Non-Disclosure Agreement (NDA) Finland

A Non-Disclosure Agreement (NDA, salassapitosopimus) in Finland is a binding written contract governed by the Contracts Act (oikeustoimilaki 228/1929) and the Trade Secrets Act (liikesalaisuuslaki 595/2018), which implements the EU Trade Secrets Directive 2016/943. It restricts the disclosure and use of designated confidential information between the disclosing and receiving party and is enforceable before a Finnish district court (käräjäoikeus) under Finnish law. The agreement may be drafted as a one-way undertaking or as a mutual NDA where both parties exchange sensitive business information such as source code, customer data, financial figures and M&A plans. Breach exposes the receiving party to a contractual penalty, damages, injunctions and, for intentional trade secret infringement, criminal liability.

Salassapitosopimus Suomessa soveltuu laajaan kirjoon liiketoimintatilanteita, joissa luovuttava osapuoli haluaa suojata liiketoiminnan kannalta arkaluonteista tietoa luvattomalta leviämiseltä. Seuraavat tilanteet edellyttävät kirjallisen salassapitosopimuksen laatimista ennen tietojenvaihtoa, ja niiden oikeudellinen perusta nojaa oikeustoimilakiin (228/1929), liikesalaisuuslakiin (595/2018) ja tietosuojalakiin (1050/2018).

Yrityskaupat ja due diligence (M&A). Mahdollista yrityskauppaa, sulautumista tai suurempaa osakesijoitusta arvioitaessa myyjän on luovutettava arkaluonteista liiketoimintatietoa mahdolliselle ostajalle: tilinpäätökset, asiakassopimukset, työsopimukset, immateriaalioikeudet (tavaramerkit PRH:ssa, patentit, tekijänoikeudet), vireillä olevat riidat ja verovastuut. Molemminpuolinen salassapitosopimus (mutual NDA) suojaa molempia osapuolia neuvotteluvaiheessa. Toimialaesimerkki: M&A-neuvonantajat ja asianajotoimistot käyttävät vakioituja NDA-sopimuksia ennen jokaista due diligence -prosessia. Pörssiyhtiötä koskevissa kohteissa tulee lisäksi sisäpiirikaupan suoja arvopaperimarkkinalain (746/2012) mukaan Finanssivalvonnan valvonnassa, eikä salassapitosopimuksella voida kiertää näitä velvoitteita.

Pääomasijoitukset ja rahoitus. Kun startup-yritys neuvottelee A-, B- tai C-kierroksen rahoituksesta pääomasijoitusrahastojen kanssa, yhtiön on jaettava liiketoimintasuunnitelma, tuotekartta, tuottoennuste, taloudelliset tunnusluvut, tekninen arkkitehtuuri ja kilpailija-analyysi. Sijoittajat, jotka arvioivat rinnakkain useita saman toimialan yhtiöitä, tarvitsevat puolestaan salassapitovelvollisuuden suojatakseen omat sisäiset sijoitusstrategiansa. Salassapitosopimus suojaa yhtiötä koko esittelyvaiheen ja term sheet -neuvottelun ajan liikesalaisuuslain (595/2018) 2 §:n mukaisesti.

Yhteinen tuotekehitys ja yhteisyritykset. Yhtiöiden yhteistyössä uuden tuotteen tai palvelun kehittämiseksi (yhteiskehitys, yhteistyösopimus, yhteisyritys) vaihdetaan teknistä dokumentaatiota, lähdekoodia, suunnittelutiedostoja, markkina-analyysiä ja liiketoimintasuunnitelma. Toimialaesimerkki: teollisuusyritykset ja niiden alihankkijat, tutkimuskumppanit sekä pienemmät suomalaiset SaaS-yritykset, jotka tekevät yhteistyötä integraatiokumppanien kanssa. Sopimus tulee yhdistää yhteistyösopimukseen, joka sääntelee immateriaalioikeuksien omistusta, tuottojen jakoa ja exit-ehtoja oikeustoimilain (228/1929) mukaisesti.

Konsulttitoimeksiannot, joihin liittyy pääsy arkaluonteiseen tietoon. Konsultit, freelancerit ja alihankkijat, jotka palkataan liiketoimintastrategiaan, IT-kehitykseen, markkina-analyysiin, M&A-neuvontaan tai HR-uudelleenjärjestelyyn, saavat usein pääsyn arkaluonteiseen tietoon. Toimialaesimerkki: kansainväliset ja suomalaiset konsulttiyhtiöt. Salassapitosopimus yhdistetään tarkoituksenmukaisesti konsulttisopimukseen, joka sääntelee toimeksiannon laajuutta, palkkiota ja työtulosten immateriaalioikeuksien luovutusta työsopimuslain (55/2001) ja toimeksiantajan ohjeiden mukaisesti.

Franchising- ja jakelusopimukset. Franchisingantajat, jotka luovuttavat liiketoimintakonseptin, tavaramerkkikäsikirjan, toimittajasopimukset ja hinnoittelun franchisingottajille, tarvitsevat salassapitovelvollisuuden suojatakseen liiketoimintamallin. Jakelijat, jotka saavat pääsyn toimittajasopimuksiin, katerakenteeseen ja asiakastietoihin, tarvitsevat salassapitovelvollisuuden estääkseen vuotoja kilpailijoille. Salassapitosopimus muodostaa keskeisen osan franchisingsopimusta ja jakelusopimusta, ja siihen sovelletaan oikeustoimilain (228/1929) lisäksi kauppalakia (355/1987) tavarakaupan osalta.

