Pienhankintaohje
Pienhankintaohje
Kuopion kaupungin pienhankintaohje
Hyväksytty kaupunginjohtajan johtoryhmässä 11.8.2023
Sisällys
2 Pienhankinnan tunnistaminen ja sopimustoimittajan käyttäminen 3
3 Pienhankintojen kilpailuttaminen 4
4 Markkinakartoitus ja hankintamenettelyt 5
5 Hankintapäätös, viranhaltijapäätös, hankintasopimus ja tilaus 6
7 Laki tilaajan selvitysvelvollisuudesta ja vastuusta ulkopuolista työvoimaa käytettäessä 7
8 Digitaalinen turvallisuus. 8
9 Hankinta-asiakirjojen julkisuus 8
Liite 1: Pienhankkijan muistilista 9
Liite 2: Tietoturvan ja tietosuojan huomioiminen hankinnoissa. 10
Lainsäädäntövaatimusten huomioiminen hankinnoissa 10
Tietoturvaa ja tietosuojaa koskevat lainsäädäntövaatimukset 10
Hankinnoissa huomioitava tietoturvaohjeistus 12
Esimerkkejä hankinnoista, joissa tietoturva ja tietosuoja tulee huomioida 12
Tietojärjestelmien ja sovellusten pienhankinnat ja suorahankinnat 14
Hankinta-asiakirjojen säilytys 14
1 Yleistä
Tässä ohjeessa käsitellään kansallisen kynnysarvon alittavia hankintoja, joista käytetään nimi- tystä pienhankinta. Ohjeessa otetaan kantaa siihen, milloin kyseessä on pienhankinta ja ohjeiste- taan tavat, joilla pienhankintoja tulee tehdä. Tämä ohje täydentää Kuopion kaupungin hankinta- ohjetta.
Kansallisen kynnysarvojen alle jäävissä hankinnoissa eli pienhankinnoissa ei sovelleta hankintala- kia (Laki julkisista hankinnoista ja käyttöoikeussopimuksista 1397/2016), mutta hankintalain 2 §:n mukaan myös pienhankinnoissa on pyrittävä huomioimaan hankinnan kokoon ja laajuuteen näh- den riittävä avoimuus ja syrjimättömyys. Lisäksi näissä hankinnoissa tulee noudattaa muun lain- säädännön velvoitteita sekä hyvän hallinnon yleisiä periaatteita. Hallintolain, kuntalain sekä EY:n perustamissopimuksen mukainen avoimuus, tasapuolinen ja syrjimätön kohtelu sekä suhteelli- suus – periaatteet koskevat kaikkia hankintoja kynnysarvoista riippumatta.
Kuva: Julkisten hankintojen periaatteet hankintalain mukaan.
Tasa- puolisuus
Suhteelli- suus
Julkisten hankintojen periaatteet 3 §
Syrjimät- tömyys
Avoimuus
2 Pienhankinnan tunnistaminen ja sopimustoimittajan käyttäminen
Ennen hankintaprosessin käynnistämistä tulee tarkistaa Sansia Oy:n Cloudia- tilaajaportaalista, onko tuote tai palvelu jo kilpailutettu kaupungille tai onko kaupunki
liittynyt yhteishankintaan. Hankinnat, joihin kaupunki on liittynyt tai joihin on mahdollista liittyä, löytyvät Sansian Cloudia-tilaajaportaalista. Jos tarvitset tarkempaa tietoa sopimuksesta, ota yh- teys kyseisen hankinnan yhteyshenkilöön Sansiassa.
Kuva: Tunnista hankinta
Tarve
Voinko tehdä itse tai ostaa omilta toiminta- tai sidosyksiköiltä?
EI
Löytyykö valmis, kilpailutettu hankintasopimus, jonka perusteella voin tilata tavaran tai palvelun?
EI
Ylittääkö hankinnan xxxx xxxxxxxxxxx?
Pienhankinta
Hankintalain mukainen kilpailutus
Mikäli hankinnan kohde on jo kilpailutettu, tehdään tilaus hankintasopimuksen perusteella. Tehtäessä tilauksia voimassa olevilta hankintasopimuksilta tulee huomioida, että yli 4 000 euron (alv 0 %) arvoisista tilauksista on tehtävä viranhaltijapäätös. Joskus tilaaminen voimassa olevilta hankintasopimuksilta edellyttää minikilpailutusta, jonka Sansia tekee asiakkaan puolesta.
Hankintaa suunniteltaessa on aluksi määritettävä hankinnan tyyppi; onko kysymyksessä palvelu- hankinta, tavarahankinta vai rakennusurakka. Kun hankinnan tyyppi on saatu määritettyä, sen jälkeen lasketaan hankinnalle ennakoitu kokonaisarvo.
