SaaS Agreement Finland

SaaS-sopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen tilaussopimus, jolla SaaS-toimittaja (Software as a Service) myöntää asiakkaalle pilvipohjaisen ohjelmiston käyttöoikeuden tiettyä kuukausi- tai vuosimaksua vastaan. SaaS-malli tarkoittaa, että asiakas ei lataa tai asenna ohjelmistoa omalle laitteelleen, vaan käyttää sitä selaimen tai sovelluksen kautta toimittajan ylläpitämältä palvelimelta. Suomessa SaaS-sopimuksen oikeudellinen pohja muodostuu oikeustoimilaista (228/1929), IT2018 Yleisistä sopimusehdoista (IT2018 YSE), tietosuojalaista (1050/2018) ja yleisestä tietosuoja-asetuksesta (GDPR, EU 2016/679).

SaaS-sopimus eroaa perinteisestä ohjelmistolisensointisopimuksesta siinä, että asiakas ei osta ohjelmiston omistus- tai käyttöoikeutta ikuisesti, vaan tilaa pääsyn ohjelmistoon sopimuksen voimassaoloajaksi. Ohjelmiston immateriaalioikeudet pysyvät toimittajalla. Käyttöoikeus on ei-yksinomainen, siirtokelvottoman ja rajoitettu sovittuihin käyttäjiin tai käyttötarkoituksiin. Tekijänoikeuslain (404/1961) mukaan SaaS-ohjelmiston tekijänoikeus kuuluu kehittäjälle tai toimittajalle; asiakas saa vain käyttöoikeuden.

Tietosuoja on SaaS-sopimuksen merkittävin oikeudellinen elementti. SaaS-palvelussa toimittaja käsittelee lähes aina asiakkaan henkilötietoja asiakkaan lukuun (käyttäjäprofiilit, tapahtumahistoriat, lokit), jolloin toimittaja on GDPR 4 artiklan mukainen henkilötietojen käsittelijä (processor) ja asiakas rekisterinpitäjä (controller). GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) on pakollinen; ilman sitä asiakas ottaa merkittävän GDPR-rikkomusriskin. Tietosuojavaltuutetun toimisto Suomessa valvoo GDPR:n noudattamista.

Palvelutasomäärittely (SLA) on SaaS-sopimuksen ytimessä. Toimittaja sitoutuu ohjelmiston käytettävyyteen (uptime) tietyn prosentin verran sovitulla ajanjaksolla (kuukausittain). Tyypillinen SaaS-käytettävyyslupaus on 99,5 % tai 99,9 %; 99,5 % tarkoittaa enintään 3,65 tuntia suunnittelematonta katkoa kuukaudessa. Käytettävyystakuun alittuminen johtaa tyypillisesti prosentuaaliseen hyvitykseen kuukausimaksusta. SLA-hyvitys on sopimuksen mukainen oikaisumenettely eikä muodosta muuta korvausvelvoitetta.

Asiakkaan datan omistus on SaaS-sopimuksen kriittinen kysymys. Asiakas omistaa palveluun syöttämänsä datan, ja toimittajalla on vain käsittelyoikeus sopimuksen tarkoitusta varten. Sopimuksen päättyessä toimittaja on velvollinen palauttamaan datan asiakkaalle sovitussa muodossa (CSV, JSON, SQL-dump tai muu siirrettävä formaatti) ja hävittämään omat kopionsa tietosuojalain (1050/2018) ja GDPR:n mukaisesti.

Hinnoittelumallit vaihtelevat: käyttäjäpohjainen (per käyttäjä/kuukausi), käyttöpohjainen (per tapahtuma tai transaktio), moduulipohjainen (ominaisuuksista valitaan paketin hinta) tai porrastettu (tiers: starter, professional, enterprise). ALV 25,5 % lisätään sopimushintaan arvonlisäverolain (1501/1993) mukaan.

