TAL2023 henkilötietojen käsittelyn sopimuksen kohtaa vastuunrajoituksesta on muutettu
TAL-sopimuskokonaisuuteen sisältyvässä sopimuksessa henkilötietojen käsittelystä on määräyksiä vastuunrajoituksesta sekä euromääräinen vastuunrajoitus. Teimme sopimukseen muutoksen ja esitämme tässä ohjeessa ratkaisumalleja, miten henkilötietojen käsittelyä koskevan vastuunrajauksen muutoksesta voidaan tarvittaessa sopia asiakkaan kanssa.
TAL-sopimuskokonaisuuteen sisältyvässä sopimuksessa henkilötietojen käsittelystä on määräyksiä vastuunrajoituksesta sekä euromääräinen vastuunrajoitus:
Toimeksiantosopimuksen mukaisia vastuunrajoituksia sovelletaan myös tähän sopimukseen. Jos vastuunrajoituksista ei ole toimeksiantosopimuksessa sovittu, noudatetaan seuraavaa:
Tilitoimisto vastaa vain huolimattomuudestaan johtuvista välittömistä vahingoista. Tilitoimisto ei vastaa välillisistä vahingoista, kuten tulon, liikevaihdon tai markkinoiden menetyksestä, tuotannon tai palvelun keskeytymisestä, saamatta jääneestä voitosta taikka muusta niihin verrattavasta vahingosta.
Jos kolmas osapuoli tekee osapuolelle henkilötietojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos tilitoimisto joutuu maksamaan kolmannelle osapuolelle vahingonkorvausta, asiakkaan on hyvitettävä tilitoimistolle tästä aiheutunut menetys sikäli kuin se ei johdu tilitoimiston virheestä tai laiminlyönnistä sopimusehtojen noudattamisessa.
Tilitoimiston vastuun enimmäismäärä on kuitenkin aina enintään 10.000 euroa yhdessä vahinkotapahtumassa ja saman tilikauden aikana ilmenneistä vahinkotapahtumista yhteensä enintään 20.000 euroa, ellei muusta enimmäismäärästä ole nimenomaisesti sopimuksessa sovittu.
Vahinko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan tilikauteen. Vahingon katsotaan ilmenneen kokonaan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin vahingon osa ilmenisi muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta tilitoimistolle muuta seuraamusta kuin mitä edellä on todettu.
TAL2023 sopimuksen yleisissä sopimusehdoissa olevaa, oletuksena olevaa euromääräistä vastuunrajoitusta nostettiin yleisten ehtojen kohdan 25 toisessa kappaleessa seuraavasti:
Tilitoimisto vastaa vain huolimattomuudestaan johtuvista vahingoista. Tilitoimiston vastuun enimmäismäärä per asiakkaan tilikausi on suurempi seuraavista:
- kaksikymmentäviisituhatta (25.000) euroa, tai
- tilitoimiston asiakkaalta viimeisimpien kahdentoista (12) kuukauden aikana laskuttamien palveluveloitusten (alv 0) määrä.
Edellä mainittuja tilitoimiston vastuuta rajoittavia enimmäismääriä sovelletaan, ellei muusta enimmäismäärästä ole nimenomaisesti kirjallisesti sovittu.
Tässä ohjeessa esitetään ratkaisumalleja, miten henkilötietojen käsittelyä koskevan vastuunrajauksen muutoksesta voidaan tarvittaessa sopia asiakkaan kanssa.
Asian taustaa
Taloushallintoalan sopimuspaketti sisältää yhtenä osana sopimuksen henkilötietojen käsittelystä. Tässä sopimuspaketin osassa on käsitelty tietosuoja-asetuksen ja muun tietosuojalainsäädännön edellyttämiä aihealueita.