Hankinnan arvon laskemisella pyritään selvittämään, mitkä säännöt soveltuvat tehtävään hankin- taan: jos hankinnan ennakoitu kokonaisarvo ilman arvonlisäveroa alittaa kansallisen kynnysarvon, on kyseessä pienhankinta. Arvoa laskettaessa on otettava huomioon hankintasopimukseen sisäl- tyvät optio- ja pidennysehdot sekä tarjoajille maksettavat palkkiot tai maksut.
Määräaikaisten hankintasopimusten ennakoidun arvon laskemisessa on käytettävä sopimuksen voimassaolon aikaista kokonaisarvoa. Toistaiseksi tai määrittelemättömän ajan voimassa olevien hankintojen osalta sopimuksen ennakoidun arvon laskennassa tulee käyttää sopimuksen kuukau- siarvoa kerrottuna luvulla 48, jolloin huomioiduksi tulevat neljän vuoden aikana tapahtuvat kor- vaukset.
Jos hankintayksiköllä on usein toistuvia saman sisältöisiä hankintoja, jotka yksittäisinä hankin- toina alittavat kansallisen kynnysarvon, mutta edellisen vuoden tai tilikauden ajalta yhteenlasket- tuna ylittävät sen selkeästi, ovat hankinnat kilpailutettava suurempana kokonaisuutena kerralla hankintalain mukaisesti.
Yksityiskohtaisemmat ohjeet hankinnan arvon laskemisesta löytyvät Julkisten hankintojen neu- vontayksikön sivuilta xxx.xxxxxxxxx.xx.
Kansalliset kynnysarvot (Hankintalain 25 §)
Tavara- ja palveluhankinnat | 60 000 euroa |
Käyttöoikeussopimukset / palvelut | 500 000 euroa |
Terveydenhoito- ja sosiaalipalvelut (ks. liite 1 E kohdat 1-4) | 400 000 euroa |
Muut erityiset palvelut (k s. liite 1 E kohdat 5–15) | 300 000 euroa |
Rakennusurakat | 150 000 euroa |
Käyttöoikeusurakat | 500 000 euroa |
Suunnittelukilpailut | 60 000 euroa |
Hankintalain liite E: Sosiaali- ja terveyspalvelut sekä muut erityiset palvelut lain 107 §:ssä palvelut: xxxxx://xxx.xxxxxxxxx.xx/xxxx-xxxxxxxx/xxxxxxxx-x-xxx-xxxxxx
3 Pienhankintojen kilpailuttaminen
Pienhankinnoissa hankintamenettelyn valinta on hankintayksikön harkinnassa. Pienhankinnoissa on kuitenkin yleensä perusteltua noudattaa vastaavan kaltaisia hankintamenettelyjä kuin arvol- taan suuremmissa hankinnoissa. Menettelytavan valintaa ja hankintapäätöstä ei tarvitse perus- tella yhtä laajasti kuin hankintalakia sovellettaessa kynnysarvot ylittävissä hankinnoissa.
Pienhankinnat on hyvä tehdä mahdollisimman tarkoituksenmukaisina kokonaisuuksina. Kuopion kaupungin pienhankinnat suositellaan kilpailuttamaan pienhankintajärjestelmällä. Ulkopuolisesti rahoitettujen hankkeiden hankinnoissa tulee huomioida rahoittajan ohjeet.
Myös pienhankinnoissa tulee arvioida, millaisia ympäristö- ja ilmastovaikutuksia hankinnalla on ja voidaanko ympäristönäkökohdat huomioida asettamalla tarjouspyynnöissä tuotteelle tai palve- lulle ympäristöominaisuuksia koskevia vaatimuksia.
4 Markkinakartoitus ja hankintamenettelyt
Pienhankinta suoritetaan pääsääntöisesti avointa tai rajoitettua menettelyä käyttäen. Neuvotte- lumenettelyä ja suorahankintaa ilman tarjouskilpailua käytetään silloin, kun tavanmukainen kil- pailuttaminen ei ole hankinnan erityisestä laadusta tai vähäisestä arvosta johtuen perusteltua esi- merkiksi kilpailuttamisesta johtuvien kustannusten tai sen vaatiman ajan vuoksi. Ennen hankin- nan aloittamista tulee perehtyä markkinoihin. Tarjouspyynnön sisältö ja laajuus ovat pienhankin- noissa hankintayksiön vapaasti määrättävissä – hankintojen oikeusperiaatteet huomioiden.