SaaS-sopimuksen hinnoittelumallit vaihtelevat tilaajan tarpeiden mukaan. Kayttajakohtainen hinnoittelu on yleisin malli suurissa yritysratkaisuissa; muuttuva kayttopohjainen hinnoittelu sopii vaihtelevaan volyymiin. Vuositilaus tarjoaa tyypillisesti 10-20 prosentin alennuksen kuukausitilauksen hintaan. Kaikki hinnat ilmoitetaan ilman arvonlisäveroa; ALV 25,5 prosenttia lisataan arvonlisaverolain mukaan.

SaaS-sopimukseen liitetaan aina tietojenkasittelysopimus (DPA), jos palvelu käsittelee henkilötietoja. GDPR 28 artikla velvoittaa rekisterinpitäjän tekemään kirjallisen sopimuksen käsittelijän kanssa. Sopimuksen puuttuminen on GDPR-rikkomus, josta seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai 4 prosenttia globaalista liikevaihdosta. Tietosuojavaltuutetun toimisto Suomessa valvoo GDPR:n noudattamista.

SaaS-sopimus Suomessa tarvitaan aina, kun yritys tai organisaatio hankkii pilvipohjaisen ohjelmiston tilauspohjaisena palveluna. Seuraavat tilanteet edellyttävät kirjallisen SaaS-sopimuksen laadintaa.

Toiminnanohjausjärjestelmä (ERP). Yritys ottaa käyttöön pilvipalveluna tarjottavan ERP-järjestelmän, kuten SAP Business ByDesign, Microsoft Dynamics 365, NetSuite tai Visma. SaaS-sopimus kattaa käyttäjälisenssit, datan sijainnin (EU-alue GDPR-vaatimusten mukaisesti), tietojenkäsittelysopimuksen, palvelutason (SLA) ja sopimuksen päättymiseen liittyvän datan paluun.

Asiakashallintajärjestelmä (CRM). Pilvipalveluna toimiva CRM (Salesforce, HubSpot, Pipedrive tai vastaava) sisältää asiakkaiden ja prospektien henkilötietoja, joten SaaS-sopimuksen tietojenkäsittelysopimus GDPR 28 artiklan mukaisesti on pakollinen. Henkilötietojen siirto EU:n ulkopuolelle edellyttää EU-mallisopimuslausekkeiden (SCC) käyttöä GDPR 46 artiklan mukaisesti, jos toimittaja siirtää dataa EU/ETA-alueen ulkopuolelle.

Taloushallinon ohjelmisto. Pilvikirjanpito- tai taloushallintoohjelmisto (Procountor, Netvisor, Visma eAccounting) sisältää tilitietoja ja mahdollisesti palkkahallinnon henkilötietoja. SaaS-sopimus kattaa myös kirjanpitolain (1336/1997) mukaisten tietojen säilytysvaatimukset.

HR-ohjelmisto (HRIS). Henkilöstöhallinnon järjestelmä sisältää arkaluonteisia henkilötietoja (palkat, suoritusarviot, sairauslomat), jotka GDPR luokittelee erityisen arkaluonteisiksi tiedoiksi. SaaS-sopimuksen tietojenkäsittelysopimuksessa on noudatettava GDPR 9 artiklan mukaan erityistä huolellisuutta arkaluonteisten tietojen käsittelyssä.

Markkinointiautomaatio. Markkinointiautomaatiopalvelu (Mailchimp, HubSpot Marketing, Marketo) käsittelee sähköpostilistoja ja käyttäytymisdataa. SaaS-sopimuksessa on varmistettava, että toimittaja ei käytä asiakkaan dataa muuhun kuin sopimuksen mukaiseen tarkoitukseen ja että evästeet ja tracking-mekanismit täyttävät tietosuojalain (1050/2018) vaatimukset.

Videoneuvottelu ja viestintäpalvelut. Videoneuvottelupalvelut (Microsoft Teams, Zoom, Google Meet) käsittelevät henkilötietoja kokousosallistujista ja nauhoituksista. SaaS-sopimus varmistaa, että data sijaitsee EU/ETA-alueella tai siirretään lainmukaisesti.

Analytiikka ja raportointityökalut. Analytiikkapalvelut (Tableau, Power BI, Looker) voivat käsitellä liiketoimintadataa ja henkilötietoja. SaaS-sopimuksen tietojenkäsittelysopimus kattaa käsittelyn tarkoituksen ja estää luvattomat sekundaarikäytöt.

Yhteistyoalustojen kayttoonotto. Tiimi- ja projektityokalujen pilvipalveluna kayttoonotto edellyttää SaaS-sopimuksen. Tietojenkasittelysopimus GDPR 28 artiklan mukaisesti on pakollinen, kun alusta käsittelee henkilötietoja.

Asiakastyytyyvaisyysmittaukset. Asiakaspalautepalvelut käsittelevät asiakkaiden henkilötietoja. SaaS-sopimuksen tietojenkasittelysopimus on pakollinen liite.

SaaS-sopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat IT2018 YSE -ehtojen mukaisen sopimuksen, GDPR-vaatimusten täyttymisen ja selkeän käyttöoikeuden rajauksen.

Osapuolten yksilöinti. Asiakkaan ja toimittajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Nimenkirjoitusoikeudelliset edustajat osakeyhtiölain (624/2006) mukaan. Yhteyshenkilöt teknisiin asioihin ja laskutukseen.

Palvelun kuvaus ja käyttöoikeuden laajuus. SaaS-palvelun kaupallinen nimi, versio ja ominaisuudet. Ei-yksinomainen, siirtokelvottoman käyttöoikeus sopimuksen voimassaoloajaksi. Lisensoitujen käyttäjien enimmäismäärä tai rajoittamaton käyttö. Kielto: jälleenmyynti, alilisensiointi, käänteinen suunnittelu. Viittaus IT2018 YSE -ehtoihin.

Palvelutasomäärittely (SLA) ja ylläpito. Käytettävyysprosentti (esimerkiksi 99,5 % kuukausittaisesta käyntiajasta), hyvitysmekanismi SLA-alituksesta (prosentuaalinen hyvitys kuukausimaksusta), suunniteltu huoltoikkuna (tyypillisesti viikonloppuisin yöaikaan) ja ennakkoilmoitusvelvollisuus (vähintään 48 tuntia). Toimittajan vastuu infrastruktuurista, tietoturvapäivityksistä ja varmuuskopioinnista.

Sopimuskausi ja irtisanominen. Alkukausi (esimerkiksi 12 kuukautta), automaattinen uusiutuminen (vuodeksi kerrallaan) ja irtisanomisaika (esimerkiksi 60 päivää ennen kauden loppua). Erityinen irtisanomisoikeus: SLA:n toistuva alittuminen tai hinnankorotus yli sovitun rajan.

Tilausmaksu ja laskutus. Kuukausi- tai vuositilausmaksu ilman arvonlisäveroa; vakio-ALV 25,5 % arvonlisäverolain (1501/1993) mukaan. Laskutusjakso (kuukausittain etukäteen tai vuosittain laskulla) ja maksuaika (14 päivää netto). Viivästyskorko korkolain (633/1982) mukaan. Hinnanmuutosilmoitus vähintään 60 päivää etukäteen. Forms-legal.com suosittelee vuositilauksen harkitsemista, sillä se tarjoaa tyypillisesti 10-20 % alennuksen kuukausitilauksen hintaan.

Tietosuoja ja tietojenkäsittelysopimus. GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) pakollinen liitteenä. Datan sijainti EU/ETA-alueella; kolmansiin maihin siirto EU-mallisopimuslausekkeiden (SCC, GDPR 46 artikla) kautta. Tietoturvaloukkauksen ilmoitusvelvollisuus 72 tunnin kuluessa (GDPR 33 artikla). Datan palauttaminen asiakkaalle 30 päivässä sopimuksen päättymisestä.