IT-palveluiden ja pilvipalveluiden ulkoistaminen. IT-toiminnan, hostingin, data-analytiikan tai liiketoimintaprosessien ulkoistaminen palveluntarjoajille edellyttää salassapitovelvollisuutta asiakasdatan, liiketoimintalogiikan ja turvatoimien suojaamiseksi. Salassapitosopimus tulee yhdistää GDPR 28 artiklan mukaiseen tietojenkäsittelysopimukseen ja palvelusopimukseen, joka sääntelee palvelutasoa (SLA), tietoturvaa ja exit-oikeuksia. Henkilötietoja käsiteltäessä tulee lisäksi tietosuojavaltuutetun valvonta yleisen tietosuoja-asetuksen (GDPR, EU 2016/679) ja tietosuojalain (1050/2018) mukaan.

Työsuhteet, joihin liittyy pääsy liikesalaisuuksiin. Salassapitosopimus työntekijöiden tai työnhakijoiden kanssa, jotka rekrytointiprosessin aikana saavat tietoa yhtiön toiminnasta, palkkajärjestelmästä, asiakaskunnasta tai vireillä olevista hankkeista. Toimitusjohtajaa, myyntijohtajaa tai IT-johtajaa rekrytoitaessa salassapitosopimus on erityisen tärkeä, koska hakija saa usein pääsyn strategiseen tietoon. Työsuhteessa salassapitosopimus yhdistetään työsopimukseen työsopimuslain (55/2001) mukaisesti ja mahdolliseen kilpailukieltosopimukseen, jota säätelee työsopimuslain 3 luvun 5 §.

Immateriaalioikeuksien lisensointi. Patenttien (rekisteröity PRH:ssa), tavaramerkkien, tekijänoikeuksien tai liikesalaisuuksien lisensoinnissa jaetaan teknistä dokumentaatiota, markkinadataa ja liiketoimintasuunnitelma. Salassapitosopimus suojaa lisenssinantajan osaamista (know-how) ennen lisenssisopimuksen allekirjoittamista ja myös allekirjoittamisen jälkeen tiedolle, jota lisenssi ei suoraan kata. Kansainvälisissä lisenssisopimuksissa tulee lisäksi sovellettava laki ja oikeuspaikka; Suomen lakia sovelletaan yleensä suomalaisten osapuolten välillä Helsingin käräjäoikeus oikeuspaikkana.

Neuvottelut kaupallisista sopimuksista. Neuvoteltaessa suuremmista kaupallisista sopimuksista (toimittajasopimukset, jakelusopimukset, julkisen sektorin puitesopimukset hankintalain mukaan) jaetaan hinnoittelu, katerakenne, toimitusehdot ja tuotekartta. Salassapitosopimus estää neuvottelutietojen vuotamisen kilpailijoille tai medialle. Julkisissa hankinnoissa tulee lisäksi Kilpailu- ja kuluttajaviraston (KKV) valvonta ja mahdollisuus valittaa markkinaoikeuteen, joka käsittelee hankintariidat. Velan vanhentumislain (728/2003) mukaan sopimusperusteinen vaatimus vanhenee pääsääntöisesti kolmessa vuodessa, mikä vaikuttaa myös salassapitosopimukseen perustuviin vaatimuksiin.

Salassapitosopimus Suomessa sisältää oikeudellisen pätevyyden ja käytännön täytäntöönpanokelpoisuuden vuoksi seuraavat elementit oikeustoimilain (228/1929), liikesalaisuuslain (595/2018) ja tietosuojalain (1050/2018) mukaan.

Osapuolten yksilöinti. Täydellinen toiminimi, kotipaikka ja Y-tunnus (NNNNNNN-N, seitsemän numeroa ja tarkistusmerkki PRH:n kaupparekisteristä) oikeushenkilöille. Luonnollisille henkilöille: etu- ja sukunimi, kotiosoite ja henkilötunnus (DDMMYY-NNNN). Nimenkirjoitusoikeudellinen edustaja nimineen ja asemineen, joka oikeudellisesti edustaa yhtiötä osakeyhtiölain (624/2006) tai muiden yhtiömuotojen vastaavien säännösten mukaan. Avoimissa yhtiöissä ja kommandiittiyhtiöissä sovelletaan lakia avoimesta yhtiöstä ja kommandiittiyhtiöstä (389/1988); osuuskunnissa osuuskuntalakia (421/2013).

Voimaantulopäivä ja kesto. Konkreettinen voimaantulopäivä salassapitovelvollisuudelle suomalaisessa päivämäärämuodossa (PP.KK.VVVV). Liikesalaisuuslain (595/2018) 2 §:n mukaisille liikesalaisuuksille: rajoittamaton aika niin kauan kuin tieto säilyttää kaupallisen arvonsa eikä ole tullut yleisesti tunnetuksi; tavanomaiselle liiketoimintatiedolle: käytännössä kolme tai viisi vuotta sopimuksen päättymisen jälkeen, pidemmän tai rajoittamattoman ajan mahdollisuudella, jos se kohtuullisesti liittyy tiedon luonteeseen. Ei laissa säädettyä enimmäisaikaa toisin kuin kilpailukieltosopimuksessa, jossa painavan syyn vaatimus työsopimuslain (55/2001) 3 luvun 5 §:n mukaan rajaa keston.

Luottamuksellisen tiedon määritelmä. Konkreettiset kategoriat, jotka kuuluvat salassapitovelvollisuuden piiriin: lähdekoodi ja algoritmit, asiakastiedot ja CRM-data, liiketoimintastrategia ja M&A-suunnitelmat, taloudelliset luvut (liikevaihto, katteet, kustannusrakenne), HR-tiedot ja palkat, vireillä olevat patenttihakemukset PRH:ssa, toimittajasopimukset ja hintarakenne, kaupalliset ennusteet, tekniset piirustukset ja suunnittelutiedostot. Liian laaja muotoilu (”kaikki tieto, johon vastaanottaja saa pääsyn”) on käytännössä hallitsematon ja rajoittaa vastaanottajan yleistä markkinatuntemusta kohtuuttomasti.

Poikkeukset salassapitovelvollisuudesta. Neljä kategoriaa EIVÄT kuulu salassapitovelvollisuuden piiriin: ensiksi yleisesti tunnettu tieto ilman vastaanottajan myötävaikutusta; toiseksi laillisesti kolmannelta osapuolelta ilman salassapitovelvollisuutta vastaanotettu tieto; kolmanneksi itsenäisesti kehitetty tieto ilman luovuttavan osapuolen tiedon käyttöä; neljänneksi tieto, joka on luovutettava lain tai tuomioistuimen päätöksen nojalla (edellyttäen että luovuttavalle osapuolelle ilmoitetaan hyvissä ajoin). Ilmoittaminen ilmoittajansuojelulain (1171/2022) mukaan on aina sallittua ilman sakkoriskiä; vastaanottaja voi ilmoittaa moitittavista teoista toimivaltaiselle viranomaiselle rikkomatta salassapitovelvollisuutta.

Tarkoitus ja sallittu käyttö. Konkreettinen kuvaus tietojenvaihdon tarkoituksesta (M&A due diligence, yhteinen tuotekehitys, sijoitusarviointi, konsulttitoimeksianto, lisenssineuvottelu). Vastaanottava osapuoli saa käyttää tietoa yksinomaan sovittuun tarkoitukseen eikä omaksi tai kolmannen osapuolen hyödyksi. Kielto kopioida, jakaa, julkaista tai lähettää sosiaaliseen mediaan (LinkedIn, X, Facebook, TikTok) ilman luovuttavan osapuolen kirjallista ennakkosuostumusta. Täydellisen tarkistuslistan ja siihen liittyvät mallit löydät osoitteesta forms-legal.com.

Suojaustoimet ja käsittely. Konkreettiset vaatimukset turvalliselle käsittelylle: vahvat salasanat ja kaksivaiheinen tunnistautuminen, työaseman lukitseminen poistuttaessa, ei luvattomia kopioita, ei yhtiön laitteiden yksityiskäyttöä luottamuksellisten tietojen tallentamiseen, ei julkisen wifin käyttöä luottamuksellisten järjestelmien käyttöön, ei keskustelua julkisissa tiloissa (junat, kahvilat, lentokoneet). Kolmannen osapuolen pyyntöjen yhteydessä (toimittajat, kilpailijat, rekrytoijat) kysyjä ohjataan välittömästi luovuttavan osapuolen puoleen antamatta itse asiatietoja.

GDPR:n mukainen henkilötietojen käsittely. Viittaus yleiseen tietosuoja-asetukseen (GDPR, EU 2016/679) ja tietosuojalakiin (1050/2018): vastaanottajan tulee noudattaa GDPR 5 artiklan kuutta käsittelyperiaatetta (lainmukaisuus, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus) ja ilmoittaa henkilötietojen tietoturvaloukkauksesta viipymättä GDPR 33 artiklan mukaisesti tietosuojavaltuutetulle 72 tunnin kuluessa. Erityisiin henkilötietoryhmiin kuuluvien tietojen (terveys, etninen alkuperä, uskonto) käsittely vain GDPR 9 artiklan tiukoin edellytyksin.

Palauttaminen ja poistaminen sopimuksen päättyessä. Sopimuksen päättyessä vastaanottajan on palautettava viipymättä kaikki luottamuksellisen tiedon tallennusvälineet (tietokoneet, USB-muistit, paperit, puhelimet, kulkukortit) ja poistettava lopullisesti kaikki sähköiset kopiot yksityisistä laitteista, pilvipalveluista (Dropbox, Google Drive, OneDrive, iCloud, Box) ja sähköpostiarkistosta (Gmail, Outlook). Pyynnöstä luovuttavalle osapuolelle: kirjallinen poistotodistus. Ei kopioita, yhteenvetoja tai muistiinpanoja omaan käyttöön.

Sopimussakkolauseke. Sopimussakko rikkomusta kohden (esimerkiksi 10 000-50 000 euroa liikesalaisuuden rikkomisesta) sekä mahdollinen lisäsakko päivää kohden jatkuvasta rikkomuksesta (esimerkiksi 500-2 500 euroa/päivä). Sakon tulee olla suhteessa rikkomuksen vakavuuteen; kohtuuttoman korkeaa sakkoa sovitellaan käräjäoikeudessa oikeustoimilain 36 §:n nojalla. Määräys siitä, ettei sakko rajoita oikeutta täyteen vahingonkorvaukseen, hyvitykseen luvattomasta käytöstä, kieltoihin ja oikaisutoimiin liikesalaisuuslain mukaisesti tai rikosilmoitukseen.

Ilmoittajansuoja. Nimenomainen vahvistus siitä, ettei salassapitovelvollisuus estä ilmoittamista ilmoittajansuojelulain (1171/2022) mukaan sisäiseen ilmoituskanavaan, ulkoiselle viranomaiselle (oikeuskansleri, Kilpailu- ja kuluttajavirasto, syyttäjälaitos, Verohallinto, tietosuojavaltuutettu) tai tuomioistuimelle epäillyistä moitittavista teoista (korruptio, petos, kilpailurikkomus, ympäristörikos, EU-oikeuden rikkominen). Vastaanottaja suojataan vastatoimilta luovuttavan osapuolen taholta (irtisanominen, uudelleensijoittaminen, häirintä) ilmoituksen jälkeen.

Sovellettava laki ja oikeuspaikka. Suomen lakia sovelletaan; riidat pyritään ratkaisemaan ensin neuvotteluin ja ratkaistaan sen jälkeen toimivaltaisessa käräjäoikeudessa oikeudenkäymiskaaren mukaisesti (yleensä luovuttavan osapuolen kotipaikan käräjäoikeus). Kiireellisissä tilanteissa: turvaamistoimi oikeudenkäymiskaaren 7 luvun mukaisesti uhkasakon tehosteella. Välityslausekkeen yhteydessä sovelletaan välimiesmenettelylakia (967/1992). Suosittelemme tutustumaan liittyviin malleihin kuten konsulttisopimus, palvelusopimus ja yhteistyösopimus täydellistä kaupallista dokumentaatiota varten.

Salassapitosopimus Suomessa laaditaan huolellisesti seuraavien vaiheiden kautta, jotka osapuolet käyvät läpi yhdessä mahdollisten neuvonantajien (asianajaja, lakimies, M&A-neuvonantaja) kanssa.

Vaihe 1 - Yksilöi osapuolet täydellisesti. Ilmoita toiminimi, kotipaikka ja Y-tunnus (NNNNNNN-N, seitsemän numeroa ja tarkistusmerkki PRH:n kaupparekisteristä) oikeushenkilöille (Oy, Ay, Ky, osuuskunta). Luonnollisille henkilöille: etu- ja sukunimi, kotiosoite ja henkilötunnus (DDMMYY-NNNN). Nimenkirjoitusoikeudellinen edustaja konkreettisessa asemassa, joka oikeudellisesti edustaa yhtiötä osakeyhtiölain (624/2006) mukaan (tyypillisesti toimitusjohtaja tai hallituksen puheenjohtaja). Ulkomaisten osapuolten osalta: tarkista edustusoikeus vastaavan rekisterin otteella kotimaasta.

Vaihe 2 - Määritä sopimuksen voimaantulopäivä. Täytä voimaantulopäivä suomalaisessa päivämäärämuodossa (PP.KK.VVVV, esimerkiksi 01.09.2026). Päivän tulee osua yhteen tai edeltää luottamuksellisen tiedon ensimmäistä vaihtoa. Takautuvaa kattavuutta varten (tieto on jo jaettu suullisesti aiemmissa tapaamisissa): sisällytä lauseke, joka nimenomaisesti ilmoittaa, että sopimus kattaa aiemmin vaihdetun tiedon ilmoitetusta päivästä taaksepäin liikesalaisuuslain (595/2018) mukaisesti.

Vaihe 3 - Kuvaa tarkoitus konkreettisesti. Ilmoita, miksi osapuolet vaihtavat luottamuksellista tietoa: M&A due diligence, yhteinen tuotekehitys, sijoitusarviointi, konsulttitoimeksianto, lisenssineuvottelu, jakelusopimus, yhteisyritys. Konkreettinen kuvaus estää tulkintariidat siitä, mihin tietoa voidaan käyttää. Esimerkki: ”kohdeyhtiön mahdollisen yrityskaupan arviointi 15.08.2026 päivätyn ohjeellisen tarjouksen perusteella” tai ”tekoälypohjaisen SaaS-palvelun yhteinen kehittäminen suomalaisille kunnille liitteenä 1 olevan projektisuunnitelman mukaisesti”.

Vaihe 4 - Täsmennä luottamuksellisen tiedon kategoriat. Kuvaa konkreettisesti, mitkä kategoriat kuuluvat piiriin, osapuolten toimintaan mukautettuna. Esimerkki toimialatyypeittäin: teknologiayhtiöille: ”lähdekoodi, algoritmit, suunnittelutiedostot, patenttihakemukset PRH:ssa, tekniset piirustukset, kehityskartta”; myynnille ja markkinoinnille: ”asiakasrekisteri ja CRM-data, hintastrategia, alennusrakenne, vireillä olevat tarjoukset, toimittajasopimukset”; rahoitukselle: ”palkkarakenne, bonussäännöt, pankkitiedot, kustannusrakenne, taloudelliset ennusteet, toimittajaehdot”; HR:lle: ”työntekijöiden henkilötiedot, todistukset, sairauspoissaololuvut, irtisanomisasiat, rekrytointidata”. Vältä epämääräistä muotoilua, jotta liikesalaisuuslain 2 §:n edellytykset täyttyvät.

Vaihe 5 - Sisällytä poikkeukset salassapitovelvollisuudesta. Ilmoita neljä lakisääteistä poikkeuskategoriaa: ensiksi yleisesti tunnettu tieto ilman vastaanottajan myötävaikutusta; toiseksi laillisesti kolmannelta osapuolelta ilman salassapitovelvollisuutta vastaanotettu tieto; kolmanneksi itsenäisesti kehitetty tieto; neljänneksi tieto, joka on luovutettava lain tai tuomioistuimen päätöksen nojalla (edellyttäen että luovuttavalle osapuolelle ilmoitetaan hyvissä ajoin). Viittaus ilmoittajansuojaan ilmoittajansuojelulain (1171/2022) mukaan: ilmoittaminen toimivaltaiselle viranomaiselle moitittavista teoista on aina sallittua.

Vaihe 6 - Määritä salassapitovelvollisuuden kesto. Liikesalaisuuslain (595/2018) 2 §:n mukaisille liikesalaisuuksille: rajoittamaton aika niin kauan kuin tieto säilyttää kaupallisen arvonsa eikä ole tullut yleisesti tunnetuksi. Tavanomaiselle liiketoimintatiedolle: suositeltu kolme tai viisi vuotta sopimuksen päättymisen jälkeen. Erityisen arkaluonteiselle tiedolle (lähdekoodi, M&A-sopimukset, henkilötiedot GDPR:n mukaan): rajoittamaton aika tai seitsemän tai kymmenen vuotta. Ilmoita kesto nimenomaisesti; ei epämääräistä muotoilua kuten ”niin kauan kuin tarpeen”.

Vaihe 7 - Määritä suojaustoimet ja käsittely. Konkreettiset ohjeet: vahvat salasanat ja kaksivaiheinen tunnistautuminen, työaseman lukitseminen poistuttaessa (Windows-näppäin+L), ei luvattomia kopioita, ei yhtiön laitteiden yksityiskäyttöä luottamuksellisten tietojen tallentamiseen, ei keskustelua julkisissa tiloissa (junat, kahvilat, lentokoneet), ei lähettämistä sosiaaliseen mediaan (LinkedIn, X, Facebook, TikTok), kysyjän ohjaaminen luovuttavan osapuolen puoleen kolmannen osapuolen pyyntöjen yhteydessä. IT-toiminnoille: lisävaroitus varjo-IT:stä (USB:n yksityiskäyttö, henkilökohtaiset pilvitilit, hyväksymättömät sovellukset).

Vaihe 8 - Sisällytä GDPR-vaatimustenmukaisuus. Viittaus yleiseen tietosuoja-asetukseen (GDPR, EU 2016/679) ja tietosuojalakiin (1050/2018): vastaanottajan tulee noudattaa GDPR 5 artiklan kuutta käsittelyperiaatetta, käyttää henkilötietoja yksinomaan sovittuihin tarkoituksiin (käyttötarkoitussidonnaisuus), soveltaa tietojen minimointia ja ilmoittaa henkilötietojen tietoturvaloukkauksesta viipymättä GDPR 33 artiklan mukaisesti (72 tunnin kuluessa tietosuojavaltuutetulle). Erityisiin henkilötietoryhmiin kuuluvien tietojen (terveys, etninen alkuperä, uskonto) käsittely vain GDPR 9 artiklan tiukoin edellytyksin. Laajamittaisessa henkilötietojen käsittelyssä: vaatimus erillisestä tietojenkäsittelysopimuksesta GDPR 28 artiklan mukaan.

Vaihe 9 - Sääntele palauttaminen ja poistaminen sopimuksen päättyessä. Määrää, että vastaanottaja palauttaa sopimuksen päättyessä viipymättä kaikki luottamuksellisen tiedon tallennusvälineet: tietokoneet, USB-muistit, paperit, puhelimet, kulkukortit, laitteistotunnisteet. Määräys sähköisten kopioiden lopullisesta poistamisesta yksityisiltä laitteilta, pilvipalveluista (Dropbox, Google Drive, OneDrive, iCloud, Box) ja sähköpostiarkistosta (Gmail, Outlook). Pyynnöstä luovuttavalle osapuolelle: kirjallinen poistotodistus. Mahdollisuus antaa kolmannen osapuolen tietoteknikon todentaa poisto törkeän pidättämisepäilyn yhteydessä.

Vaihe 10 - Määritä sakon määrä. Määritä sopimussakko rikkomusta kohden (esimerkiksi 25 000 euroa liikesalaisuuden rikkomisesta, 10 000 euroa palauttamatta jättämisestä) ja mahdollinen lisäsakko päivää kohden jatkuvasta rikkomuksesta (esimerkiksi 1 000 euroa/päivä). Määrän tulee olla suhteessa rikkomuksen vakavuuteen; kohtuuttoman korkeaa sakkoa sovitellaan käräjäoikeudessa oikeustoimilain (228/1929) 36 §:n nojalla. Määräys siitä, ettei sakko rajoita oikeutta täyteen vahingonkorvaukseen, hyvitykseen luvattomasta käytöstä, kieltoihin ja oikaisutoimiin liikesalaisuuslain mukaan tai rikosilmoitukseen poliisille.

Salassapitosopimus Suomessa kuuluu kattavan sääntelyn piiriin sopimusoikeudesta, immateriaalioikeudesta, tietosuojasta ja rikosoikeudesta.

Perusta oikeustoimilaissa (228/1929). Salassapitosopimus on molemminpuolisesti velvoittava sopimus oikeustoimilain tarjousta ja hyväksyntää koskevien säännösten mukaan. Osapuolilla on täysi sopimusvapaus muotoilla salassapitovelvoitteita, joiden vaikutus seuraa yleisistä sopimusoikeudellisista periaatteista. Epäselvän muotoilun yhteydessä sovelletaan tulkintasääntöjä, ja oikeustoimilain 36 §:n mukaan kohtuuttomien sopimusehtojen sovittelusta käräjäoikeus voi sovitella ehtoja, joita pidetään kohtuuttomina ottaen huomioon sopimuksen sisältö, sopimusta tehtäessä vallinneet olosuhteet, myöhemmin sattuneet seikat ja muut olosuhteet. Oikeustoimilain 28-33 §:n pätemättömyyssäännökset suojaavat petoksella, pakolla tai hyväksikäytöllä tehdyiltä sopimuksilta.

Liikesalaisuuslaki (595/2018). Laki, joka panee täytäntöön EU:n direktiivin 2016/943 liikesalaisuuksien suojasta, antaa itsenäisen suojajärjestelmän. Kolme kumulatiivista edellytystä liikesalaisuudelle liikesalaisuuslain 2 §:n mukaan: tieto on salaista (ei kokonaisuutena tai osiensa täsmällisenä kokoonpanona yleisesti tunnettua tai helposti saatavilla henkilöille, jotka tavanomaisesti käsittelevät tällaista tietoa), sillä on taloudellista arvoa juuri salaisuutensa vuoksi ja sen laillinen haltija on ryhtynyt kohtuullisiin salassapitotoimiin. Loukkauksen yhteydessä: vahingonkorvaus, hyvitys luvattomasta käytöstä, kiellot ja oikaisutoimet sekä toimet loukkaavia tuotteita vastaan. Tahallinen loukkaus voi johtaa rangaistusvastuuseen rikoslain nojalla.

Yleinen vahingonkorvausoikeus ja vanhentuminen. Sopimusperusteisen salassapitovelvollisuuden rikkomisen yhteydessä luovuttava osapuoli voi vaatia vahingonkorvausta yleisten vahingonkorvausoikeudellisten periaatteiden mukaan. Vahingonkorvauksen suuruuden tulee vastata vahinkoa; vaikeasti määritettävän vahingon osalta tuomioistuin voi tehdä harkinnanvaraisen arvion. Yhdessä sovitun sopimussakon kanssa voidaan vaatia sekä sakkomäärä että tosiasiallinen vahinko, jos näin on sovittu. Velan vanhentumislaki (728/2003) antaa yleisen kolmen vuoden vanhentumisajan vahingonkorvausvaatimuksille, mikä edellyttää vaatimusten katkaisua määräajoin.

Yleinen tietosuoja-asetus (GDPR, EU 2016/679) ja tietosuojalaki (1050/2018). Asiakkaiden, toimittajien, kollegoiden ja kolmansien osapuolten henkilötietoja käsiteltäessä vastaanottajan tulee noudattaa GDPR 5 artiklan kuutta käsittelyperiaatetta: lainmukaisuus, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus. Rikkomus voi johtaa GDPR-hallinnolliseen seuraamusmaksuun, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuosiliikevaihdosta, ja jonka määrää tietosuojavaltuutetun toimisto, minkä lisäksi tulee siviilioikeudellinen vastuu rekisteröityjä kohtaan GDPR 82 artiklan mukaan. Henkilötietojen tietoturvaloukkaus on ilmoitettava 72 tunnin kuluessa GDPR 33 artiklan mukaan.

Rikosoikeudelliset säännökset. Tahallinen liikesalaisuuden loukkaus voi johtaa rangaistusvastuuseen rikoslain (39/1889) yritysvakoilua, yrityssalaisuuden rikkomista ja yrityssalaisuuden väärinkäyttöä koskevien säännösten nojalla, sakolla tai vankeudella. Vakavissa tapauksissa myös tietomurtoa koskevat säännökset voivat tulla sovellettaviksi. Syytteen ajaa syyttäjälaitos, ja vakavan talousrikollisuuden osalta tutkinta tapahtuu poliisin esitutkinnassa rikosilmoituksen jälkeen. Asianomistaja voi myös ajaa vahingonkorvauskannetta rikosasian yhteydessä.

Immateriaalioikeus liiketoimintasuhteissa. Teos, jonka vastaanottaja luo konsulttitoimeksiannon tai työsuhteen puitteissa, voi kuulua luovuttavalle osapuolelle sopimuksesta riippuen; tietokoneohjelmien osalta työsuhteessa tekijänoikeus siirtyy pääsääntöisesti työnantajalle tekijänoikeuslain (404/1961) mukaan. Työsuhdekeksinnöistä säädetään laissa oikeudesta työntekijän tekemiin keksintöihin (656/1967). Salassapitosopimus suojaa taustalla olevaa osaamista patenttihakemukseen tai julkistamiseen asti PRH:ssa.

Ilmoittajansuoja (ilmoittajansuojelulaki 1171/2022). Vastaanottaja voi ilmoittaa moitittavista teoista sisäiseen ilmoituskanavaan, toimivaltaiselle viranomaiselle tai tuomioistuimelle ilman sakkoriskiä salassapitosopimuksen perusteella. Moitittavat teot kattavat: kilpailulain (948/2011) rikkomisen, korruption, petoksen, ympäristörikoksen, hengen ja terveyden vaaran sekä EU-oikeuden rikkomisen. Vastaanottaja suojataan vastatoimilta luovuttavan osapuolen taholta (irtisanominen, uudelleensijoittaminen, häirintä, sopimuksen uudistamatta jättäminen).

Kilpailuoikeus (kilpailulaki 948/2011). Kilpailijoiden välisessä tietojenvaihdossa voi syntyä laiton yhteistyö kilpailulain 5 §:n mukaan (vastaa SEUT 101 artiklaa). Salassapitosopimusta ei voi käyttää kilpailua rajoittavien sopimusten salaamiseen; horisontaalisessa yhteistyössä (kilpailijoiden välillä) tietojenvaihto on rajattava siihen, mikä on välttämätöntä legitiimin tarkoituksen kannalta. Kilpailu- ja kuluttajavirastolla (KKV) on valvontavastuu ja se voi esittää markkinaoikeudelle seuraamusmaksun määräämistä.

Kuluttajansuoja ja kauppalaki. Kun salassapitosopimus liittyy elinkeinonharjoittajien väliseen tavarakauppaan, sovelletaan kauppalakia (355/1987); kuluttajan ollessa osapuolena sovelletaan kuluttajansuojalakia (38/1978) ja Kilpailu- ja kuluttajaviraston valvontaa. Salassapitovelvoitteet eivät voi heikentää kuluttajan pakottavia oikeuksia. Laki sopimattomasta menettelystä elinkeinotoiminnassa (1061/1978) täydentää liikesalaisuussuojaa kieltämällä liikesalaisuuden oikeudettoman hankkimisen, käyttämisen ja ilmaisemisen elinkeinotoiminnassa.

Sovellettava laki ja oikeuspaikka. Salassapitosopimusta koskevat riidat pyritään ratkaisemaan ensin neuvotteluin ja ratkaistaan sen jälkeen toimivaltaisessa käräjäoikeudessa oikeudenkäymiskaaren mukaisesti; kiireellisissä asioissa voidaan hakea turvaamistoimea oikeudenkäymiskaaren 7 luvun mukaisesti uhkasakon tehosteella. Välityslausekkeen yhteydessä sovelletaan välimiesmenettelylakia (967/1992), Helsinki yleisenä foorumina kansainvälisissä riidoissa. Kansainvälisissä liiketoimintasuhteissa: osapuolet voivat sopia sovellettavasta laista ja oikeuspaikasta, ja Suomen kansainvälinen yksityisoikeus asettaa pääsääntöisesti osapuoliautonomian etusijalle Rooma I -asetuksen mukaisesti.

Salassapitosopimus Suomessa heikkenee seuraavien usein tehtyjen virheiden vuoksi, jotka vähentävät luovuttavan osapuolen mahdollisuutta täytäntöönpanoon.

Virhe 1 - Liian laaja luottamuksellisen tiedon määritelmä. Muotoilu kuten ”kaikki tieto, johon vastaanottaja saa pääsyn” on käytännössä hallitsematon ja käräjäoikeus voi pitää sitä liian laajana, erityisesti koska se rajoittaa vastaanottajan yleistä markkinatuntemusta kohtuuttomasti. Oikeuskäytäntö painottaa, että salassapitolausekkeiden tulee ilmoittaa konkreettisesti, mitkä kategoriat kuuluvat piiriin: lähdekoodi, asiakastiedot, taloudelliset luvut, M&A-suunnitelmat, patenttihakemukset PRH:ssa, palkat. Epämääräinen muotoilu johtaa todistustaakkaongelmiin täytäntöönpanossa ja voi johtaa siihen, että käräjäoikeus sovittelee ehtoa oikeustoimilain (228/1929) 36 §:n nojalla, eikä tieto välttämättä täytä liikesalaisuuslain 2 §:n edellytyksiä.

Virhe 2 - Poikkeuksia ei sisällytetä. Lakisääteisten poikkeusten puuttuessa (ilmoittaminen, tuomioistuimen päätös, itsenäinen kehitys, yleisesti tunnettu tieto) ehto voi olla pakottavan oikeuden vastainen. Erityisesti ilmoittamisen kieltäminen ilmoittajansuojelulain (1171/2022) vastaisesti on pätemätön; vastaanottaja voi aina ilmoittaa moitittavista teoista (korruptio, petos, kilpailurikkomus, ympäristörikos) sisäiseen ilmoituskanavaan, toimivaltaiselle viranomaiselle (oikeuskansleri, Kilpailu- ja kuluttajavirasto, syyttäjälaitos, tietosuojavaltuutettu) tai tuomioistuimelle ilman sakkoriskiä. Sopimus ilman nimenomaisia poikkeuksia luo oikeudellista epävarmuutta ja voi aiheuttaa mainehaittaa luovuttavalle osapuolelle.

