Tietosuoja-asetus Sillan palkkapalveluissa

Transkriptio

1 Tietosuoja-asetus Sillan palkkapalveluissa

2 Aamupäivän sisältö EU:n tietosuoja-asetus lähtökohdat Rekisterinpitäjän ja tietojenkäsittelijän roolit Tietosuoja ulkoistetuissa palkkapalveluissa Käyttöönotto ja aikataulu Käytännön tulkintoja Asiakkaan valmistautuminen ja vastuut Eija Warma Counsel, Partner Elect Laura Teirikko Senior Associate Jani Rahja johtaja, palvelut & laatu Anja Hänninen kehityspäällikkö tietosuojavastaava

3 HENKILÖTIETOJEN TAUSTALLA ON YKSILÖ TIETOSUOJA ON HÄNEN PERUSOIKEUTENSA Castrén & Snellman

4 Rekisterinpitäjän ja tietojenkäsittelijän roolit Rekisterinpitäjä Käsittelijä Määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Käsittelee henkilötietoja rekisterinpitäjän lukuun Castrén & Snellman

5 Miten sovitaan? Sopimuksella tai muulla sitovalla tavalla Erillinen tietosuojasopimus (DPA) tai ehdot sisällytetään muuhun yhteistyösopimukseen Rekisterinpitäjä käsittelijä Käsittelijä käsittelijä Rekisterinpitäjällä päävastuu tietojen käsittelystä, ohjeistus käsittelijälle Rekisterinpitäjä saa käyttää vain sellaisia alihankkijoita, jotka ovat sitoutuneet käsittelemään henkilötietoja asetuksen vaatimusten mukaisesti Castrén & Snellman

6 Sopimukseen otettavat ehdot (artikla 28) GDPR:n tarkoittaman tietosuojasopimuksen vähimmäissisältö määräytyy asetuksen 28 artiklasta. Rekisterinpitäjän kirjallinen, kattava ohjeistus ja informaatio käsittelijälle, käsittelijä sitoutuu noudattamaan ohjeita Käsittelijän avustamisvelvollisuus rekisteripitäjää kohtaan (esim. rekisteröityjen pyyntöihin vastaaminen, tietoturvaloukkauksista ilmoittaminen) Käsittelyn tietoturva Alihankkijoiden käyttö, edellyttää rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa Käsittelijän tiedonantovelvollisuus rekisterinpitäjää kohtaan Käsittelijän ilmoitusvelvollisuus rekisterinpitäjälle (rekisterinpitäjän lainvastainen ohjeistus, tietoturvaloukkaukset) Auditoinnit Salassapitosäännökset Henkilötietojen käsittelyn päättyminen Sopimuksessa identifioitava lisäksi: Yhteistyön ja käsittelyn luonne ja tarkoitus Käsittelyn kesto ja kohde Mitä käsitellään (esim. työntekijädata) ja tietotyypit (esim. nimi ja yhteystieto) Osapuolten oikeudet ja vastuut Rekisterinpitäjä vastaa rekisteröityjen informoinnista Castrén & Snellman

7 Tietosuoja ulkoistetuissa palkkapalveluissa Silta toimii ulkoistetuissa HR- ja palkanlaskentapalveluissa, joissa käsitellään luottamuksellisia henkilö-, palkka- ja yritystietoja Palveluidemme piirissä on 140 asiakasta ja palkansaajaa Silta käyttää palveluiden tuottamiseen runsaasti kumppaneita, joiden toiminnasta Silta vastaa kuin omastaan Silta noudattaa aina ajantasaisia lakeja ja säädöksiä Tietosuoja on Sillan toiminnalle erittäin tärkeä tekijä ja nykyistä lainsäädäntöä noudatetaan Laadusta kilpailu- ja menestystekijä Tietosuoja-asetuksen voimaantuloon valmistautuminen käynnistetty keväällä 2017 Toimialan luonteesta johtuen paljon on jo valmiina Valmistautumisessa hyödynnetään ulkopuolista osaamista (Castrén & Snellman, PWC)

8 Laadun kokonaiskonsepti Sillassa LAATU ISAE 3402 Tietosuoja Tietoturva Riskienhallinta Liiketoiminnan jatkuvuus

9 Organisoituminen Sillassa Toimitusjohtaja Johtaja, tuotteet ja palvelut Tietosuojavastaava Tietosuojatiimi Myynti, IT, HR, palvelut, kumppanuudet

10 Tietosuojan toteutus Sillassa 1/2 Lähestymiskulmana asiakkuuden elinkaari ja eri vaiheisiin liittyvät toimenpiteet 1. Haltuunotto 2. Jatkuva palvelu 3. Irtautuminen Yksilöiden (asiakkaan työntekijät) oikeudet otetaan huomioon Tavoitteena auditoitu kokonaisuus ja sertifikaatti Asetuksen vaatimuksista laaditaan kontrollikatalogi Kontrollikatalogin auditoi kolmas osapuoli Auditoinnin lopputuloksena syntyy auditointiraportti Auditointiraportti voidaan toimittaa asiakkaalle Myös asiakkaalla mahdollisuus auditoida omalla kustannuksella

11 Tietosuojan toteutus Sillassa 2/2 Tietosuojavelvoitteista sopiminen Sillan ja asiakkaan välillä Tietojenkäsittelysopimus Sillan tai asiakkaan malli Sopimuksen täytettävä asetuksen tavoitteet Liitteenä listaus Sillan käyttämistä kumppaneista Asiakaskohtaiset Sillan kumppanit mainittu palvelusopimuksissa Silta tekee vastaavat sopimukset omien kumppaniensa kanssa Sillalla on jo käytössä toimintamalli poikkeustilanteisiin (liiketoiminnan jatkuvuus), jota täsmennetään kattamaan myös tietosuoja-asiat Silta selvittää parhaillaan tietosuojan kattavan vakuutuksen ottamista Vakuutus ei kuitenkaan korvaa sakkoja, vaan ainoastaan kyberhyökkäykset tms.

12 Asetukseen valmistautuminen Sillassa Tietosuojatiimin organisoituminen ja projektisuunnitelma Nykytilan kuvaus, riskikartoitus ja kehityskohteet Kehityskohteiden toteutus Sillan mallit ja dokumentaatio tuotannossa, sis. Tietotilinpäätös Tietosuojaasetus voimaan Kontrollikatalogin laadinta ja jalkautus Tietosuojan auditointi Oppimisalustan käyttöönotto Sillan henkilöstön koulutus ja tietosuojatestit Kumppani- ja alihankintasopimusten päivitys ja prosessien varmistus Tietojenkäsittelysopimuksen valmistelu Tietojenkäsittelysopimuksen jalkautus asiakassopimuksiin Aktiivinen tiedotus henkilöstölle, asiakkaille ja kumppaneille 4/2017 7/ /2017 1/2018 3/2018 5/2018

13 Sillan keskeiset kumppanit henkilötietojen käsittelyssä Palkkajärjestelmät CGI, Accountor HR Solutions HR-järjestelmät Sympa, Accountor HR Solutions Työaikajärjestelmät Nepton, Visma Enterprise Matka- ja kululaskujärjestelmät Visma Enterprise Raportointi & analytiikka Arcusys Integraatiot HiQ Maksuliikenne Basware Palvelimet & muu infra CGI Henkilötietojen käsittelyn vaatimukset koskevat koko alihankintaketjua Silta velvoittaa kumppaneitaan varmistamaan mm. seuraavat asiat: Ajantasaisten lakien ja säädösten noudattaminen Henkilötietojen käsittely EU-alueella Henkilöstön koulutus ja osaaminen tietosuojasta Kuvaukset missä tietoja käsitellään, millä rooleilla on käyttöoikeudet mihin tietoihin, miten käyttöoikeusprosessit on järjestetty Liiketoiminnan jatkuvuuden ja asiakkaan tietojen palauttamisen varmistaminen poikkeustilanteissa varautumissuunnitelma

14 Käytännön tulkintoja

15 Asetuksen mukaisen toiminnan todistaminen Rekisterinpitäjä kantaa ensisijaisen vastuun tietojenkäsittelytoiminnoista ja siitä, että asetusta noudatetaan Asetuksessa kerrottu, mitä asioita tietojenkäsittelijöiden toiminnan osalta on varmistettava ennen kuin henkilötietojen käsittelyyn liittyviä tehtäviä ulkoistetaan Asetus velvoittaa rekisterinpitäjiä toimimaan vain sellaisten tietojenkäsittelijöiden kanssa, jotka pystyvät osoittamaan noudattavansa tietosuoja-asetusta henkilötietojen käsittelyn osalta Esim. henkilöiden (rekisteröityjen) oikeuksia suojellaan, käytetään riittäviä teknisiä turvatoimia, sovelletaan oikeita toimintatapoja ja tietojenkäsittelijöiden osaaminen varmistetaan ohjeistuksin ja koulutuksin. Henkilötietojen käsittelijän roolia ja velvoitteita terävöitetty asetuksessa (vrt. henkilötietolaki) Tietosuoja on tietojenkäsittelijöille liiketoimintakriittinen asia Markkinakäytännöt ovat kehittymässä

16 Tietojenkäsittelijän ohjeistaminen Asetus velvoittaa rekisterinpitäjän ohjeistamaan tietojenkäsittelijän omien henkilötietojensa käsittelyyn Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti Tällaista ohjeistusta käytännössä ovat esimerkiksi jo olemassa olevat Sillan ja asiakkaan väliset prosessikuvaukset tai tehtävä- ja vastuunjakomatriisit, jossa kuvataan mm. Kenellä on valtuudet toimittaa tietoja Siltaan ja vastaanottaa niitä Miten asiakas toimittaa tiedot Siltaan (kanavat, järjestelmät, ajankohdat) Mitä Silta tiedoille tekee Olemassa olevan dokumentaation ajantasaisuus korostuu

17 Henkilötietojen käsittely Sillassa Henkilötietojen käsittely tulee rajata vain sellaisille tahoille, jotka tarvitsevat tietoa palvelun suorittamiseen ( Need to know basis ) Sillan käytössä olevien järjestelmien asiakaskohtaisiin kantoihin on käyttöoikeudet vain palvelua suorittavalla tiimillä sekä kumppaneiden vastaavilla tiimeillä Sillalla on käytössä palkkapalvelujen jatkuvuussuunnitelma, jonka mallien mukaan force majeure tilanteissa toinen tiimi, esim. toiselta paikkakunnalta, saa käyttöoikeudet asiakkaan tietoihin palvelun jatkuvuuden varmistamiseksi

18 Tietoturvaloukkausten sanktiot Tietosuojaviranomaisen työkalupakista löytyy Huomautus / varoitus Rekisterinpitäjälle annettavat määräykset Käsittelyä koskevien rajoitusten asettaminen Sertifioinnin peruuttaminen Keskeytysmääräyksen asettaminen Sakot Mikäli tietoturvaloukkaus tapahtuu, ensisijaiset seuraamukset tulevat olemaan toiminnan korjaamiseen liittyviä kehotuksia Ei sakkoautomaatti Törkeästä huolimattomuudesta ja tahallisuudesta rangaistaan Maine tärkein

19 Reagointiaika tietoturvaloukkauksissa Asetus velvoittaa raportoimaan tietoturvaloukkauksista ilman aiheetonta viivettä Rekisterinpitäjä (asiakas) on velvollinen raportoimaan tietosuojaviranomaiselle Loukkausta koskeva ilmoitus on tehtävä valvontaviranomaiselle 72 tunnin kuluessa asian ilmitulosta eli siitä kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Ajan laskenta ei ala siitä, milloin rike on tapahtunut. Aika lähtee kulumaan kun Silta ilmoittaa asiakkaalle tapahtuneesta tai asiakas itse on tapahtuneen sisäisesti havainnut. Silta sitoutuu vastaamaan asiakkaan kyselyihin tietoturvaloukkauksista mahdollisimman nopeasti, kuitenkin viimeistään 36 tunnin kuluessa

20 Rekisteriseloste Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista Henkilötietojen käsittely on kuvattava tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Asetuksessa kerrotaan tarkemmin, mitä eri asioita selosteesta on löydyttävä. Tähän saakka Silta on tehnyt rekisteriselosteet järjestelmistä ja tarjonnut ne asiakkaalle palveluna Jatkossa rekisteriselosteen laadinta on asiakkaan vastuulla (asiakas = rekisterinpitäjä) Silta voi toimittaa asiakkaalle tarvittaessa mallidokumentin Rekisteriselosteet laadittava käyttötarkoituksen mukaan Esim. työnantajavelvoitteiden hoitaminen sisältää palkanmaksun, työterveyshuollon, vakuuttamisen jne. HRD-asioille omansa? (osaaminen, kehityskeskustelut, työtyytyväisyys)

21 Tietopyynnöt & henkilön oikeus tulla unohdetuksi Henkilöllä on oikeus pyytää rekisterinpitäjää / rekisterinpitäjän velvoittamaa tietojenkäsittelijää toimittamaan itseään koskevat, järjestelmässä olevat tiedot Henkilöllä on myös oikeus tulla unohdetuksi eli pyytää poistamaan itseään koskevat tiedot Suurin osa Sillan hallinnoimissa järjestelmissä olevista tiedoista on lakisääteisesti arkistoitavia, eikä niitä täten voi poistaa Silta ehdottaa, että henkilön tietoja koskevat pyynnöt ja poistopyynnöt tulevat Siltaan asiakkaan valtuuttamien tahojen kautta (HR, talous, jne.) Rekisterinpitäjä vastaa henkilötiedoista sekä henkilöiden oikeuksia koskevasta ohjeistuksesta henkilöstölle Silta voi ottaa toimeksiantoja vastaan vain sovituilta tahoilta Silta toimittaa tiedot sekä poistaa tiedot pyydettäessä, mikäli se on mahdollista

22 Yhteenveto: Asiakkaan valmistautuminen ja vastuut Yrityksen sisällä Oma tietosuojaorganisaatio Tietosuoja- ja tietoturvapolitiikat Henkilöstön tietosuojaosaaminen Tietosuojaohjeistukset ja -koulutukset Oikeuksista viestiminen henkilöstölle (rekisteröityjen oikeudet) Henkilötietorekisteriselosteet kuntoon Kumppanit ja alihankkijat Omien henkilötietoja käsittelevien kumppanien sopimukset asetuksen vaatimusten mukaisesti Tietojenkäsittelijän ohjeistaminen Viestintäkanavat ja toimintamallit poikkeustilanteisiin

23 KIITOS Lisätietoja yhteyshenkilöltänne