Sopimustietoja ja -dokumentteja sisältävissä järjestelmissä on tarpeen käsitellä myös yksityishenkilöiden henkilötietoja. Tällöin asiaa tarkastellaan myös tietosuojan näkökulmasta ja toimintaa sääntelee yleinen tietosuoja-asetus (jatkossa TSA) sekä muu tietosuojaa koskeva lainsäädäntö ja oikeuskäytäntö. Tietosuoja-asetuksen englanninkielinen lyhenne on GDPR, eli General Data Protection Regulation.
Olen opiskellut henkilötietoihin liittyvää lainsäädäntöä ja suoritin toukokuussa 2022 CIPP/E tietosuoja-asiantuntijan sertifikaatin. Tässä artikkelissa kokoan keskeiset tietosuojaan liittyvät asiat sopimustenhallinnan näkökulmasta.
Privacy by design and default
Henkilötietojen käsittelyn arviointi alkaa sopimustenhallinnassa jo alkuvaiheessa. Henkilötietojen käsittely tulee arvioida, kun organisaatio alkaa vertailla, ottaa käyttöön tai muokkaa/muokkauttaa teknisesti käyttötarpeeseensa sopivaa sopimustenhallintajärjestelmää.
Sopimustenhallinnan kohteen ja rajausten määrittelyssä tunnistetaan missä kohtaa sopimustenhallinnan prosessia ja sopimustietojen hallintaa käsitellään myös henkilötietoja. Tämän pohjalta organisaatio arvioi onko sillä velvollisuus tehdä vaikutustenarviointi. Merkityksellistä on myös määritellä mihin osaan sopimustenhallinnan prosessia tietojärjestelmä osuu: käsitelläänkö siellä henkilötietoja jo sopimusten laadinta- ja allekirjoitusvaiheessa, vai vasta sopimusten tultua allekirjoitetuiksi.
Mitä henkilötieto on?
Henkilötietoja ovat kaikki tiedot, jotka ovat liitettävissä johonkin ihmiseen.
Kokemukseni mukaan sopimustenhallintajärjestelmissä käsitellään henkilötietoja neljässä päätarkoituksessa:
- Toinen sopimusosapuoli on yksityinen henkilö.
- Oman organisaation sopimusvastuuhenkilö tai esimerkiksi sopimuksen allekirjoittaja.
- Toisen sopimusosapuolen sopimusyhteyshenkilö tai sopimuksen toteuttamisen kannalta tärkeä kontaktihenkilö toisessa organisaatiossa.
- Henkilötietoja käsitellään myös sopimustenhallintajärjestelmien lokitiedoissa. Vaikka lokitiedoissa kerättäisiin vain käyttäjätunnustietoja, ne ovat kohtuullisella vaivalla liitettävissä yksittäiseen henkilöön, eli tässä tapauksessa järjestelmän käyttäjään. Siten myös lokitieto on henkilötietoa.
Tässä artikkelissa keskityn kuvaamaan aihetta kohtien 1.-3. käyttötarkoituksessa.
Sopimustenhallintajärjestelmiä käytetään pääasiassa organisaatioissa, jotka tekevät sopimuksia B2B-liiketoiminnassa, jolloin kumpikin osapuoli on oikeushenkilö: yritys, julkishallinnon toimija tai vaikka yhdistys tai säätiö.
Alla tarkempi kuvaus sopimustenhallinnan tavallisimmista henkilötietojen käsittelyn kohteista:
1. Toinen sopimusosapuoli on yksityinen henkilö
Monen organisaation liiketoimintaan ja sopimushallintaan kuuluu laajasti myös B2C-liiketoiminta, eli toinen sopimusosapuoli on yksityinen henkilö, esimerkiksi kuluttaja, vuokralainen tai yksityishenkilö muuna sopimusosapuolena. Tällöin sopimustenhallinnassa voi olla kirjattuna suuri määrä yksityishenkilöitä sopimusosapuolina. TSA:n mukaan henkilötietojen käsittelyn perusteena on tällöin sopimuksen täytäntöönpano ja henkilötietoja saa käsitellä myös sopimustenhallintajärjestelmässä.
