Tulostusversio

2/2008

Hankinnat: Tietosuoja huomioitava julkisissa hankinnoissa

Teksti: Mika Paavilainen ja Sirpa Palo

Hankintalain asettamat vaatimukset on pyrittävä sovittamaan yhteen yksityisyyden ja henkilötietojen suojan kanssa. Tästä haastavasta tehtävästä suoriutuminen edellyttää huolellisuutta hankinta-asian valmistelusta aina sopimuksen päättymisen jälkeiseen aikaan asti.

Julkisissa hankinnoissa painopiste on siirtymässä tavarahankinnoista palveluhankintoihin. Palvelumarkkinoiden kehittymisen, henkilöstökysymysten ja taloudellisten paineiden vuoksi kunnat ja muutkin hankintayksiköt ovat yhä suuremmassa määrin luopuneet omasta palvelutuotannosta ja siirtyneet hankkimaan palveluja oman organisaationsa ulkopuolelta.

Julkisella hankinnalla tarkoitetaan julkisilla varoilla tapahtuvaa tavaroiden ja palvelujen ostamista sekä rakennusurakoiden teettämistä muuna kuin omana työnä. Julkiset hankinnat on kilpailutettava hankintalaissa (laki julkisista hankinnoista, 348/2007) ja tiettyjen sektoreiden osalta erityisalojen ja niiden nojalla annetussa asetuksessa säädettyjen menettelyiden mukaisesti.

Julkisten hankintojen yhteydessä päähuomio kiinnittyy yleensä hankintalain menettelytapasäännösten noudattamiseen. Tällöin saatetaan unohtaa, että myös muun muassa tietosuojalainsäädännön velvoitteet on otettava huomioon. Käsittelemme tässä artikkelissa erityisesti kuntien julkisiin hankintoihin liittyviä tietosuojanäkökohtia.

Henkilörekisterien määrittelyissä puutteita

Henkilötietolaissa (523/1999) henkilötiedolla tarkoitetaan kaikenlaisia henkilöä kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen läheisiään koskeviksi. Henkilörekisteri on useampaa henkilöä koskevia henkilötietoja sisältävä listaus, josta tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. Henkilötietojen käsittelyyn on aina oltava lain mukainen peruste ja ennen niiden luovuttamista on selvitettävä pyytäjän oikeus tietojen käsittelyyn.

Henkilötietoja käsitellään hankinta-asian yhteydessä esimerkiksi pyydettäessä tarjoajalta selvitystä henkilöstön pätevyydestä. Henkilötietoja käsitellään myös toimeksiantosuhteessa, kun hankintayksikkö ostaa palveluita oman organisaationsa ulkopuolelta. Tällöin kyse voi olla esimerkiksi erilaisista asiakasrekistereistä.

Käytännössä ongelmana voi olla se, että hankintayksiköt eivät ole määritelleet eri käyttötarkoituksia varten muodostettuja henkilörekistereitään henkilötietolain edellyttämällä tavalla eivätkä ole varmistaneet kaikilta osin rekisterinpitonsa lainmukaisuutta. Jos tässä suhteessa on puutteita, myös ulkopuolisiin palveluihin liittyviä vaatimuksia ja tehtäviä voi olla vaikea määritellä asianmukaisesti.

Tarjoajan tiedonsaantiin vaikuttaa myös julkisuuslaki (laki viranomaisten toiminnan julkisuudesta, 621/1999), jonka mukaan julkisesta viranomaisen asiakirjasta on lähtökohtaisesti annettava tieto kenelle tahansa pyytäjän henkilöllisyyttä tai tiedon käyttötarkoitusta selvittämättä. Julkisuuslakia sovelletaan kokonaisuudessaan kunnan viranomaisten toiminnassa ja rajoitetusti myös sellaisissa hankintayksiköissä, jotka eivät ole viranomaisia eivätkä hoida julkista tehtävää.

Salassapidosta on säädettävä erikseen lain tasolla. Muun muassa sosiaali- ja terveydenhuollon asiakastiedot sekä liikesalaisuudet ovat lain nojalla salassa pidettäviä tietoja.

