Third-Party Confidentiality Undertaking Finland

Vaitiolositoumus kolmannelle osapuolelle Suomessa on yksipuolinen kirjallinen sitoumus, jonka kolmas osapuoli (ulkopuolinen konsultti, neuvonantaja, auditoija, alihankkija tai asiantuntija) antaa yrityksen luottamuksellisten tietojen salassapitämisestä tiettyä tarkoitusta varten. Vaitiolositoumus eroaa kahdenvälistä salassapitosopimuksesta (NDA, Non-Disclosure Agreement) siinä, että vaitiolositoumuksessa sitoutuja on yleensä vain kolmas osapuoli eikä tiedonantaja: tiedonantaja ei paljasta kolmannelle osapuolelle mitään omia salaisuuksiaan takaisin, vaan pelkästään luovuttaa tietoa kolmannelle.

Liikesalaisuuslaki (595/2018) muodostaa vaitiolositoumuksen ensisijaisen oikeusperustan Suomessa. Lain 2 §:n mukaan liikesalaisuus on tieto, joka on: (1) salassa pidettävä (ei yleisessä tiedossa), (2) taloudellisesti arvokas ja (3) kohtuullisin keinoin suojattu. Kirjallinen vaitiolositoumus on nimenomaisesti lain edellyttämä ”kohtuullinen suojaustoimenpide”, joka vahvistaa liikesalaisuuden suojan suhteessa kolmanteen osapuoleen. Ilman vaitiolositoumusta saattaa olla vaikeampaa näyttää tuomioistuimessa, että asiakirja oli liikesalaisuus.

Tietosuoja-asetus (GDPR 679/2016) on relevantti, kun kolmannelle osapuolelle luovutetaan henkilötietoja. GDPR:n artiklan 28 mukainen käsittelijäsopimus on pakollinen, jos kolmas osapuoli käsittelee henkilötietoja toimeksiantajan puolesta. Vaitiolositoumus voidaan integroida käsittelijäsopimukseen tai pitää erillisenä asiakirjana, mutta GDPR-velvoite on täytettävä erikseen.

Suomessa vaitiolositoumuksia käytetään tyypillisesti seuraavissa yhteyksissä. Due diligence -prosessit yrityskaupassa: myyjä luovuttaa ostajapuolen asiantuntijoille (asianajajat, tilintarkastajat, tekniset konsultit) luottamuksellisia taloudellisia ja operatiivisia tietoja arvioitavaksi; jokainen asiantuntija allekirjoittaa vaitiolositoumuksen ennen tietoihin pääsyä. Julkinen hankinta ja tarjouspyyntöprosessit: tilaaja voi pyytää tarjoajia allekirjoittamaan vaitiolositoumuksen, ennen kuin luovuttaa luottamuksellisia teknisiä tai kaupallisia erittelyjä. Neuvottelutilanteissa: yritysneuvotteluissa, kumppanuusneuvotteluissa tai lisensointineuvotteluissa käytetään vaitiolositoumusta ennen varsinaista NDA:ta.

Vaitiolositoumus kolmannelle osapuolelle Suomessa on tarpeellinen aina, kun yritys luovuttaa luottamuksellisia tietoja ulkopuoliselle asiantuntijalle tai neuvonantajalle ilman täysimittaista kahdenvälistä NDA-sopimusta.

Due diligence -prosessit. Yrityskauppaneuvotteluissa ostajapuolen tiimi (asianajajat, talousanalyytikot, tekniset asiantuntijat) saa pääsyn myyjän luottamukselliseen dataroom-aineistoon (taloudelliset tiedot, sopimukset, IP-oikeudet, asiakasrekisteri). Jokainen tiimin jäsen tai alihankkija allekirjoittaa vaitiolositoumuksen, johon viitataan pääsopimuksessa tai NDA:ssa. Vaitiolositoumus varmistaa, ettei yksikään tiimin jäsen voi väittää toimineensa sopimuksen ulkopuolella.

Asiantuntija- ja konsulttipalvelut. Yritys, joka käyttää freelance-konsulttia, markkina-analyytikkoa, teknistä asiantuntijaa tai legal counsel -palvelua lyhyeen yksittäiseen toimeksiantoon, ei välttämättä tee täyttä konsulttisopimusta. Vaitiolositoumus on nopea ja kevyt tapa varmistaa luottamuksellisuus. Erityistilanne: ulkopuolinen auditoija (ISO-auditoija, tietoturva-auditoija), jolla on pääsy yrityksen sisäisiin prosesseihin ja dokumentaatioon.

Hallituksen ja neuvottelukunnan jäsenet. Yritys, joka nimittää ulkopuolisen hallitusjäsenen tai neuvonantajan, vaatii hallitusjäsentä allekirjoittamaan vaitiolositoumuksen ennen perehdyttämistä. Varsinkin startup-yritysten kiihdyttämöohjelmissa on yleistä, että ulkopuoliset mentorit ja neuvonantajat allekirjoittavat vaitiolositoumuksen ennen yritysvierailuja.

Tarjouspyyntöprosessit ja toimittajavalinta. Yritys, joka pyytää tarjouksia uuden järjestelmän hankinnasta tai ulkoistetusta palvelusta, saattaa luovuttaa tarjoajille luottamuksellisia teknisiä tai kaupallisia erittelyjä. Tarjoajilta pyydetään vaitiolositoumus ennen tarjouspyynnön toimittamista.

Viranomaishaastattelut ja selvitysprosessit. Yritys, joka osallistuu ulkopuolisen selvitysmiehen tai sovittelijan johtamaan prosessiin (esimerkiksi Kilpailu- ja kuluttajaviraston KKV:n selvitys tai Finanssivalvonnan tarkastus), antaa ulkopuoliselle asiantuntijalle pääsyn luottamuksellisiin dokumentteihin vaitiolositoumuksen perusteella.

Vaitiolositoumus kolmannelle osapuolelle Suomessa sisältää liikesalaisuuslain (595/2018) ja oikeustoimilain (228/1929) mukaisen pätevyyden varmistamiseksi seuraavat elementit.

Luottamuksellisten tietojen yksilöinti. Mitkä tiedot kuuluvat salassapitovelvoitteen piiriin: sopimuksessa on määriteltävä luottamuksellisten tietojen kategoria riittävän tarkasti (taloudellinen tieto, asiakasrekisteri, tekniset kuvaukset, liikesalaisuudet, sopimukset). Liian laaja määrittely (”kaikki yrityksen tiedot”) voi olla haasteellinen täytäntöönpanna; liian kapea saattaa jättää tärkeitä tietoja suojan ulkopuolelle.

Sallittu käyttötarkoitus. Mihin tarkoitukseen sitoutuja saa käyttää luottamuksellisia tietoja: pelkästään sovittuun toimeksiantoon (esimerkiksi due diligence, auditointi, konsultointi); kielletty käyttö: kilpailevat tarkoitukset, oman liiketoiminnan kehittäminen saaduilla tiedoilla, kolmansille paljastaminen.

Salassapitovelvoitteen laajuus. Mitä sitoutuja ei saa tehdä: paljastaa kolmansille; käyttää omaksi hyödyksi sopimuksen ulkopuolisiin tarkoituksiin; kopioida tai tallentaa enemmän kuin tarpeellista toimeksiantoon. Asianmukaiset tietoturvakeinot: tietojen säilyttäminen turvallisesti, salasanasuojattu järjestelmä, pääsy vain henkilöille jotka tarvitsevat.

Poikkeukset. Salassapitovelvoite ei koske: julkisesti saatavilla olevia tietoja (ei sitoutujan paljastamana); tietoja, jotka sitoutuja on saanut muulta kuin tiedonantajalta; tietoja, jotka sitoutuja on kehittänyt itsenäisesti; viranomaisen tai tuomioistuimen velvoittamaa paljastamista.

Salassapitoaika. Tyypillisesti 2–5 vuotta sitoumuksen allekirjoituksesta; jotkut liikesalaisuudet voivat olla ikuisia (ydinreseptit, strategiset patentit); sopimuksessa on selkeästi kirjattava aika.

Seuraukset rikkomuksesta. Liikesalaisuuslain (595/2018) § 10 vahingonkorvaus, § 8 kieltomääräys, § 11 hyvitys; rikoslain (39/1889) § 30:5 yritysvakoilu vakavimmissa tapauksissa; sopimuksen purkaminen. Lisätietoja vaitiolositoumuslomakkeesta forms-legal.com-sivustolla.

GDPR-näkökulma. Jos luottamukselliset tiedot sisältävät henkilötietoja: tietosuoja-asetuksen (GDPR 679/2016) 28 artiklan mukainen käsittelijäsopimus on laadittava erikseen tai integroituna; tietojen minimointi; poistamisvelvoite toimeksiannon päätyttyä.

Vaitiolositoumus kolmannelle osapuolelle Suomessa laaditaan seuraavien vaiheiden kautta.

Vaihe 1 – Yksilöi tiedonantaja. Tiedonantajana toimiva yritys: toiminimi, Y-tunnus (PRH), yhteyshenkilö joka koordinoi salassapitoa. Varmista, että tiedonantajalla on oikeus luovuttaa kyseisiä tietoja (onko data yrityksen omaa vai kolmannen omistamaa).

Vaihe 2 – Yksilöi sitoutuja. Sitoutujana oleva kolmas osapuoli: yritys (toiminimi, Y-tunnus) tai yksityishenkilö (nimi, syntymäaika tai henkilötunnus); allekirjoittajan asema ja nimenkirjoitusoikeus (asianajajalla, konsultilla tai asiantuntijalla voi olla toimeksiantoon liittyvä valtuutus); varmista, että sitoutuja ymmärtää velvoitteen täydellisesti ennen allekirjoittamista.

Vaihe 3 – Kuvaa luottamukselliset tiedot. Tietojen kategoria ja luonne: taloudellinen (tilinpäätökset, kassavirta, budjetti), tekninen (lähdekoodit, patentit, tuotesuunnitelmat), kaupallinen (asiakasrekisteri, hinnoittelurakenne, toimittajatiedot), operatiivinen (prosessikuvaukset, toimintamallit). Vältä liian laajaksi jäävää määrittelyä; tarkka kategoria on helpommin täytäntöönpantavissa.

Vaihe 4 – Määritä sallittu käyttötarkoitus. Kirjaa eksplisiittisesti ja rajoitetusti: ”ainoastaan due diligence -prosessissa yrityskauppaneuvotteluja varten” tai ”ainoastaan tietoturva-auditoinnin suorittamiseksi” tai ”ainoastaan konsultointitoimeksiantoon X liittyen”. Laaja käyttötarkoitusmäärittely heikentää vaitiolositoumuksen suojaa.

Vaihe 5 – Sovi salassapitoaika. Due diligence: tyypillisesti 3–5 vuotta; lyhytaikaiset konsulttipalvelut: 2–3 vuotta; strategiset liikesalaisuudet: 5 vuotta tai toistaiseksi. Merkitse selkeästi, mistä päivästä salassapitoaika alkaa kulua.

Vaihe 6 – Tarkista GDPR-velvoite. Jos luovutettavat tiedot sisältävät henkilötietoja, varmista GDPR 28 artiklan käsittelijäsopimuksen olemassaolo. Vaitiolositoumus ei korvaa käsittelijäsopimusta.

Vaihe 7 – Allekirjoita ja arkistoi. Sitoumus allekirjoitetaan yhdessä tai kahdessa kappaleessa. Tiedonantajan on tärkeää arkistoida allekirjoitettu sitoumus järjestelmällisesti (esimerkiksi sopimushallintajärjestelmässä) – ilman arkistointia voi olla vaikea osoittaa tuomioistuimessa, että sitoumus oli voimassa.

Vaitiolositoumus kolmannelle osapuolelle Suomessa on usean eri säädöksen piirissä.

Liikesalaisuuslaki (595/2018). Liikesalaisuuslaki on vaitiolositoumuksen tärkein oikeusperusta. 2 §: liikesalaisuuden kolme edellytystä (salaisuus, taloudellinen arvo, kohtuulliset suojaustoimet). Kirjallinen vaitiolositoumus täyttää ”kohtuullisen suojatoimen” edellytyksen. 8 §: liikesalaisuuden loukkauksen seuraukset – kieltomääräys käräjäoikeudelta välitön täytäntöönpano (interlocutory injunction); 10 §: vahingonkorvausvelvollisuus; 11 §: hyvitys (enintään kohtuullinen lisenssikorvaus). Lain 5 §: luvaton hankkiminen, käyttö ja paljastaminen on kielletty. Ilman vaitiolositoumusta: suojaa on silti, mutta todistamistaakka voi olla vaikeampi.

Oikeustoimilaki (228/1929). Yleinen sopimusoikeudellinen kehys: sopimusvapaus, sitovuus, kohtuullistaminen (36 §). Kohtuuttomia salassapitovelvoitteita (esimerkiksi kaikki koskaan saadut tiedot toistaiseksi) voidaan sovitella. Lojaliteettivelvoite: sitoutujan on toimittava vilpittömästi.

Rikoslaki (39/1889). § 30:5 (yritysvakoilu): liikesalaisuuden laiton hankkiminen tai käyttö on rangaistavaa; enimmäisrangaistus 2 vuotta vankeutta; törkeä yritysvakoilu 4 vuotta vankeutta. Rikoslaki tulee sovellettavaksi, kun rikkomus on tahallinen ja aiheuttaa vakavan haitan. Vaitiolositoumus osoittaa sitoutujan tienneen salassapitovelvoitteesta (tahallisuuselementin todistaminen helpottuu).

Tietosuoja-asetus (GDPR 679/2016). Jos luottamukselliset tiedot sisältävät henkilötietoja (työntekijät, asiakkaat, liiketoimintakumppanit), GDPR 28 artikla edellyttää käsittelijäsopimusta. Käsittelijäsopimuksen vähimmäisvaatimukset: käsittelyn tarkoitus, turvallisuustoimet, alihankkijat, tietojen poistaminen, tietoturvaloukkausilmoitukset. Vaitiolositoumus ei ole sama kuin käsittelijäsopimus: molemmat voidaan tehdä samassa asiakirjassa tai erikseen.

Sähköinen allekirjoitus (eIDAS 910/2014). Sähköinen allekirjoitus on oikeudellisesti pätevä Suomessa (laki sähköisestä allekirjoituksesta 14/2003): yksinkertainen sähköinen allekirjoitus (sähköpostin hyväksyntä) riittää useimmissa tilanteissa; vahvistettu tai pätevä sähköinen allekirjoitus (pankkitunnukset) on vahvempi todiste. Suositellaan pätevää sähköistä allekirjoitusta arkaluontoisissa tai korkeaarvoisissa liikesalaisuustilanteissa.

Vaitiolositoumus kolmannelle osapuolelle Suomessa heikkenee seuraavien usein tehtyjen virheiden vuoksi.

Virhe 1 – Luottamuksellisten tietojen määrittely liian laaja tai epäselvä. Sopimuksessa todetaan ”kaikki yrityksen tiedot ovat luottamuksellisia”. Tuomioistuimessa on vaikea arvioida, mihin tietoihin velvoite ulottui ja mitkä olivat julkisesti saatavilla. Ratkaisu: täsmällinen kategorinen määrittely (taloudellinen, tekninen, kaupallinen, henkilöstötiedot) ja tarvittaessa eksplisiittinen luettelo.

Virhe 2 – Vaitiolositoumusta ei pyydetä ennen tietojen luovuttamista. Yritys luovuttaa luottamuksellisia tietoja konsultille ennen vaitiolositoumuksen allekirjoittamista (”allekirjoitetaan myöhemmin”). Konsultti käyttää tietoja kilpailevaan tarkoitukseen. Rikkomuksen jälkeen tehty vaitiolositoumus ei kata aiemmin saatuja tietoja. Ratkaisu: aina vaitiolositoumus ennen tietoihin pääsyä.

Virhe 3 – GDPR-käsittelijäsopimus unohdettu. Konsultille luovutetaan asiakasrekisterin henkilötietoja, mutta vaitiolositoumuksessa ei ole GDPR 28 artiklan mukaista käsittelijäsopimusosiota. Tietosuojavaltuutettu (TVV) voi määrätä sanktion (GDPR 83 artikla: enintään 20 M€ tai 4 % maailmanlaajuisesta liikevaihdosta). Ratkaisu: liitä käsittelijäsopimus vaitiolositoumukseen aina, kun tiedot sisältävät henkilötietoja.

Virhe 4 – Arkistointi laiminlyöty. Vaitiolositoumus allekirjoitetaan mutta ei arkistoida. Vuoden päästä rikkomustilanteessa yritys ei löydä alkuperäistä sopimusta. Ratkaisu: kaikki allekirjoitetut vaitiolositoumukset arkistoidaan sopimushallintajärjestelmään tai nimettyyn sähköpostiarkistoon; arkistoidaan vähintään salassapitoajan pituinen aika + 5 vuotta.

Virhe 5 – Salassapitoaika asetettu liian lyhyeksi strategisille salaisuuksille. Due diligence -prosessissa luovutetaan yrityksen ydinpatentit ja teknologiasuunnitelmat 2 vuoden salassapitoajalla. Kilpailija-analyysi julkaistaan 3 vuotta myöhemmin perustuen saatuihin tietoihin; salassapitoaika on jo umpeutunut. Ratkaisu: teknisten liikesalaisuuksien ja strategisten tietojen salassapitoaika vähintään 5 vuotta tai toistaiseksi.