Article 6 March 2018

Uudet IT2018-ehdot julkaistu

Keskuskauppakamari, Ohjelmistoyrittäjät ry, Suomen Osto- ja Logistiikkayhdistys LOGY ry, Teknologiateollisuus ry ja Tieto- ja viestintätekniikan ammattilaiset TIVIA ry julkaisivat päivitetyt IT2018-ehdot 27.2.2018 järjestetyssä julkistamistilaisuudessa.

IT-alan hankintaehdot päivitettiin viimeksi vuonna 2015, kun IT2010-ehtokokoelma uudistettiin IT2015-sopimusehdoiksi. Keskeinen syy IT2015-sopimusehtojen uudistamistarpeeseen on EU:n tietosuoja-asetus (GDPR), jonka soveltaminen alkaa toukokuussa 2018. IT-ehtojen aiemmissa versioissa ei ole juurikaan huomioitu henkilötietojen käsittelyyn liittyviä erityiskysymyksiä, mutta nyt uusissa IT2018-ehdoissa pyritään ottamaan huomioon tietosuoja-asetuksen muuttuvat vaatimukset henkilötietojen käsittelyyn liittyen. Uudet IT2018-ehdot sisältävätkin muun muassa henkilötietojen käsittelyä koskevat erityisehdot (EHK).

Uudistamisprojektin yhteydessä IT-ehtojen käyttöohjeet on pyritty laatimaan legal designin (oikeudellinen muotoilu tai sopimusmuotoilu) keinoin käytettävämmiksi ja selkeämmiksi. IT2018-ehtojen muotoillut käyttöehdot julkaistaan myöhemmin kevään 2018 aikana, mutta pilottiprojektina valmistuneisiin IT2015 EKT-ehtoja koskeviin uudelleenmuotoiltuihin käyttöehtoihin voi tutustua jo nyt.

Tässä uutiskirjeessä on ensin selostettu IT2018-ehtojen keskeisimmät muutokset IT2015-ehtoihin nähden. Uutiskirjeen lopussa on eräitä muutosehdotuksia, joita IT-palveluja ostavan asiakkaan kannattaa harkita uusien EHK-erityisehtojen osalta.

Miten IT2018-ehdot eroavat aiemmista ehdoista?

IT2018-ehtoihin tehdyt muutokset ovat pääosin teknisluontoisia, eikä yleisten- ja erityisehtojen käytön osalta lähtökohtaisesti juuri mikään tule muuttumaan. Keskeisimmät muutokset IT2015-ehtoihin liittyvätkin juuri henkilötietojen käsittelyyn koskeviin erityiskysymyksiin. Esimerkiksi YSE-ehtojen yleiseen vastuunrajoitusehtoon ei ole tehty muutoksia ja henkilötietojen käsittelystä aiheutuviin vahinkoihin liittyvät vahingonkorvausvelvollisuuden enimmäismäärät määräytyvät jatkossa EHK-ehtojen mukaisesti. Seuraavaksi on kuvattu lyhyesti keskeisimpiä IT2018-ehtojen muutoksia:

IT2018 YSE – yleiset ehdot ovat kokeneet pieniä teknisiä muutoksia verrattuna aiempiin IT2015 YSE -ehtoihin. Aiemmin IT2015 ETP-pilvipalveluehdoissa olleet tietoturvallisuutta ja tietosuojaa sekä tietoturvaloukkausten käsittelyä koskevat kohdat on siirretty uudistuksen myötä IT2018 Yleisiin ehtoihin.

Lisäksi IT2015 YSE-ehdoissa ollut kappale 8.3, joka kategorisesti kielsi toimittajaa siirtämästä asiakkaan toimittajalle luovuttamia henkilötietojen ETA-alueen ulkopuolelle tai mahdollistamasta pääsyä kyseisiin ETA-alueella sijaitseviin henkilötietoihin ETA-alueen ulkopuolelta, on poistettu IT2018-ehdoista. Poistetun ehdon tilalle on otettu uusi henkilötietojen käsittelyä koskeva kappale 9. Tämän mukaan, mikäli toimittaja käsittelee henkilötietoja asiakkaan puolesta, sovelletaan käsittelyyn IT2018 EHK-erityisehtoja henkilötietojen käsittelystä, ellei kirjallisesti ole toisin sovittu.