Kelpoisuustietoja kriteerien perusteella

Ehdokkaiden ja tarjoajien soveltuvuutta eli kelpoisuutta arvioidaan suhteessa tehtävään hankintaan. Tarjoajalle etukäteen asetettavat laatukriteerit ovat tietyin rajauksin hankintayksiköiden päätettävissä. Perusteena voidaan käyttää esimerkiksi ammatilliseen pätevyyteen liittyviä syrjimättömiä arviointiperusteita.

Ehdokkaiden tai tarjoajien ammatillista pätevyyttä koskevien vaatimusten ja tarjoajien valinnassa käytettävien perusteiden on oltava puolueettomia ja perusteltavissa hankinnan kohteen kannalta. Hankintayksikön tulee hankinnan luonteen ja laajuuden perusteella harkita vaatimusten tasoa.

Hankintayksikkö voi hankintalain 59 §:n mukaisesti pyytää ehdokasta ja tarjoajaa osoittamaan teknisen suorituskykynsä ja ammatillisen pätevyytensä. Tämä voidaan tehdä toimittamalla hankinta-asian käsittelyn yhteydessä muun muassa todistukset ehdokkaan tai tarjoajan tai yrityksen johtohenkilöiden sekä erityisesti palvelun tai urakan suorittamisesta vastaavien henkilöiden koulutuksesta ja ammatillisesta pätevyydestä. Koulutusta ja ammatillista pätevyyttä koskevien selvitysten vaatiminen on perusteltua erityisesti henkilökohtaista työsuoritusta edellyttävissä palveluhankinnoissa. 

Lainkohdan mukaisilla selvityksillä hankintayksikkö pystyy varmistamaan, että valittu tavarantoimittaja, palveluntuottaja tai urakoitsija kykenee suoriutumaan toimeksiannosta antamansa tarjouksen mukaan. Lainkohdan mukaisten asiakirjojen käsittely on siis tarpeen hankintayksikön päätösharkinnan kannalta.

Hankintayksikön tulee ottaa huomioon pyydettyjen selvitysten – esimerkiksi henkilötietoja tai ammatti- ja liikesalaisuuksia koskevien asiakirjojen – tietosuojaan ja julkiseksi tulemiseen liittyvät näkökohdat.

Rikosrekisteritietoja vain poikkeustapauksissa

Hankintalaissa säädetään myös eräisiin rikoksiin syyllistyneiden ehdokkaiden ja tarjoajien sulkemisesta tarjouskilpailun ulkopuolelle. Tämä on mahdollista, mikäli hankintayksikön tiedossa on, että ehdokas, tarjoaja, johtohenkilö tai edustus-, päätös-, tai valvontavaltaa käyttävä henkilö on lainvoimaisesti tuomittu jostakin lain 53 §:ssä mainituista rikoksista.

Poissulkeminen on haluttu ulottaa kaikkiin hankinnan toteuttamisessa tosiasiallista valtaa käyttäviin henkilöihin. Pakollisen poissulkemisen edellyttämät rikokset ovat muun muassa erilaisia petos- ja lahjusrikoksia sekä järjestyneeseen rikollisuuteen liittyviä rikoksia.

Lisäksi lain 54 §:ssä säädetään harkinnanvaraisista poissulkemisperusteista. Hankintayksikkö voi päätöksellään sulkea tarjouskilpailun ulkopuolelle esimerkiksi sellaisen ehdokkaan tai tarjoajan, joka on saanut ammattinsa harjoittamiseen liittyvästä lainvastaisesta teosta lainvoimaisen tuomion.

Poissulkemisperusteiden tutkimiseksi hankintayksiköllä on oikeus pyytää ehdokkaita ja tarjoajia toimittamaan selvityksiä ja todistuksia. Rikoksiin liittyviä poissulkemisperusteita koskevaksi selvitykseksi hyväksytään Suomen tai muun maan toimivaltaisen viranomaisen antama rikosrekisteriote tai vastaava asiakirja.

Rikosrekisterilain (770/1993) mukaan rikosrekisteritiedot ovat pääsääntöisesti salassa pidettäviä, eikä rikosrekisteristä saa luovuttaa tietoja suoraan hankintayksiköille. Hankintayksiköllä on mahdollisuus saada rikosrekisteritietoja siten, että tarjoaja itse käyttää tarkastusoikeuttaan omiin rikosrekisteritietoihinsa ja luovuttaa näitä tietoja hankintayksikölle. Rikosrekisteriotetta ei ole useimmissa tapauksissa syytä pyytää liitettäväksi tarjoukseen tai osallistumishakemukseen.

