Tulostusversio

2/2010

Liiketoiminta: Ulkoistus haastaa tietosuojan

Teksti: Kirsi Castrén

Yhä useampia julkisia palveluja hoitaa yritys tai järjestö ostopalveluna. Hankintoja tekevillä viranomaisilla on vastuu siitä, että tietosuoja toteutuu sekä tarjouskilpailussa että sen jälkeen.

Hankinnan eri vaiheissa on osattava varmistaa, että tarjouskilpailuun osallistuvien ehdokkaiden henkilötietoja käsitellään lain mukaan.

Kun kilpailu on ratkennut ja voittanut yritys alkaa hoitaa tehtäväänsä, sekä toimeksiantajalla että palveluntuottajalla on oltava selkeät suuntaviivat siitä, kuinka tietosuoja - asiakkaiden henkilötietojen käsittely - toteutetaan henkilötietolain vaatimukset täyttäen.

Henkilöstöstä vain olennaisia tietoja

Hankintalain mukaan hankintayksikkö voi pyytää tarjoajaa osoittamaan asiakirjoin teknisen suorituskykynsä ja ammatillisen pätevyytensä ja soveltuvuutensa. Esimerkiksi koulutus, ansioluettelot ja referenssit ovat pääsääntöisesti julkista tietoa.

Tarjouskilpailussa arvioidaan ensisijaisesti yrityksen, ei henkilöstön kelpoisuutta.

Lakimies Sirpa Palo Kuntaliiton julkisten hankintojen neuvontayksiköstä korostaa, että henkilöstöstä pyydettävien tietojen on oltava olennaisia hankinnan kohteen kannalta.

"Ammattipätevyyden osalta arvioidaan tutkintoja, koulutusta ja aiempaa työkokemusta."

Selvitykset saattavat joskus etenkin palveluhankinnoissa tuoda työntekijöiden työhistoriasta ja taustasta esiin seikkoja, joiden määrittely julkisiksi merkitsee hiuksenhienoa rajanvetoa. Viranomaisen harkintaan jää, mitä osia tarjousasiakirjoista ehkä merkitään salassa pidettäviksi.

Asianosaisen tiedonsaantioikeus on julkisuuslaissa kuitenkin laajempi kuin ulkopuolisten:

"Asianosaisella - hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee - on lähtökohtaisesti oikeus saada viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn", Palo selventää.

Liikesalaisuuden määrittely hankalaa

Tiedonsaantioikeus ei kuitenkaan ulotu tarjouksen tekijän liike- ja ammattisalaisuuksiin.

Liike- ja ammattisalaisuuden määrittelystä kysellään paljon. Käsitteen rajaaminen on Palon mukaan usein hankalaa.

"Tavallisesti liike- ja ammattisalaisuudelta edellytetään, että tieto osaamisesta tai teknisestä ratkaisusta sisältää jotakin uutta", hän pohtii.

Palo suosittaa, että hankintayksikkö vaatisi jo tarjouspyynnössä tarjoajia merkitsemään tarjousasiakirjoihin, mitä tarjoaja itse katsoo julkisuuslain mukaisiksi liike- ja ammattisalaisuuksiksi.

"Hankintayksikkö ei ole kuitenkaan sidottu harkinnassaan tarjoajan ilmoitukseen liike- ja ammattisalaisuudesta. Päätöksen asiakirjan salassapidettävyydestä tulee perustua hankintayksikön omaan harkintaan."

Tiedot ajoissa tarjoajille

Asiakirjojen julkiseksi tulon ajankohta on julkisuuslain piiriin kuuluva asia, jota julkisten hankintojen neuvontayksiköltä usein tiedustellaan.

"Vaikka viranomaiselle kilpailutukseen toimitetut asiakirjat tulevat julkisiksi vasta, kun hankintasopimus on tehty, vaatii tarjoajien oikeusturvan toteutuminen, että he saavat muutoksenhaun kannalta olennaiset tiedot käyttöönsä ajoissa", Palo toteaa.

"Viranomaisen on siten huolehdittava, ettei tietojen saamista rajoiteta enempää kuin suojattavan edun vuoksi on tarpeellista, ja että tiedon pyytäneitä myös kohdellaan tasapuolisesti."

Hankintapäätökseen tyytymättömällä on mahdollisuus halutessaan valittaa markkinaoikeuteen.

