tietosuoja-asetuksen huomioiminen tarjouspyynnöissä
TRANSCRIPT
(c) Karolina Lehto 2016
Tietosuoja-asetuksen huomioiminen
tarjouspyynnöissäFCG:n ICT-hankinnat-koulutuspäivä
21.9.2016 Karolina Lehto
21.9.2016
(c) Karolina Lehto 2016
Johdanto
21.9.2016
(c) Karolina Lehto 2016
Tarjouspyynnön sisältö hankintalain 41 § mukaan1) hankinnan kohteen määrittely noudattaen, mitä teknisten eritelmien ja vaatimusten esittämisestä 44 ja 45 §:ssä säädetään, sekä hankinnan kohteeseen liittyvät muut laatuvaatimukset;2) viittaus julkaistuun hankintailmoitukseen;3) määräaika tarjousten tekemiselle;4) osoite, johon tarjoukset on toimitettava;5) kieli tai kielet, joilla tarjoukset on laadittava;6) ehdokkaiden tai tarjoajien taloudellista ja rahoituksellista tilannetta, teknistä kelpoisuutta ja ammatillista pätevyyttä koskevat ja muut vaatimukset sekä luettelo asiakirjoista, joita ehdokkaan tai tarjoajan on tätä varten toimitettava;7) tarjouksen valintaperuste sekä käytettäessä kokonaistaloudellista edullisuutta tarjouksen vertailuperusteet ja niiden suhteellinen painotus tai kohtuullinen vaihteluväli taikka poikkeuksellisissa tapauksissa vertailuperusteiden tärkeysjärjestys; sekä8) tarjousten voimassaoloaika.Tarjouspyynnössä tai hankintailmoituksessa on oltava myös muut tiedot, joilla on olennaista merkitystä hankintamenettelyssä ja tarjousten tekemisessä.
21.9.2016
(c) Karolina Lehto 2016
Tarjoajan poissulku- ja soveltuvuusvaatimuksia hankintamenettelyssä - tietosuojanäkökulma• Vakava virhe ammattitoiminnassa, jonka hankintayksikkö voi osoittaa• Merkittävät ja toistuvat puutteet aikaisemman sopimuksen
toteuttamisessa, jonka vuoksi sopimus on irtisanottu / vaadittu vahingonkorvauksia / muu vastaava rangaistus• Teknistä suorituskykyä koskevat vaatimukset ja todistuskeinot (mm.)• Kuvaus tarjoajan laadunvarmistukseen käyttämistä teknisistä välineistä ja
toimenpiteistä• Selvitys työvälineistä ja teknisistä laitteista, jotka ovat palveluntarjoajan
käytettävissä sopimuksen toteuttamiseksi• Selvitys alihankinnasta
21.9.2016
(c) Karolina Lehto 2016
Hankintasopimuksen toteuttamisen ehdot(Hankintalain 49 § ja hankintadirektiivin 70 art.)
• Hankintayksikkö voi vahvistaa hankintasopimuksen toteuttamista koskevia erityisehtoja, jotka liittyvät hankinnan kohteeseen • missä tahansa sen elinkaaren vaiheessa, ei tarvitse olla ”fyysinen osa”
hankinnan kohdetta
• Näistä ehdoista on ilmoitettava ”hankinta-asiakirjoissa” ts. tarjouspyynnössä ja sen liitteissä
21.9.2016
(c) Karolina Lehto 2016
Henkilötietojen käsittelyä koskevat periaatteet tietosuoja-asetuksen mukaana) Lainmukaisuus, kohtuullisuus ja läpinäkyvyysb) Käyttötarkoitussidonnaisuusc) Tietojen minimointid) Täsmällisyyse) Säilytyksen rajoittaminenf) Eheys ja luottamuksellisuus
21.9.2016
(c) Karolina Lehto 2016
Rekisterinpitäjän velvollisuuksien toteuttaminen• Rekisterinpitäjän osoitusvelvollisuus (”accountability”) em. periaatteiden
noudattamisesta• Näyttötaakka• Sopimuksen mukaisen toiminnan organisointi ja dokumentointi, velvoitteiden toteutumisen
kirjaaminen, prosessien kuvaaminen ja syntyvän asiakirja-aineiston säilyttäminen• Rekisterinpitäjän tiedonantovelvollisuus• Käsittelyn turvallisuus• Vaatimus sisäänrakennetusta ja oletusarvoisesta tietosuojasta (”privacy by
design / privacy by default”)• Rekisterinpitäjän ilmoitusvelvollisuudet• Tietojen siirtojen laillisuus
21.9.2016
(c) Karolina Lehto 2016
Rekisteröidyn oikeuksien toteuttaminen• Informointi tietojen käsittelystä• Oikeus saada kopiot itseään koskevista tiedosta• Oikeus tietojen oikaisemiseen• Oikeus saada tietonsa poistettua henkilörekisteristä (”right to be
forgotten”)• Oikeus käsittelyn rajoittamiseen• Oikeus siirtää tiedot järjestelmästä toiseen• Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa• Suoraan rekisterinpitäjältä toiselle, jos mahdollista
21.9.2016
(c) Karolina Lehto 2016
Henkilötietojen käsittely?• Toiminto / toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja
sisältäviin tietojoukkoihin • joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, • kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä,
muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, • tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, • tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
• Huom.: henkilötietoja ovat myös mm. käyttäjätunnus, verkkotunnistetiedot jne., jos henkilö voidaan suoraan tai epäsuorasti tunnistaa niiden perusteella
21.9.2016
(c) Karolina Lehto 2016
Tietosuoja-asetuksen sopimusvaatimukset ja vaikutus tarjouspyynnön suunnitteluun
21.9.2016
(c) Karolina Lehto 2016
28 artiklan sopimusvaatimukset, yleistä• Rekisterinpitäjän on laadittava käsittelijän kanssa kirjallinen sopimus• Liitetään tarjouspyyntöön
• Sopimuksessa on vahvistettava: • Henkilötietojen käsittelyn kohde ja kesto• Käsittelyn luonne ja tarkoitus• Henkilötietojen tyyppi ja rekisteröityjen ryhmät• Rekisterinpitäjän velvollisuudet ja oikeudet <> vastuumatriisi tms.
• Rekisterinpitäjä saa käyttää ainoastaan sellaisia käsittelijöitä, joilla riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi • <> vaikutus tarjoajan soveltuvuuteen?
21.9.2016
(c) Karolina Lehto 2016
28 artiklan tarkemmat sopimusvaatimukset (1) • On sovittava, että henkilötietojen käsittelijä
• Käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti• Hankintayksikön laadittava kirjalliset ohjeet; vrt. tietoturvatasojen käsittelysäännöt?• Käytännesäännöt
• Varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta• Salassapitositoumus, ellei lakisääteistä salassapitovelvollisuutta, vrt. JulkL 23 § vaitiolovelvollisuus ja
hyväksikäyttökielto <> ulottuvuus henkilötietoihin?• Toteuttaa kaikki 32 artiklassa vaaditut tietoturvallisuustoimenpiteet
• Tarjouspyynnön vaatimusmäärittelyssä huomioon <> vrt. tietoturvatasojen ja muiden VAHTI-ohjeiden vaatimukset?• Riskiarviointi• Tietojen eheys, käytettävyys, luottamuksellisuus, vikasietoisuus• Tietojen palauttaminen; pääsy tietoihin fyysisen tai teknisen vian sattuessa• Tietojen pseudonymisointi ja salaus• Tietoturvallisuuden ja toimenpiteiden jatkuva testaus ja arviointi
• Ei siirrä käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista ennakkolupaa• Alkuperäinen käsittelijä säilyy tällöinkin vastuussa suhteessa rekisterinpitäjään
21.9.2016
(c) Karolina Lehto 2016
28 artiklan tarkemmat sopimusvaatimukset (2)• On sovittava, että henkilötietojen käsittelijä
• Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla auttaa rekisterinpitäjää täyttämään velvollisuuden vastata rekisteröidyn oikeuksia koskeviin pyyntöihin• Tietojen irrottaminen, korjaaminen, siirtäminen, poisto, jne.
• Auttaa rekisterinpitäjää varmistamaan, että tietoturvallisuuteen ja loukkauksista ilmoittamiseen liittyviä säädettyjä velvollisuuksia noudatetaan• Rekisterinpitäjällä 72 tunnin ilmoitusvelvollisuus viranomaiselle <> käsittelijältä tiedot nopeammin ”ilman aiheetonta viivytyst䔕 ilmoituksessa kuvattava:
• Tapahtunut tietoturvaloukkaus• Rekisteröityjen ja henkilötietotyyppien ryhmät ja lukumäärät• Loukkauksen todennäköiset seuraamukset • Tehdyt toimenpiteet
• Asetus ei tunne viikonloppuja, pyhäpäiviä, loma-aikoja…• Dokumentointivelvollisuus• Ilmoitusvelvollisuus rekisteröidyille ilman aiheetonta viivytystä (jos korkea riski)
• Palvelun päätyttyä poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ml. jäljennökset• Saattaa rekisterinpitäjän saataville kaikki ne tiedot, jotka tämä tarvitsee osoitusvelvollisuuden toteuttamista
varten• Sallii rekisterinpitäjän tehdä auditointeja / tarkastuksia ja osallistuu niihin
21.9.2016
(c) Karolina Lehto 2016
Lisäksi huomioitava mm.• Tietojärjestelmän vaatimusmäärittely
• Toiminnalliset, tekniset, tietoturvallisuutta koskevat vaatimukset• Sisäänrakennettu ja oletusarvoinen tietosuoja – vaatimuksena toimittajalle vai asiakas
määrittelee? Määrittelyjen hyväksymisen vaikutus vastuisiin?