Tarjoajalla laajempi tiedonsaantioikeus

Tarjouksen jättäjällä on asianosaisena normaalia laajempi tiedonsaantioikeus. Ainakin kelpoisella tarjouskilpailuun osallistuneella tarjoajalla on oikeus saada myös eräitä hankinta-asiaan liittyviä salassa pidettäviä tietoja. Toisen tarjoajan liikesalaisuuksia ei kuitenkaan anneta kilpailevalle tarjoajalle.

Asianosaisen tiedonsaantioikeuden voidaan katsoa alkavan siitä, kun hankintapäätöksen sisältävä pöytäkirja on tarkastettu ja allekirjoitettu. Tiedon antaminen tarjouksista välittömästi niiden avaamisen jälkeen saattaisi vaarantaa tarjoajien yhdenvertaisen kohtelun, koska tarjouksiin saatetaan joutua hankkimaan täydennyksiä tarjoajilta, ja tietojen antaminen tarjousasiakirjoista saattaisi vääristää kilpailua.

Esimerkiksi tarjoajan henkilöstöön kuuluvien nimet ja heidän suorittamiaan tutkintoja koskevat tiedot ovat julkisia. Tosin jos perusteena on ollut vain ja ainoastaan tarjouksen hinta, voitaisiin katsoa, että tällaisten henkilötietojen luovuttaminen kilpailevalle tarjoajalle ei olisi välttämättä tarpeellista. Mikäli valintaperusteena käytetään henkilöstön pätevyyttä, sen arviointiin liittyvien henkilötietojen käsittelyä voidaan sitä vastoin pitää selvästi tarpeellisena.

Tilannetta lienee perusteltua tulkita siten, että ainakin sellaisia julkisia henkilötietoja, jotka eivät muodosta rekisteriä, tulee aina antaa kilpaileville tarjoajille. Nämä tarjoajat ovat asianosaisen asemassa. Julkiset henkilötiedot olisi annettava esimerkiksi kenelle tahansa yksityishenkilölle, mikäli tämä ilmoittaisi käyttävänsä tietoja yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Asianosaisen tiedonsaantioikeus ei voine muodostua ulkopuolisen tiedonsaantioikeutta kapeammaksi.

Asiakastiedot toimeksiantosuhteessa

Tarjouspyynnössä ja hankintasopimuksessa tulee määritellä, missä oikeudellisessa asemassa palvelun tilaaja toimii suhteessa palvelun tuottajaan. Toimeksiantosuhteessa palvelun tilaaja toimii tavallisesti rekisterinpitäjänä. Muussa sopimussuhteessa palvelun tuottaja on rekisterinpitäjä. Oikeudellisen aseman määrittely toimeksiantosuhteeksi on tärkeää asiakastietojen käsittelyyn liittyvien vastuiden määräytymisen kannalta.

Käytännössä ongelmana on ollut, etteivät sopimuksen osapuolet tiedä, millä tavoin asiakastietoja voidaan luovuttaa tai siirtää osapuolten välillä, ja edellyttääkö tietojen käsittely asiakkaan suostumusta.

Toimeksiantosopimuksessa asiakastietojen käsittely tapahtuu rekisterinpitäjän lukuun ja sen määräysvallassa.

Toimeksiantosopimussuhde merkitsee, ettei palveluntuottaja toimeksisaajana saa sisällyttää omaan asiakasrekisteriinsä ko. palvelun yhteydessä syntyviä asiakastietoja. Toimeksisaaja ei myös saa käyttää ko. rekisteritietoja omassa toiminnassaan eikä omaksi hyödykseen, eikä myöskään luovuttaa kyseisiä tietoja.

Palvelun tuottajan on siis muodostettava toimeksiantosuhteessa käsittelemistään tiedoista erillinen ja erikseen hallinnoitava tietoaineisto. Tämän vaatimuksen toteuttamismahdollisuuksia on syytä selvittää tarjouspyyntövaiheessa. 