Vaikka organisaation pääasialliset sopimuskumppanit ovat yrityksiä, ne saattavat tehdä salassapitositoumuksia tai -sopimuksia suoraan myös sopimuskumppaneiden työntekijöiden tai omistajien kanssa. Esimerkiksi halutaan solmia henkilökohtainen salassapitositoumus toimittajan tai konsulttitalon vastuuhenkilön kanssa, viestintätoimiston konsulttien kanssa, yrityskauppaa hoitavien lakimiesten tai yritystään myyvien henkilöomistajien kanssa. Tällöin henkilöt ja salassa pidettävää tietoa saavat työntekijät sitoutuvat myös henkilökohtaisesti salassapitoon myös työnantajayrityksensä tekemän yleisen salassapitosopimuksen lisäksi. Näissä tilanteissa sopimukseen tai sitoumukseen sitoutunut henkilö on yksityishenkilö.
Yrityskauppatilanteissa yritysten osakekaupoissa myyjinä tai ostajina saattaa olla yksityishenkilöitä, eli myytävän tai ostavan osakeyhtiön henkilöosakkaita. Näissä M&A-sopimuksissa yrityksen toisena osapuolena ovat yksityishenkilöt, eli osakeyhtiön myyjä- tai ostajaosakkaat.
Tällaisen sopimuskumppanina olevan yksityishenkilön tietojen keräys voi vaatia minimissään nimitiedot, mutta toki myös tarkempaa yksilöintitietoa, kuten syntymäajan, henkilötunnuksen, osoitteen, sähköpostin, puhelinnumeron tai muun lisätiedon henkilöstä hänen tarkempaa tunnistamista ja erottumista varten.
Henkilötietojen käsittely on siis tarpeen sopimuksen täytäntöön panemiseksi, koska rekisteröity on sopimusosapuoli.
2. Oman organisaation sopimusvastuuhenkilö
Ei ydintieto
Työntekijät hoitavat sopimuksia johtamansa vastuualueen tai työtehtävän puitteissa. Heitä nimitetään yleisesti sopimusten ”omistajiksi” tai ”sopimusvastuuhenkilöiksi”. Nimitykset englannin kielisissä järjestelmissä ”contract owner” tai ”contract responsible person”. Sopimukset ovat yrityksen tekemiä ja se on niissä virallinen osapuoli. Sopimustenhallinnan kannalta sopimuksesta vastaavan henkilön tieto ei ole ns. pakollista sopimustenhallinnan ydintietoa.
Silti hyödyllinen tieto
Käytännön syistä suosittelen, että jokaiselle voimassaolevalla sopimukselle löytyy ja valitaan järjestelmään ainakin yksi oman organisaation vastuuhenkilö. Suosittelen myös tämän tiedon merkitsemistä pakotetuksi tiedoksi. Usein kysytään, että ”kuka tuo vastuuhenkilö sitten olisi?”. Hyvä nyrkkisääntö tähän on valita henkilö, joka kaupallisesti vastaa kyseisistä sopimuksista ja joka hoitaa asiaa sopimuksen tultua allekirjoitetuksi, myös siellä ihan oikeassa sopimuselämässä. Pyydän asiakasta tällöin kuvittelemaan henkilön, joka ottaisi puhelun sopimuskumppanille tai olisi mukana selvittämässä sopimukseen liittyvää epäselvyyttä tai ongelmaa, esimerkiksi reklamaatiotilannetta tai sopimuksen epäonnistumista. Näiden pohdintojen jälkeen organisaation on helpompi nimetä oikea henkilö tai henkilöt tuohon tietokenttään.