• Tietojen sijainti• Järjestelmän sijaintimaa (palvelimet)• Ylläpito• Hallinta- ja valvontayhteydet• Tietojen siirron laillisuus
• Toiminnalliset prosessit ja yhteistyö sopimuskaudella• Vastuunjako, ilmoitusvelvollisuudet, menettelytavat, jatkuva testaus jne.• Häiriönhallinta• Dokumentointi, raportointi
21.9.2016
(c) Karolina Lehto 2016
Tietojärjestelmän elinkaari
Tietosuojavaatimusten huomioiminen; privacy by design + dokumentointivelvoitteet
Hankinnan suunnittelu Projekti Tuotannossa Alasajo
Mitä? Miksi? Miten? – henkilötiedot, lokitiedot
Missä? Kuka? – palvelun paikka, käsittelijät
Miten kauan? – passivoinnit, poistot, arkistointi
Ongelmatilanteiden hallinta, tietoturvallisuus
21.9.2016
Vaatimukset Tekn. suunn. Ylläpito, korjaukset, kehitystyö
Vaatimukset
Vaatimukset
Vaatimukset
Vaatimukset
(c) Karolina Lehto 2016
Vakioehdot ja tietosuoja-asetus
21.9.2016
(c) Karolina Lehto 2016
JIT 2015 ja tietosuoja-asetus (1)• Yleiset ehdot, luku 18 Tietoturvallisuus ja tietosuoja
(3) Toimittaja noudattaa voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Tilaaja huolehtii lainsäädännössä säädetyistä rekisterinpitäjän velvollisuuksista.(4) Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta.
• Yleiset ehdot, luku 19 Tarkastusoikeus(1) Tilaajalla on oikeus tehdä tai teettää kolmannella riippumattomalla taholla tarkastus, jonka kohteena voivat olla toimituksen kohde ja sen vaatimuksenmukaisuus, laskutuksen oikeellisuus, valvonta- ja hallintajärjestelmien toimivuus, tietoturvallisuus sekä raportoinnin oikeellisuus. Tarkastus voi kohdistua korkeintaan tarkastusta edeltävään 12 kuukauden jaksoon.
21.9.2016
(c) Karolina Lehto 2016
JIT 2015 ja tietosuoja-asetus (2)• Palveluehdot, 5.4 Palvelua suorittava henkilöstö
(3) Toimittajan on tilaajan pyynnöstä palvelua käynnistettäessä laadittava luettelo sellaisista palvelun tuottamiseen osallistuvista toimittajan tai sen alihankkijan henkilöistä, joilla on pääsy tilaajan henkilötietoihin, tunnistamistietoihin ja salassa pidettäviin tietoaineistoihin. Toimittajan on muutosten tapahtuessa päivitettävä luettelo ja toimitettava se asiakkaalle. Tilaaja voi hakea palvelun tuottamiseen osallistuvista henkilöistä turvallisuusselvityksen JIT 2015 Yleisten ehtojen kohdan 18 (6) mukaisesti.
• Palveluehdot, 3.2 Palvelun paikka(2) Toimittaja ilmoittaa tilaajalle etukäteen, mistä palvelua tuotetaan. Toimittajan on myös ilmoitettava tilaajalle etukäteen, jos paikka muuttuu.
• Tilaajan aineistoa koskevat ehdot
21.9.2016
(c) Karolina Lehto 2016
JIT 2015 ja tietosuoja-asetus (3)• Palvelut verkon kautta, 13 Tietoturvallisuus ja tietosuoja
(1) Sopijapuolet sitoutuvat kumpikin omalta osaltaan huolehtimaan ja vastaamaan tietoturvallisuudesta sekä yksityisyyden suojasta Suomessa voimassa olevan lainsäädännön mukaisesti. Sopijapuolten välisestä tietoturvaan ja -suojaan liittyvästä vastuunjaosta sovitaan tarvittaessa täsmällisemmin.(4) Sopijapuolet sopivat kirjallisesti siitä, siirtääkö tilaaja henkilötietoja toimittajalle. Tilaaja on rekisterinpitäjänä vastuussa näistä henkilötiedoista. Tilaaja vastaa siitä, että sillä on oikeus siirtää kyseiset henkilötiedot toimittajalle sopimuksen mukaiseen käsittelyyn. Toimittaja noudattaa henkilötietoja käsitellessään lainsäädännön edellyttämää hyvää henkilötietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä. Toimittaja käsittelee henkilötietoja vain sopimuksen ja tilaajan antamien kirjallisten ohjeiden mukaisesti. Toimittaja toteuttaa tekniset ja organisatoriset toimet, joista on sovittu.