Kuva: Pienhankintojen menettelyt
Markkinakartoitus ja -vuoropuhelu
Avoin menettely
Rajoitettu menettely
Neuvottelu- menettely
Suorahankinta
Markkinakartoitus ja -vuoropuhelu. Hyvä hankinta edellyttää hankinnan kohteen tuntemusta, jota voidaan edistää markkinakartoituksella ja -vuoropuhelulla.
Markkinoiden kartoituksella ja markkinavuoropuhelulla voidaan selvittää millaisia tuotteita ja pal- veluita markkinoilla on tarjolla ja mikä ratkaisu vastaa parhaiten hankintayksikön tarpeita. Mark- kinakartoitus ja -vuoropuhelu toteutetaan ennen hankintamenettelyn käynnistämistä, jos hankin- tayksiköllä ei ole tarpeeksi tietoa olemassa olevista markkinoista.
Hyvään hankinnan valmisteluun kuuluu myös riittävä viestintä aiotusta hankinnasta potentiaali- sille tarjoajille. Tarjouspyyntöluonnokseen voi pyytää kommentteja mahdollisilta tarjoajilta.
Pienhankinnoissa tarjoajien kanssa voidaan myös tarjouskilpailun aikana käydä neuvotteluja, joi- den tarkoituksena on selventää tai täsmentää tarjousten sisältöä taikka tarjouspyynnön vaati- muksia. Tarjoajien tasapuolinen kohtelu ei kuitenkaan saa vaarantua. Neuvottelun käyminen yk- sinomaan tarjoushinnan tinkimiseksi on kiellettyä.
Avoin menettely. Avoimessa menettelyssä hankinnasta ilmoitetaan julkisesti avoimesti, jolloin kaikilla soveltuvilla toimijoilla on mahdollisuus osallistua tarjouskilpailuun. Avointa menettelyä käytetään erityisesti silloin, kun hankitaan selkeästi määriteltäviä tuotteita tai palveluita.
Rajoitettu menettely. Rajoitetussa menettelyssä tarjouksia pyydetään määrätyltä joukolta toi- mittajia, jotka arvioidaan luotettaviksi ja toimintakykyisiksi suorittamaan aiottu hankinta tai muu tehtävä. Mahdollisimman tasapuolisen kilpailutilanteen luomiseksi tarjouspyyntö lähetetään riit- tävän monelle yritykselle. Suositeltavana määränä pienissä hankinnoissa voidaan pitää vähintään kolmea toimittajaa.
Neuvottelumenettely. Pienhankinta voidaan suorittaa myös neuvottelumenettelyin. Neuvotte- lumenettely voi tapahtua usealta eri toimittajalta saadun tarjouksen perusteella tai neuvotellen heidän kanssaan ilman tarjousmenettelyä.
Hankinta ilman kilpailuttamista eli suorahankinta. Suorahankinta on mahdollista pienhankin- noissa, jos hankinnan arvo on vähäinen tai kilpailuttaminen on muutoin epätarkoituksenmu- kaista. Xxxxxxxxx vähäisyys on arvioitava hankintayksikön hankintavolyymien ja hankintojen luonteen pohjalta. Vähäisen hankinnan suuruutta ei ole laissa määritelty.
Suorahankinta on mahdollista esimerkiksi silloin, jos tarjouskilpailussa mahdollisesti saavutetta- vat paremmat hinta- ja muut ehdot eivät ilmeisesti ylitä kilpailun järjestämisestä aiheutuvia kus- tannuksia. Suorahankinta on mahdollista myös silloin, kun tavaran tai palvelun laatu ja hintataso ovat tiedossa, tai kun hankittavaa tavaraa ei ole muualta saatavissa tai kysymyksessä on poik- keuksellisen kiireinen hankinta. Suorassa hankinnassa hankintayksikkö suorittaa tilauksen ilman tarjouspyyntöä tai tekee hankintapäätöksen tarjouskilpailua järjestämättä vain yhdeltä toimitta- jalta pyydetyn tarjouksen perusteella.
5 Hankintapäätös, viranhaltijapäätös, hankintasopimus ja tilaus
Hankintapäätös tehdään voimassa olevien hallinto- ja toimintasääntöjen puitteissa.
Kaupungin palvelualueiden ja taseyksikkö Kuopion Tilapalvelujen yli 4 000 euron (ALV 0 %) pienhankinnoissa on tehtävä viranhaltijapäätös.
Kuopion kaupungin asianhallintajärjestelmä Dynasty on integroitu pienhankintajärjestelmään. Päätös perusteluineen ja oikaisuohjeet annetaan tiedoksi kirjallisena niille, joita asia koskee. Oi- kaisuohjeet löytyvät asianhallintajärjestelmästä.