Sopimusvastuuhenkilöt on tapana listata sopimusasiakirjoissa selvästi: yhteyshenkilöotsikon alla tai erillisellä yhteyshenkilöliitteellä. Nämä nimitykset eivät ole aina pitkäkestoisia. Sopimuksissa myös velvoitetaan ilmoittamaan toiselle osapuolelle sopimusvastuuhenkilön päivittymisestä. Henkilö saattaa lähteä pois työpaikastaan, jäädä eläkkeelle tai vaihtaa tehtävästä toiseen.
Sopisiko siis tiimi tai tiimin sähköposti/jakelulista tuohon kenttään? Kyllä ja ei. Jollakin henkilöllä on organisaatiossa aina se päävastuu sopimuksen operatiivisesta hoitamisesta, kun pitää hoitaa sopimukseen liittyvä ongelmatilanne tai pitää tehdä päätös sopimuksen jatkamisesta tai päättämisestä. Jaettu vastuu on paettu vastuu! Sopimusvastuuhenkilötieto kannattaa määrittää myös moniarvoiseksi, eli siihen voi valita useamman henkilön. Työsuhteiden muutostilanteissa sopimusvastuu voidaan päivittää uudelle vastuuhenkilölle, tai ainakin esimiehelle.
Sopimustenhallintajärjestelmissä seurataan sopimusten elinkaarta tai muita määriteltyjä tarkastelupisteitä. Järjestelmän automaattisesti lähettämät hälytykset, seurantalistoille nostot tai järjestelmän lähettämät sähköpostiviestit on tavallisimmin sidottu valittuun sopimusvastuuhenkilötietoon. Tähän järjestelmän toimintaan tarvitaan henkilön nimitieto ja sähköpostiosoite. Valitun henkilön tulee olla aktiivinen ja läsnäoleva työntekijä, jonka vastuualueelle sopimus ja sen seuranta kuuluu.
3. Toisen sopimusosapuolen sopimusvastuuhenkilö
Onko sopimustenhallinnan kannalta tärkeää tietää kuka henkilö toisella sopimusosapuolen organisaatiossa vastaa sopimuksesta ja keneen voi olla yhteydessä sopimusasiasta?
Kyllä varmasti on. Mutta TSA:n voimaantulon jälkeen vuodesta 2018 eteenpäin monet organisaatiot ovat myös luopuneet uuden sopimustenhallintajärjestelmän käyttöönoton yhteydessä tietokentästä ja sopimusvastuuhenkilötiedon tallentamisesta. Pohdin asiaa tässä artikkelista molempien näkökulmien kannalta.
3.1 Syitä miksi sopimusvastuuhenkilö rekisteröidään järjestelmiin
Tässä hieman perusteluja ensin miksi tätä henkilötietoa halutaan ja voidaan edelleen tallentaa sopimustenhallintajärjestelmiin.
Omassa organisaatiossa saattaa vaihtua sopimusta hoitava henkilö. Uudella vastuuhenkilöllä voi olla tarpeen olla yhteydessä suoraan asiaa tuntevaan henkilöön sopimuskumppanilla. Jos tämä henkilö ei ole tiedossa, voi olla hankalaa tavoittaa suurissa organisaatioissa juuri oikeaa tahoa. Voihan yhteydenoton osoittaa yleisesti sopimustenhallintaan, mutta meneekö yhteydenotto silloin taloushallintoon, arkistoon, asiakas- tai hankintajärjestelmän pääkäyttäjälle vai jääkö asia yleiseen postinkäsittelyyn?
Usein yhteydenotolla on myös kiire. Sopimusmuutostilanteissa yhteydenoton pitää ohjautua viipymättä oikealla henkilölle käsittelyyn ja tietoon toisen osapuolen organisaatiossa. Kyseessä voi olla irtisanomis- tai purkuilmoitus, reklamaatio, fuusioilmoitus, yrityksen nimenmuutosilmoitus, sopimuksen siirtoilmoitus, maksu- tai laskutustietojen muutos tai siirtosuostumuksen pyytäminen liiketoimintasiirtotilanteessa. Ohjaamalla tiedon suoraan oikealle henkilölle, se menee nopeimmin käsittelyyn.
