt harhaluulo, että tietosuoja-asiat vaatisivat normaalista sopimuksesta erillisen, oman sopimuksensa. Käytäntönä tämä ei ole suositeltavaa, koska tällöin itse sopimuksen suorittaminen ja henkilötietojen käsittely ovat juridisesti omat “maailmansa”, joka voi riitatilanteessa aiheuttaa merkittäviä ongelmia. On hyvä myös muistaa, että esimerkiksi artikla 28 vaatimusten täyttämiseen vaaditaan paljon myös asioita itse normisopimuksesta, koska sopijapuolten on esimerkiksi määriteltävä käsittelyn tarkoitus ja vaikkapa salassapitokäytännöt. Siksi erillisen sopimuksen laatiminen on vaarallista, koska on mahdollista että näin luodaan “tuplastandardi”.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: