JIT 2015 ja vahingonkorvaus, Osa II: Tietosuojakysymykset

Aiemmassa postauksessa puhuttiin JIT 2015 ehtojen vahingonkorvausvastuun rajoittamisesta. Tällä kertaa tutustutaan tietosuojakysymyksiin vastuunrajoituksen näkökulmasta. Mielestäni nimittäin yksi mielenkiintoinen “puute” JIT 2015 ehdoissa liittyy tietosuojaan.

Tietosuoja on sopimussuhteessa mielenkiintoisessa asemassa. Käytännössä asiakas ottaa toimittajan suhteen tietoisen riskin. Tuleva EU:n tietosuoja-asetus ja Suomessa tämänhetkinen henkilötietolaki asettavat käytännössä kaikki velvoitteet rekisterinpitäjälle eli julkisten hankintojen tapauksessa hankintayksikölle. Toisaalta taas, merkittävä osa asiakkaan henkilötietoja käsittelevistä palveluista on nykyaikana ulkoistettu toimittajille. Lainsäädäntö ei kuitenkaan, muutamaa poikkeusta lukuunottamatta, velvoita toimittajia suuresti, vaan vastuu säilyy ulkoistustilanteessakin asiakkaalla. Tämä tarkoittaa sitä, että toimittajan mokatessa asiakas on vastuussa niille, joiden henkilötiedot ovat olleet vaarassa.

Jos toimittajan järjestelmä vuotaa tietoturvavian vuoksi henkilötietoja maailmalle, toimittaja on tietenkin vastuussa tästä asiakkaalleen, eli esimerkiksi hankintayksikölle. Hankintayksikkö on kuitenkin myös vastuussa tästä niille ihmisille, joiden tiedot ovat vuodon kohteena. Toimittaja on siltä osin “onnellisessa” asemassa: hankintayksikön maine, toiminta ja uskottavuus kärsii todennäköisesti enemmän. Lisäksi viranomaisten toimenpiteet, kuten esimerkiksi tulevaisuudessa merkittävät sakot tietosuojavirheistä, tulevat asiakkaan maksettavaksi.

Alalla on muodostumassa käytäntö, jossa toimittajalle vyörytetään vastuu aiheutuneesta tietosuojarikkomuksista siten, että vahingonkorvausta koskevat rajoitukset eivät koske tällaisia vahinkoja. Tälle on olemassa pätevä syy, sillä esimerkiksi viranomaisten määräämät sakot voivat olla merkittäviä (sakon vähimmäismäärä on uuden tietosuoja-asetuksen perusteella 20 miljoonaa euroa tai neljä prosenttia vuotuisesta liikevaihdosta). Tällä hetkellä JIT 2015 yleisten ehtojen 11 kohdassa todetaan vahingonkorvausten rajoituksista näin:

(6) Näiden ehtojen mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella, rikkonut salassapitositoumuksen, tai loukannut immateriaalioikeuksia, kopioinut tai käyttänyt tuotetta lain tai sopimuksen vastaisesti tai rikkonut vienti- ja luovutusrajoituksia

Vakavassa tietoturvarikkomusta koskevassa tilanteissa voitaisiin varmaankin tulkita, että kyseessä on “tahallisesti tai törkeällä huolimattomuudella” aiheutettu vahinko. Mutta on myös mahdollista, että tuomioistuin tuomitsisi toisin. Siksi olisi mielestäni erittäin tärkeää, että JIT 2015 ehtojen kyseistä kohtaa täydennettäisiin maininnalla siitä, että vastuunrajoitukset eivät koske tilanteita, jossa sopijapuoli rikkoo tietosuojaan liittyviä velvoitteitaan. Tällöin hankintayksikkö turvaa asemansa paremmin.

Toinen asia, johon tulisi kiinnittää huomiota JIT 2015 ehtoja käytettäessä liittyy myös tietojen siirtämiseen. Yritin kovasti etsiä, mutta en löytänyt sopimusehdoista selkeätä rajoitusta tietojen siirtämisessä tai vaatimuksia käyttää EU:n edellyttämiä menetelmiä. Tavanomaista on myös kieltää kokonaan tietojen siirrot EU:n ulkopuolelle ilman asiakkaan suostumusta. Tätä kieltoa ei sopimuksessa suoranaisesti ole, mutta esimerkiksi tietoverkon välityksellä koskevien palvelujen erityisehdoissa edellytetään että tietojen luovutuksesta sovitaan erikseen. Tämä erikseen sopiminen on hyvä lähtökohta, mutta itse terävöittäisin tätä kohtaa myös nimenomaisella vaatimuksella siitä, että tietoja ei siirretä EU:n ulkopuolelle.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s