Tuore hankintalain uudistus tuo jonkin verran muutoksia hankintojen kynnysarvoihin ja seuraamusjärjestelmään mutta ei julkisuussäädöksiin.  

Tietosuojan taso ei saa notkahtaa

Etenkin sosiaali- ja terveyspalveluissa käsitellään runsaasti salassapidettävää tietoa. Palveluntarjoajien vaihtuessa on hankintayksiköiden huolehdittava siitä, että tietosuojan taso säilyy uudenkin toimeksiantosuhteen aikana.

"Kentän tietotaito sen suhteen, miten hankintoja osataan tehdä, vaihtelee luonnollisesti monista seikoista johtuen. Minulla on käsitys, että ne, jotka näitä tehtäviä hoitavat, ovat yleensä hyvin perillä tietosuojan asettamista velvoitteista", Sirpa Palo sanoo.

Asiakastietojen turvaaminen on sähköisen tietojenkäsittelyn aikana toisen mittaluokan haaste kuin ennen. Laajat tallennus- ja kopiointimahdollisuudet helpottavat työtä mutta ovat riski yksityisyydelle. 

Huolellisuus on luonnollisesti tämänkaltaisessa tietojenkäsittelyssä kaiken a ja o, Palo tähdentää.

"On tärkeää, että asioista huolehditaan loppuun asti. Ongelmatilanteita tietosuojan, vaikkapa tietojen asianmukaisen hävittämisen suhteen saattaa ilmaantua esimerkiksi henkilöstöjärjestelyissä, kun vastuuhenkilöt vaihtuvat."

Sopimukseen selvät tietosuojakäytännöt

Suppeakin asiakastiedosto muodostaa henkilötietolaissa tarkoitetun henkilörekisterin.

Tietosuojavaltuutettu Reijo Aarnio tähdentää, että toimeksiantaja vastaa palveluntuottajan tekemän henkilötietojen käsittelyn lainmukaisuudesta.

"Sopimuksessa olisi hyvä tuoda esille, ettei palveluntuottajalle tule itsenäistä oikeutta henkilötietojen käsittelyyn", Aarnio huomauttaa.

Hankintasopimuksesta tulisi ilmetä vastuullinen rekisterinpitäjä (joka ulkoistettavissa toiminnoissa on toimeksiantaja) sekä rekisterin käsittelyssä noudatettavat menettelytavat. Tarpeen saattaa olla esimerkiksi maininta siitä, että toimeksiantajan asiakastiedoille on oma, yrityksen asiakasrekisteristä erillinen rekisteri.

Asiakasrekisterit takaisin toimeksiantajalle

Henkilörekisterin pitoa rajoittaa käyttötarkoitussidonnaisuus.

Sopimuksen päätyttyä asiakasrekisteri palaa toimeksiantajan haltuun, elleivät toimeksiantajan asiakkaat jää palveluntuottajan asiakkaiksi. Palveluntuottaja saa toki tiedot tarpeen mukaan nähdäkseen toimeksiantajalta.

Palveluntuottajalla ei pääsääntöisesti ole oikeutta säilyttää kopiota asiakasrekisteristä toimeksiannon päätyttyä.

"Jos näin menetellään, saattaa kyseinen toimija syyllistyä tietosuojarikokseen", tietosuojavaltuutettu varoittaa.

Käytännössä kaikki kunnat eivät vaadi esimerkiksi ostopalveluhammaslääkäreitä hävittämään kunnan lähettämistä potilaista kertyneitä asiakastiedostojaan, kun ostopalvelusopimus päättyy.

Eräissä kunnissa, esimerkiksi Helsingissä ja Espoossa, hammashoidon asiakastietojen tallennus on siirretty tai sitä ollaan siirtämässä tapahtuvaksi Citrix-yhteyden välityksellä suoraan kunnan tietokantaan. Ostopalvelulääkäreillä on tietokantaan määräaikainen käyttöoikeus.

Lue myös

Liiketoiminta: Tietoja pyydetään työntekijältä »
Liiketoiminta: Tietosuoja mukaan sopimusehtoihin »
Liiketoiminta: IT-ehdot pk-yritysten tueksi »
Liiketoiminta: Tietoturva alkaa hankinnasta »
Liiketoiminta: Järjestelmätoimitusten muistilista »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.