Henkilötietojen käsittelyä koskevat erityisehdot ( DPA ) Suomen Tilaajavastuu Oy 19.04.2018
Miksi ja milloin tarvitaan henkilötietojen käsittelyä koskevat erityisehdot EU:n yleinen tietosuoja-asetus tulee velvoittavaksi 25.5.2018. Tietosuoja-asetuksen 28 artiklassa edellytetään, että henkilötietojen käsittelyä ulkoistava rekisterinpitäjä sopii ulkoistuskumppaninsa kanssa kirjallisesti henkilötietojen käsittelyyn sovellettavista ehdoista. Tällaista sopimusta tai sopimusliitettä kutsutaan yleisesti Data Processing Agreementiksi, DPA:ksi tai henkilötietojen käsittelyä koskevaksi sopimukseksi/sopimusliitteeksi. STV:n palveluita käyttäville asiakkaille muodostuu omia henkilörekistereitä, joissa asiakas on rekisterinpitäjän asemassa ja STV on henkilötietojen käsittelijä, joka toimii rekisteripitäjän puolesta. Siksi seuraavien palveluiden sopimusehtoihin liitetään uusi liite Henkilötietojen käsittelyä koskeva erityisehdot : Ilmoita-palvelu (yrityksen työntekijärekisteri) Työmaarekisteri ja työmaarekisterin työntekijäraportointi (työmaakohtaiset henkilölistat ja muut henkilötiedot, joita käytetään Verohallinnolle tehtävien työntekijäraporttien tekemiseen) Valvoja-palvelu (asiakkaan valvontalistalla olevien yritysten tilaajavastuuraportteihin sisältyvät vastuuhenkilöiden henkilötiedot) SignSpace-palvelu (asiakaskohtainen henkilörekisteri yhteyshenkilöistä ja palvelun käyttäjien profiilitiedoista)
Miten uusi sopimusliite tulee asiakkaan voimassaolevan sopimuksen osaksi STV:n sopimusehtojen mukaan STV voi muuttaa palveluita koskevia sopimusehtoja ilmoittamalla siitä asiakkaalle vähintään yhtä kuukautta etukäteen palveluiden verkkosivuilla www.tilaajavastuu.fi julkaistulla tiedotteella. Asiakas hyväksyy muutetut sopimusehdot jatkamalla STV:n palveluiden käyttöä. Henkilötietojen käsittelyä koskeva sopimusliite ei siten edellytä asiakkaalta allekirjoitusta tai muita aktiivisia toimenpiteitä.
DPA-sopimusliitteen keskeiset ehdot STV:n Ilmoita-palvelu, Työmaarekisteri ja Valvoja-palvelu ovat kaikille asiakkaille samanlaisina tarjottuja pilvipalveluita, joihin ei ole teknisesti eikä kaupallisesti mahdollista tehdä asiakaskohtaisia räätälöintejä tai muokkauksia. Tästä johtuen sopimusliitteessä henkilötietojen käsittelystä sovitaan tavalla, joka on yhteensopiva STV:n palveluiden ja pilvipalvelun teknis-kaupallisten rajoitusten kanssa.
Alihankkijoiden käyttö (alikäsittelijät) Asiakas antaa ennakollisen hyväksymisen sille, että STV voi käyttää palveluiden tuottamisessa Euroopan talousalueen sisällä toimivia alihankkijoita. Käytettyjä alihankkijoita ei siis hyväksytetä etukäteen jokaisella asiakkaalla. Jos asiakas ei hyväksy käytettyä alihankkijaa tai alihankkijan muutosta, asiakkaalla on aina oikeus päättää palvelua koskeva sopimus. Tällä hetkellä keskeisimmät alikäsittelijät ovat: Vakka-Suomen Puhelin Oy (asiakaspalvelu sähköpostitse ja puhelimitse) Moment Group Oy (asiakaspalvelu sähköpostitse ja puhelimitse) Finnchat Oy (asiakaspalvelu verkkosivujen chat-palvelussa) Nebula Oy (palvelukeskuspalvelut)
Henkilötietojen käsittelyn luonne ja kesto STV käsittelee henkilötietoja niin kauan kuin asiakas käyttää palvelua. Asiakkaan ja STV:n välisen palvelun käyttöä koskevan sopimuksen päättyessä STV lopettaa henkilötietojen käsittelyn ja poistaa tai palauttaa asiakkaalle henkilötiedot kunkin palvelun erityisehdoissa kuvatulla tavalla. Henkilötietojen käsittelyn päättymiseen liittyvät toimenpiteet vaihtelevat palveluittain ja kuvataan siksi kunkin palvelun erityisehdoissa. Käsiteltävät henkilötietotyypit ja rekisteröityjen ryhmät kuvataan samoin kunkin palvelun erityisehdoissa.
Asiakkaan vastuulla olevat asiat Asiakas vastaa rekisterinpitäjänä siitä, että se toteuttaa omalta osaltaan tarvittavat toimenpiteet, joita edellytetään tietosuojalainsäädännössä. Asiakkaan vastuulla on esimerkiksi varmistaa, että asiakas tallentaa STV:n järjestelmiin vain oikeaa sisältöä, pitää tallentamansa tiedon ajantasaisena ja poistaa tiedot joita ei enää tarvita: Ilmoita-palvelun kautta annettujen työntekijätietojen ylläpito siten, että entiset työntekijät poistetaan heti, kun työsuhde päättyy ja samassa yhteydessä lopetetaan työntekijän mahdollinen eperehdytys-tilaus ja merkitään työsuhteeseen sidottu Valttikortti lopetettavaksi.
