tietosuoja-asetuksen huomioiminen tarjouspyynnöissä

(c) Karolina Lehto 2016

Tietosuoja-asetuksen huomioiminen

tarjouspyynnöissäFCG:n ICT-hankinnat-koulutuspäivä

21.9.2016 Karolina Lehto

21.9.2016


Johdanto

21.9.2016


Tarjouspyynnön sisältö hankintalain 41 § mukaan1) hankinnan kohteen määrittely noudattaen, mitä teknisten eritelmien ja vaatimusten esittämisestä 44 ja 45 §:ssä säädetään, sekä hankinnan kohteeseen liittyvät muut laatuvaatimukset;2) viittaus julkaistuun hankintailmoitukseen;3) määräaika tarjousten tekemiselle;4) osoite, johon tarjoukset on toimitettava;5) kieli tai kielet, joilla tarjoukset on laadittava;6) ehdokkaiden tai tarjoajien taloudellista ja rahoituksellista tilannetta, teknistä kelpoisuutta ja ammatillista pätevyyttä koskevat ja muut vaatimukset sekä luettelo asiakirjoista, joita ehdokkaan tai tarjoajan on tätä varten toimitettava;7) tarjouksen valintaperuste sekä käytettäessä kokonaistaloudellista edullisuutta tarjouksen vertailuperusteet ja niiden suhteellinen painotus tai kohtuullinen vaihteluväli taikka poikkeuksellisissa tapauksissa vertailuperusteiden tärkeysjärjestys; sekä8) tarjousten voimassaoloaika.Tarjouspyynnössä tai hankintailmoituksessa on oltava myös muut tiedot, joilla on olennaista merkitystä hankintamenettelyssä ja tarjousten tekemisessä.

21.9.2016


Tarjoajan poissulku- ja soveltuvuusvaatimuksia hankintamenettelyssä - tietosuojanäkökulma• Vakava virhe ammattitoiminnassa, jonka hankintayksikkö voi osoittaa• Merkittävät ja toistuvat puutteet aikaisemman sopimuksen

toteuttamisessa, jonka vuoksi sopimus on irtisanottu / vaadittu vahingonkorvauksia / muu vastaava rangaistus• Teknistä suorituskykyä koskevat vaatimukset ja todistuskeinot (mm.)• Kuvaus tarjoajan laadunvarmistukseen käyttämistä teknisistä välineistä ja

toimenpiteistä• Selvitys työvälineistä ja teknisistä laitteista, jotka ovat palveluntarjoajan

käytettävissä sopimuksen toteuttamiseksi• Selvitys alihankinnasta

21.9.2016


Hankintasopimuksen toteuttamisen ehdot(Hankintalain 49 § ja hankintadirektiivin 70 art.)

• Hankintayksikkö voi vahvistaa hankintasopimuksen toteuttamista koskevia erityisehtoja, jotka liittyvät hankinnan kohteeseen • missä tahansa sen elinkaaren vaiheessa, ei tarvitse olla ”fyysinen osa”

hankinnan kohdetta

• Näistä ehdoista on ilmoitettava ”hankinta-asiakirjoissa” ts. tarjouspyynnössä ja sen liitteissä

21.9.2016


Henkilötietojen käsittelyä koskevat periaatteet tietosuoja-asetuksen mukaana) Lainmukaisuus, kohtuullisuus ja läpinäkyvyysb) Käyttötarkoitussidonnaisuusc) Tietojen minimointid) Täsmällisyyse) Säilytyksen rajoittaminenf) Eheys ja luottamuksellisuus

21.9.2016


Rekisterinpitäjän velvollisuuksien toteuttaminen• Rekisterinpitäjän osoitusvelvollisuus (”accountability”) em. periaatteiden

noudattamisesta• Näyttötaakka• Sopimuksen mukaisen toiminnan organisointi ja dokumentointi, velvoitteiden toteutumisen

kirjaaminen, prosessien kuvaaminen ja syntyvän asiakirja-aineiston säilyttäminen• Rekisterinpitäjän tiedonantovelvollisuus• Käsittelyn turvallisuus• Vaatimus sisäänrakennetusta ja oletusarvoisesta tietosuojasta (”privacy by

design / privacy by default”)• Rekisterinpitäjän ilmoitusvelvollisuudet• Tietojen siirtojen laillisuus

