UUDET IT2022-EHDOT – MIKÄ MUUTTUU?

Jussi Lampinen (vas.) ja Ida Koskinen, Asianajotoimisto Merkurius Oy.

Jussi Lampinen (vas.) ja Ida Koskinen, Asianajotoimisto Merkurius Oy.

Uudet IT2022-ehdot julkaistiin loppuvuodesta 2021 ja ne korvaavat aikaisemmat IT2018-ehdot. Ehtokokonaisuuden on tarkoitettu toimivan IT-alan yleisinä pelisääntöinä, joita asiakas ja toimittaja voivat hyödyntää B2B-IT-sopimuksissa. Nyt tehdyssä uudistuksessa on erityisesti otettu huomioon datan yhä kasvava merkitys sekä tietosuojan alalla tapahtuneet uudistukset.

Isossa kuvassa ei suuria muutoksia

Ehdot pysyvät pääsääntöisesti entisellään ja suurin osa muutoksista on pienempiä teknisiä täsmennyksiä. Vastuunrajoituksen maksimimäärää on kuitenkin yleisissä ehdoissa korotettu enintään 40 prosenttiin toimituksen kohteen arvonlisäverottomasta kokonaishinnasta, aiemmissa IT2018 ehdoissa vastaava raja oli 20 prosenttia. Kokonaan uusina elementteinä ehtokokonaisuuteen on tuotu uudet datan käyttöön liittyvät erityisehdot sekä sopimusmalli pientoimituksiin.

Päivitys henkilötietojen käsittelyä koskeviin EHK-erityisehtoihin

IT2018-ehdoissa esiteltiin uusina ehtoina henkilötietojen käsittelyä koskevat erityisehdot (EHK), joilla huomioitiin samana vuonna voimaantullut EU:n yleinen tietosuoja-asetus ja sen 28 artiklan vaatimus tietosuojasopimuksen solmimisesta. Viimeisen kolmen vuoden aikana tietosuoja-alan käytännöt ovat kehittyneet ja viime kesäkuussa komissiokin vihdoin julkaisi oman mallinsa tietosuoja-asetuksen 28 artiklan mukaisesta tietosuojasopimuksesta. EHK-erityisehtoja on päivitetty erityisesti em. komission malli-tietosuojasopimusta silmällä pitäen ja sisällytetty ko. mallissa olevia seikkoja myös näihin ehtoihin. Käytännössä EHK-ehdoissa on entistä yksityiskohtaisemmin ja tarkemmin sovittu esimerkiksi tietoturvaloukkauksista ilmoittamisesta sekä henkilötietojen sijainnista ja tietojen siirroista.

Uudet dataehdot

Kokonaan uusina erityisehtoina sopimuskokonaisuuteen on lisätty erityisehdot datan hyödyntämisestä (EDH). Uudet erityisehdot ovat tervetullut lisäys IT-ehtokokonaisuuteen jo vähintään sen vuoksi, että ko. erityisehtojen olemassaolo herättää huomioimaan ja tunnistamaan datan merkityksen. Erityisehtojen tarkoituksena on sopia nimenomaan datan hyödyntämisoikeuksista. Erityisehtojen datan määritelmä on melko laaja, mutta sen ulkopuolelle jätetään kategorisesti henkilötiedot. Hyödyntämisoikeus kohdistuu siis pääasiassa pääsopimuksen tarkoittaman ohjelmiston tai järjestelmän dataan; eli sen vastaanottamaan ja generoimaan dataan. Hyödyntämisellä taas tarkoitetaan kaikkia toimenpiteitä, joita sopijapuoli kohdistaa tai voi kohdistaa ko. dataan.

Dataehdoissa ei kuitenkaan anneta hyödyntämisoikeutta sopijapuolen immateriaalioikeuksiin. Hyödyntämisoikeus ei myöskään koske sellaista dataa, jonka toinen osapuoli on itse tai kolmannen avustuksella kehittänyt, johtanut tai muutoin saanut aikaan hyödyntämällä dataa ko. erityisehtojen mukaisesti.

Mitä tulee ottaa huomioon IT2022-ehtoja käytettäessä?

