Teknologiasopimukset ja tietosuojakysymykset Lapin yliopisto – käytännön kurssi asianajaja, LL.M. Eija Warma Asianajotoimisto Castrén & Snellman Oy 10.10.2013 © Castrén & Snellman

Agenda Yleistä teknologiasopimuksista Yleistä tietosuojasta Yleistä pilvipalveluista Ennakkotehtävä © Castrén & Snellman

Yleistä teknologiasopimuksista © Castrén & Snellman

Teknologiasopimuksista Tarjouspyynnöt (RFP) Salassapito (NDA) Sopimusneuvottelut Yleensä viimeinen 5 % edellyttää 50 % panostuksesta! Haasteena on alan jatkuva kehittyminen Laitteet – ohjelmistot – palvelut © Castrén & Snellman

Sopimustyyppejä (1/2) Konsultaatio Ohjelmistohankinta Ulkoistaminen Esim. määrittelytyö yms. asiantuntijaresurssin hyödyntäminen Ohjelmistohankinta Ostetaan ohjelmisto/järjestelmä omaan käyttöön Ulkoistaminen Annetaan liiketoimintaan liittyviä toimenpiteitä sopimuskumppanin hoidettavaksi Erityisesti pilvipalvelut © Castrén & Snellman

Sopimustyyppejä (2/2) Lisenssisopimus (käyttöoikeussopimus, ohjelmistosopimus) Projektisopimus Huolto-, ylläpito- ja tukisopimukset Käyttöpalvelusopimus ja ulkoistaminen Konsultointisopimus Salassapito – eli NDA sopimus © Castrén & Snellman

Yleistä tietosuojasta © Castrén & Snellman

Keskeinen lainsäädäntö Henkilötietolaki (523/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Sähköisen viestinnän tietosuojalaki (516/2004) Lisäksi säännöksiä yli 650 erityislaissa! EU:ssa käynnissä laaja lainsäädännön uudistushanke! © Castrén & Snellman

Keskeiset termit Henkilötieto Rekisterinpitäjä Rekisteröity Sivullinen Henkilötietojen käsittely Henkilörekisteri Suostumus © Castrén & Snellman

Käsittelyä koskevat periaatteet / Rekisterinpitäjän velvollisuudet Huolellisuusvelvoite Henkilötietojen käsittelyn suunnittelu Käyttötarkoitussidonnaisuus Käsittelyn peruste Tarpeellisuusvaatimus Virheettömyysvaatimus Rekisteröidyn informointi tietojen käsittelystä Tietojen suojaaminen Ilmoitusvelvollisuus Rangaistussäännökset © Castrén & Snellman

Rekisteröidyn oikeudet Tarkastusoikeus Tiedon korjaaminen Kielto-oikeus Suoramainonta Etämyynti Markkina- ja mielipidetutkimus Henkilömatrikkeli ja sukututkimus © Castrén & Snellman

Yleistä pilvipalveluista © Castrén & Snellman

Pilvipalveluiden ominaispiirteet ja liiketoimintamalli Pilvipalvelut = tietoverkon ylitse tarjottavat houstatut IT- palvelut (esim. sovellukset, infrastruktuuri, alusta). Uusi tapa tarjota IT-palveluita, mutta ei uusi teknologia vaikka taustalla useita teknisiä innovaatioita. virtualisointi, hajautettu tietojenkäsittely, laajakaista yhteyksien saatavuus ja nopeus jne. Yritysten tarve säästää kustannuksissa on pakottanut toimittajat kehittämään edullisempia IT-palveluita. ”One-size-fits-all” -ajattelu: vakioidut palvelut -> sisällöltään ja tekniseltä toteutustavaltaan samanlaisia kaikille käyttäjille. Tyypillinen ulkoistamistilanne! © Castrén & Snellman