21.9.2016


Rekisteröidyn oikeuksien toteuttaminen• Informointi tietojen käsittelystä• Oikeus saada kopiot itseään koskevista tiedosta• Oikeus tietojen oikaisemiseen• Oikeus saada tietonsa poistettua henkilörekisteristä (”right to be

forgotten”)• Oikeus käsittelyn rajoittamiseen• Oikeus siirtää tiedot järjestelmästä toiseen• Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa• Suoraan rekisterinpitäjältä toiselle, jos mahdollista

21.9.2016


Henkilötietojen käsittely?• Toiminto / toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja

sisältäviin tietojoukkoihin • joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, • kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä,

muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, • tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, • tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

• Huom.: henkilötietoja ovat myös mm. käyttäjätunnus, verkkotunnistetiedot jne., jos henkilö voidaan suoraan tai epäsuorasti tunnistaa niiden perusteella

21.9.2016


Tietosuoja-asetuksen sopimusvaatimukset ja vaikutus tarjouspyynnön suunnitteluun

21.9.2016


28 artiklan sopimusvaatimukset, yleistä• Rekisterinpitäjän on laadittava käsittelijän kanssa kirjallinen sopimus• Liitetään tarjouspyyntöön

• Sopimuksessa on vahvistettava: • Henkilötietojen käsittelyn kohde ja kesto• Käsittelyn luonne ja tarkoitus• Henkilötietojen tyyppi ja rekisteröityjen ryhmät• Rekisterinpitäjän velvollisuudet ja oikeudet <> vastuumatriisi tms.

• Rekisterinpitäjä saa käyttää ainoastaan sellaisia käsittelijöitä, joilla riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi • <> vaikutus tarjoajan soveltuvuuteen?

21.9.2016


28 artiklan tarkemmat sopimusvaatimukset (1) • On sovittava, että henkilötietojen käsittelijä

• Käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti• Hankintayksikön laadittava kirjalliset ohjeet; vrt. tietoturvatasojen käsittelysäännöt?• Käytännesäännöt

• Varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta• Salassapitositoumus, ellei lakisääteistä salassapitovelvollisuutta, vrt. JulkL 23 § vaitiolovelvollisuus ja

hyväksikäyttökielto <> ulottuvuus henkilötietoihin?• Toteuttaa kaikki 32 artiklassa vaaditut tietoturvallisuustoimenpiteet

• Tarjouspyynnön vaatimusmäärittelyssä huomioon <> vrt. tietoturvatasojen ja muiden VAHTI-ohjeiden vaatimukset?• Riskiarviointi• Tietojen eheys, käytettävyys, luottamuksellisuus, vikasietoisuus• Tietojen palauttaminen; pääsy tietoihin fyysisen tai teknisen vian sattuessa• Tietojen pseudonymisointi ja salaus• Tietoturvallisuuden ja toimenpiteiden jatkuva testaus ja arviointi

• Ei siirrä käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista ennakkolupaa• Alkuperäinen käsittelijä säilyy tällöinkin vastuussa suhteessa rekisterinpitäjään

21.9.2016


28 artiklan tarkemmat sopimusvaatimukset (2)• On sovittava, että henkilötietojen käsittelijä

• Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla auttaa rekisterinpitäjää täyttämään velvollisuuden vastata rekisteröidyn oikeuksia koskeviin pyyntöihin• Tietojen irrottaminen, korjaaminen, siirtäminen, poisto, jne.

• Auttaa rekisterinpitäjää varmistamaan, että tietoturvallisuuteen ja loukkauksista ilmoittamiseen liittyviä säädettyjä velvollisuuksia noudatetaan• Rekisterinpitäjällä 72 tunnin ilmoitusvelvollisuus viranomaiselle <> käsittelijältä tiedot nopeammin ”ilman aiheetonta viivytystä”• ilmoituksessa kuvattava:

• Tapahtunut tietoturvaloukkaus• Rekisteröityjen ja henkilötietotyyppien ryhmät ja lukumäärät• Loukkauksen todennäköiset seuraamukset • Tehdyt toimenpiteet

• Asetus ei tunne viikonloppuja, pyhäpäiviä, loma-aikoja…• Dokumentointivelvollisuus• Ilmoitusvelvollisuus rekisteröidyille ilman aiheetonta viivytystä (jos korkea riski)

• Palvelun päätyttyä poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ml. jäljennökset• Saattaa rekisterinpitäjän saataville kaikki ne tiedot, jotka tämä tarvitsee osoitusvelvollisuuden toteuttamista

varten• Sallii rekisterinpitäjän tehdä auditointeja / tarkastuksia ja osallistuu niihin

21.9.2016


Lisäksi huomioitava mm.• Tietojärjestelmän vaatimusmäärittely

• Toiminnalliset, tekniset, tietoturvallisuutta koskevat vaatimukset• Sisäänrakennettu ja oletusarvoinen tietosuoja – vaatimuksena toimittajalle vai asiakas

määrittelee? Määrittelyjen hyväksymisen vaikutus vastuisiin?