Vastuunrajoitus. Toimittajan kokonaisvastuu rajoittuu enintään 12 kuukauden tilausmaksuja vastaavaan määrään. Välillisiä vahinkoja ei korvata, ellei vahinko ole aiheutettu tahallisesti tai törkeällä huolimattomuudella.

Käyttöpolitiikka. Kielletyt käyttötarkoitukset: laiton käyttö, tietoturvaloukkaukset, spämmäys, tekijänoikeusrikkomukset. Toimittajan oikeus keskeyttää palvelu käyttöehtojen rikkomisen vuoksi.

Sovellettava laki ja riidat. Suomen lakia sovelletaan; riidat ratkaistaan ensin neuvotteluin, sitten toimivaltaisessa käräjäoikeudessa.

Kayton valvonta ja datan käsittely. Toimittaja ei saa käyttää asiakkaan dataa kehittaakseen omia tuotteitaan tai myydakseen tietoja kolmansille ilman nimenomaista suostumusta. Tata rajoittaa tietosuojalaki 1050/2018 ja GDPR 5 artiklan tarkoituksensidonnaisuusperiaate.

Tilaajalle annettavat raportit. Toimittaja toimittaa kuukausittain SLA-raportin kaytettavyydesta, hairioista ja hyvityksista. Transparentti raportointi mahdollistaa sopimuksen seurannan.

Saavutettavuus ja kaytettavyys. Jos asiakkaalla on julkisyhteiso tai kuluttajia palveleva toiminto, SaaS-ohjelmiston on taytettava saavutettavuusdirektiivin (EU 2019/882) WCAG 2.1 AA -tason vaatimukset. Sopimukseen on kirjattava toimittajan vastuu saavutettavuuden varmistamisesta paivitysten yhteydessa.

SaaS-sopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat GDPR-vaatimusten täyttymisen ja selkeän sopimuksen.

Vaihe 1 - Arvioi palveluntarjoajan GDPR-vaatimustenmukaisuus. Tarkista ennen sopimuksen allekirjoittamista, tarjoaako toimittaja GDPR-yhteensopivan tietojenkäsittelysopimuksen (DPA), sijaitseeko data EU/ETA-alueella, onko toimittajalla ISO 27001 -sertifikaatti tai SOC 2 -raportti, miten tietoturvaloukkaukset käsitellään ja kenelle data kuuluu sopimuksen päätyttyä. Nämä ovat kriittisiä GDPR-vaatimuksia, joita tietosuojavaltuutetun toimisto valvoo.

Vaihe 2 - Yksilöi osapuolet. Kirjaa asiakkaan ja toimittajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Kirjaa nimenkirjoitusoikeudelliset edustajat. Nimeä tekninen yhteyshenkilö (IT-johtaja) ja laskutusyhteyshenkilö.

Vaihe 3 - Kuvaa SaaS-palvelu ja käyttöoikeudet. Kirjaa palvelun kaupallinen nimi, versio ja sopimukseen sisältyvät ominaisuudet tai moduulit. Määritä lisensoitujen käyttäjien enimmäismäärä tai rajoittamaton käyttö. Kirjaa selkeästi, mitä asiakas EI saa tehdä: jälleenmyynti, alilisensiointi, käänteinen suunnittelu on kielletty.

Vaihe 4 - Sovi palvelutasomäärittelystä (SLA). Neuvottele ja kirjaa käytettävyysprosentti (99,5 % tai 99,9 %), hyvitykset SLA-alituksesta (esimerkiksi 10 % kuukausimaksusta alle 99 % käytettävyydestä), suunniteltu huoltoikkuna (viikonloppuisin 02:00-06:00) ja ennakkoilmoitusvelvollisuus (48 tuntia).