Sopimustenhallinta on operatiivinen järjestelmä ja elää sopimusmuutosten mukana koko sopimuksen elinkaaren ajan. Tästä tulee myös nimitys CLM, eli contract lifecycle management. Arkisto ei ole oikea nimitys, koska järjestelmään ei tallenneta ja rekisteröidä vain sopimuksen vientihetkellä olevaa tietoa. Jos oman organisaation sopimusvastuuhenkilö vaihtuu, siitä olisi hyvä kertoa myös sopimuskumppanille. Siis siellä oikeassa elämässä! Sopimustenhallintajärjestelmään kirjattu tieto kertoo kenelle se on tiedotettava.
TSA ja henkilötietojen käsittely toisen sopimusosapuolen yhteyshenkilön osalta
Henkilötietojen käsittelyssä on muutamia perusperiaatteita. Sopimustenhallinnassa henkilötietojen käsittelyn perusteena tulee esiin sopimuksen täytäntöönpano tai oikeutettujen etujen toteuttaminen.
Käyttötarkoitussidonnaisuuden kannalta sopimushallinnassa henkilötietoja on kerättävä tiettyä nimenomaista tarkoitusta varten. Sopimusosapuolen sopimusvastuullisten henkilötietojen rekisteröinnin tarkoitus on selvä. Oikeutettu etu perustuu asiakas- tai palvelusuhteeseen. Arvioinnissa on merkityksellistä se, että tietojen käsittely on tarpeen organisaation oikeutettujen etujen toteuttamiseksi eikä puolestaan henkilön edut, oikeudet tai vapaudet syrjäytä tätä tarvetta. Näin ollen organisaation intressi tietojen käsittelylle on suurempi kuin henkilön tarve tietosuojalle. Lisäksi on hyvä pohtia voiko rekisteröity, eli sopimusosapuolen sopimusvastuuhenkilö, kohtuudella odottaa henkilötietoja kerättäessä, että niitä voidaan käsitellä tätä tarkoitusta varten, eli kirjata hänen henkilötietojaan sopimuskumppanin sopimustenhallintajärjestelmään yhteyshenkilötiedoksi. Käyttötarkoitussidonnaisuuden periaate on olemassa niin kauan, kun rekisteröity hoitaa tätä sopimusvastuutehtävää ja/tai on työnantajaorganisaation palveluksessa.
Kerättäviä henkilötietoja on myös minimoitava: henkilötietojen tulee olla riittäviä, olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoituksen määrittelyssä. Niiden on oltava myös täsmällisiä ja tarpeen mukaan päivitettyjä. Epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä.
Kun säilyttämiselle ei ole enää perusteita, henkilötiedot tulee poistaa tai pseudonymisoida.
- Esimerkiksi kun sopimus on päättynyt, voi olla aiheellista poistaa sopimuskumppanin vastuuhenkilön tiedot sopimustenhallintajärjestelmän metatiedoista. Yhteydenottoa tuskin enää sopimusasioissa tarvitaan, jos kaikki sopimusvelvoitteet on hoidettu loppuun.
Oikeutettu etu
TSA johdannon 47 kohdan mukaan on otettava huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen merkitykselliseen ja asianmukaiseen suhteeseen. Oikeutettu etu voi perustua myös esimerkiksi asiakas- tai palvelusuhteeseen. Sitä arvioitaessa on merkityksellistä mm voiko rekisteröity kohtuudella odottaa henkilötietojaan kerättäessä, että niitä voidaan käsitellä kyseessä olevaa tarkoitusta varten. Tässä tilanteessa toisen osapuolen sopimusvastuuhenkilö voi pohtia, miten järkevä henkilö rekisteröidyn asemassa olettaisi tietojaan käytettävän tässä yhteydessä.