Virhe 3 - Ei kestomääräystä tai epämääräinen kesto. Muotoilu kuten ”rajoittamattomaksi ajaksi” ilman yhteyttä tiedon luonteeseen voi tavanomaisen liiketoimintatiedon osalta olla käräjäoikeuden mielestä kohtuuton. Liikesalaisuuslain (595/2018) mukaisille liikesalaisuuksille rajoittamaton aika on perusteltu niin kauan kuin tieto säilyttää kaupallisen arvonsa; tavanomaiselle liiketoimintatiedolle kolme tai viisi vuotta sopimuksen päättymisen jälkeen katsotaan kohtuulliseksi. Epämääräinen kesto kuten ”niin kauan kuin tarpeen” antaa riittämättömän oikeusvarmuuden ja voi johtaa sovitteluun oikeustoimilain 36 §:n nojalla.

Virhe 4 - Ei sopimussakkolauseketta. Ilman kirjallista sopimussakkolauseketta luovuttavalla osapuolella on oikeus vain tosiasialliseen vahinkoon yleisten vahingonkorvausoikeudellisten periaatteiden mukaan, mitä on vaikea näyttää toteen mainehaitan, menetetyn asiakasluottamuksen tai vaikeasti määritettävän strategisen vahingon osalta. Kiinteä sopimussakko rikkomusta kohden (esimerkiksi 25 000 euroa) sekä lisäsakko päivää kohden jatkuvasta rikkomuksesta (esimerkiksi 1 000 euroa/päivä) tekee vaatimukset nopeasti täytäntöönpanokelpoisiksi. Määräys siitä, ettei sakko rajoita oikeutta täyteen vahingonkorvaukseen, estää luovuttavan osapuolen rajaamisen sakkomäärään.

Virhe 5 - Kohtuuton sakko. Kohtuuton sakko (esimerkiksi 500 000 euroa rikkomusta kohden konsultille, jonka palkkio on 5 000 euroa/kuukausi) sovitellaan käräjäoikeudessa oikeustoimilain 36 §:n nojalla. Suuntaviivat kohtuulliselle sakolle: kolme tai kymmenen kuukausipalkkiota tavallisille konsulteille; korkeampi strategisille kumppaneille ja M&A-neuvonantajille, joilla on suora pääsy liikesalaisuuksiin; työntekijöille pääsääntöisesti enintään kymmenen tai kaksikymmentäviisi kuukausipalkkaa. Kohtuuton sakko tekee lausekkeesta alttiin pätemättömäksi julistamiselle ja heikentää neuvotteluasemaa riidassa.

Virhe 6 - Ei palauttamisvelvollisuutta ja poistomääräystä. Ilman nimenomaista velvollisuutta palauttaa tietokoneet, USB-muistit, paperit ja kulkukortit sopimuksen päättyessä, ja ilman velvollisuutta poistaa lopullisesti sähköiset kopiot yksityisiltä laitteilta ja pilvipalveluista (Dropbox, Google Drive, OneDrive, iCloud), vastaanottaja voi ottaa tiedon mukaansa tulevaa käyttöä varten. Suositus: kirjallinen poistotodistus pyynnöstä luovuttavalle osapuolelle ja valtuutus antaa kolmannen osapuolen tietoteknikon todentaa poisto pidättämisepäilyn yhteydessä.

Virhe 7 - Ei GDPR-lauseketta henkilötiedoille. Asiakkaiden, toimittajien, kollegoiden ja kolmansien osapuolten henkilötietoja käsiteltäessä vastaanottajan on noudatettava yleistä tietosuoja-asetusta (GDPR, EU 2016/679) ja tietosuojalakia (1050/2018). Ilman nimenomaista viittausta käsittelyperiaatteisiin (GDPR 5 artikla), poikkeamailmoitukseen (GDPR 33 artikla 72 tunnin kuluessa tietosuojavaltuutetulle) ja erityisiin henkilötietoryhmiin (GDPR 9 artikla) luovuttava osapuoli ottaa riskin GDPR-hallinnollisesta seuraamusmaksusta, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuosiliikevaihdosta, minkä lisäksi tulee siviilioikeudellinen vastuu rekisteröityjä kohtaan GDPR 82 artiklan mukaan.

Virhe 8 - Ei päivitystä olosuhteiden muuttuessa. Yhteistyön alussa laadittu salassapitosopimus voi olla riittämätön yhteistyön laajetessa (esimerkiksi alustavasta due diligencesta täydelliseen M&A-prosessiin, johon liittyy pääsy HR-dataan ja asiakassopimuksiin, tai konsultin pilottihankkeesta puitesopimukseen). Suositus: vuosittainen tarkistus ja yhteistyön merkittävän muutoksen yhteydessä laaditaan uusi lisäsopimus päivitetyllä luottamuksellisen tiedon rajauksella. Vastaanottaja allekirjoittaa lisäsopimuksen erikseen; yksipuolinen ilmoitus ilman allekirjoitusta on riittämätön oikeuskäytännön mukaan.