Hankintapäätöksen tekemisen jälkeen voi tehdä kirjallisen hankintasopimuksen. Jos hankintayk- sikkö ei tee erillistä hankintasopimusta, tulee hankintayksikön huolehtia siitä, että tarjouspyyn- nössä, hankintapäätöksessä tai tarjouksen hyväksymispäätöksessä mainitaan sopimuksen synty- misen ajankohta. Mikäli ajankohtaa ei ole määritelty syntyy sopimus oikeustoimilain nojalla silloin kun tarjouksen tekijä on saanut todisteellisesti päätöksestä tiedon tai ottanut siitä selon. Pien- hankinta voidaan sopia kirjallisesti, tehdä kirjallinen tilaus, sähköpostitilaus tai suullinen tilaus.
6 Muutoksenhaku
Pienhankinnoissa sovelletaan hankintalain mukaista hankintaoikaisua sekä kuntalain määräyksiä muutoksenhaun osalta. Päätöksiä ei voi saattaa markkinaoikeuden tutkittavaksi. Hankintaoikaisuohjeet tulee liittää hankintapäätökseen.
Hankintaoikaisu. Hankintayksikkö voi omasta tai tarjoajan aloitteesta poistaa virheellisen pää- töksensä tai peruttaa muun hankintamenettelyssä tehdyn ratkaisun ja ratkaista asia uudelleen, jos tehty ratkaisu perustuu virheelliseen menettelyyn. Hankintaoikaisun tekeminen ei vaadi asian- osaisen suostumista. Asianosaisen on tehtävä hankintaoikaisu 14 päivän kuluessa päätöksen tie- doksisaannista. Hankintayksikkö voi tehdä hankintaoikaisun 90 päivän kuluessa siitä, kun hankin- tapäätös on tehty. Hankintayksikön on ilmoitettava välittömästi asianosaisille hankintaoikaisun vireille tulosta. Hankintaoikaisua ei voi tehdä päätöksestä, josta on tehty hankintasopimus.
Xxxxxxxxxxxxxxx. Päätöksen tyytymättömällä asianosaisella tai kunnan jäsenellä on oikeus tehdä kirjallinen oikaisuvaatimus kunnan muiden viranomaisten kuin valtuuston päätöksistä. Oikai- suvaatimus tehdään toimivaltaiselle toimielimelle ja se on kunnallisvalituksen pakollinen esivaihe. Oikaisuvaatimus on toimitettava toimivaltaiselle toimielimelle (14) päivän kuluessa päätöksen tie- doksisaannista.
Kunnallisvalitus. Xxxxxxxxxxxxxxxxxx johdosta annettuun päätökseen haetaan muutosta kirjallisella kunnallisvalituksella. Kunnallisvalitus on tehtävä hallinto-oikeudelle 30 päivän kuluessa päätöksen tiedoksisaannista.
Ottokelpoisen päätöksen ilmoittaminen. Myös hankinnoista tehtävät viranhaltiapäätökset pi- detään yleisesti nähtävillä samalla tavoin kuin muutkin päätökset ja ne toimitetaan hallintosään- nön mukaisesti tiedoksi.
7 Laki tilaajan selvitysvelvollisuudesta ja vastuusta ulkopuolista työvoimaa käytettäessä
Tilaajavastuulakia sovelletaan myös pienhankintoihin. Mikäli tilaajavastuulain edellytykset täytty- vät, tulee pienhankinnan toimittajalta pyytää ennen sopimuksen/tilauksen tekemistä
8 Digitaalinen turvallisuus
Digi- ja väestötietoviraston määritelmän mukaan digitaalisella turvallisuudella pyritään varmista- maan, että digitaalinen toimintaympäristö on luotettava, turvallinen ja saatavilla. Tämä edellyt- tää, että eri toimijat osaavat varautua digitaaliseen toimintaympäristöön kohdistuviin uhkiin, kes- tävät häiriötilanteita ja pystyvät palautumaan niistä mahdollisimman hyvin ja nopeasti. Arkisten- kin toimintojen turvaaminen vaatii laaja-alaista yhteistyötä, jaettuja toimintamalleja sekä halua kehittää niitä.
Digitaalisen turvallisuuden toteutusalueet ulottuvat myös digitaalisen maailman ulkopuolelle. Di- gitaalinen turvallisuus ei siis ole organisaation tai yhteiskunnan muusta toiminnasta erillinen ko- konaisuus vaan olennainen osa niiden kaikkea toimintaa. Samalla tavalla se on osa myös meidän jokaisen arkea ja näkyy häiriöttömyytenä viestinnässä, asioinnissa ja muussa toiminnassa digitaa- lisessa maailmassa.