Toimeksiantosuhteissa määräysvalta ja vastuu sopimuksen piiriin kuuluvien asiakastietojen käsittelystä säilyvät rekisterinpitäjällä. Tämä koskee esimerkiksi sosiaali- ja terveydenhuollon ostopalveluja sekä asiakastietoja koskevia tietojenkäsittelypalveluja.

Toimeksiantaja voi luovuttaa myös salassa pidettäviä tietoja toimeksisaajalle, jos se on välttämätöntä toimeksiannon suorittamiseksi. Sen sijaan esimerkiksi salassa pidettäviin tietoihin liittyvästä vaitiolovelvollisuudesta säädetään laissa, eikä siitä voida poiketa sopimuksella.

Hankintaprosessissa tulee varmistua siitä, että kaikki henkilötietolainsäädäntöön perustuvat hankintayksikköä tai palvelujen tuottajaa rekisterinpitäjänä koskevat velvoitteet huomioidaan myös silloin, kun ostopalvelujen tuottaja käsittelee asiakastietoja.

Hankittaessa palveluita kunnan lukuun tulee tarjouspyynnössä määritellä selkeästi, mitä erilaisia henkilötietoihin liittyviä käsittelytehtäviä palvelun tuottaminen edellyttää ja miten tehtävät tulee palveluntuottajan toiminnassa hoitaa. Näin saadaan jo tarjousvaiheessa selville, kykeneekö palvelun tuottaja käsittelemään ja hallinnoimaan toimeksiantosopimuksin tehtävän palvelun piiriin kuuluvat asiakastiedot henkilötietolain edellyttämällä tavalla eri tiedostona ja erillään palvelun tuottajan omista asiakastiedoista.

Rekisterinpitäjällä vahingonkorvausvastuu

Henkilötietolain 47 §:n mukaisesti rekisterinpitäjällä on tuottamuksesta riippumaton vahingonkorvausvastuu lain vastaisesta henkilötietojen käsittelystä. Asiakastietojen käsittelyn vastuiden kannalta onkin tärkeää, että tarjouspyynnössä ja sopimuksessa on määritelty tarjoajalle ja palvelun tuottajalle kuuluvat asiakastietojen käsittelytehtävät riittävän tarkasti ja yksiselitteisesti.

Tarjouspyynnössä on lisäksi syytä huomioida palvelun tuottajalle suunnitellut tehtävät riittävän tarkasti kaikkien asiakastietojen käsittelyvaiheiden osalta. Tällaisia tehtäviä ovat muun muassa tietojen tallentaminen, huolehtiminen tietojen käsittelyn tarpeellisuusvaatimuksen noudattamisesta ja tietojen virheettömyydestä. Lisäksi on syytä määritellä, miten tietoja käytetään ja käsitellään sekä miten tiedot suojataan ja miten tietoturvavaatimuksista huolehditaan eri käsittelyvaiheissa.

On myös tärkeää määritellä, mitä asiakastiedoille tapahtuu sopimussuhteen päättyessä. Henkilötietolaki lähtee siitä, että esimerkiksi toimeksiantajana oleva kunta päättää rekisterinpitäjänä toimeksiantoon liittyvien henkilörekistereiden käytöstä myös toimeksiantosuhteen päättymisen jälkeen. Jos kyseessä on salassa pidettävistä asiakastiedoista, tietoturvan varmistamiseen on kiinnitettävä erityistä huomiota.

Henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä arkistoon.

Tietosuoja-asioissakin on muistettava, että virkasuhteisella henkilöstöllä samoin kuin muilla julkista tehtävää hoitavilla on monitahoinen vastuu teoistaan ja laiminlyönneistään. Vastuu on rikos- ja vahingonkorvausoikeudellista. Sekä henkilötietolaissa että julkisuuslaissa ovat omat rangaistusäännökset. Näiden mukaan ko. lakien velvoitteiden rikkomisesta on säädetty rikosoikeudellinen rangaistus.

-----

[KIRJOITTAJAT]

Mika Paavilainen ja Sirpa Palo työskentelevät lakimiehinä Suomen Kuntaliitossa.

Lue myös

Hankinnat: Asiakirjoille selkeämmät ohjeet »
Hankinnat: Valinnasta tehtävä perusteltu päätös »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.