- Jos oman organisaation ja sopimuskumppanin sopimusvastuuhenkilöiden tiedot merkitään sopimusasiakirjaan tai sen yhteyshenkilöliitteelle, on heidän kohtuudella voitava odottaa, että tietoa kerätään ja käsitellään myös rekisteröitynä henkilötietona sopimustenhallintajärjestelmissä omassa ja toisen osapuolen tietojärjestelmissä.
Lisäksi on otettava huomioon käyttötarkoitussidonnaisuuden periaate sekä TSA 6 artiklan 2 kohdassa toissijaisesta käytöstä sanottu.
Jos on oikeutetun edun peruste, on tehtävä rekisteröidyn etuja koskeva punninta, ns. tasapainotesti. Jos rekisteröidyn edut ja oikeudet eivät ole painavampia kuin rekisterinpitäjän intressi henkilötietojen käsittelyyn, henkilötietoja saa käsitellä.
- Rekisterinpitäjän intressi on tällaisessa tilanteessa olemassa ja mielestäni suurempi, kuten tässä artikkelissa on erilaisissa sopimustenhallinnan hoitamiseen ja muutostilanteisiin liittyen kuvattu.
Oikeutetun edun on oltava lainmukaista ja asianmukaista. Tämä täyttyy, kun rekisteröity on rekisterinpitäjän asiakas/toimittaja/muu sopimuskumppani ja tällaisen tahon palveluksessa. Tällöin henkilötietojen käsittelyä rajoittavat periaatteet:
- asianmukaisuus
- läpinäkyvyys
- käyttötarkoitussidonnaisuus
- täsmällisyys
- tietojen minimoinnin periaate (tietojen minimointi ja poistaminen heti, kun niiden käsittely ei ole tarpeen ja että tietoja ei voida käyttää henkilöä koskevaan päätöksentekoon).
Rekisterinpitäjän tulee valmistautua perustelemaan rekisteröidylle, miksi henkilötietojen käsittely on rekisterinpitäjän oikeutetun edun mukainen.
- Tämä on hyvä kirjata jo järjestelmän vaikutustenarviointiin sekä tietosuojaselosteeseen.
3.2 Syitä miksi sopimusvastuuhenkilötietoa ei enää rekisteröidä
Monet organisaatiot ovat myös luopuneet tai jättäneet ottamatta käyttöön uusissa järjestelmissä tietokentän ”other contract party contact person” tai ”toisen sopimusosapuolen sopimusvastuuhenkilö”.
Sopimukselle kirjatut henkilöt eivät välttämättä ole työtehtävissään pitkään tai hoida sopimusvastuualuetta koko työuraansa, tai edes koko sopimuksen voimassaoloaikaa. Tiedon ajantasaisuuteen ei voida luottaa. Aina tuo tieto henkilövaihdoksesta ei saavuta omaa sopimusorganisaatiota tai se jää kirjaamatta sopimustenhallintaan.
Organisaatiot haluavat myös keventää omia tietosuojavelvoitteitaan. Vaikka henkilötiedon kirjaamiselle olisi asianmukainen käyttötarkoitus, sopimuksen toteuttaminen tai oikeutettu etu, on rekisteröidyllä henkilöllä silti oikeuksia henkilötietojensa suhteen seuraavissa tilanteissa:
- oikeus saada tietoa henkilötietojensa käsittelystä
- oikeus saada vahvistus käsitelläänkö hänen henkilötietojaan rekisterinpitäjällä
- oikeus saada pääsy tietoihin
- oikeus tietojen oikaisemiseen
- oikeus tietojen poistamiseen
- oikeus käsittelyn rajoittamiseen
- oikeus vastustaa henkilötietojen käsittelyä.
