Selvitys: tietosuoja-asetukseen edelleen huonosti valmistauduttu hankintasopimuksissa

Tietosuoja-asetuksen voimaantuloon on enää kohta kuukausi aikaa, mutta edelleen hankintayksiköt eli esimerkiksi valtion viranomaiset ja kunnat ovat huonosti valmistautuneita. Tämä käy ilmi JIT-blogin työryhmän läpikäymästä 30:sta hankintasopimuksesta. Kahdessakymmenessä sopimuksessa 31:sta  (noin 65 prosenttia) ei ole  ollenkaan mainintaa tietosuoja-asetuksesta tai sen voimaantulosta. Aikaisemmalla selvityskerralla marraskuussa lukema oli hieman pienempi, noin 59 prosenttia.

Näyttökuva 2018-4-11 kello 10.31.31 1

Aineisto käytiin läpi pääsiäisen tienoilla Hilma-ilmoituksista ja julkishallinnon laajasti käyttämästä Hanki-palvelusta. Kuten aiemmallakin kerralla mukaan poimittiin vain hankintoja, joissa olisi edes vähän merkitystä henkilötietojen käsittelyllä. Siksi esimerkiksi rakennusurakoita tai tavarahankintoja ei ole mukana. Hankinnat koostuvat ICT-palveluhankinnoista, terveyshankinnoista ja erilaisista muista palveluhankinnoista, kuten esimerkiksi koulutuksista.

Lukemien perusteella ei voida tehdä suuria tilastollisia päätelmiä mihin suuntaan tilanne on kehittymässä lähinnä siksi, että otoksen määrä on vielä suhteellisen pieni vaan kysymys on enemmänkin laadullisesta ja sisällöllisestä arvioinnista. On kuitenkin huolestuttavaa, että edelleen merkittävissä määrin sopimuksia tietosuoja-asetusta ei edes huomioida mitenkään eikä tilanne vaikuta muuttuneen viime marraskuusta juuri yhtään.

Hankintasopimuksen muuttaminen tietosuoja-asetuksen vuoksi ei välttämättä ole aina mahdollista ilman uutta kilpailutusta. Hankintayksiköiden tulisi pyrkiä ottamaan huomioon asia paremmin ja kokonaisvaltaisemmin jo tarjouspyyntövaiheessa, vaikka laki tuleekin voimaan vasta myöhemmin. Kyseessä ei varmastikaan ole asia, jota ei ole voitu etukäteen ennakoida, koska asetus on hyväksytty jo vuonna 2016. Siksi on varsin epätodennäköistä, että tietosuoja-asetuksen vuoksi voisi tehdä suorahankintoja.

Yksinkertaisella ratkaisulla asia kuntoon

Yhdessätoista sopimuksessa tietosuoja-asetus on mainittu ja huomioitu jollakin tavoin. Näistä sopimuksista seitsemässä on käytetty liitteenä viranomaisyhteistyönä laadittua yksinkertaista ja tehokasta sopimuspohjaa (ks. ohjeen lopussa oleva liite), joka käytännössä hoitaa tärkeimmät ongelmat.

Niissä sopimuksissa, joissa GDPR on jotenkin huomioitu, kahdessa ei kuitenkaan esimerkiksi ole sopimusehtoja, jotka täyttäisivät artiklan 28 pakolliset vaatimukset henkilötietojen käsittelylle. Miksi se on tärkeää? Yleensä hankintasopimuksissa viranomainen/hankintayksikkö on rekisterinpitäjä ja toimittaja taas käsittelijä. Tässä suhteessa tietosuoja-asetus edellyttää sopimusta, johon on kirjattu velvoitteita molemmille osapuolille juuri kyseisessä artiklassa tarkemmin kuvatulla tavalla. Käyttämällä tuota yllämainittua mallisopimusta tämäkin asia tulee hoidetuksi.

Koska suurimmassa osassa sopimuksista ei ole mainintaa GDPR:stä eikä esimerkiksi tuota mallisopimusta ole käytetty, yllämainitut vaatimukset eivät täyty. On hyvä huomata, että esimerkiksi pelkästään käyttämällä JYSE tai JIT -ehtoja sopimuksen “pohjana” ei täytetä vielä kyseisiä artikla 28:n vaatimuksia.   JYSE-ehdoissa on sentään määritelty osapuolten roolit (hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä), mutta JIT-ehdoissa ei ole edes tällaista määrittelyä.

chart

Ainoastaan 40 %:ssa sopimuksista siis täytetään vaatimukset, eli tämän vuoden aikana tullaan todennäköisesti tekemään erittäin merkittävissä määrin muutoksia hankintasopimuksiin. Tietojemme mukaan myös JIT- ja JYSE -ehtoja tullaan päivittämään piakkoin, mutta tarkkaa aikataulua ei ole vielä saatavilla.  Ne sopimukset, jotka on tehty ennen näiden päivitysten voimaantuloa, eivät kuitenkaan korjaannu ja vaativat myös erillisen oman muutoksensa.

 

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: