UUSI TIETOSUOJA-ASETUS
Yleistä Käsitteet Vaikutukset tilitoimistoyhteistyöhön (asiakas, kumppani) Käytännön toimia
Tietosuoja-asetus astuu voimaan 25.5.2018 Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, joiden henkilötietojen käsittely on asetuksen vaatimusten mukaista Rekisterinpitäjällä on velvollisuus informoida rekisteröityä paitsi tämän oikeuksista myös henkilötietojen käsittelyä koskevista tiedoista
Erityistä huomiota on kiinnitettävä 9. artiklan mukaisiin erityisten, eli arkaluonteisten henkilötietojen asianmukaiseen käsittelyyn. Näitä ovat rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys sekä geneettiset, biometriset tai terveyteen tai seksuaaliseen suuntautumiseen liittyvät tiedot. Palkka- ja henkilöstöhallinnossa käsitellään säännönmukaisesti terveys- ja ay-jäsenyystietoja, jotka on suojattava erityisellä huolellisuudella ja säilytettävä erillään muusta aineistosta.
ASETUKSEEN LIITTYVÄÄ KÄSITTEISTÖÄ Rekisteröity tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka henkilötiedot ovat käsittelyn kohteena. Tietosuoja-asetus ei siis säätele esimerkiksi yrityksen asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta. Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen arkaluontoiseksi. Esimerkkinä voidaan mainita ihmisen terveystiedot ja ay-jäsenyystiedot.
Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa. Tietokantojen lisäksi esimerkiksi Excel-taulukko voi siis muodostaa rekisterin. Tyypillisiä rekistereitä pk-yrityksissä ovat asiakasrekisteri sekä työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin. Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Pk-yritys on työntekijärekisterinsä pitäjä, vaikka palkanlaskenta olisikin ulkoistettu tilitoimistolle ja vaikka tilitoimisto hoitaisi rekisterin tietojen ylläpidon ja käyttäisi rekisteriä palkanlaskennan hoitoon.
Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Esimerkiksi tilitoimisto, joka käsittelee asiakkaiden työntekijöiden tietoja laskeakseen palkat, on henkilötietojen käsittelijä.
Riskiperusteisuus tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on. Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairaspoissaolojen suuresta määrästä.
Pseydonymisointi -> Henkilötietojen muutos sellaiseen muotoon, ettei henkilötietoja voi yhdistää tiettyyn luonnolliseen henkilöön käyttämättä lisätietoja, kuten salausavainta. (tiedot ovat edelleen henkilötietoja) Anonymisoitu -> Henkilötietojen perusteella ei ole mahdollista tunnistaa luonnollista henkilöä edes teknisin toimenpitein. Rekisterinpitäjä eikä muukaan taho ei saa kyetä muuntamaan henkilötietoja takaisin sellaiseen muotoon, että niistä voidaan tunnistaa yksittäinen luonnollinen henkilö. (tiedot eivät ole enää henkilötietoja, eikä niitä koske asetuksen vaatimukset)
VAIKUTUKSET TILITOIMISTOYHTEISTYÖHÖN Asiakkaat Kaikki toimeksiantosopimukset laaditaan uusiksi kevään 2018 aikana (ilman sopimusta ei voida tehdä mm. palkanlaskentapalveluita asiakkaalle) Asiakas on rekisterinpitäjä, jonka tulee ohjeistaa tilitoimistoa henkilötietojen käsittelyyn (tilitoimistolla on valmis muokattava malli tähän ohjeistukseen) Henkilötietojen käsittelyn prosessit kuvataan ja hyväksytetään molemmilla osapuolilla
VAIKUTUKSET TILITOIMISTOYHTEISTYÖHÖN Yhteistyökumppanit Järjestelmätoimittajat -> pilvipalvelu = tietojen käsittelijöitä Kirjallinen uusi sopimus + liite järjestelmätoimittajan suojatoimista
VAIKUTUKSET TILITOIMISTOYHTEISTYÖHÖN Järjestelmiä, joiden tietoturva on käytävä läpi ja dokumentoitava toimittajien turvatoimet: HR-ohjelma Palkkaohjelma Työajanseurantaohjelma Arkistointijärjestelmät Järjestelmät, joihin tietoa luovutetaan
KÄYTÄNNÖN TOIMIA Useimmilla yrityksillä on jonkinlainen asiakasrekisteri. Vaikka asiakaskunta koostuisi pelkästään yrityksistä, on rekisterissä yleensä tietoa myös asiakasyritysten yhteyshenkilöistä. Teidän kannattaa käydä läpi, mitä tietoa sinne on henkilöistä tallennettu.