Asiakkaan kirjalliset ohjeet Asiakkaalla on oikeus antaa kirjallisia ohjeita. Vakiomallisen pilvipalvelun kohdalla asiakkaan ei pääsääntöisesti tarvitse erikseen ohjeistaa palveluntarjoajaa, jolloin kirjalliseksi ohjeistukseksi katsotaan se, että palvelu toimitetaan sopimuksen ja olemassa olevien palvelukuvausten mukaisesti. Asiakkaan antama ohjeistus liittyy käytännössä useimmiten asiakkaan tilaamiin lisämaksullisiin palveluihin, kuten esimerkiksi asiakkaana olevan konsernin yhtiöjärjestelyiden yhteydessä pyydetty apu rekisteritietojen siirto toisen y-tunnuksen alle.
Seloste käsittelytoimista (records of processing activities Art 30) STV pitää rekisterinpitäjä-asiakkaalleen saatavilla tietosuoja-asetuksen 30 artiklan mukaisen selosteen käsittelytoimista silloin, kun STV toimii käsittelijän roolissa.
Omien tietojen tarkastusoikeuden toteuttaminen Rekisteröidyllä henkilöllä on oikeus pyytää rekisterinpitäjältä tieto siitä, mitä henkilötietoja hänestä on rekisterissä. STV:n on luomassa omiin verkkopalveluihinsa toiminnallisuutta, jonka kautta rekisteröity henkilö voisi tunnistautua henkilökohtaisilla pankkitunnuksillaan ja sen jälkeen tarkastaa omat henkilötietonsa. Kun sähköinen omien tietojen tarkastus on mahdollista, haluamme, että yksittäinen työntekijä voisi tarkastaa Ilmoita-palvelussa olevat tietonsa samassa yhteydessä kun hän tarkastaa STV:n Valttikorttirekisterissä tai Taitorekisterissä olevat henkilötietonsa. Tätä varten pyydämme ehdoissa, että asiakas valtuuttaa STV:n vastaamaan asiakkaan puolesta rekisteröidyn omien tietojen tarkastuspyyntöihin silloin, kun sähköinen itsepalvelukanava on käytettävissä. Jos omien tietojen tarkastusta pyytää henkilö, jolla ei ole pankkitunnuksia. Henkilö voi pyytää omien tietojen tarkastusta manuaalisessa prosessissa tunnistautumalla virallisilla henkilöpapereillaan. Ensimmäisessä vaiheessa sähköisen itsepalvelukanavan kautta saisi tiedot myönnetyistä Valttikorteista, Taitorekisteriin merkityistä pätevyyksistä (molemmissa rekisterinpitäjänä STV) ja Ilmoita-palvelussa työnantajan työntekijästä antamat tiedot. Päätoteuttajan työmaarekisteristä annettaisiin itsepalvelukanavassa vain tieto, mihin ja kenen päätoteuttajan työmaihin henkilö on liitetty STV:n työmaarekisteripalveluissa ja ohjeistus pyytää tarkempia tietoja suoraan rekisterinpitäjänä toimivalta päätoteuttajalta. Tämä linjaus on tehty siksi, että STV:n työmaarekisteriin tallennettu henkilötieto on useimmiten vain osa työmaalla käsiteltävästä henkilötiedosta, jota voi olla myös kulunvalvontajärjestelmissä, työmaan toiminnanohjausjärjestelmissä ja muissa tietojärjestelmissä. Päätoteuttaja voi valita, miten on tarkoituksenmukaisinta vastata rekisteröidyn tietopyyntöön. STV avustaa päätoteuttajaa sen tiedon osalta, joka on tallennettu STV:n palveluihin. STV:n verkkopalvelun käyttäjä voisi tarkistaa omat käyttäjätietonsa kirjautumalla kuhunkin palveluun ja katsomalla omat profiilitietonsa. Omien tietojen tarkastamisen itsepalvelukanavaa kehitetään jatkossa kertyneen käyttökokemuksen pohjalta. Ensimmäisessä vaiheessa STV ei veloita asiakasta siitä, että sen työntekijä käyttää sähköistä omien tietojen tarkastuspalvelua. STV varaa kuitenkin mahdollisuuden muuttaa hinnoittelulinjauksiaan, jos omien tietojen tarkastuksen yhteydessä henkilön sähköisen tunnistamisen TUPAS-tunnistusten kokonaismäärä ja kulut nousevat merkittäväksi kulueräksi.
Palveluiden tietosuojaselosteet ja muu informointimateriaali STV päivittää palveluidensa tietosuojaselosteet ennen toukokuun loppua. STV:n verkkosivuille tulee oma osio, jossa kerrotaan yksityiskohtaisemmin miten STV käsittelee henkilötietoja tarjoamiensa palveluiden yhteydessä.
Yhteyshenkilö henkilötietojen käsittelyyn liittyvissä kysymyksissä Tietosuojavastaava: Saara Rinta-Jouppi tietosuoja@tilaajavastuu.fi Suomen Tilaajavastuu Oy Tarvonsalmenkatu 17 B 02600 Espoo