Vaihe 5 - Aseta sopimuskausi ja irtisanomisehdot. Sovi alkukaudesta (12 kuukautta on tyypillinen) ja automaattisesta uusiutumisesta (vuodeksi kerrallaan). Kirjaa irtisanomisaika (60 päivää ennen kauden loppua on tyypillinen). Lisää erityinen irtisanomisoikeus: SLA:n toistuva alittuminen tai hinnankorotus yli 10 % oikeuttaa irtisanomaan ilman lisäkustannuksia.

Vaihe 6 - Sovi tilausmaksusta ja laskutuksesta. Kirjaa tilausmaksu ilman arvonlisäveroa (vakio-ALV 25,5 % lisätään). Sovi laskutusjaksosta (kuukausittain etukäteen tai vuosittain) ja maksuajasta (14 päivää netto). Kirjaa viivästyskorko korkolain (633/1982) mukaan. Sovi hinnanmuutosilmoitusvelvollisuudesta (60 päivää etukäteen).

Vaihe 7 - Laadi tietojenkäsittelysopimus (DPA). Laadi GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) liitteeksi: käsittelyn tarkoitus, oikeusperuste, henkilötietotyypit, turvatoimet, alihenkilötietojenkäsittelijöiden lista, ilmoitusvelvollisuus 72 h, datan palauttaminen tai hävittäminen sopimuksen päättyessä.

Vaihe 8 - Tarkista datansiirrot EU:n ulkopuolelle. Jos toimittaja siirtää dataa EU/ETA-alueen ulkopuolelle (esimerkiksi USA:hän), varmista, että siirtoon käytetään EU-mallisopimuslausekkeita (SCC, GDPR 46 artikla) tai muuta lainmukaista siirtomekanismia.

Vaihe 9 - Allekirjoita sopimus ja DPA. Molemmat asiakirjat allekirjoitetaan kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan. Säilytä sopimukset tietosuojalain (1050/2018) mukaisten säilytysaikavaatimusten mukaisesti.

Vaihe 10 - Tarkista toimittajan GDPR-dokumentaatio. Pyydaa toimittajan tietosuojakaytannot, sertifikaatit kuten ISO 27001, alihenkilotietojenkasittelijoiden lista ja tietoturvaloukkausten hallintaprosessi. Tällöin varmistat, että toimittaja on riittavan kypsa GDPR-velvoitteiden noudattamiseen.

Vaihe 11 - Varmista datan siirrettavyys. Testaa ennen sopimuksen allekirjoittamista, missä muodossa data on saatavilla viennin yhteydessa. EU:n datamarkkina-asetus (Data Act, 2025) vahvistaa asiakkaan oikeutta siirtaa datansa toiselle palveluntarjoajalle. Kirjaa sopimukseen vientiformaatti ja toimittajan velvollisuus tarjota migraatiotuki.

SaaS-sopimus Suomessa kuuluu sopimusoikeuden, tietosuojalainsäädännön, immaterialioikeuden ja kuluttajansuojan piiriin.

Oikeustoimilaki (228/1929). Sopimusvapaus SaaS-sopimuksen perustana; kohtuuttomat ehdot sovitellaan 36 §:n nojalla. Kuluttajasopimusten osalta sovellettava kuluttajansuojalaki (38/1978): kuluttajalle myytävissä SaaS-palveluissa käyttöehdot on annettava selkeässä muodossa ennen sopimuksen tekemistä; etämyyntiä koskevat peruuttamisoikeussäännöt (14 päivää) voivat soveltua.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). SaaS-sopimuksen tietosuojavaatimukset ovat laajat. GDPR 28 artiklan mukainen tietojenkäsittelysopimus on pakollinen, kun toimittaja käsittelee henkilötietoja asiakkaan lukuun. GDPR 5 artiklan käsittelyperiaatteet: lainmukaisuus, tarkoituksenmukaisuus, minimointi, täsmällisyys, säilytysrajoitus, eheys ja luottamuksellisuus. GDPR 32 artiklan tekniset ja organisatoriset turvatoimet: salaus, pseudonymisointi, pääsynhallinta. GDPR 33-34 artiklojen tietoturvaloukkauksen ilmoittaminen 72 tunnissa tietosuojavaltuutetulle ja rekisteröidyille. Seuraamusmaksu enintään 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta.

