TIETOSUOJA-ASETUS JA ULKOISTETTU PALKANLASKENTA

Samankaltaiset tiedostot
UUSI TIETOSUOJA-ASETUS. Kasvufoorumi ry Y-tunnus:

Teknologia avusteiset palvelutverkostopalaveri

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Vaikutustenarviointi GDPR:n mukaan

Tietoturva yhdistyksessä

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Henkilötietojen käsittelyn ehdot. 1. Yleistä

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

EU:N TIETOSUOJA-ASETUKSET WALMU

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Organisaatioluvan hakeminen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Usein kysyttyjä kysymyksiä tietosuojasta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

VAT:n tietosuoja, tietoturva ja uuteen henkilötietolakiin liittyvät tarkennukset.

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

Salon kaupunki , 1820/ /2018

Termit. Tietosuojaseloste

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Salon kaupunki , 1820/ /2018

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Tietosuojaseloste 1 (6)

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Salon kaupunki / /2018

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste 1 (5)

EU:n tietosuoja-asetus (GDPR)

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Henkilötietolain uudistus

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Henkilötietojen käsittelyn ehdot palveluntuottajille

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuoja ja tietoturvakäytännöt

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

1. Yleiset Periaatteet

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Tietosuojaseloste 1 (5)

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tietosuojaseloste Espoon kaupunki

EU:n tietosuoja-asetus 2016

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Informaatiovelvoite ja tietosuojaperiaate

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Salon kaupunki / /2018

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus (GDPR)

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Tietosuojaseloste Espoon kaupunki

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

5. Yhteistyöhankkeena tehtävän tutkimuksen osapuolet ja vastuunjako

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä


Transkriptio:

Etera Talous- ja palkkahallintopäivä 2017 TIETOSUOJA-ASETUS JA ULKOISTETTU PALKANLASKENTA Janne Fredman Eija Männistö

SISÄLTÖ Milloin ja mitä henkilötietoja voidaan käsitellä Osoitus- ja tiedonantovelvollisuus Yrityksen ohjeistus tietojen käsittelijälle 2

AIKATAULU JA KÄSITTEET Henkilötieto tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa Rekisteri mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko Rekisteröity henkilö, jonka tietoja käsitellään, esim. työntekijä Rekisterinpitäjä luonnollinen tai oikeushenkilö, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot, esim. työnantaja Käsittelijä luonnollinen tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun tämän ohjeiden mukaisesti, esim. tilitoimisto, pilvipalvelun tarjoaja, palvelintilan tarjoaja Käsittely kaikki tietoon kohdistuva toiminta, esim. keräily, järjestäminen, muokkaus, haku, käyttäminen, luovuttaminen, poistaminen, tuhoaminen Soveltamisen siirtymäkausi päättyy 25.5.2018, jolloin velvoittavaa lainsäädäntöä 3

MILLOIN JA MITÄ HENKILÖTIETOJA VOIDAAN KÄSITELLÄ Tiettyja ja laillisia tarkoituksia varten Rekisteröidyn suostumus Rekisterinpita ja n lakisaäẗeisen velvoitteen noudattaminen Sopimus, jossa rekisteröity on osallisena, täytäntöönpano Rekisteroïdyn tai toisen luonnollisen henkilo n elinta rkeiden etujen suojaaminen Yleisen edun mukainen tehtävä tai rekisterinpitäjän julkisen vallan käyttäminen Rekisterinpita ja n tai kolmannen osapuolen oikeutettujen etujen toteuttaminen Paitsi jos rekisteroïdyn edut tai perusoikeudet ja -vapaudet ensisijaisia 4

MILLOIN JA MITÄ HENKILÖTIETOJA VOIDAAN KÄSITELLÄ Asianmukaisia ja olennaisia; riittävä laajuus, ei enempää Tarvittaessa virheelliset tiedot oikaistaan tai poistetaan viipymaẗta Saïlytetaä n muodossa, josta rekisteroïty on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen henkiloẗietojen ka sittelytarkoitusten toteuttamista varten Varmistettava asianmukainen tietoturva luvattoman, lainvastaisen ja vahingossa tapahtuvan väärinkäytön varalta Organisatoriset ja tekniset toimenpiteet Riskiperusteisuus Yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on - henkilön yhteystiedot vs. terveystiedot 5

