Tulostusversio

2/2010

Liiketoiminta: Tietosuoja mukaan sopimusehtoihin

Teksti: Jaakko Turunen

Toukokuussa julkistetut IT2010-sopimusehdot sisältävät ensimmäistä kertaa tietosuojaa koskevia ehtoja.

Tietosuoja on yrityksille tärkeää. Lainsäädäntöä pidetään kuitenkin vaikeaselkoisena. Tietosuojan merkitys on kasvanut viimeisen kymmenen vuoden aikana siinä määrin, että asia tuli esille myös uudistettaessa IT-alalla käytettäviä IT2000-sopimusehtoja.

IT2000-sopimusehdoissa ei ole tietosuojaa käsitteleviä sopimusehtoja, vaikka IT-palvelujen ja -toimitusten yhteydessä käsitellään usein henkilötietoja. Sen vuoksi sopimusehtoja uudistettaessa pidettiin tärkeänä, että uusiin ehtoihin saadaan selkeitä tietosuojan pelisääntöjä. Saatujen lausuntojen perusteella enemmistö kannatti tietosuojaa koskevien ehtojen lisäämistä uusiin sopimusehtoihin.

Tietosuoja-asiat palvelusidonnaisia

IT-palvelujen kohdalla tietosuojakysymykset ovat usein palvelusidonnaisia. Yhdelle palvelulle soveltuva ratkaisu ei välttämättä sovi toisenlaiselle palvelulle. UUsissa IT2010-sopimusehdoissa korostetaan sitä, että sopijapuolet harkitsisivat tietosuojaa koskevia asioita tapauskohtaisesti.

Sopimusta neuvoteltaessa on muutoinkin suositeltavaa sopia tarvittaessa IT2010-sopimusehtoja täydentävistä, tarkentavista tai niistä poikkeavista ehdoista. Suuremmat yritykset sopivat tietosuojakysymyksistä usein tapauskohtaisesti toimittajan ja asiakkaan välisessä sopimuksessa.

Lainsäädäntö asettaa rajoja

Sopijapuolilla on IT-palveluissa ja -toimituksissa pääsääntöisesti sopimusvapaus. Henkilötietojen käsittely on kuitenkin yksi niistä osa-alueista, jossa lainsäädäntö rajoittaa sopimusvapautta merkittävästi.

Henkilötietoja käsiteltäessä tulee noudattaa henkilötietolakia ja muuta mahdollisesti soveltuvaa lainsäädäntöä, kuten sähköisen viestinnän tietosuojalakia. Lisäksi on otettava huomioon tietosuojavaltuutetun ohjeistus ja muut viranomaismääräykset ja -ohjeet.

Sopijapuolet voivat sopia henkilötietojen käsittelyyn liittyvistä asioista siltä osin kuin sovittu ei ole ristiriidassa pakottavan lainsäädännön tai viranomaismääräysten kanssa. Jos tällaisia sopimuksia on tehty, ne velvoittavat sopijapuolia sopimusoikeudellisesti.

Vähimmäisehdot ohjaavat sopimista

IT2010-sopimusehdoissa on henkilötietojen käsittelystä kolme yleistä ehtoa:

  1. Sopijapuolet sopivat kirjallisesti, jos asiakas luovuttaa henkilötietoja toimittajalle.
  2. Asiakas vastaa siitä, että sillä on oikeus luovuttaa henkilötiedot toimittajalle sopimuksen mukaiseen tarkoitukseen.
  3. Toimittaja ei siirrä asiakkaan toimittajalle luovuttamia henkilötietoja Euroopan talousalueelta (ETA) sen ulkopuolelle tai mahdollista pääsyä Euroopan talousalueella oleviin henkilötietoihin Euroopan talousalueen ulkopuolelta.

Näillä pyritään turvaamaan se, että sopijapuolet sopivat henkilötietojen käsittelystä kirjallisesti. Tällöin toimittajalla on myös tieto siitä, että palvelussa käsitellään henkilötietoja, ja toimittaja voi ottaa tämän huomioon palvelua toteutettaessa. Henkilötietojen käsittelyyn liittyvät kysymykset on yleensä otettava huomioon jo järjestelmää suunniteltaessa.