Tekijänoikeuslaki (404/1961). SaaS-ohjelmiston tekijänoikeus kuuluu toimittajalle. Asiakas saa käyttöoikeuden; toimittaja voi olla vastuussa kolmannen osapuolen immateriaalioikeuksien loukkaamisesta (esimerkiksi kolmannen osapuolen kirjastojen käyttö ilman lisenssiä). Avoimen lähdekoodin komponenttien lisenssit (MIT, GPL, LGPL) on huomioitava.

IT2018 YSE -ehdot. Vastuunrajoitukset, sopimusrikkomuksen seuraamukset ja riidanratkaisu.

Kuluttajansuojalaki (38/1978). Jos asiakas on kuluttaja, sopimattomia sopimusehtoja ei voida käyttää. Kuluttajalle on annettava selkeä tieto peruuttamisoikeudesta (14 päivää etämyynnissä), hinnoista (ALV sisältäen), sopimusehdoista ja reklamointimenettelystä. Kilpailu- ja kuluttajavirasto (KKV) valvoo kuluttajansuojalain noudattamista.

Kilpailulaki (948/2011). Markkinaa hallitseva SaaS-toimittaja ei voi asettaa kohtuuttomia ehtoja asiakkaalle; sitovuusehdot (lock-in), joissa asiakkaan on mahdotonta siirtää dataa pois palvelusta, voivat olla kilpailulain vastaisia. EU:n datamarkkina-asetus (Data Act 2025) vahvistaa datan siirrettävyysoikeuksia entisestään.

Vahingonkorvausvastuu ja vanhentuminen. Toimittajan vastuu rajoitetaan IT2018 YSE:n mukaisesti. Vaatimukset vanhenevat velan vanhentumisesta annetun lain (728/2003) mukaan pääsääntöisesti kolmessa vuodessa.

EU:n datamarkkina-asetus (Data Act, 2025). Asetus vahvistaa asiakkaiden oikeutta siirtaa datansa toiselle palveluntarjoajalle ilman kohtuuttomia esteitaa tai lisaakustannuksia. SaaS-toimittajat ovat velvollisia tarjoamaan teknisen datan siirrettavyyden.

EU:n tekoalyasetus (AI Act, 2024). Jos SaaS-palvelu sisältää korkean riskin tekoalytoimintoja, kuten HR-paatoksentukea, luotonmyontoa tai laaketieteellista diagnostiikkaa, on noudatettava EU:n tekoalyasetuksen vaatimuksia: riskiarviointi, lapinakyvyysvaatimukset, ihmisvalvonta ja rekisteroitymisvelvollisuus EU:n tietokantaan. Tämän noudattaminen on ensisijaisesti toimittajan vastuu, mutta asiakkaan on varmistettava vaatimustenmukaisuus sopimuksessa.

Sähköinen viestinta ja evasteet. SaaS-palvelut, jotka kayttavat evasteita tai muuta kayttajan seurantaa, ovat sahkoisen viestinnän palveluista annetun lain (917/2014) ja tietosuojalain (1050/2018) saatelyn alaisia. Evastesuostumus on pyydettava kayttajalta ennen ei-valttamattomien evasteiden käyttöä.

SaaS-sopimus Suomessa epäonnistuu seuraavista yleisistä virheistä, jotka aiheuttavat GDPR-rikkomuksia, datan menetyksiä tai sopimuksia, joista on vaikea päästä eroon.

Virhe 1 - Tietojenkäsittelysopimuksen puuttuminen. Asiakas ottaa käyttöön SaaS-palvelun, joka käsittelee henkilötietoja, ilman GDPR 28 artiklan mukaista tietojenkäsittelysopimusta (DPA). Tietosuojavaltuutettu voi määrätä seuraamusmaksun kummallekin osapuolelle. Suositus: tarkista aina ennen sopimuksen allekirjoittamista, tarjoaako toimittaja GDPR-yhteensopivan DPA:n.