Rekisteröityjen oikeudet voivat lisätä rekisterinpitäjälle ylimääräistä hallinnollista tietosuojavastuuta. Siksi organisaatio punnittuaan asiaa, saattaa jättää omassa suunnitelmassaan ja teknisessä toteutuksessa tämän henkilötiedon rekisteröinnin ja käsittelyn pois sopimustenhallintajärjestelmästään.
Henkilötietojen on oltava myös täsmällisiä ja tarvittaessa päivitettyjä. Tuhansia voimassaolevia asiakas- ja toimittajasopimuksia sisältävät sopimustenhallintajärjestelmät eivät realistisesti voi olla aina ajan tasalla henkilötietojen osalta. Tämä vaikuttaa usealla asiakkaallani päätökseen, halutaanko sopimusvastuuhenkilöiden tietoja rekisteröidä sopimustenhallintajärjestelmään olleenkaan.
Muu käsittelytarkoitus – rekisteröityjä on informoitava
Henkilötietojen käsittely muita kuin alkuperäistä tarkoitusta varten on sallittua vain silloin kun käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty.
Henkilötietoa ei saa käyttää muuhun tarkoitukseen kuin mitä on kirjattu. Sopimustenhallinnan kannalta on tärkeä tietää ja tavoittaa sopimuskumppanina oleva yksityishenkilö, organisaation sopimuksesta vastaava henkilö sekä omassa organisaatiossa että sopimuskumppanilla. Kuten edellä on kerrottu, sopimukseen liittyvien tiedonantojen perillemeno vaatii sopimusvastuuhenkilön tavoittamista sopimuksen muutostilanteissa tai ongelmatilanteissa. Tämä tuleekin kirjata henkilötiedon käsittelyn tarkoitukseksi. Kiellettynä käyttötarkoituksena voi olla sopimuksen toteuttamiseen ja kaupalliseen toimintaan liittymätön muu käyttötarkoitus, esimerkiksi suorarekrytointiyhteydenotto.
Kerätyn tiedon luonne, tiedon minimointi – suositus
Sopimustenhallintajärjestelmässä toisen osapuolen henkilötietojen tarkoituksenmukainen kerääminen sisältää mielestäni suosituksena nämä alla luetellut tiedot. Ne ovat sopimustenhallinnan kannalta riittäviä, olennaisia ja rajoittuvat siihen, mikä on välttämätöntä niiden käsittelyn tarkoituksen kannalta.
- Nimi
- Titteli sekä tarvittaessa kuvaus sopimusvastuuhenkilön roolista sopimuksen toteuttamisessa. Esimerkiksi kaupallinen vastuuhenkilö, myynti, hankinta, tekninen vastuuhenkilö, projektipäällikkö tms. rooli.
- Organisaation nimi, jos eri kuin sopimuskumppanitieto. Sopimusvastuuhenkilö voi olla työsuhteessa myös varsinaisen sopimuskumppanin alihankkijalla, jolloin tämä tieto tarvitaan lisäksi.
Käyttötarkoitus saattaa sisältää myös yhteystietojen keräämistä, kuten postiosoitteen, sähköpostiosoitteen tai puhelinnumerotiedon. Näitä ei mielestäni tarvitse rekisteröidä ja tallentaa järjestelmään. Ne lisäävät tallennustaakkaa ja tietojen oikeellisuuden tarkistusvastuuta. Nämä tiedot on helppoa ja edullista selvittää muista lähteistä, jos yhteydenottoa tarvitaan.
Herättikö blogiartikkelini kysymyksiä tai haluatko kartoittaa käyttämäsi sopimustenhallintajärjestelmän henkilötietojen käsittelyä? Olethan yhteydessä Marita Willman, Contractia Oy.
Lähteet: Tietosuoja (Korpisaari-Pitkänen-Warma-Lehtinen), Alma Talent 2022
Jätä kommentti ja keskustele aiheesta lisää. Sähköpostiosoitettasi ei julkaista. Kommenttisi tarkistetaan ennen julkaisua.