KÄYTÄNNÖN TOIMIA Työntekijärekisterinne sen sijaan sisältää arkaluontoista henkilötietoa. Palkanlaskennan tarpeisiin tarvitaan tietoa henkilön sairaspoissaoloista, ay-jäsenyyksistä sekä toisinaan myös ulosotosta. Myös henkilötunnusta käytetään palkanlaskennassa säännönmukaisesti.
KÄYTÄNNÖN TOIMIA Selvitä, mitä henkilötietoja yhtiössäsi käsitellään sekä missä laajuudessa ja kuinka kauan niitä säilytetään Arvioi henkilötietojen käsittelyn peruste ja tarve sekä luo käytännöt tietojen ajantasaisuuden varmistamiseksi ja tarpeettomien tietojen poistamiseksi.
KÄYTÄNNÖN TOIMIA Laadi käytännöt tietosuojan huomioimiseksi henkilötietojen käsittelyä koskevien uudistusten yhteydessä, kuten uusien teknologioiden ja palveluiden käyttöönotossa. Huolehdi riittävien teknisten ja organisatoristen toimien, kuten pseudonymisoinnin, toteuttamisesta.
KÄYTÄNNÖN TOIMIA Varmista, että kaikki tietosuoja-asetuksen mukaiset periaatteet henkilötietojen käsittelystä toteutuvat yhtiösi toiminnassa. Laadi käytännöt rekisteröityjen oikeuksien toteuttamiseksi ja rekisteröityjen informoimiseksi henkilötietojen käsittelystä.
KÄYTÄNNÖN TOIMIA Huolehdi, että yhtiösi dokumentaatio on ajantasainen. Varmista, että yhtiösi kykenee osoittamaan toimivansa tietosuoja-asetuksen mukaisesti. Päivitä kaikki sopimukset, joihin liittyy henkilötietojen käsittelyä sekä silloin, kun toimit rekisterinpitäjänä että silloin, kun toimit käsittelijänä. Huolehdi, että henkilötietojen käsittelystä sovitaan uusissa sopimuksissa.
KÄYTÄNNÖN TOIMIA Luo prosessi tietoturvaloukkausten tunnistamiseksi ja ilmoittamiseksi rekisteröidyille ja valvontaviranomaiselle. Varmista, että kaikki tietosuoja-asetuksen mukaiset periaatteet henkilötietojen käsittelystä toteutuvat yhtiösi toiminnassa Nimitä tarvittaessa tietosuojavastaava.
KÄYTÄNNÖN TOIMIA Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, AY-jäsenyystiedot ja vastaavat omaan mappiinsa lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka käyttöoikeudet on rajattu Harkitse, voiko arkaluontoiset tiedot lähettää suojaamattomassa sähköpostissa. Hyvin monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia sovelluksia sähköpostin sisällön suojaamisen.
KÄYTÄNNÖN TOIMIA Laadi ohjeet henkilötietojen käsittelyyn ja kouluta henkilöstö. Muista arkijärki siinä, mikä on oikeasti arkaluontoista. Voit kysyä meiltä ohjausta tai apua. Muista, että jos et ole sopinut kanssamme toisin, työntekijäsi eivät saa kysellä palkka-asioitaan suoraan meiltä. Meillä ei yleensä ole mahdollisuutta tunnistaa kyselijää luotettavasti.
KÄYTÄNNÖN TOIMIA Asiakasrekisteriinne rekisteröidyillä henkilöillä, samoin kuin työntekijöillänne, on oikeus tarkastaa omat tietonsa ja korjauttaa virheet. Mieti menettely, jolla kysyjä (esimerkiksi asiakkaan henkilö) tunnistetaan ja miten tiedot annetaan. Voit kysyä meiltä ohjausta tai apua.
KÄYTÄNNÖN TOIMIA Hävitä aineistot, kun ne eivät enää ole tarpeen. Palkanlaskennan aineistojen lakisääteinen säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta.
LÄHTEET: Summa 3/2017 -lehti Tilisanomat 4/2017 Tilisanomat 5/2017 Tilisanomat 6/2017 Taloushallintoliiton jäsensivut Ja lisätietoa esim: https://www.maestro.fi/julkaisu/muistilista-yleisen-tietosuojaasetuksen-soveltamiseksi/