Virhe 2 - Datan sijainnin tarkistamatta jättäminen. Data tallennetaan EU/ETA-alueen ulkopuolelle ilman lainmukaista siirtomekanismia. Suositus: varmista, että data sijaitsee EU/ETA-alueella tai siirretään EU-mallisopimuslausekkeiden (SCC, GDPR 46 artikla) kautta; kirjaa datakeskuksen sijainti sopimukseen.

Virhe 3 - Datan palautuksen sopimatta jättäminen. Sopimuksessa ei sovita datan palautuksesta tai formaatista sopimuksen päättyessä. Asiakas voi joutua tilanteeseen, jossa data on lukittu toimittajan järjestelmään. Suositus: kirjaa datan palautuksen määräaika (30 päivää), formaatti (CSV, JSON tai SQL-dump) ja toimittajan velvollisuus hävittää oma kopionsa.

Virhe 4 - Automaattinen uusiutuminen ilman irtisanomisilmoitusta. Sopimus uusiutuu automaattisesti vuodeksi, koska asiakas ei seuraa irtisanomisaikaa. Suositus: kirjaa irtisanomisaika kalenteriin ja sovi sopimuksessa muistutusvelvollisuudesta (toimittaja lähettää irtisanomisilmoitusmuistutuksen 90 päivää ennen uusiutumista).

Virhe 5 - Epämääräinen SLA ilman hyvityksiä. SLA kuvaa käytettävyyslupauksen numeraalisesti, mutta ei määrittele hyvityksiä alittumisesta. Asiakas ei voi käytännössä puuttua palvelukatkoksiin. Suositus: kirjaa konkreettiset hyvitykset ja toistuvan alittumisen irtisanomisoikeus.

Virhe 6 - Käyttäjämäärien ylitys ilman sopimusta. Asiakas ylittää lisensoitujen käyttäjien enimmäismäärän ilman sopimusta ylijäämän hinnoittelusta, jolloin toimittaja voi laskuttaa takautuvasti korkeamman hinnan. Suositus: sovi sopimuksessa käyttäjämäärän ylityksen hinnoittelu ja ilmoitusvelvollisuus ennen ylitystä.

Virhe 7 - Hinnankorotusehdon puuttuminen. Toimittaja korottaa tilausmaksua merkittävästi ilman sopimusta enimmäismäärästä. Suositus: kirjaa hinnankorotuksen enimmäismäärä (esimerkiksi enintään KKHI + 5 %) tai oikeus irtisanoa sopimus ilman lisäkustannuksia korotuksen yhteydessä.

Virhe 8 - Testausympariston henkilotietojen kaytto. Tilaaja luovuttaa tuotantotietoja testausymparistoon ilman anonymisointia. GDPR 5 artiklan minimointiperiaate edellyttää anonymisoitua tai synteettista testidataa. Virhe 9 - Automaattisen uusiutumisen laiminlyönti. Sopimus uusiutuu huomaamatta vuodeksi. Suositus: kalenterimerkinta irtisanomisajasta.

Virhe 10 - Saavutettavuuden unohtaminen. Julkisyhteisot tai kuluttajapalveluja tuottavat yritykset eivät vaadi SaaS-toimittajalta saavutettavuusvaatimusten täyttämistä, minkä johdosta ohjelmisto ei ole WCAG 2.1 AA -tason mukainen. Suositus: kirjaa sopimukseen saavutettavuusvaatimukset ja seuraamukset niiden rikkomisesta.

Virhe 11 - Evasteiden kayton laiminlyönti. SaaS-palvelu käyttää kolmannen osapuolen seurantaevasteita ilman kayttajan suostumusta. Tietosuojalaki (1050/2018) ja sahkoisen viestinnän palveluista annettu laki (917/2014) edellyttävät kaynnistettavia suostumusmekanismeja ei-valttamattomille evasteille.