Julkisten hankintojen parissa on jo pidemmän aikaa käyty keskustelua siitä, voitaisiinko laissa säätää tarkemmin rikosrekisteriotteiden sähköisen tarkastamisen menettelyjä ja vaatimuksia. Hallituksen hankintalain muuttamista koskevassa esityksessä (HE 244/2020 vp) odotettiinkin jonkinlaista ratkaisuesitystä asian osalta. Kyseinen esitys on tätä kirjoitettaessa eduskunnan käsiteltävänä.
Julkisissa hankinnoissa hankintayksiköllä on velvollisuus ennen hankintasopimuksen allekirjoittamista tehdä kilpailutuksen voittaneen tarjoajan soveltuvuutta koskevien tietojen tarkastaminen. Voimassa olevan hankintalain (1397/2016) 88 §:n 1 momentin mukaan ennen hankintasopimuksen tekemistä hankintayksikön on vaadittava valittua tarjoajaa toimittamaan ajantasaiset todistukset ja selvitykset. Selvityksissä tutkitaan, koskeeko tarjoajaa 80 §:ssä tarkoitettu pakollinen poissulkemisperuste ja täyttyvätkö hankintayksikön asettamat 83 §:ssä tarkoitetut soveltuvuusvaatimukset.
Yhtenä tarkastuksen kohteena ovat ns. pakolliset poissulkemisperusteet. Näillä tarkoitetaan sitä, että tarjoajaa tai sen hallinto-, johto- tai valvontaelimen jäsentä tai edustus-, päätös- tai valvontavaltaa käyttävää henkilöä ei ole lainvoimaisella tuomiolla tuomittu hankintalain 80 §:ssä mainituista rikoksista. Mikäli näin on, tulee tällainen tarjoaja sulkea tarjouskilpailusta soveltumattomana.
Rikosrekisteriotteen (ns. hankintamenettelyote) antaminen perustuu rikosrekisterilain 6 b §:n 1 momenttiin. Sen mukaan hankintaan osallistuva ehdokas tai tarjoaja saa julkisen hankinnan hankintamenettelyä varten rikosrekisterin otteen sellaisesta yksityisestä henkilöstä, jolla on jokin edellä mainittu side ehdokkaan tai tarjoajan organisaatioon. Otteen antaminen edellyttää henkilön suostumusta. Rikosrekisterilain 3 §:n mukaan rikosrekisteriin merkityt tiedot ovat salassa pidettäviä.
Otteiden käsittely nykytilanteessa on aikaa vievä prosessi
Salassa pidettävien tietojen käsittelyyn kohdistuu jo nykyisellään erityisiä vaatimuksia. Hankintalain 88 §:n 4 momentissa asetetaan reunaehtoja rikosrekisteriotteiden käsittelylle hankintayksikössä. Lainkohdan mukaan hankintayksikkö, ehdokas tai tarjoaja ei saa ottaa jäljennöstä rikosrekisteriotteesta eikä tallettaa sitä itselleen. Hankintayksikön on poissulkemisperusteiden selvittämisen jälkeen hävitettävä rikosrekisteriote tai palautettava se henkilölle, jota se koskee. Rikosrekisteristä ilmeneviä tietoja ei saa ilmaista muille kuin sellaisille henkilöille, jotka välttämättä tarvitsevat niitä poissulkemisperusteiden selvittämiseksi. Koska rikosrekisteriotteissa on kyse salassa pidettäviä henkilötietoja sisältävistä asiakirjoista, ei niiden sähköisen käsittelyn ole katsottu olevan mahdollista. Niitä ei ole voitu lähettää myöskään hankintayksikölle esim. salaamatonta sähköpostia käyttäen.
Käytännössä rikosrekisteriotteiden tarkastaminen tarkoittaa nykytilanteessa paperisten otteiden tarkastamista ja on siten pitkälti manuaalityötä. Tämä saattaa usein viedä paljonkin aikaa. Hankintamenettelyssä tarvittavat otteet tilataan Oikeusrekisterikeskukselta. Prosessin kestoon vaikuttaa myös se, missä ajassa Oikeusrekisterikeskus kulloinkin pystyy otteen toimittamaan. Paperisten otteiden tarkastamiseen vaikuttavat vielä mahdolliset postitusaikataulut, kun otteita toimitetaan tarkastettavaksi hankintayksikölle. Manuaalityön määrää lisäävät myös otteiden tietoturvallinen hävittäminen tai niiden palauttaminen postitse takaisin tarjoajalle.