Keskeisiä sopimusehtoja (1/2) Osapuolet (tilaaja ja toimeksisaaja) Sopimuksen kohde Toimeksiantajan asema, oikeudet ja velvollisuudet Toimeksisaajan asema, oikeudet ja velvollisuudet Sopimusyhteistyö Hinta Maksuehdot Sopimuksen voimassaolo © Castrén & Snellman

Keskeisiä sopimusehtoja (2/2) Sopimuksen päättäminen/päättyminen Seuranta ja valvonta Vahingonkorvaus Sopimuserimielisyyksien ratkaiseminen Raportointi Muuta ? Allekirjoitukset © Castrén & Snellman

Pilvipalveluiden käytön aikaiset velvoitteet Asiakastietojen joukossa myös muita kuin henkilötietoja, joiden säilyttämistä koskevat vaatimukset perustuvat yksin sopimusehtoihin. Pilvipalveluiden käytön aikaiset velvoitteet: Tietojen eheys, muuttumattomuus ja häviämisen estäminen -> tietoturvavaatimukset ja back-up velvoitteet. Tietojen fyysistä säilytyspaikkaa ja niiden siirtämistä koskevat velvoitteet -> tieto säilytyspaikasta, siirtämiseen liittyvät ilmoitus- ja muut velvoitteet. Auditointioikeuden varaaminen myös suhteessa tarjoajan palveluntarjoajan alihankkijoihin. © Castrén & Snellman

Roolien tunnistaminen ja vastuuasetelma Ulkoistuksessa tietojenkäsittely annetaan toisen tehtäväksi. Edellyttää erityistä sopimusta oikeuksista, vastuusta ja velvollisuuksista. Rekisterinpitäjän ja käsittelijän roolien erottaminen toisistaan. Rekisterinpitäjä on aina vastuussa! Käsittelijällä ei ole oikeutta itsenäisesti päättää tietojen käsittelystä ja käsittelyn tarkoituksesta! © Castrén & Snellman

Tietoturvasta sopiminen Tietoturvan yleinen taso Markkinakäytäntö Käsiteltävän tiedon juridinen kriittisyys Käsiteltävän tiedon liiketoiminnallinen kriittisyys Varmuuskopiointi Kahdentaminen Varautuminen yllättäviin tilanteisiin Tietoliikennehäiriöt, sähkökatkokset, myrskyt, jne. Tietojen luovuttaminen ja salassapitosopimukset © Castrén & Snellman

Pilvipalveluiden käytön turvallinen lopettaminen ja kaikkien asiakastietojen säilyttäminen Pilvipalveluiden päättymiseen liittyvät velvoitteet palveluiden keskeytyksettömän jatkuvuuden turvaamiseksi: Yleiset myötävaikutusvelvoitteet Asiakastietojen palauttamista ja säilyttämistä koskevat velvoitteet: Migraatiovelvoitteet: siirtotapa, aikataulu, muoto, kustannukset. Asiakastietojen säilytysaika sopimuksen päättymisen jälkeen ja kopioiden tuhoaminen siirron jälkeen. © Castrén & Snellman

Vahingonkorvaus Henkilötietolain mukainen rekisterinpitäjän vastuu on ankaraa vastuuta. Lainmukaista vastuuta ei voi vyöryttää alihankkijalle. Korvausvastuusta voidaan sopia rekisterinpitäjän ja käsittelijän kesken. Käsittelijä korvausvelvollinen rekisterinpitäjälle, jos rekisterinpitäjä joutuu vastuuseen alihankkijan toimenpiteiden johdosta (indemnity). © Castrén & Snellman

Rikosvastuu Henkilörekisteririkkomus Henkilörekisteririkos Salassapitorikos Yrityssalaisuusrikokset Yrityssalaisuuden rikkominen Yritysalaisuuden väärinkäyttö © Castrén & Snellman

Ennakkotehtävä © Castrén & Snellman

KIITOS! Eija Warma eija.warma@castren.fi asianajaja, LL.M. Asianajotoimisto Castrén & Snellman Oy eija.warma@castren.fi © Castrén & Snellman