• Tietojen sijainti• Järjestelmän sijaintimaa (palvelimet)• Ylläpito• Hallinta- ja valvontayhteydet• Tietojen siirron laillisuus

• Toiminnalliset prosessit ja yhteistyö sopimuskaudella• Vastuunjako, ilmoitusvelvollisuudet, menettelytavat, jatkuva testaus jne.• Häiriönhallinta• Dokumentointi, raportointi

21.9.2016


Tietojärjestelmän elinkaari

Tietosuojavaatimusten huomioiminen; privacy by design + dokumentointivelvoitteet

Hankinnan suunnittelu Projekti Tuotannossa Alasajo

Mitä? Miksi? Miten? – henkilötiedot, lokitiedot

Missä? Kuka? – palvelun paikka, käsittelijät

Miten kauan? – passivoinnit, poistot, arkistointi

Ongelmatilanteiden hallinta, tietoturvallisuus

21.9.2016

Vaatimukset Tekn. suunn. Ylläpito, korjaukset, kehitystyö

Vaatimukset

Vaatimukset

Vaatimukset

Vaatimukset


Vakioehdot ja tietosuoja-asetus

21.9.2016


JIT 2015 ja tietosuoja-asetus (1)• Yleiset ehdot, luku 18 Tietoturvallisuus ja tietosuoja

(3) Toimittaja noudattaa voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Tilaaja huolehtii lainsäädännössä säädetyistä rekisterinpitäjän velvollisuuksista.(4) Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta.

• Yleiset ehdot, luku 19 Tarkastusoikeus(1) Tilaajalla on oikeus tehdä tai teettää kolmannella riippumattomalla taholla tarkastus, jonka kohteena voivat olla toimituksen kohde ja sen vaatimuksenmukaisuus, laskutuksen oikeellisuus, valvonta- ja hallintajärjestelmien toimivuus, tietoturvallisuus sekä raportoinnin oikeellisuus. Tarkastus voi kohdistua korkeintaan tarkastusta edeltävään 12 kuukauden jaksoon.

21.9.2016


JIT 2015 ja tietosuoja-asetus (2)• Palveluehdot, 5.4 Palvelua suorittava henkilöstö

(3) Toimittajan on tilaajan pyynnöstä palvelua käynnistettäessä laadittava luettelo sellaisista palvelun tuottamiseen osallistuvista toimittajan tai sen alihankkijan henkilöistä, joilla on pääsy tilaajan henkilötietoihin, tunnistamistietoihin ja salassa pidettäviin tietoaineistoihin. Toimittajan on muutosten tapahtuessa päivitettävä luettelo ja toimitettava se asiakkaalle. Tilaaja voi hakea palvelun tuottamiseen osallistuvista henkilöistä turvallisuusselvityksen JIT 2015 Yleisten ehtojen kohdan 18 (6) mukaisesti.

• Palveluehdot, 3.2 Palvelun paikka(2) Toimittaja ilmoittaa tilaajalle etukäteen, mistä palvelua tuotetaan. Toimittajan on myös ilmoitettava tilaajalle etukäteen, jos paikka muuttuu.

• Tilaajan aineistoa koskevat ehdot

21.9.2016


JIT 2015 ja tietosuoja-asetus (3)• Palvelut verkon kautta, 13 Tietoturvallisuus ja tietosuoja

(1) Sopijapuolet sitoutuvat kumpikin omalta osaltaan huolehtimaan ja vastaamaan tietoturvallisuudesta sekä yksityisyyden suojasta Suomessa voimassa olevan lainsäädännön mukaisesti. Sopijapuolten välisestä tietoturvaan ja -suojaan liittyvästä vastuunjaosta sovitaan tarvittaessa täsmällisemmin.(4) Sopijapuolet sopivat kirjallisesti siitä, siirtääkö tilaaja henkilötietoja toimittajalle. Tilaaja on rekisterinpitäjänä vastuussa näistä henkilötiedoista. Tilaaja vastaa siitä, että sillä on oikeus siirtää kyseiset henkilötiedot toimittajalle sopimuksen mukaiseen käsittelyyn. Toimittaja noudattaa henkilötietoja käsitellessään lainsäädännön edellyttämää hyvää henkilötietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Toimittaja käsittelee henkilötietoja vain sopimuksen ja tilaajan antamien kirjallisten ohjeiden mukaisesti. Toimittaja toteuttaa tekniset ja organisatoriset toimet, joista on sovittu.

