Viime viikkoina kirjainlyhenteeltä GDPR ei ole voinut välttyä. Uutisotsikot kertovat, kuinka taloyhtiöiden nimitaulut tullaan poistamaan ja sähköposti tulvii vahvistusviestejä otsikolla ”haluatko jatkossakin saada uutiskirjeemme?”. General Data Protection Regulation (GDPR), eli EU:n yleinen tietosuoja-asetus tuli voimaan vuonna 2016 ja sitä alettiin soveltaa siirtymäajan jälkeen 25.5.2018. Asetuksen tarkoituksena on suojata luonnollisten henkilöiden, eli ihmisyksilöiden, perusoikeuksia ja –vapauksia, erityisesti oikeutta henkilötietojen suojaan. Vaikka henkilötietoihin ja niiden käsittelyyn liittyvällä sääntelyllä on varsin pitkät perinteet, on uusi asetus tuonut mukanaan uusia oikeuksia, velvollisuuksia ja termejä, jotka vaikuttavat myös joihinkin hankintamenettelyihin.
Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat rekisterin osan. Ensimmäiseksi onkin siis tärkeää tunnistaa, sisältyykö hankinnan vaiheisiin sellaista henkilötietojen käsittelyä, joka edellyttää sopimusosapuolilta nimenomaista sopimista. Sansia Oy:n tarjouspyynnöissä tällaisten hankintojen tarjouspyynnölle liitetään Tietosuojaliite, jolloin henkilötietojen käsittely tulee huomioiduksi jo varhaisessa vaiheessa. Kutakin hankintaa on kuitenkin hyvä tarkastella myös tapauskohtaisesti: soveltuvatko esimerkiksi Tietosuojaliitteessä esitetyt roolit kyseiseen hankintaan tai olisiko jotakin sopimuskohtaa syytä täsmentää?
Tietosuoja-asetuksen mukaan henkilötietojen käsittely edellyttää nimenomaista perustetta ollakseen laillista. Hankintamenettelyvaiheessa henkilötietoja käsitellään useimmiten perustuen sopimuksen tekoa edeltäviin toimenpiteisiin tai sopimuksen täytäntöönpanoon. Esimerkiksi tarjoajan soveltuvuutta koskevien tietojen käsittely on välttämätön osa tarjouskilpailua. Myöhemmin henkilötietojen käsittely voi perustua esimerkiksi rekisteröidyn suostumukseen tai oikeutettuun etuun. Käsittelyperusteet on syytä dokumentoida hankintamenettelyn eri vaiheissa.
Tietosuoja-asetuksen soveltamisen kannalta yksi tärkeimmistä asioista on tunnistaa henkilötietojen käsittelyyn liittyvät roolit: kuka on rekisterinpitäjä, kuka henkilötietojen käsittelijä ja kuka rekisteröity? Kullakin roolilla on erilaiset oikeudet ja velvollisuudet, minkä vuoksi niitä on syytä selventää myös sopimustasolla, vaikka ne määrittyvätkin viime kädessä osapuolten tosiasiallisen roolin perusteella. Hankintamenettelyssä rekisterinpitäjän rooli kuuluu useimmiten tilaajalle ja henkilötietojen käsittelijän rooli toimittajalle, joskin roolit on hyvä täsmentää tapauskohtaisesti.
Tietosuoja-asetus sisältää useita henkilötietojen käsittelyyn liittyviä periaatetteita. Lainmukaisen ja rekisteröidyn kannalta läpinäkyvän käsittelyn ohella on huolehdittava tietojenkäsittelyn eheydestä ja luottamuksellisuudesta. Tietojen minimoinnin mukaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoitettuja suhteessa siihen, mikä on tarpeellista käsittelyn tarkoitukseen nähden. Käyttötarkoitussidonnaisuuden mukaan käsittely tulee rajoittaa vain niihin toimintoihin, joita varten tiedot on kerätty. Näin ollen esimerkiksi hankintamenettelyä varten pyydettyjä tietoja saa käyttää vain mainittuun tarkoitukseen. Lisäksi henkilötietojen käsittelyssä on huomioitava, että tiedot ovat täsmällisiä ja päivitettävissä, sillä rekisteröidyllä on entistä vahvemmat oikeudet saada tietonsa oikaistuksi tai joissakin tilanteissa jopa kokonaan poistetuksi.
Me IS-Hankinnassa haluamme varmistaa, että henkilötietoja käsitellään organisaatiossamme jatkossakin asianmukaisesti ja asetuksen edellyttämällä tavalla. Kevään ja alkukesän aikana olemme tunnistaneet ja dokumentoineet henkilötietojen käsittelyä sisältäviä prosessejamme ja käyneet aktiivista vuoropuhelua yhteistyötahojemme kanssa. Viimeisimpänä toimenpiteenä voimassaolevia hankintasopimuksia on päivitetty vastaamaan asetuksen vaatimuksia. Työ ei suinkaan pääty tähän, sillä tietosuoja-asetukseen liittyvä kenttä on muutoksessa. Paraikaa valmistelussa on tietosuojalaki (HE 9/2018 vp), jolla tultaneen kumoamaan henkilötietolaki (HeTil 523/1999). Lisäksi tietosuoja-asetuksen piirissä olevat tahot odottavat oikeuskäytännön tulkintoja siitä, kuinka asetusta käytännössä tullaan soveltamaan. GDPR on osa päivittäistä toimintaamme ja tulee olemaan sitä jatkossakin.
Kaikki tarvitsemasi hankinta- ja henkilöliikennepalvelut löydät samasta paikasta. Keskity siihen, mikä on tärkeää.
SANSIA OY
Puutarhakatu 6, 70300 Kuopio
017 218 900
info@sansia.fi