Yhteiskunta on digitalisoitunut vauhdilla. Lähes kaikki tietomme ja viestimme kulkevat digitaali- sissa verkoissa ja alustoissa. Meistä jokaisesta kertyy tietoja julkisen hallinnon ja yritysten sähköi- siin palveluihin. Digitaalinen toimintaympäristö tarkoittaa kaikkia niitä tietojärjestelmiä, joissa tietoa käsitellään eri tavoin ohjelmistoilla, laitteilla tai verkoissa. Lähde: Digi- ja väestötietovi- rasto, xxxxx://xxx.xx/xxxx-xx-xxxxxxxxx
Tietoturva ja tietosuoja ovat keskeisiä digitaalisen turvallisuuden kannalta. Kuopion kaupungin tietohallinto on laatinut tämän pienhankintaohjeen liitteen ”Tietoturvan ja tietosuojan huomioi- minen hankinnoissa”, joka tulee ottaa huomioon hankintoja tehtäessä.
9 Hankinta-asiakirjojen julkisuus
Hankinta-asiakirjojen julkisuuteen sovelletaan julkisuuslakia (Laki viranomaisen toiminnan julki- suudesta 21.5.1999/621).
Liite 1: Pienhankkijan muistilista
1. Määrittele tarpeesi
2. Tarkista, onko kyseessä pienhankinta tai löytyykö valmis sopimus Cloudia-tilaajaportaa- lista. Tehtyjä sopimuksia on noudatettava.
3. Noudata hankintalain oikeusperiaatteita, muuta lainsäädäntöä, hyvää hallintotapaa sekä kaupungin omia ohjeita, sääntöjä ja päätöksiä. Hankkeissa noudata rahoittajan ohjeita.
4. Tutustu markkinoihin: kartoita ja keskustele
5. Yli 4 000 €:n hankinnoissa tee päätöspöytäkirja (d10)
6. Valitse sopiva menettely: hintatiedustelu tai kevyt kilpailutus
7. Kevyt kilpailutus:
• pienhankintajärjestelmä HankintaSampolla
• Avoin (tarjouspyyntö julkinen = kaikki voivat tarjota), rajoitettu (rajattu joukko, vä- hintään 3) tai neuvottelumenettely
• Kerro valintaperusteesi tarjouspyynnössä ja noudata niitä
8. Älä juoksuta tarjoajia turhaan tai teetä ilmaista työtä
9. Lähetä perusteltu hankintapäätös oikaisuohjeineen kaikille tarjoajille
10. Tee tarvittaessa erillinen sopimus
Kuva: Tunnista hankinta
Tarve
Voinko tehdä itse tai ostaa omilta toiminta- tai sidosyksiköiltä?
EI
Löytyykö valmis, kilpailutettu hankintasopimus, jonka perusteella voin tilata tavaran tai palvelun?
EI
Ylittääkö hankinnan xxxx xxxxxxxxxxx?
Pienhankinta
Hankintalain mukainen kilpailutus
Liite 2: Tietoturvan ja tietosuojan huomioiminen hankinnoissa
Tämä liite on tarkentava ohje Kuopion kaupungin hankintaohjeeseen (kaupunginjohtajan johto- ryhmä 28.1.2022). Ohje koskee kaikkia hankintoja, joissa hankinta koskee ICT-järjestelmää,
-laitetta, sovellusta, ohjelmaa tai palvelua, lääketieteellistä laitetta tai siihen liittyvää järjes- telmää, jossa tai jonka avulla käsitellään henkilötietoja.
Lainsäädäntövaatimusten huomioiminen hankinnoissa
Kuopion kaupungin hankintaohjeen mukaan hankintayksikkö vastaa siitä, että hankinnoissa nou- datetaan hankintalakia (Laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016)) ja hankinta toteutetaan laadukkaasti ja kokonaistaloudellinen edullisuus huomioiden.
Hankintalain lisäksi hankinnassa tulee huomioida hankinnan kohdetta tai hankinnan käyttötarkoitusta koskeva lainsäädäntö. Hankintayksikön tulee huolehtia hankintaa koskevan muun sovellettavan lainsäädännön arvioinnin osalta, että esimerkiksi hankintaa koskevien tieto- turva- ja tietosuojavaatimusten arviointiin varataan riittävän aikaisessa vaiheessa aikaa ja asiantuntijaresursseja. Hankintayksikkö konsultoi tarvittaessa lakimiestä sekä tietoturvapäällik- köä ja tietosuojavastaavaa. Hankintayksikkö konsultoi tietohallintopäällikköä kaikissa ICT–han- kinnoissa.