Sähköiselle käsittelylle asetetut reunaehdot ovat moninaiset
Hankintalain muuttamista koskevassa hallituksen esityksessä on arvioitu sitä, millä edellytyksillä rikosrekisteriotteiden sähköinen tarkastaminen voisi olla toteutettavissa. Edellytyksenä sähköiselle käsittelylle olisi, että tarjoajan, tämän alihankkijan tai hankintayksikön tulee henkilötietoja käsitellessään varmistaa, että käsittely toteuttaa tietosuojalain (1050/2018) 6 §:n 2 momentissa tarkoitetut asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Kyseisessä lainkohdassa tarkoitetut toimenpiteet ovat:
1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty;
2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista;
3) tietosuojavastaavan nimittäminen;
4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin;
5) henkilötietojen pseudonymisointi;
6) henkilötietojen salaaminen;
7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi;
9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen;
10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen;
11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet.
Lakiehdotuksen mukaan sähköisesti talletettu rikosrekisteriote olisi tuhottava laitteesta, tietovälineeltä tai tietojärjestelmästä. Lisäksi on pidettävä huolta, että tietojärjestelmien käytön yhteydessä mahdollisesti syntyneet rikosrekisteritietoja sisältävät väliaikaistiedostot poistetaan. Rikosrekisteristä ilmeneviä tietoja ei saisi ilmaista muille kuin sellaisille henkilöille, jotka välttämättä tarvitsevat niitä poissulkemisperusteiden selvittämiseksi.
Tietoturvavaatimukset haastavat digitalisaation
Rikosrekisteriotteiden sähköiselle käsittelylle tulisi siis olemaan varsin korkeat tietoturvallisuusvaatimukset. Tämä asettaa luonnollisesti omat vaatimuksensa sille, millaisissa tietojenkäsittely-ympäristöissä mainittujen tietojen käsittely ylipäänsä olisi mahdollista vaatimukset täyttävällä tavalla. On selvää, että keskeiset tietoturvavaatimukset kohdistuvat salaustekniikoiden käyttöön, käyttö- ja katselutietojen kirjaamiseen lokeihin sekä käyttövaltuuksien hallintaan. Avoimeksi kysymykseksi jää kuitenkin se, onko eri hankintayksiköillä resursseja tällaisten tietojenkäsittely-ympäristöjen toteuttamiseen, mikäli niillä ei ole jo käytössään vaadittavia järjestelmiä.
Hallituksen esityksen perusteella näyttää valitettavasti siltä, että rikosrekisteriotteiden sähköisen tarkastamisen mahdollisuus ei ole toteutumassa vielä tämän hankintalain muutoksen yhteydessä. Käytäntö näyttäisi siis toistaiseksi säilyvän ennallaan. Oikeusministeriö esitti lausunnossaan, että ehdotuksen perusteella ei voida varmistaa luovutettavan arkaluonteisen tiedon tietosuojan ja tietoturvan toteutumista vaadittavalla täsmällisyydellä. Perusoikeuksien kannalta sähköiseen tarkastamiseen liittyvä henkilötietojen käsittely edellyttää yksityiskohtaisempaa jatkovalmistelua. Sitä ei ole mahdollista toteuttaa virkamiestyönä vaan edellyttää eri hallinnonaloja edustavan työryhmän perustamista.
Jotain konkreettista muutosta lakiesityksen mukaan kuitenkin on tulossa. Voimassa olevaan hankintalakiin nähden rikosrekisteriotteet voitaisiin jatkossa tarkastaa myös ehdokkaan tai tarjoajan alihankkijoilta.
Janne Rintamäki
Blogin kirjoittaja on Suomen Hankintajuristit Asianajotoimisto Oy:n lakimies, joka on erikoistunut julkisiin hankintoihin, sopimusoikeuteen, tietosuojaan ja tietoturvallisuuteen.