Erityisehtoja koskeva merkittävin muutos on luonnollisesti EU:n tietosuoja-asetuksen johdosta IT2018-ehtoihin uutena lisätyt henkilötietojen käsittelyä koskevat IT2018 EHK-ehdot. Näitä EHK-ehtoja voidaan soveltaa jatkossa IT-toimituksissa silloin, kun toimittaja käsittelee henkilötietoja asiakkaan lukuun sopijapuolten välisen sopimuksen perusteella. EHK-ehdot noudattelevat pitkälti tietosuoja-asetuksen 28 artiklan muotoiluja.

Teknisenä muutoksena kaikkiin IT2018-erityisehtoihin on lisäksi lisätty uudistamisen yhteydessä soveltamista koskeva lauseke, jonka mukaan kulloistenkin erityisehtojen lisäksi sovelletaan aina IT2018 YSE-ehtoja ja lisäksi tilanteissa, joissa erityisehdot ja IT2018 YSE-ehdot ovat ristiriidassa keskenään, sovelletaan ensisijaisesti erityisehtoja. Kyseinen lauseke on lisätty selkeyttämään yleisten ehtojen ja erityisehtojen keskinäistä soveltamisjärjestystä ja vaikka vanhemmat IT-ehdot eivät kyseistä lauseketta nimenomaisesti sisälläkään, on tämä aina ollut ehtojen todellisena tarkoituksena. Päivityksellä onkin nyt pyritty selventämään, että IT-ehtojen mukaisia sopimuksia ei voi tehdä ilman YSE-ehtoja pelkästään erityisehtoja hyödyntämällä.

Sopimusmallien määrä kasvaa IT2018-ehtojen päivittämisen myötä yhteensä yhdeksään, kun aiemmat mallit saavat rinnalleen henkilötietojen käsittelysopimuksen, jota on tarkoitus hyödyntää yhdessä EHK-ehtojen kanssa. Kaikki sopimusmallit on lisäksi päivitetty viittaamaan IT2018-ehtoihin, ja niihin on lisätty henkilötietojen käsittelyyn liittyen viittaus EHK-ehtoihin siltä osin, kun sopimuksen alla käsitellään henkilötietoja.

IT2018-ehdot asiakkaan näkökulmasta

Arviomme mukaan IT2018-ehdot ovat kokonaisuudessaan edelleen toimittajamyönteiset, eikä niissä ole huomioitu tarpeeksi asiakasyritysten intressejä. Myös uusissa EHK-ehdoissa on useissa kohdin lähdetty hyvin toimittajamyönteisestä tulkinnasta. Mikäli IT-toimitukseen liittyvään henkilötietojen käsittelyyn päätetään soveltaa IT2018 EHK-ehtoja, suosittelemme neuvottelemaan ainakin seuraavista kohdista:

Kohdan 3.4. mukaan "toimittajan tulee viipymättä asiakkaan pyynnöstä tarjota asiakkaalle kaikki sellaiset tiedot, jotka asiakas saattaa tarvita täyttääkseen rekisteröityjen oikeudet, sisältäen pääsyoikeudet, tai noudattaakseen tietosuojaviranomaisten vaatimuksia tai ohjeistusta. Toimittaja ilmoittaa viipymättä asiakkaalle kaikista rekisteröityjen, tietosuojavaltuutetun tai muun viranomaisen vaatimuksista ja tiedusteluista. Toimittajalla on oikeus veloittaa näistä tehtävistä sopijapuolten sopimuksen mukaisesti, tai jos hintaa ei ole sovittu, toimittajan yleisen hinnaston mukaisesti".

HARKITTAVA MUUTOS: Veloituksia koskeva osuus korvataan toteamalla, että sopijapuolet vastaavat omalta osaltaan kaikkiin edellä kuvattuihin tietopyyntöihin liittyvistä tehtävistä aiheutuvista kustannuksistaan.

Kohdan 4 mukaan kumpikin sopijapuoli vastaa omalta osaltaan auditoinnista aiheutuvista kustannuksista.

HARKITTAVA MUUTOS: Lisätään uusi alakohta 4.5, jonka mukaan toimittaja on vastuussa kaikista auditoinnista aiheutuneista kuluista, jos auditoinnissa ilmenee, että toimittaja ei ole noudattanut velvollisuuksiaan, henkilötietojen käsittelyä koskevia velvoitteita tai Tietosuojalainsäädäntöä.