IT2022-ehdot ovat lähtökohtaisesti hyvä työkalu IT-sopimuksia varten, mutta se miten varauksettomasti niihin sopii suhtautua, riippuu siitä, kummassa roolissa sopimusta on solmimassa: asiakkaana vai toimittajana. Kuten aikaisempikin versio, ovat nämäkin ehdot kokonaisuutena enemmän toimittajamyönteiset, mistä johtuen asiakkaana sopimusneuvotteluissa voi olla syytä pyrkiä tekemään täsmennyksiä ja muokkauksia ehtojen esittämiin lähtökohtiin. Sen sijaan toimittajana ehtojen käyttäminen (lähes) sellaisenaan voi useimmiten olla perusteltua.

Riippumatta omasta roolista, on seuraavat asiat syytä ottaa aina huomioon:

  • Immateriaalioikeudet. Mikäli tarkoituksena on, että asiakas saa immateriaalioikeudet toimittajan tekemään työhön, on tästä sovittava erikseen. Ehtojen lähtökohta on pääsääntöisesti se, että kaikki oikeudet tuloksiin tai toimituksen kohteeseen kuuluvat toimittajalle.

  • Henkilötietojen käsittely. Uudistuksen lisäykset EHK-erityisehtoihin parantavat ehtojen tietosuojalainsäädännön mukaisuutta. Uudistuksessa ei ole kuitenkaan otettu huomioon Euroopan tietosuojaneuvoston uusinta ohjeistusta koskien tietosuojasopimusten sisältöä, joka painottaa vieläkin yksityiskohtaisempaa ja käytännönläheisempää sopimista. Ko. ohjeen huomioimiseksi tietosuojasta sopiessa olisi hyvä kiinnittää erityisesti huomiota konkreettisista tietoturvavaatimuksista sopimiseen (esim. erillinen tietoturvaliite, jossa on asetettu tietoturvatoimenpiteiden vähimmäistaso) sekä siihen, että keskeisimpiin ongelmatilanteisiin on sovittuna joku ratkaisu (esimerkiksi, miten toimitaan, jos rekisterinpitäjä vastustaa alihankkijan vaihtamista).

Lisäksi käytännössä on hyvä huomata, että pelkkien EHK-erityisehtojen liittäminen sopimukseen ei riitä, vaan lisäksi on aina täytettävä IT2022-ehtojen mukana tuleva henkilötietojen käsittelysopimus (tai vastaava muu dokumentti). Käsittelysopimuksessa on syytä kiinnittää huomiota erityisesti siihen, että seuraavat asiat tulee määriteltyä huolella ja riittävällä tarkkuudella: (i) käsittelyn kohde ja kesto; (ii) käsittelyn luonne ja tarkoitus; sekä (iii) henkilötietojen tyyppi ja rekisteröityjen ryhmät.

  • Tunnista sopimukseen liittyvä data ja sovi tarvittaessa siihen liittyvistä oikeuksista. Kuten uusien erityisehtojen käyttöohjeissakin painotetaan, tulisi uudet EDH-erityisehdot liittää sopimukseen vain silloin, kun ehtojen sisältö varmasti ymmärretään oikein ja datan hyödyntämisestä on tarpeen sopia. Mikäli erityisehdot sisällytetään sopimuksiin automaationa, voi lopputuloksena olla erityisesti asiakkaan kannalta hyvinkin epäedullisia tilanteita: yhä useammin tietojärjestelmien automaattisestikin generoima data voi paljastaa asiakkaan prosesseista tietoja, jotka ovat liiketoiminnan kannalta kriittisiä tai peräti liikesalaisuuksia, eikä tällaiseen dataan välttämättä ole järkevä antaa laajaa hyödyntämisoikeutta.

Lisäksi on hyvä arvioida EDH-erityisehtojen määritelmiä tapauskohtaisia olosuhteita vasten. Erityisehtojen määritelmä datasta on laajahko, mutta tästä huolimatta on syytä tapauskohtaisesti tarkistaa, että se data, josta halutaan sopia, menee ko. määritelmän sisälle tai vastaavasti poissulkea sellainen data määritelmän ulkopuolelle, johon hyödyntämisoikeutta ei haluta antaa. Lisäksi on hyvä muistaa, että ellei toisin sovita, ei hyödyntämisoikeus koske henkilötietoja. Tämä voi tehdä koko hyödyntämisoikeuden käytännössä kokonaan hyödyttömäksi silloin, kun tietojärjestelmän pääasiallinen tarkoitus on henkilötietojen hallinnointi (esim. HR-järjestelmät).

Jussi Lampinen

CEO | partner

Ida Koskinen

attorney

Asianajotoimisto Merkurius Oy