21.9.2016


JIT 2015 ja tietosuoja-asetus (4)• Palvelut verkon kautta, 14 Tietoturvaloukkausten käsittely

(1) Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan ohjelmistopalvelua tai sen käyttöä vaarantavista merkittävistä tietoturvatilanteen muutoksista tai lisääntyneistä tietoturvariskeistä, tietoturvaloukkauksista tai niiden epäilyistä.(2) Sopijapuolen tulee osaltaan ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen vaikutuksen poistamiseksi tai pienentämiseksi. Erityisistä tietoturvariskien hallinnan edellyttämistä toimista sovitaan erikseen.(3) Sopijapuolella on velvollisuus myötävaikuttaa tietoturvaloukkausten tutkintaan.

• Palvelut verkon kautta, 15 Ohjelmistopalvelun tuottamisen sijainti(1) Toimittaja voi tarjota koko ohjelmistopalvelun tai osan siitä joko Suomesta tai jostain toisesta

maasta edellyttäen, että toimittaja täyttää muuten sopimuksen ehdot. (2) Palvelun tuottamiseen käytettävien konesalien ja hallintapalvelujen sekä tallennettujen

tietojen maantieteellinen sijainti on ilmoitettava palvelukuvauksessa. Toimittaja on velvollinen ilmoittamaan sijainnin mahdollisista muutoksista.

21.9.2016


JYSE 2014 Palvelut ja tietosuoja-asetus• 21.1 velvoittaa noudattamaan voimassaolevaa lainsäädäntöä sekä tilaajan

ohjeita mm. tietosuojan osalta• 21.3 Henkilötietolaissa (523/1999) tarkoitettuna rekisterinpitäjänä toimii

tilaaja. Toimeksiantosuhteen päättyessä palveluntuottajan hallussa olevat toimeksiantosuhteeseen liittyvät henkilörekisterit luovutetaan tilaajalle.• 21.5 Kielto luovuttaa ulkopuolisille henkilötietoja rekisterimuodossa• 21.8 Tilaajan vaatiessa laadittava luettelo henkilöistä, joilla pääsy tietoihin • 4.3 Palvelun tulee täyttää Euroopan unionin suoraan velvoittavien säädösten,

Suomen lakien ja asetusten sekä viranomaisten antamat määräykset. • 5.4 Tilaajan tarkastusoikeus

21.9.2016


Yhteenveto

21.9.2016


Muistilista• Selvitä, mitä velvollisuuksia sinuun rekisterinpitäjänä kohdistuu (vaikka et ulkoistaisi mitään

osaa toiminnasta)• Selvitä, mitä velvollisuuksia asetus asettaa käsittelyn ulkoistajalle • Selvitä ja määrittele, mitä henkilötietoja hankittavassa järjestelmässä tullaan käsittelemään ja

miten • Pohdi, mitkä tehtävät hoidat itse ja mitä palveluntarjoaja tekee• Listaa ja laadi tarvittavat politiikat, ohjeistukset, prosessit, kuvaukset ja käytännesäännöt• Liitä tarjouspyyntöön vaatimusmäärittely ja varmista, että siinä on otettu huomioon myös

tietosuoja• Liitä tarjouspyyntöön sopimusehdot, joissa vyörytät palveluntarjoajalle ne velvollisuudet ja

tehtävät, jotka sen tulee hoitaa, jotta käsittely on laillista, rekisterinpitäjän velvollisuudet voidaan täyttää ja rekisteröidyn oikeudet toteutuvat – vakioehtojen käyttö ei riitä täyttämään tätä vaatimusta.

21.9.2016


Kiitos!

21.9.2016

Karolina Lehto, lakimies, Hansel [email protected]

tietosuoja-asetuksen huomioiminen tarjouspyynnöissä

Law