Kohta 5.3: Tietoturvaloukkauksiin liittyen EHK-ehdoissa todetaan, että toimittaja ilmoittaa asiakkaalle ilman aiheetonta viivästystä kirjallisesti kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista, eivätkä ehdot sisällä ehdotonta takarajaa ilmoituksen tekemiselle.

HARKITTAVA MUUTOS: Kohdan alku on syytä korvata seuraavasti: Toimittaja ilmoittaa asiakkaalle kirjallisesti, ilman aiheetonta viivästystä ja viimeistään 24 tunnin kuluessa saatuaan tiedon henkilötietojen tietoturvaloukkauksesta, kaikista henkilötietoihin kohdistuneista tietoturvaloukkauksista ja muista tapahtumista, joiden perusteella asiakkaan lukuun käsiteltyjen henkilötietojen tietoturvallisuus on vaarantunut, tai kun toimittajalla on syytä uskoa, että tietoturva on voinut vaarantua.

Kohta 6.1: EHK-ehtojen mukaan toimittajalla on oikeus palvelun toteuttamista varten siirtää henkilötietoja vapaasti EU:n tai ETA-alueen ulkopuolelle tietosuojalainsäädännön mukaisesti, elleivät osapuolet ole toisin sopineet kirjallisesti.

HARKITTAVA MUUTOS: Suosittelemme korvaamaan tämän kohdan siten, että henkilötietojen siirtäminen EU:n tai ETA-alueen ulkopuolelle on sallittua asiakkaan kirjallisesta vaatimuksesta tai mikäli toimittajan pyynnöstä asiakas kirjallisesti siihen suostuu. Toimittajan tulee myös sitoutua varmistamaan, että tämän käyttämä toinen henkilötietojen käsittelijä sitoutuu allekirjoittamaan ennakkoon Euroopan komission mallisopimuslausekkeet tai varmistumaan muiden Tietosuojalainsäädännön mukaisten suojakeinojen olemassaolosta.

Kohdassa 7.3 on asetettu toimittajalle velvollisuus ilmoittaa asiakkaalle kirjallisesti ja ilman aiheetonta viivästystä, ennen kuin tämä vaihtaa tai lisää henkilötietojen käsittelyyn osallistuvia alihankkijoita. Jos asiakas ei hyväksy alihankkijan vaihtoa tai lisäämistä, toimittajalle on myönnetty oikeus irtisanoa sopimus 30 päivän irtisanomisajalla.

HARKITTAVA MUUTOS: Irtisanomisoikeutta koskeva kohta korvataan kohdalla, jossa todetaan, että asiakkaalla on oikeus vastustaa alihankkijan vaihtoa tai lisäämistä perustelluista syistä. Jos asiakas vastustaa muutoksia, eikä tällä ole esittää perusteltua syytä alihankkijan vaihdon tai lisäämisen vastustamiselle, on kummallakin sopijapuolella oikeus irtisanoa sopimus 90 päivän irtisanomisajalla.

Kohdan 9 mukaan, elleivät osapuolet ole kirjallisesti toisin sopineet, korvausvelvollisuuden ja vastuunrajoitusten osalta EHK-ehtoihin sovelletaan YSE-ehtojen kohtaa 13. Sopijapuolen vahingonkorvausvelvollisuuden enimmäismäärä on kuitenkin kaksinkertainen verrattuna YSE-ehtojen kohdassa 13.2 todettuun. Näin ollen EHK-ehtojen mukainen sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien yhteensä enintään 40 prosenttia (YSE: 20 % >> EHK: 40 %) toimituksen kohteen arvonlisäverottomasta kokonaihinnasta. Ja vastaavasti, milloin toimituksen kohteena on yksinomaan määräaikainen tai toistaiseksi voimassa oleva toistuvaismaksuina laskutettava tuote tai palvelu, vahingonkorvausvelvollisuus on mahdolliset viivästys-, palvelutaso- tai muut sopimussakot tai hyvitykset pois lukien yhteensä enintään kyseisen tuotteen tai palvelun laskennallinen arvonlisäveroton kuukausihinta rikkomushetkellä kerrottuna 12:lla (YSE: kerrottuna 6:lla >> EHK: kerrottuna 12:lla).

HARKITTAVA MUUTOS: Asiakkaan on syytä harkita neuvottelutilanteesta riippuen korkeampia vahingonkorvausvastuun enimmäismääriä.

Share:
Similar articles