21.9.2016
(c) Karolina Lehto 2016
JIT 2015 ja tietosuoja-asetus (4)• Palvelut verkon kautta, 14 Tietoturvaloukkausten käsittely
(1) Sopijapuolella on velvollisuus ilmoittaa toiselle sopijapuolelle ilman aiheetonta viivytystä havaitsemistaan ohjelmistopalvelua tai sen käyttöä vaarantavista merkittävistä tietoturvatilanteen muutoksista tai lisääntyneistä tietoturvariskeistä, tietoturvaloukkauksista tai niiden epäilyistä.(2) Sopijapuolen tulee osaltaan ryhtyä välittömästi toimenpiteisiin tietoturvaloukkauksen vaikutuksen poistamiseksi tai pienentämiseksi. Erityisistä tietoturvariskien hallinnan edellyttämistä toimista sovitaan erikseen.(3) Sopijapuolella on velvollisuus myötävaikuttaa tietoturvaloukkausten tutkintaan.
• Palvelut verkon kautta, 15 Ohjelmistopalvelun tuottamisen sijainti(1) Toimittaja voi tarjota koko ohjelmistopalvelun tai osan siitä joko Suomesta tai jostain toisesta
maasta edellyttäen, että toimittaja täyttää muuten sopimuksen ehdot. (2) Palvelun tuottamiseen käytettävien konesalien ja hallintapalvelujen sekä tallennettujen
tietojen maantieteellinen sijainti on ilmoitettava palvelukuvauksessa. Toimittaja on velvollinen ilmoittamaan sijainnin mahdollisista muutoksista.
21.9.2016
(c) Karolina Lehto 2016
JYSE 2014 Palvelut ja tietosuoja-asetus• 21.1 velvoittaa noudattamaan voimassaolevaa lainsäädäntöä sekä tilaajan
ohjeita mm. tietosuojan osalta• 21.3 Henkilötietolaissa (523/1999) tarkoitettuna rekisterinpitäjänä toimii
tilaaja. Toimeksiantosuhteen päättyessä palveluntuottajan hallussa olevat toimeksiantosuhteeseen liittyvät henkilörekisterit luovutetaan tilaajalle.• 21.5 Kielto luovuttaa ulkopuolisille henkilötietoja rekisterimuodossa• 21.8 Tilaajan vaatiessa laadittava luettelo henkilöistä, joilla pääsy tietoihin • 4.3 Palvelun tulee täyttää Euroopan unionin suoraan velvoittavien säädösten,
Suomen lakien ja asetusten sekä viranomaisten antamat määräykset. • 5.4 Tilaajan tarkastusoikeus
21.9.2016
(c) Karolina Lehto 2016
Yhteenveto
21.9.2016
(c) Karolina Lehto 2016
Muistilista• Selvitä, mitä velvollisuuksia sinuun rekisterinpitäjänä kohdistuu (vaikka et ulkoistaisi mitään
osaa toiminnasta)• Selvitä, mitä velvollisuuksia asetus asettaa käsittelyn ulkoistajalle • Selvitä ja määrittele, mitä henkilötietoja hankittavassa järjestelmässä tullaan käsittelemään ja
miten • Pohdi, mitkä tehtävät hoidat itse ja mitä palveluntarjoaja tekee• Listaa ja laadi tarvittavat politiikat, ohjeistukset, prosessit, kuvaukset ja käytännesäännöt• Liitä tarjouspyyntöön vaatimusmäärittely ja varmista, että siinä on otettu huomioon myös
tietosuoja• Liitä tarjouspyyntöön sopimusehdot, joissa vyörytät palveluntarjoajalle ne velvollisuudet ja
tehtävät, jotka sen tulee hoitaa, jotta käsittely on laillista, rekisterinpitäjän velvollisuudet voidaan täyttää ja rekisteröidyn oikeudet toteutuvat – vakioehtojen käyttö ei riitä täyttämään tätä vaatimusta.
21.9.2016