Artikkelit

Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista

Uudet IT2018-ehdot - muutoksia henkilötietojen käsittelyn osalta

Uudet IT2018-ehdot julkaistiin 27.2.2018 ja ne korvaavat aikaisemmat IT2015-ehdot. Ehdot on suunnattu erityisesti IT-alan sopimusten avuksi ja ne on tarkoitettu käytettäviksi IT-toimituksissa asiakkaan ja toimittajan välillä, kun kumpikaan tahoista ei ole kuluttaja. Päivitettyihin ehtoihin on joitain muutoksia luvassa vielä myöhemmin keväällä, kun ehtojen käyttöohjeet pyritään muotoilemaan selvemmiksi ja käytettävämmiksi legal designin (suomeksi sopimusmuotoilu) avulla.

Keskeisin syy IT-ehtokokonaisuuden päivitykseen oli EU:n yleinen tietosuoja-asetus (GDPR), jonka soveltaminen alkaa 25.5.2018 ja joka asettaa uusia vaatimuksia sekä tiukentaa jo olemassa olevia vaatimuksia henkilötietojen käsittelylle. Tietosuoja-asetuksella on merkittäviä vaikutuksia myös IT-toimitussopimuksiin, mikä on pyritty huomioimaan IT2018-ehdoissa.

Tietosuoja-asetus ja henkilötietojen käsittelyn ulkoistaminen

Sopimusten kannalta keskeisin tietosuoja-asetuksen vaatimus liittyy henkilötietojen käsittelyn ulkoistamiseen. Tietosuoja-asetuksen 28 artikla nimittäin edellyttää, että henkilötietojen käsittelyn ulkoistamisesta tehdään kirjallinen sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Asetuksessa on myös tarkemmin yksilöity seikkoja, jotka ulkoistamissopimuksessa tulee olla mainittuna. Vaatimus henkilötietojen käsittelysopimuksesta koskee niin uusia asetuksen soveltamisen jälkeen tehtäviä henkilötietojen käsittelyn ulkoistamisia kuin jo olemassa olevia henkilötietojen käsittelyjärjestelyitä. Käytännössä tämä tarkoittaa sitä, että myös vanhat sopimukset on päivitettävä.

Mikä muuttuu IT2018-ehdoissa?

Verrattuna aikaisempiin IT2015 -ehtoihin, on IT2018-ehtojen keskeisin ja merkittävin muutos uudet henkilötietojen käsittelyä koskevat erityisehdot (EHK), joilla on pyritty helpottamaan tietosuoja-asetuksen vaatimuksiin vastaamista, eli erityisesti 28 artiklan mukaisen sopimuksen tekemistä. Muuten sopimuskokonaisuuteen tehdyt muutokset ovat pääosin teknisluontoisia ja yleisten- ja erityisehtojen käytön osalta ei tule suuria muutoksia.

Lähtökohtana ehtokokonaisuudessa on, että EHK-ehdot ovat henkilötietojen suhteen soveltamisjärjestyksessä ensisijaiset suhteessa muihin IT2018-ehtokokonaisuuden osiin. Näin ollen kyseisten ehtojen tarkoituksenmukaisuuden huolellinen arviointi oman tilanteen kannalta korostuu.

Kannattaako IT2018-ehdot ottaa käyttöön henkilötietojen käsittelyn osalta?

IT2018-ehtojen käyttämisen tarkoituksenmukaisuus riippuu ensinnäkin siitä, toimitaanko potentiaalisessa sopimussuhteessa toimittajana, eli asetuksen näkökulmasta henkilötietojen käsittelijänä vai asiakkaana, eli rekisterinpitäjänä. Nähdäksemme IT2018-ehdot ovat lähtökohtaisesti hieman toimittajamyönteiset sekä kokonaisuutena että henkilötietojen käsittelyä koskevien EHK-ehtojen osalta.

EHK-ehtojen toimittajamyönteisyys näkyy esimerkiksi siinä, että kustannukset rekisteröityjen oikeuksien käyttämiseen ja auditointeihin liittyen on pääasiassa vieritetty asiakkaan kannettaviksi. Lisäksi ehtojen mukaan toimittajalla on lähtökohtainen oikeus siirtää henkilötietoja vapaasti EU- tai ETA-alueen ulkopuolelle tietosuojalainsäädännön mukaisesti, ellei asiakas tätä erikseen kiellä. Sen sijaan asetuksen lähtökohta on päinvastainen ja tietojen siirto kolmansiin maihin on sallittua vain rekisterinpitäjän suostumuksella.

Ehkä keskeisin toimittajamyönteinen asiakokonaisuus IT2018-ehdoissa liittyy vastuisiin. EHK-ehtojen mukaan lähtökohtana on molemmilla sopijapuolilla oleva vastuunrajoitus, jonka mukaan vahingonkorvausvelvollisuus toiselle sopijapuolelle on (mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien) enintään 40 prosenttia toimituksen kohteen kokonaishinnasta, tai milloin toimituksen kohteena on esimerkiksi toistaiseksi voimassa oleva toistuvaismaksuina laskutettava palvelu, (mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien) enintään kyseisen palvelun laskennallinen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna 12:lla.

Siten asiakkaan näkökulmasta sopimusneuvotteluissa voi olla syytä pyrkiä tekemään täsmennyksiä ja muokkauksia ehtojen asettamiin lähtökohtiin, kun taas toimittajana ehtojen käyttäminen sellaisenaan lienee useimmiten perusteltua. Riippumatta siitä, kummassa roolissa sopimusta laadittaessa on, tulee kuitenkin aina ottaa huomioon myös kyseessä olevan tuotteen tai palvelun luonne ja erityispiirteet arvioitaessa IT2018-ehtojen toimivuutta.

IT2018-ehtojen EHK-ehdot toiminevat parhaiten silloin, kun sopimus on tehty muutenkin IT2018-ehtokokonaisuutta hyödyntäen. Vain EHK-ehtojen käyttämiseen yksinään kannattaa sen sijaan suhtautua varauksellisemmin.

Jussi Lampinen

Jussi Lampinen, Partner | CFO

ida koskinen

Ida Koskinen, Lawyer

Artikkelit

Artikkelit eivät ole oikeudellisia neuvoja ja niissä on tiettyjä yksinkertaistuksia. Merkurius ei ota vastuuta miltään osin, mikäli artikkelien perusteella tehdään joitakin toimenpiteitä tai jätetään tekemättä joitakin toimenpiteitä. Kirjoittajat antavat mielellään tarkempia tietoja artikkeleissa käsitellyistä asioista