Hankintayhdyshenkilö varmistaa ennen kilpailuttamisen aloittamista, että tässä ohjeessa mainit- tujen säädösten ja substanssilainsäädännön vaatimukset on huomioitu ja suunniteltu.
Tarjouspyyntöasiakirjoihin liitetään Kuopion kaupungin tietoturvaa, turvallisuutta tai henkilötie- tojen käsittelyä koskevat sopimusehdot lainsäädännöstä johdettujen vaatimusten mukaisesti.
Henkilötietojen käsittelyä koskevissa sopimusehdoissa tulee olla lisäksi henkilötietojen käsitteli- jän seloste käsittelytoimista (Liite Henkilötietojen käsittelyn ehtoihin) sekä rekisterinpitäjän kir- jallinen ohje henkilötietojen käsittelystä. Rekisterinpitäjää edustaa henkilötietojen käsittelyn kokonaisuudesta (henkilörekisteri) vastaava viranhaltija.
Hankintayhdyshenkilö tiedottaa suunnitellusta hankinnasta sille rekisteristä vastaavalle viranhal- tijalle, jonka henkilötietojen käsittelyyn hankinta liittyy ja avustaa tarvittaessa tietosuojadoku- mentaation päivittämisessä ja hankinnan tietosuojavaikutusten arvioinnissa.
Tietoturvaa ja tietosuojaa koskevat lainsäädäntövaatimukset
Hankinnassa tulee huomioida substanssilainsäädännön lisäksi ja lakien soveltamissäännöt huomi- oiden: EU:n yleinen tietosuoja-asetus ja tietosuojalaki sekä laki julkisen hallinnon tiedonhallin- nasta eli tiedonhallintalaki.
Tietosuoja-asetus ja sen rinnalla sovellettava tietosuojalaki ohjaavat kaikkea henkilötietojen au- tomaattista käsittelyä, sekä sellaista manuaalista käsittelyä, joka koskee rekisterin osaa tai tie- toja, joiden on tarkoitus muodostaa rekisterin osa.
Tietosuoja-asetus ja tietosuojalaki edellyttävät, että rekisterinpitäjä suunnittelee ja dokumentoi henkilötietojen käsittelyn niin, että sisäänrakennettu (data protection by design) ja oletusarvoi- nen (data protection by default) tietosuoja sekä nämä varmistavat tietoturvallisuustoimet on to- teutettu henkilötietojen tietosuojaluonne huomioiden riittävällä tavalla ja rekisteröidyn lakisää- teiset oikeudet pystytään toteuttamaan.
Tietosuoja - asetus ohjaa myös kilpailutusten vaatimusmäärittelyä sekä hankintojen suunnittelua palvelu- ja järjestelmähankinnoissa, kun hankintaan liittyy henkilötietojen käsittely. Rekisterinpi- täjänä Kuopion kaupunki voi käyttää vain sellaisia henkilötietojen käsittelijöitä, joilla on antaa riit- tävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tietosuoja - asetuksen mukaiset tekniset ja organisatoriset toimenpiteet, käsit- telyn turvallisuus mukaan lukien.
Tietosuoja-asetuksen 28 artiklassa säädellään rekisterinpitäjän velvollisuudesta sopia henkilötie- tojen käsittelyn ulkoistustapauksissa osapuolten vastuut kirjallisesti. Henkilötietojen käsittelyso- pimus on tullut tehdä kaikista sellaisista käsittelyistä, joiden sopimus on jatkunut tietosuoja-ase- tuksen siirtymäajan yli. Ellei tietosuoja - asetuksen vaatimuksia ole huomioitu siirtymäaikana, on henkilötietojen käsittelyn sopimukset tullut päivittää 25.5.2018 mennessä.
Tietosuoja-asetuksen 82 artiklassa säädellään rekisterinpitäjän ja henkilötietojen käsittelijän vas- tuusta rekisteröidylle aiheutuneesta vahingosta. Sääntely tulee huomioida henkilötietojen käsit- telysopimuksessa.
Henkilötietojen käsittelyä koskevien sopimusten olemassaolo on yksi osa rekisterinpitäjälle säädettyä tietosuoja - asetuksen noudattamisen osoitusvelvollisuutta. Hankintaa suunnitelles- saan hankintayksikön tulee huolehtia siitä, että rekisterinpitäjää edustava ja henkilötietojen käsit- telystä sekä tietosuoja - asetuksen ja muun henkilötietojen käsittelyä koskevan lainsäädännön vaatimusten noudattamisesta vastuussa oleva viranhaltija on tietoinen hankinnasta. Viimekä- dessä vastuu henkilötietojen käsittelystä on aina rekisterinpitäjällä.
