Julkiset hankinnat ja henkilötietojen siirrot kolmansiin maihin

Henkilötietojen käsittelyyn liittyvissä asioissa on tärkeää muistaa, että rekisterinpitäjänä toimiva hankintayksikkö on aina viime kädessä vastuussa käsittelyn lainmukaisuudesta. Hankinnat, joihin liittyy esimerkiksi pilvipalveluja, voivat joskus olla hankalia, koska henkilötietojen liikkuminen saattaa pilvipalveluissa olla monimutkaista ja henkilötietoja saatetaan siirtää myös Euroopan talousalueen (ETA) ulkopuoliseen maahan.  

Tässä blogitekstissä luon lyhyen katsauksen siihen, mitä tarkoitetaan henkilötietojen siirrolla kolmansiin maihin ja mitä kaikkea hankintayksikön tulisi tällaisessa tilanteessa ottaa huomioon hankinnassa.  

Selvitä hankinnan tietosuojanäkökohdat ennakkoon markkinavuoropuhelussa 

Hankintayksiköllä tulisi olla hankintaprosessin käynnistyessä käsitys esimerkiksi osapuolten rooleista henkilötietojen käsittelyssä sekä käsiteltävistä henkilötiedoista tulevan sopimuskauden aikana, koska käsittelyn ehdot lyödään pitkälti lukkoon jo tarjouspyynnössä.  

Hankintaan liittyviä tietosuojanäkökulmia kannattaakin selvittää ennakkoon markkinavuoropuheluissa potentiaalisten tarjoajien kanssa, sillä tarjoajat kertovat usein mielellään niin tarjoamaansa palveluun liittyvistä tietosuoja-asioista kuin muistakin ominaisuuksista. Markkinavuoropuhelun kautta hankintayksikkö saa jo mahdollisimman varhaisessa vaiheessa arvokasta tietoa siitä, ovatko sen tietosuojaa koskevat vaatimukset ja odotukset oikeasuhtaisia markkinoilla tarjolla oleviin palveluihin nähden.  

Mitä tarkoittaa henkilötietojen siirto kolmanteen maahan? 

Lähtökohtaisesti henkilötietoja saa siirtää ETA-maahan samoilla perusteilla, kuin Suomen sisälläkin.  

Tarjoajilla on kuitenkin toisistaan poikkeavia bisnesmalleja ja -toimintatapoja, jolloin tarjoaja on saattanut esimerkiksi kustannussyitten takia sijoittaa osan tarjottavasta palvelusta toteutettavaksi ETA-alueen ulkopuolelta. Henkilötietojen siirrosta ETA-alueen ulkopuolelle on kyse esimerkiksi silloin, kun henkilötietojen säilyttämiseen käytetyt konesalit sijaitsevat ETA-alueen ulkopuolella taikka ETA-alueella sijaitsevaan konesaliin avataan etäyhteydellä pääsy ETA-alueen ulkopuolella työskentelevälle palvelinympäristön ylläpitäjälle. Näissä tapauksissa rekisterinpitäjän on syytä varmistua käsittelyn lainmukaisuudesta.  

Perusteet henkilötietojen siirtämiseksi ETA-alueen ulkopuolelle 

Henkilötietojen siirto ETA-alueen ulkopuolelle edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi tietosuoja-asetuksen mukaista erityistä siirtoperustetta.  

Siirtoperusteille on myös määritelty etusijajärjestys. EU:n komission tietosuojan riittävyyttä koskeva päätös (vastaavuuspäätös) on ensisijainen siirtoperuste, joka oikeuttaa henkilötietojen siirtämisen suoraan kolmanteen maahan. Mikäli vastaavuuspäätöstä ei ole, henkilötietojen siirto voi olla mahdollista esimerkiksi sopimalla EU:n komission vakiolausekkeita (vakiosopimusta) käyttäen. Siirto voi olla mahdollista myös yrityksiä koskevien sitovien sääntöjen perusteella. Mikäli muutkaan siirtoperusteet eivät sovellu, henkilötietojen siirto voi olla mahdollista viimesijaisesti erityistilanteita koskevan poikkeuksen perusteella. 

Kun olet suunnittelemassa henkilötietojen siirtoa kolmanteen maahan, tulee sinun siis ensin selvittää soveltuva siirtoperuste. Huomionarvoista on, jos minkään siirtoperusteen edellytykset eivät täyty, ei henkilötietoja voida siirtää ETA-alueen ulkopuolelle.  

Kattavan listan eri siirtoperusteista löydät Tietosuojavaltuutetun toimiston sivuilta. 

Täydentävät suojatoimet 

Mikäli käytettävä siirtoperuste ei takaa sellaisenaan riittävää suojaa, sitä voidaan täydentää teknisillä, organisatorisilla tai sopimuspohjaisilla suojatoimilla. Sopivan siirtoperusteen löydyttyä, on arvioitava tapauskohtaisesti myös tarve mahdollisille täydentäville suojatoimille. Kun henkilötietoja ollaan siirtämässä kolmanteen maahan, tulee rekisterinpitäjän varmistaa ja huolehtia, ettei tietosuoja-asetuksen takaamaa henkilötietojen suojan tasoa vaaranneta.  

Mikäli riittävää suojaa ei voida taata täydentävilläkään suojatoimilla, henkilötietojen siirtoa kolmanteen maahan ei voida aloittaa tai se on keskeytettävä. 

Tietojenkäsittelysopimus osana hankinta-asiakirjoja 

Hankintayksikön on julkisissa hankinnoissaan pyrittävä etupainotteiseen lähestymistapaan. Tähän tähtää myös hankintalain säännös, jonka mukaan tarjouspyynnössä, hankintailmoituksessa, ehdokkaille osoitetussa kutsussa tai niiden liitteissä onkin muun ohella oltava mainittuna keskeiset sopimusehdot. Tavanomaisesti tämä vaatimus täytetään liittämällä hankinta-asiakirjoihin hankintasopimusluonnos.  

Tämän lisäksi tietosuoja-asetuksen 28 artiklan mukaan ”henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla”. Tästä seuraa, että myös henkilötietojen käsittelyä koskevat ehdot on syytä liittää osaksi tarjouspyyntöä, jotta tarjoaja tietää, minkälaisiin ehtoihin tulevassa sopimussuhteessa sitoutuu. Näissä ehdoissa on syytä huomioida myös ehdot, jotka liittyvät henkilötietojen siirtoon kolmanteen maahan.  

Mietityttävätkö hankintasi tietosuojakysymykset? – Me autamme. 

PTCS:ltä saat vastauksia ja apua niin tietosuoja-asioita, kuin kaikkiin muihinkin julkisia hankintoja koskeviin kysymyksiisi. Ota yhteyttä info@ptcs.fi