Jos unohdettaisiin, että IT2010-sopimusehdot on laadittu kotimaisia IT-toimituksia varten, kahta viimeksi mainittua ehtoa voitaisiin pitää varsin tiukkoina. IT-palvelut tuotetaan usein globaaleissa verkostoissa, joissa tietoja siirretään ETA-alueen ulkopuolelle. Ehdoilla kuitenkin turvataan se, että näissäkin tilanteissa sopijapuolet huomioivat tilanteen erityispiirteet, selvittävät oikeudelliset reunaehdot ja sopivat asiasta tarkemmin.

Tietoturvasta huolehdittava yhdessä

Henkilötietojen käsittelystä sovittaessa on hyvä kiinnittää huomiota esimerkiksi henkilötietolain mukaisen rekisterinpitäjän tunnistamiseen ja tietoturvakysymyksiin.

Rekisterinpitäjän tulee huolehtia muun lisäksi siitä, että käyttöön otettavat tietojärjestelmät noudattavat lain vaatimuksia. Tämä koskee muiden muassa IT-palvelujen hankkimista, alihankkijoiden käyttöä ja henkilötietojen siirtoa ulkomaille. Ulkoistamistilanteissa lakisääteisiä velvollisuuksia voidaan siirtää sopimuksella palveluntarjoajan vastattavaksi vain rajoitetusti.

Henkilötietolaissa tietosuoja ja tietoturva on liitetty toisiinsa. Rekisterinpitäjän on muun muassa toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen käsittelyltä.

Toisaalta rekisterinpitäjän lukuun toimivan on ennen tietojen käsittelyyn ryhtymistä huolehdittava riittävästä tietoturvasta. Toimeksisaajan on annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta lain edellyttämällä tavalla.

Käytännössä asiakkaan, joka yleensä on rekisterinpitäjä, ja toimittajan, joka yleensä toimii rekisterinpitäjän lukuun, on toimittava keskenään hyvässä yhteistyössä.

IT2010-sopimusehtojen mukaan sopijapuolten tulee suojata vastuullaan olevat osat toimituksen kohteesta ja omasta ympäristöstään sopijapuolen noudattamien ja asianmukaisten tietoturvakäytäntöjen mukaisesti. Tämä suojaamisvelvoite koskee muun muassa laitteita, palvelutuotannon tiloja ja toimitiloja. Asianmukaisen tietoturvan taso jää tapauskohtaisesti arvioitavaksi, kuten henkilötietolakia sovellettaessa.

IT2010-sopimusehtojen mukaan kumpikin sopijapuoli vastaa omia tietojaan ja tiedostojaan koskevien varmuuskopioiden ottamisesta. Hankittaessa ohjelmistoja palveluna (SaaS, Software as a Service) toimittaja kuitenkin vastaa palvelussa olevan asiakkaan aineiston varmuuskopioinnista sopijapuolten tarkemmin sopimalla tavalla.

Kehitys jatkuu

Tietosuojaa ja tietoturvaa koskevat kysymykset ovat olleet esillä yhteiskunnallisessa keskustelussa. Tietoturvakäytäntöjä kehitetään parhaillaan muun muassa kansallisen tietoturvastrategian täytäntöönpanon yhteydessä.

IT-alan käytäntöjen kehitys vaikuttaa sopimusehtoihin. IT2010-sopimusehtojen kehittäminen tietosuoja- ja tietoturvaehtojen suhteen on todennäköisesti tarpeen myös tulevaisuudessa.

---

[KIRJOITTAJA]

Keskuskauppakamarin lakimies Jaakko Turunen toimi IT2010-sopimusehdot laatineen työryhmän puheenjohtajana.

Lue myös

Liiketoiminta: IT-ehdot pk-yritysten tueksi »
Liiketoiminta: Tietoturva alkaa hankinnasta »
Liiketoiminta: Järjestelmätoimitusten muistilista »
Liiketoiminta: Ulkoistus haastaa tietosuojan »
Liiketoiminta: Tietoja pyydetään työntekijältä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.