Tiedonhallintalain tavoitteena on edistää viranomaisen tiedonhallinnan laatua, tietoturvallisuutta sekä tietoaineistojen vastuullista hyödyntämistä. Tietoaineistojen ja tietojärjestelmien tietotur- vallisuuden varmistaminen kuuluu osaksi kaikkien viranomaisten tehtävää. Jokaisen viranomaisen tai toimielimen (= tiedonhallintayksikön) tulee jatkossa seurata oman toimintaympäristönsä tie- toturvallisuuden tilaa ja varmistaa kaikkien tietoaineistojen ja -järjestelmien turvallisuus koko nii- den elinkaaren ajalta. Xxxxxxx pidettävien aineistojen osalta laissa määritellään vaatimuksista sa- latun tiedonsiirtoyhteyden käyttämisestä ja vastaanottajan tunnistautumisesta.
Viranomaisen on huolehdittava myös siitä, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Kaikissa tällaisissa järjestelmissä tulee olla asiaankuu- luva lokitus.
Substanssilainsäädäntö, eli toimintaa ohjaava erityislainsäädäntö voi edellyttää muita huomioon otettavia tietoturva ja tietosuoja vaatimuksia.
Hankinnoissa huomioitava tietoturvaohjeistus
Hankintayksikön tulee huomioida Kuopion kaupungin tietoturvaohjeistus ja linjaukset esimerkiksi teknisen tietoturvan tasosta, tietoturvasitoumuksista ja salassapidosta.
Hankintayksikkö voi käyttää riittävän tietoturvatason määrittelemiseen seuraavia kansallisia oh- jeita:
• Tiedonhallintalautakunta: Suosituskokoelma tiettyjen tietoturvallisuussäännösten sovel- tamisesta: Lautakunnat (xxxxxxxxxx.xxx)
• Valtiovarainministeriö: Pilvipalvelujen soveltamisohje - Pilvipalvelujen hyödyntämisen so- veltamisohjeita julkisen hallinnon organisaatioille
• Valtiovarainministeriö: Julkisen hallinnon pilvipalvelulinjaukset
Esimerkkejä hankinnoista, joissa tietoturva ja tietosuoja tulee huomioida
ICT-, sovellus-, tietojärjestelmä- ja pilvipalveluhankinnat
• Palveluntuottajan henkilöstöä koskevat salassapitovaatimukset.
• Tallennetaan ja / tai käsitellään henkilötietoja.
o Järjestelmässä on oltava käyttövaltuushallinta ja sen on muodostettava vähintään käyttölokia.
▪ Muodostuva loki tulee voida siirtää Kuopion kaupungin keskitettyyn lokien- hallintajärjestelmään.
o Toimittajan ja alihankkijoiden henkilötietojen käsittely on sovittava kirjallisesti.
▪ Rekisterinpitäjän tulee antaa kirjalliset ohjeet henkilötietojen käsittelystä.
• Henkilötietoja saatetaan siirtää tai käsitellä EU / ETA - alueen ulkopuolelta (ns. kolmannet maat).
o Arvioitava siirron lakiperuste, sekä huomioitava tietosuoja-asetuksen vaatimukset tällaisesta siirrosta / käsittelystä sopimiseen.
o Henkilötietojen siirrosta tai käsittelystä kolmannessa maassa sopiminen on poik- keus. Kirjallisen päätöksen kolmansiin maihin siirrosta tekee rekisterinpitäjän edus- taja.
• Jos henkilötietojen käsittelyperuste on rekisteröidyn suostumus, tulee sovelluksessa / jär- jestelmässä / palvelussa olla mahdollista hallinnoida rekisteröityjen suostumuksia sekä tekninen mahdollisuus poistaa henkilötiedot taltioilta.
Ostopalvelut
• Palveluntuottajan henkilöstöä koskevat salassapitovaatimukset.
• Käsitellään henkilötietoja ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja toimek- siannosta.
o Toimittajan ja alihankkijoiden henkilötietojen käsittely on sovittava kirjallisesti.
▪ Rekisterinpitäjän tulee antaa kirjalliset ohjeet henkilötietojen käsittelystä.
• Käytetään ensisijaisesti Kuopion kaupungin operatiivisia tietojärjestelmiä. Ostopalvelun- tuottajan järjestelmää käytetään vain poikkeustapauksissa, joista päättää aina Kuopion kaupungin tietohallinto.
• Henkilötietoja saatetaan siirtää tai käsitellä EU / ETA - alueen ulkopuolelta.
o Arvioitava siirron lakiperuste, sekä huomioitava tietosuoja-asetuksen vaatimukset tällaisesta siirrosta / käsittelystä sopimiseen.
o Henkilötietojen siirrosta tai käsittelystä kolmannessa maassa sopiminen on poik- keus. Kirjallisen päätöksen kolmansiin maihin siirrosta tekee rekisterinpitäjän edus- taja.
