Teknologiasopimukset ja tietosuojakysymykset Lapin yliopisto – käytännön kurssi asianajaja, LL.M. Eija Warma Asianajotoimisto Castrén & Snellman Oy 10.10.2013 © Castrén & Snellman
Agenda Yleistä teknologiasopimuksista Yleistä tietosuojasta Yleistä pilvipalveluista Ennakkotehtävä © Castrén & Snellman
Yleistä teknologiasopimuksista © Castrén & Snellman
Teknologiasopimuksista Tarjouspyynnöt (RFP) Salassapito (NDA) Sopimusneuvottelut Yleensä viimeinen 5 % edellyttää 50 % panostuksesta! Haasteena on alan jatkuva kehittyminen Laitteet – ohjelmistot – palvelut © Castrén & Snellman
Sopimustyyppejä (1/2) Konsultaatio Ohjelmistohankinta Ulkoistaminen Esim. määrittelytyö yms. asiantuntijaresurssin hyödyntäminen Ohjelmistohankinta Ostetaan ohjelmisto/järjestelmä omaan käyttöön Ulkoistaminen Annetaan liiketoimintaan liittyviä toimenpiteitä sopimuskumppanin hoidettavaksi Erityisesti pilvipalvelut © Castrén & Snellman
Sopimustyyppejä (2/2) Lisenssisopimus (käyttöoikeussopimus, ohjelmistosopimus) Projektisopimus Huolto-, ylläpito- ja tukisopimukset Käyttöpalvelusopimus ja ulkoistaminen Konsultointisopimus Salassapito – eli NDA sopimus © Castrén & Snellman
Yleistä tietosuojasta © Castrén & Snellman
Keskeinen lainsäädäntö Henkilötietolaki (523/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Sähköisen viestinnän tietosuojalaki (516/2004) Lisäksi säännöksiä yli 650 erityislaissa! EU:ssa käynnissä laaja lainsäädännön uudistushanke! © Castrén & Snellman
Keskeiset termit Henkilötieto Rekisterinpitäjä Rekisteröity Sivullinen Henkilötietojen käsittely Henkilörekisteri Suostumus © Castrén & Snellman
Käsittelyä koskevat periaatteet / Rekisterinpitäjän velvollisuudet Huolellisuusvelvoite Henkilötietojen käsittelyn suunnittelu Käyttötarkoitussidonnaisuus Käsittelyn peruste Tarpeellisuusvaatimus Virheettömyysvaatimus Rekisteröidyn informointi tietojen käsittelystä Tietojen suojaaminen Ilmoitusvelvollisuus Rangaistussäännökset © Castrén & Snellman
Rekisteröidyn oikeudet Tarkastusoikeus Tiedon korjaaminen Kielto-oikeus Suoramainonta Etämyynti Markkina- ja mielipidetutkimus Henkilömatrikkeli ja sukututkimus © Castrén & Snellman
Yleistä pilvipalveluista © Castrén & Snellman
Pilvipalveluiden ominaispiirteet ja liiketoimintamalli Pilvipalvelut = tietoverkon ylitse tarjottavat houstatut IT- palvelut (esim. sovellukset, infrastruktuuri, alusta). Uusi tapa tarjota IT-palveluita, mutta ei uusi teknologia vaikka taustalla useita teknisiä innovaatioita. virtualisointi, hajautettu tietojenkäsittely, laajakaista yhteyksien saatavuus ja nopeus jne. Yritysten tarve säästää kustannuksissa on pakottanut toimittajat kehittämään edullisempia IT-palveluita. ”One-size-fits-all” -ajattelu: vakioidut palvelut -> sisällöltään ja tekniseltä toteutustavaltaan samanlaisia kaikille käyttäjille. Tyypillinen ulkoistamistilanne! © Castrén & Snellman
