Juridisia näkökulmia pilvipalveluihin

Juridisia näkökulmia pilvipalveluihin

Pilvipalveluiden tarjonta ja käyttö ovat yleistyneet viime vuosina niin Suomessa kuin muualla maailmassa. Pilvipalvelu saattaa tarkoittaa eri tilanteissa hyvinkin erilaisia palveluita, mutta yksi yhteinen nimittäjä niille on kuitenkin se, että asiakas käyttää niitä verkon yli, eikä palveluun tarvittava serveri siten sijaitse asiakkaan omissa tiloissa. Pilvipalveluita on kolmea perustyyppiä: Platform as a Service (PaaS), Infrastructure as a Service (IaaS) ja Software as a Service (Saas). Käsittelen tässä kirjoituksessa lyhyesti Suomessa jo muutaman vuoden voimassa olleita, SaaS-palveluihin liittyviä yleisiä IT2010 -ehtoja.

IT2010 -ehtoja ja niitä edeltäviä IT2000 -ehtoja käytetään Suomessa IT-alalla paljon, erityisesti pienten ja keskisuurten IT-alan toimijoiden keskuudessa. Mikä tärkeintä, vuonna 2010 lanseerattu IT2010 -ehtokokoelma pitää sisällään myös SaaS-palveluihin liittyvät ETP-erityisehdot, joita on tarkoitus käyttää yhdessä ehtokokoelman yleisehtojen (YSE) kanssa.

ETP-ehtoja sovelletaan tietoverkon välityksellä toimitettaviin ohjelmistopalveluihin eli SaaS-palveluihin. Ne sisältävät sääntöjä koskien muun muassa käyttäjätunnuksia ja salasanoja sekä sitä, miten toimitaan salasanan joutuessa väärinkäytön kohteeksi. ETP-ehtokohdan 8.2. mukaan asiakas on velvollinen ilmoittamaan salasanansa joutumisesta kolmannen tietoon sekä epäilemästään väärinkäytöksestä. Tämän ehtokohdan mukaan asiakkaan vastuu päättyy, kun toimittaja on vastaanottanut asiakkaan ilmoituksen asiasta tai muuten havainnut väärinkäytön.

Joidenkin IT-alan toimijoiden mielestä ehtokohdan ilmaisun perusteella on epäselvää, milloin toimittajan katsotaan vastaanottaneen asiakkaan ilmoituksen edellä mainitussa tilanteessa. Tämä voi puolestaan aiheuttaa turhaa tulkinnanvaraisuutta kyseisen ehtokohdan suhteen. Jotkin tahot ovatkin ilmaisseet huolensa siitä, että kyseinen kohta johtaa toimittajan kannalta kohtuuttoman ankaraan vastuuseen, joka rinnastuisi jopa luottokorttiyhtiön vastuuvelvollisuuteen.

Usein sopimusneuvotteluissa tai pilvipalvelutoimittajan vakioehtoja laadittaessa ei IT2010 -ehtoja siten välttämättä voida tai haluta ottaa kokonaisuudessaan sopimusehdoiksi. Poikkeuksista ja lisäyksistä IT-2010 -ehtoihin voidaankin sopia siten, että ne vastaavat kulloinkin kyseessä olevaa palvelumallia ja osapuolten tarkoitusta.

Mahdolliset muunnokset voivat olla tarpeen ehtoja laadittaessa ja niistä neuvoteltaessa esimerkiksi silloin, kun ETP-ehdot eivät sisällä lainkaan sääntöjä koskien auditointia. Tällä tarkoitetaan asiakkaan mahdollisuutta varmistua toimittajan palvelun laadusta, tietoturvallisuudesta sekä siitä, miten ja mihin asiakkaan tietoja käytetään. Mikäli tällaisiin tarkennuksiin on tietyssä palvelumallissa tarvetta, tulee asiasta sopia erikseen kirjallisesti.

IT2010 -sopimusehtojen käyttäminen edellyttää lisenssiä, joka vähintään toisella sopijapuolista on oltava. Lisenssi on voimassa vuoden kerrallaan. Lisätietoa asiasta löytyy verkkosivulta www.it2010.fi. Lisäksi ehdot on hyvä liittää sopimukseen, ja niiden on oltava toisen sopijapuolen nähtävillä ennen sopimuksen allekirjoitusta ollakseen sitovia.

Käytettiinpä pilvipalveluiden ehtoina IT2010 -ehtokokoelmaa tai ei, on pilvipalvelujen osalta aina osattava huomioida myös Suomen ja EU:n henkilötietolainsäädännön vaatimukset. Tämä tarkoittaa sitä, ettei pilvipalvelun kautta saa siirtää henkilötietoja EU- ja ETA-maiden ulkopuolelle. Mikäli pilvipalvelussa käytettävä serveri sijaitsee EU/ ETA-maiden ulkopuolella, edellyttää henkilötietolaki siihen kunkin yksittäisen henkilön nimenomaista ja selvää suostumusta, mikä on huomioitava palveluehtoja suunniteltaessa.

Vaihtoehtoisesti voidaan käyttää EU:n komission hyväksymää ns. Data Transfer Agreement (DTA) -mallipohjaa palveluntoimittajan ja serverin ylläpitäjän välillä. DTA-mallisopimus perustuu EU:n henkilötietodirektiivin 26 artiklan nojalla hyväksyttyyn malliin, jolla pyritään turvaamaan riittävä tietosuojan taso.

Mikäli pilvipalvelussa käytettävä serveri sijaitsee Yhdysvalloissa, voidaan hyödyntää myös ns. Safe Harbour -järjestelyitä. Tällöin riittävä tietosuojan taso varmistetaan sillä, että serverin ylläpitäjä sitoutuu noudattamaan tiettyjä USA:n kauppaministeriön ja komission hyväksymiä, yksityisyyden suojaa koskevia Safe Harbour -periaatteita ja niiden täytäntöönpano-ohjeita.

Ulla Riekki


RiittaUlla Riekki

Senior legal counsel, varatuomari Ulla Riekki toimi EY:llä lakipalveluiden liikejuristina yli 15 vuoden kokemuksella liikejuridiikasta.

 Vastaa

Please log in using one of these methods to post your comment:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s