• Jos henkilötietojen käsittelyperuste on rekisteröidyn suostumus, tulee palvelussa olla mahdollista hallinnoida rekisteröityjen suostumuksia sekä tekninen mahdollisuus poistaa henkilötiedot, jos ne tallennetaan palveluntuottajan järjestelmään.
Lääketieteelliset laitteet sekä niiden etäseuranta / -hallintasovellukset (1.1.2023 saakka)
• Tallennetaan ja / tai käsitellään erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.
o Järjestelmässä on oltava käyttövaltuushallinta ja sen on muodostettava vähintään käyttölokia.
o Toimittajan ja alihankkijoiden henkilötietojen käsittely on sovittava kirjallisesti.
▪ Rekisterinpitäjän tulee antaa kirjalliset ohjeet henkilötietojen käsittelystä.
• Henkilötietoja saatetaan siirtää tai käsitellä EU / ETA - alueen ulkopuolelta.
o Arvioitava siirron lakiperuste, sekä huomioitava tietosuoja-asetuksen vaatimukset tällaisesta siirrosta / käsittelystä sopimiseen.
o Henkilötietojen siirrosta tai käsittelystä kolmannessa maassa sopiminen on poik- keus. Kirjallisen päätöksen kolmansiin maihin siirrosta tekee rekisterinpitäjän edus- taja.
Rakennuttaminen
• Urakoitsija käsittelee henkilötietoja toimeksiannosta tai siirtää henkilötietoja Kuopion kaupungille.
o Toimittajan ja alihankkijoiden henkilötietojen käsittely on sovittava kirjallisesti.
▪ Rekisterinpitäjän tulee antaa kirjalliset ohjeet henkilötietojen käsittelystä.
• Henkilötietoja saatetaan siirtää tai käsitellä EU / ETA - alueen ulkopuolelta.
o Arvioitava siirron lakiperuste, sekä huomioitava tietosuoja-asetuksen vaatimukset tällaisesta siirrosta / käsittelystä sopimiseen.
o Kuopion kaupungin sopimusvastuuhenkilön allekirjoittamissa sopimuksissa kau- pungin rekisterinpitäjyyteen kuuluvien henkilötietojen siirrosta tai käsittelystä kol- mannessa maassa sopiminen on poikkeus. Kirjallisen päätöksen kolmansiin maihin siirrosta tekee rekisterinpitäjän edustaja.
Tietojärjestelmien ja sovellusten pienhankinnat ja suorahankinnat
Palvelutuotannon yksiköillä tulee olla tietohallinnon lupa pien- tai suorahankintana tehtäviin ICT- järjestelmä, -laite, -palvelu, sovellus tai ohjelma hankintoihin.
Jos ICT-järjestelmällä, - laitteella, - palvelulla, sovelluksella tai ohjelmalla käsitellään henkilötie- toja, tulee ennen tilausta varmistaa, että toimittajan kanssa on tehty kirjallinen sopimus, jossa henkilötietojen käsittely on huomioitu tietosuoja-asetuksen edellyttämällä tavalla.
Kuopion kaupunki on linjannut henkilötietojen käsittelyn maantieteelliseksi alueeksi EU- ja ETA- alueen, jolloin henkilötietojen siirrosta tai niiden käsittelystä ns. kolmansissa maissa (esim.
Yhdysvallat, jne.) ei pääsääntöisesti voi tehdä sopimusta. Poikkeuksista tähän päättää kirjallisesti rekisterinpitäjää edustava viranhaltija. Päätös liitetään osaksi henkilötietojen käsittelyä koskevaa tietosuojadokumentaatiota ja dokumentaatiossa oleva henkilötietojen käsittelyn riskien- ja tieto- suojan vaikutustenarvioinnit päivitetään vastaamaan päätettyä kolmansissa maissa tehtävää henkilötietojen käsittelyä. Rekisterinpitäjää edustava viranhaltija voi ennen päätöstä pyytää lausunnon tietoturva- ja tietosuojaryhmältä.
Hankinta-asiakirjojen säilytys
Hankintaan liittyvä asiakirjakokonaisuus: tarjouspyyntöasiakirjat, hankintapäätökset, hankintasopimukset liitteineen, tietoturvaa, turvallisuutta ja / tai henkilötietojen käsittelyä koske- vat sopimusehdot, henkilötietojen käsittelijän seloste käsittelytoimista sekä rekisterinpitäjän kir- jallinen ohje henkilötietojen käsittelystä tallennetaan kaupungin asianhallintajärjestelmään.