Beta

Tietosuoja sopimuksissa ja hankinnoissa


Keskeisimmät liitteet Helmi-intranetin tietosuojasivuilla:

  • Tietosuoja- ja salassapitoliite
  • Tietosuojan ja tietoturvan vaatimuspohja

Muut liitteet

  • Henkilötietojen luovutussopimus, yhteisrekisteriliite, ohjeet toimittajille
  • Liitteet vanhojen sopimusten käsittelyyn

Henkilötietojen käsittelystä on sovittava silloin, kun joku muu, esimerkiksi palveluntuottaja, käsittelee henkilötietoja kaupungin puolesta.

Lähtökohtaisesti sopimisessa käytetään kaupungin tietosuoja- ja salassapitoliitettä, joka sisällytetään sopimuksiin. Liitteestä on laadittu myös suppea versio, jota voidaan käyttää vain sellaisissa tilanteissa, joissa voidaan olla varmoja, että henkilötietojen käsittelystä aiheutuva riski on erityisen matala.

Tietosuojan ja tietoturvan vaatimuspohjan sisällöillä tarkennetaan ja täsmennetään tietosuoja- ja salassapitoliitteessä asetettuja ehtoja.

Ketterässä jatkuvassa kehittämisessä huomioitavaa

Ketterä kehittäminen ei ole tietosuojan oikaisukeino. Tietosuoja on läkisääteinen velvoite, jonka rikkomisesta voi olla vakaviakin seuraamuksia. Aina, kun kehitetään mitä tahansa viranomaistoimintaa, aitoja kaupungin palveluita, prosesseja tai digikyvykkyyksiä, tietosuoja on tapetilla riippumatta kehittämisen tyylistä.

Myös ketterälle kehittämiselle tyypillisissä alfa-, beta- ja prototyyppiratkaisuissa on aina huolehdittava asianmukaisisesta tietosuojan salassapitosopimisesta, kun käytetään ulkopuolisia yhteistyökumppaneita tai ratkaisuja. Salassapitoliite ei siis ole pelkästään lopullisen ratkaisun kehittämistä koskeva asia.

Heti, kun ketterällä kehittämisellä julkaistaan minkä tasoista ratkaisua tahansa aitoon käyttöön, palvelun ylläpidosta tehtävään sopimukseen lisätään tietosuoja- ja salassapitoliite tai tietosuojaliite, jos ylläpidosta vastaa palveluntuottaja ja jos palvelussa käsitellään henkilötietoja.

Projektimaisessa kehittämisessä huomioitavaa

Suunnitteluvaiheessa lisätään tietosuoja- ja salassapitoliite tai sen suppea versio palvelun toteutussopimukseen, jos toteutuksessa käytetään palveluntuottajaa ja jos palvelussa käsitellään henkilötietoja.

Toteutusvaiheen lopussa tai viimeistään lopetusvaiheessa palvelun ylläpidosta tehtävään sopimukseen lisätään tietosuoja- ja salassapitoliite tai tietosuojaliite, jos ylläpidosta vastaa palveluntuottaja ja jos palvelussa käsitellään henkilötietoja.

Kun hankitaan tai kilpailutetaan

Tietosuojan ja tietoturvan oma vaatimuspohja sisältää tietosuojaan tai tietoturvaan vaikuttavalta hankinnalta edellytettäviä tietosuoja- ja tietoturvavaatimuksia. Pohjaa ei ole tarkoitus sellaisenaan liittää hankintaan mukaan. Siitä poimitaan tarpeelliset vaatimukset kunkin hankinnan vaatimusmäärittelyyn, jotka tulevat tarjouspyynnön ja sopimuksen liitteeksi. Varsinaisiin sopimusasiakirjoihin on myös sisällytettävä itse tietosuoja- ja salassapitoliite.

Tietosuojan ja tietoturvan vaatimuspohjasta poimituilla vaatimuksilla siis tarkennetaan ja täsmennetään tietosuoja- ja salassapitoliitteessä asetettuja ehtoja. Tietosuoja- ja salassapitoliitteellä on silti etusija tulkinnassa, ja vaatimuspohjaa käytettäessä on huomioitava, että tietosuoja- ja salassapitoliitteen vaatimukset on otettu osaksi sopimusta.

Tietosuoja- ja salassapitoliitteen ja tämän pohjan vaatimusten lisäksi tulee huolehtia tietosuojan vaikutustenarvioinnista ja siitä mahdollisesti heräävistä lisävaatimuksista.

 


Lisää aiheesta

 

 

 

 

 

 

 

 

 

 

 

 

Luonnos