eViihde, kehityksen tilanne ja jatko.

Alla oleva teksti on löydettävissä myös Elisan palstalta, jossa asiaa on käsitelty. Nykyisellään ja nykymuotoisella sopimuksella, joka Elisan puolelta tuotiin pöytään, ei ole mahdollisuutta jatkaa kehitystyötä ja samaan aikaan tietää, että ei ole tiedossa isoja laskuja auditoinneista tai muista vastaavista.

Eli lyhyesti; toistaikseksi eViihteen kehitys on pysäytetty, kunnes lakikuviot on selvillä. Tämä koskee Mac ja Windows versioita.


Kun kerran Elisalla ei tunnu olevan kiinnostusta aktiiviseen keskusteluun tuosta sopimuksestaan ja siihen liittyvistä ongelmista, niin omalta osaltani olen nyt reilun 1.5vkoa katsellut ja harkinnut tilannetta. Tilanne on nyt se, että toistaiseksi en laita aikaani sekunttiakaan lisää eViihteen (Mac, Windows) kehitykseen, kunnes asiaan on tullut selvästi vastaukset. Ja tämänkin jälkeen arvioin tilanteen uudelleen, sen verran vahvasti tuo sopimus ja sen useat kohdat aiheuttavat riski-arvioinnissa isoja punaisia merkintöjä omalta osaltani. Niin oikeudellisten, kuin taloudellistenkin asioiden, osalta.

Jätän alle pitkän muistiinpanon keskusteluista parin näistä sopimus ja GDPR asioista tietävän kanssa. Ei ole kaunista luettavaa näin yksityisenä ohjelmistokoodia ilman korvausta tekevälle.

Hyvät kesän jatkot kaikille, katsotaan mihin tämä johtaa ja onko tämä lopullinen heippa.

Jos joku on urheampi niin onnea matkalle. Jos löytyy Objective-C ja C# osaavaa koodaria, jolla rohkeus riittää lähteä jatkamaan eViihteen koodia, niin vapaasti voi ottaa yhteyttä.

—–

Keskusteltuani parin lakiteknisistä, sopimuslainsäädännöstä ja GDPR;ään liittyvistä kiemuroista tietävien kontaktieni kanssa on aika selvää, että riskit ovat tässä sopimuksessa melkoisen suuret kehittäjille. Seuraavassa jonkunlainen yhteenveto tuosta keskustelusta ja näistä sopimukseen liittyvistä kohdista, joiden pohjalta kontaktini suosittelivat jättäytymään tästä projektista.

Eli aluksi, kyseessä on lakiteknisesti ja sopimusteknisesti molempia osapuolia sitova sopimus, kuten useammassakin kohdassa sanotaan. Sopimus tulee poikkeavasti ja tietyssä määrin kyseenalaisesti voimaan heti, kun kehittäjä jakaa ohjelmistonsa käyttäjän (ElisaViihteen käyttäjä, Elisan Asiakas) käyttöön. Eli ei siis vaadi sopimuksen vahvistamista allekirjoituksella. Ja voimaantulopäivä on tätä myöten myös hieman heikosti osoitettavissa. Lasketaanko jakamikseksi se, että antaa keskeneräisen ohjelmiston testattavaksi muutamalle. Vai lasketaanko jakamiseksi vasta se, kun asettaa sovelluksen julkisesti saataville?

Vahingokorvaus ja vastuupykälistä nousikin sitten jo isompi parran pärinä. Kyseiseen sopimuksen kiemuroihin on upotettu hyvin optiota, joiden perusteella ja pohjalta Elisalla on täysi ja kiistämätön oikeus vaatia myös GDPR;n vahingonkorvaussakot osittain tai kokonaan kehittäjältä.

Vastuupykäliin liittyvistä auditointi ja tarkistusmaksuista myös on selvästi havaittavissa, että Elisan puolelta oletetaan sopimuskumppanin olevan yritys tai yksityinen elinkeinonharjoittaja, ei siis yksityinen henkilö. Tässä tapauksessahan suurin osa tai kaikki kehittäjistä on juurikin yksityisiä henkilöitä. Myös näiden auditointien ja tarkastusten kustannusten, myös kolmannen tahon (elisan ja kehittäjän omien kustannusten lisäksi), kustannukset voidaan ohjata kehittäjän vastuulle.

Myös tilanne, jossa kehittäjä saa luotua sovellukseensa tallenteiden latauksen voi aiheuttaa sen, että tekijänoikeuksia hallinnoivan tahon korvausvaatimukset voidaan osittain tai kokonaan kohdentaa sovelluksen kehittäjälle. Tätä ei ole suoraan sanottu tuolla, mutta sen käsityksen noista ehdoista saa. Eli vaikka teknisesti se olisi mahdollista, voi olla, että lakiteknisistä syistä sen tekeminen ei ole kannattavaa.

Lainauksia ja kommentteja Sopimuksesta;

#13 : “Tästä Tietosuojasopimuksesta mahdollisesti aiheutuvat riitaisuudet ratkaistaan lopullisesti välimiesmenettelyssä Keskuskauppakamarin välimiesmenettelysääntöjen mukaisesti. Välimiesoikeus on yksijäseninen. Välimiesmenettelyn kieli on suomi ja se pidetään Helsingissä, Suomessa.”

Tässä kohtaa oletetaan selvästi, että sopimusosapuoli on yritys tai yksityinen elinkeinon harjoittaja. Jos tämä asia olisi kohdennettu yksityistä henkilöä kohtaan, kuten oletettavaa tässä tilanteessa on, riitojen ratkaisun oikea paikka olisi Helsingin Käräjäoikeus.

#12: “Tämä Tietosuojasopimus tulee voimaan, kun Kehittäjä jakaa Palvelua muiden käyttöön.”

Selvästi sanotaan, että sopimus, mutta hyväksynnän ilmaiseminen on jätetty hieman häilyväksi, koska yleensä näihin vaaditaan allekirjoitukset. Myös jo tuossa aikaisemmin mainittu voimaantulon ajankohta ja todistettavuus, sekä se mikä jakaminen lasketaan Elisan puolelta sopimuksen voimaan astumiseen vaikuttavaksi. Testikäyttöön muutama yksityisesti vaiko yleisesti julkiseen osoitteeseen ladattavaksi laittaminen?

#10: “Kehittäjä on velvollinen puolustamaan kustannuksellaan Elisaa, jos Elisaa vastaan esitetään vahingonkorvausvaatimus, joka liittyy Kehittäjän osaksi tai kokonaan toteuttamaan Elisan Henkilötietojen käsittelyyn, edellyttäen, että Elisa viipymättä ilmoittaa kirjallisesti Kehittäjälle esitetystä vaatimuksesta. Kehittäjä vastaa tuomittujen tai sovittujen korvausten maksamisesta kolmannelle osapuolelle, jos Elisa on menetellyt edellä kuvatun mukaisesti.”

Ei sitä selvemmin voisi sanoa, että korvausvelvoite syntyy aika monestakin syystä. Ja sopimukseen sitoutuneella ei näistä ole kovin helppoa päästä eroon. Pelkästään tämän kaltainen ehto on kohtuuton yksityiselle henkilölle. Pelkästään tämän ehdon pohjalta suositus oli jättää projekti.

#8 “Elisan Henkilötietojen luovuttaminen, siirtäminen ja muu käsittely EU/ETA-alueen ulkopuolella on kielletty.”

Tätähän voi olla vaikea estää työpöytäsovelluksen kanssa. VPN auki Suomeen ja dataa käsitellään kirjautumalla sisään. Automaattisesti rikotaan tätä kohtaa. Periaatteessa meillä on sopimusrikkomus kehittäjän suuntaan. Toki tämä voidaan estää siten, ettei koneelle tallenneta mitään, ei edes kirjautumistietoja automaattiseen kirjautumiseen ja eikä suoriteta myaccount rajapintaan kutsuja sovelluksessa. Toinen kohta jota suositeltiin miettimään vahvasti sen tuoman riskin vuoksi.

#7.2 “Kehittäjän on ilmoitettava tietoturvaloukkauksista ja henkilötietojen asiattomasta käsittelystä Elisalle välittömästi saatuaan tällaisesta tiedon. Kehittäjän on lisäksi viivytyksettä ja viimeistään 24 tunnin kuluessa loukkauksen ilmitulosta tai uhasta annettava Elisalle Elisan lakisääteisten velvoitteiden täyttämiseksi, asian selvittämiseksi, vastaavien loukkausten ehkäisemiseksi ja lakisääteisten ilmoitusten tekemiseksi tarpeelliset tiedot, kuten kuvaus tietoturvaloukkauksesta ja loukkauksen seurauksista sekä kuvaus toimenpiteistä, joihin Kehittäjä on ryhtynyt tietoturvaloukkauksen johdosta. Kehittäjän on täydennettävä näitä tietoja Elisan pyynnöstä ja tämän ohjeiden mukaisesti.”

Yleisesti GDPR ehdoissa on 72h (3vrk), mutta poikkeavasti Elisa vaatii yksityiseltä henkilöltä 24h reagointiaikaa. Kohtuuton vaatimus varsinkin kun iso osa näistä sovelluksista on työpöytäsovelluksia tai sovelluksia jotka ajetaan asiakkaan järjestelmissä (Elisa Asiakas, ElisaViihteen käyttäjä). Oletettavaa on myös, että tietojen saaminen käyttäjän järjestelmistä vaatisi oman GDPR sopimuksen, jossa selvästi esitellään anonymisoinnit ja muut näitä logitietoja käsiteltäessä ja kerätessä, niin se on jo kohtuullisen raskas kuvio näin harrastuksena näitä ohjelmia tekevälle.

#9 Auditointi

Kokonaisuudessaan varataan niin isoja vapauksia kustannusten siirtämiseen 3. osapuolelle, että putoaa kohtuuttoman sopimusehdon kategoriaan, kun sopimusosapuolena on yksityinen henkilö.

Toivoisin nyt oikeasti Elisan puolelta, että se lakihenkilöarmeija ottaisi lusikan kauniiseen käteen, katsoisi nämä kommentit läpi, sekä katsoisi kirjoittamansa paperin läpi suhteuttaen sen toiseen sopimusosapuoneen ja osapuolen asemaan. Nyt ei kirjoiteta miljoonafirmojen välistä sopimusta, vaan ison yrityksen ja yksityisen henkilön välistä.

eViihteen tilanteesta – teknisesti ja lakiopillisesti

Elisan API muutosten jälkeisessä tilanteessa on tullut monenlaista haastetta vastaan, niin tekniikan kuin lakiteknisten asioidenkin puolelta.

Tekniseltä puolelta ongelmiin on löytymässä pala palalta ratkaisut, mutta hitaasti. Pääosa ratkaisuista vaatii edelleenkin yritys-erehdys ja testaus tyyppisen kehityksen käyttöä. Nykyisessä tilanteessa API kuvaus on sen verran rajallinen, että kehitystyössä joutuu arvailemaan missä mikäkin on. Ja myös se on aina kokeilun takana, että mitä kyseinenkin rajapinta haluaa.

Paljolti testailujen perusteella on Elisan juhannuksen tienoissa toimittamaan API dokumentaatioon tehty omia muutoksia. Kokonaista muutettua API dokumentaatiota ei ole tulossa minun suunnalta jakoon, mutta Elisan foorumilla on muutama techtip jo tarjoiltuna.

Lakitekniseltä osalta selvitystyö on käynnissä, mutta siitä myöhemmin. Tästä on ollut paljon keskustelua tuolla Elisan foorumilla, enkä lähde sitä nyt suoraan tänne kopioimaan.

Nykyinen tilanne eViihteen osalta löytyy tältä sivustolta, todisteena toimivuudesta pieni demo.