Kun TAL2018-sopimuspakettia tehtiin, tietosuoja-asetus oli juuri tullut voimaan. Asetuksen myötä henkilötietojen käsittelystä piti/pitää sopia kirjallisesti. Sopimus henkilötietojen käsittelystä sisältyi yhtenä osana TAL2018-sopimuskokonaisuuteen, mutta sitä haluttiin voitavan hyödyntää myös sellaisenaan itsenäisenä sopimusasiakirjana. Tämän vuoksi vastuunrajoituksen oletusmäärä 10 000/20 000 euroa sisällytettiin yleisten sopimusehtojen lisäksi myös sopimukseen henkilötietojen käsittelystä.
Sopimuksen ja sen liitteiden soveltamisjärjestys tällä hetkellä
Sopimuksia ja vastuunrajoituksia sovelletaan tällä hetkellä seuraavassa järjestyksessä:
- Sopimuksen etusivulla kirjattu vastuunrajoitus (jos kirjattu)
- Sopimuksessa henkilötietojen käsittelystä kirjattu vastuunrajoitus (jos etusivulla ei ole sovittu muuta tai oletussummaa ei ole muutettu sopimuksessa henkilötietojen käsittelystä)
HUOM. Tätä sovelletaan vain henkilötietojen käsittelyssä aiheutuneisiin vahinkoihin.
- Yleisissä sopimusehdoissa esitetty vastuunrajoitus
Näin ollen saatetaan olla tilanteessa, jossa yleisissä sopimusehdoissa TAL2023 on suurempi vastuunrajoitus kuin sopimuksessa henkilötietojen käsittelystä. Tällöin henkilötietojen käsittelyyn liittyvässä vahingossa tulee noudatettavaksi sopimuksessa henkilötietojen käsittelystä kirjattu pienempi vastuunrajaus.
Asia ei mielestämme muodosta suurta tai kiireellisesti ratkottavaa ongelmaa. Henkilötietojen käsittelystä aiheutuneet vahingonkorvaukset ovat tilitoimistoissa olleet äärimmäisen harvinaisia. Muissa vahingonkorvauksissa noudatetaan yleisten sopimusehtojen vastuunrajoituksia, ellei sopimuksen etusivulle ole toisin sovittu.
Miten toimia?
Yleisten sopimusehtojen muutoksista on sopimusehtoihin kirjattu selkeä muutosmekanismi. Näin yleisten sopimusehtojen muutokset voidaan saattaa voimaan tilitoimiston ilmoituksella. Sopimus henkilötietojen käsittelystä ei kuitenkaan sisällä tällaista muutosmekanismia. Näin ollen sen muuttaminen edellyttää asiakkaan kanssa sopimista, vaikka tässä tapauksessa muutos olisi asiakkaan kannalta edullinen.
Muokkasimme henkilötietojen käsittelysopimuksen vastuunrajoituslauseketta. Tämän johdosta:
- Tilitoimiston uusilla asiakkailla vastuunrajoitus on joko etusivulle kirjattu euromäärä tai yleisten sopimusehtojen euromäärä.
- Nykyasiakkaiden osalta tilitoimisto voi halutessaan allekirjoituttaa sopimuspaketin uudelleen sopivana ajankohtana, esimerkiksi kun sopimuskokonaisuuteen tulee asiakkaan kanssa muitakin muutoksia. Tällöin allekirjoitettavaksi tulevassa sopimuksessa henkilötietojen käsittelyssä ei ole vastuunrajoituksen euromääriä.
Alla henkilötietojen käsittelysopimuksen uusittu vastuunrajoituksia koskeva teksti:
VASTUUNRAJOITUS
Toimeksiantosopimuksen mukaisia vastuunrajoituksia sovelletaan myös tähän sopimukseen. Jos vastuunrajoituksista ei ole toimeksiantosopimuksessa erikseen muuta sovittu, noudatetaan vastuun rajoituksia sisältäviä Yleiset Sopimusehdot TAL 2023 olevia ehtoja, ellei pakottavasta lainsäädännöstä henkilötietojen käsittelyssä muuta yksittäistapauksessa johdu.
Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.
Sopimus henkilötietojen käsittelystä ja kaikki muut TAL2023-sopimuskokonaisuuteen kuuluvat dokumentit löytyvät Taloushallintoliiton jäsensisällöistä.