Keskeisiä sopimusehtoja (1/2) Osapuolet (tilaaja ja toimeksisaaja) Sopimuksen kohde Toimeksiantajan asema, oikeudet ja velvollisuudet Toimeksisaajan asema, oikeudet ja velvollisuudet Sopimusyhteistyö Hinta Maksuehdot Sopimuksen voimassaolo © Castrén & Snellman
Keskeisiä sopimusehtoja (2/2) Sopimuksen päättäminen/päättyminen Seuranta ja valvonta Vahingonkorvaus Sopimuserimielisyyksien ratkaiseminen Raportointi Muuta ? Allekirjoitukset © Castrén & Snellman
Pilvipalveluiden käytön aikaiset velvoitteet Asiakastietojen joukossa myös muita kuin henkilötietoja, joiden säilyttämistä koskevat vaatimukset perustuvat yksin sopimusehtoihin. Pilvipalveluiden käytön aikaiset velvoitteet: Tietojen eheys, muuttumattomuus ja häviämisen estäminen -> tietoturvavaatimukset ja back-up velvoitteet. Tietojen fyysistä säilytyspaikkaa ja niiden siirtämistä koskevat velvoitteet -> tieto säilytyspaikasta, siirtämiseen liittyvät ilmoitus- ja muut velvoitteet. Auditointioikeuden varaaminen myös suhteessa tarjoajan palveluntarjoajan alihankkijoihin. © Castrén & Snellman
Roolien tunnistaminen ja vastuuasetelma Ulkoistuksessa tietojenkäsittely annetaan toisen tehtäväksi. Edellyttää erityistä sopimusta oikeuksista, vastuusta ja velvollisuuksista. Rekisterinpitäjän ja käsittelijän roolien erottaminen toisistaan. Rekisterinpitäjä on aina vastuussa! Käsittelijällä ei ole oikeutta itsenäisesti päättää tietojen käsittelystä ja käsittelyn tarkoituksesta! © Castrén & Snellman
Tietoturvasta sopiminen Tietoturvan yleinen taso Markkinakäytäntö Käsiteltävän tiedon juridinen kriittisyys Käsiteltävän tiedon liiketoiminnallinen kriittisyys Varmuuskopiointi Kahdentaminen Varautuminen yllättäviin tilanteisiin Tietoliikennehäiriöt, sähkökatkokset, myrskyt, jne. Tietojen luovuttaminen ja salassapitosopimukset © Castrén & Snellman
Pilvipalveluiden käytön turvallinen lopettaminen ja kaikkien asiakastietojen säilyttäminen Pilvipalveluiden päättymiseen liittyvät velvoitteet palveluiden keskeytyksettömän jatkuvuuden turvaamiseksi: Yleiset myötävaikutusvelvoitteet Asiakastietojen palauttamista ja säilyttämistä koskevat velvoitteet: Migraatiovelvoitteet: siirtotapa, aikataulu, muoto, kustannukset. Asiakastietojen säilytysaika sopimuksen päättymisen jälkeen ja kopioiden tuhoaminen siirron jälkeen. © Castrén & Snellman
Vahingonkorvaus Henkilötietolain mukainen rekisterinpitäjän vastuu on ankaraa vastuuta. Lainmukaista vastuuta ei voi vyöryttää alihankkijalle. Korvausvastuusta voidaan sopia rekisterinpitäjän ja käsittelijän kesken. Käsittelijä korvausvelvollinen rekisterinpitäjälle, jos rekisterinpitäjä joutuu vastuuseen alihankkijan toimenpiteiden johdosta (indemnity). © Castrén & Snellman
Rikosvastuu Henkilörekisteririkkomus Henkilörekisteririkos Salassapitorikos Yrityssalaisuusrikokset Yrityssalaisuuden rikkominen Yritysalaisuuden väärinkäyttö © Castrén & Snellman
Ennakkotehtävä © Castrén & Snellman
KIITOS! Eija Warma eija.warma@castren.fi asianajaja, LL.M. Asianajotoimisto Castrén & Snellman Oy eija.warma@castren.fi © Castrén & Snellman