ERITYISIÄ HENKILÖTIETORYHMIÄ KOSKEVA KÄSITTELY (9 ARTIKLA) 1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. 2. Edellä olevaa 1 kohtaa ei sovelleta, jos a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten b) käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. 6

KÄSITTELIJÄN VALINTA JA KIRJALLINEN SOPIMUS Rekisterinpitäjän vastuu käsittelijän valinnasta (artikla 28) Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi Asiakassopimusten läpikäynti ja mahdollinen päivitys (artikla 28) Kirjalliset sopimukset Sopimus sisältää mm. rekisterinpitäjän ohjeet tilitoimistolle Alihankkijoiden käytön luvanvaraisuus ja vastuu 7

OSOITUSVELVOLLISUUS Rekisterinpitäjän seloste käsittelytoimista (artikla 30) Käsittelijän rekisteriseloste (artikla 30) Kuvaus kunkin asiakkaan lukuun tehtävistä käsittelyiden ryhmistä Yleinen kuvaus teknisistä ja organisatorisista turvatoimista Sisäänrakennettu ja oletusarvoinen tietosuoja (artikla 25) Järjestelmän ja prosessien tietoturvan tason selvitys ja dokumentaatio 8

OSOITUSVELVOLLISUUS Käsittelyn turvallisuus (artikla 32) Käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet Vaikutustenarviointi laajoissa järjestelmä- ja prosessimuutoksissa (artikla 35) Aktualisoituuko tarve palkka- ja HR-palveluissa? Tuki rekisterinpitäjälle sekä auditoinnin tukivelvoite (artikla 28) Tietosuojavastaava (artikla 37) -> Sopimukset, prosessien dokumentaatio, riskien tunnistus -> Osoitettava että toimet on suoritettu (artikla 24) 9

TIEDONANTO- JA TIEDOTTAMISVELVOLLISUUS Rekisteröityä on tiedotettava - asianmukainen ja la pina kyva ka sittely Rekisterin tarkoitus ja perusteet Yhteystiedot: rekisterinpitäjä, tarvittaessa käsittelijä ja tietosuojavastaava Tahot, joille henkiloẗietoja luovutetaan Tietojen säilyttämisen määräajat Oikeus tarkastaa mitä tietoja on käsitelty, oikeus oikaista, poistattaa tai rajoittaa tietojen käsittelyä Rekisteroïdyn oikeus tehda valitus valvontaviranomaiselle ja valvontaviranomaisen yhteystiedot Rekisterinpita ja n on toimitettava rekisteroïdylle jäljennös ka sitelta vista henkiloẗiedoista tämän pyynnöstä 10

KÄYTÄNNÖN TOIMIA 11

NÄKÖKULMIA YRITYKSEN JA TIETOJEN KÄSITTELIJÄN KANNALTA Projektimaisesti kelpoisuus syksyn ja kevään aikana Asetuksen huomiointi juoksevassa toiminnassa Näkökulmia/kompetensseja: Juridinen ymmärrys asiasta Henkilöstön osaaminen ja koulutus IT-järjestelmät ja prosessit Markkinoinnillinen hyödyntäminen Huomioidaan yleinen prosessien dokumentointitarve, mukaan lukien kirjanpitolain 2:7a luettelo kirjanpidoista ja aineistoista 12

MITEN EDETÄ Asialliset hommat suoritetaan Riskinä Tunnistetaan ja minimoidaan sellaiset olennaiset riskit, jotka ovat ehkäistävissä romuttamatta taloutta ja asiakkaiden palkanmaksua Muiden asioiden osalta tehdään voitava ja laaditaan dokumentaatio, jossa asiat on tunnistettu. Suomalaiskansallisen huolellisesti tehty kallis ylireagointi tai Menetetty maine ja jopa menetetty liiketoiminta 13

HENKILÖTIETOJEN KÄSITTELYN TURVALLISUUS TIETOSUOJA-ASETUKSESSA Rekisterinpitäjän ja käsittelijän on tietosuoja-asetuksen 32 kohdan mukaisesti toteutettava tietojenkäsittelyn turvallisuuden varmistamiseksi toimenpiteitä ja dokumentoitava ne. Asetuksessa on esimerkkeinä mainittu a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. 14

HENKILÖTIETOJEN KÄSITTELYN TURVALLISUUS TIETOSUOJA-ASETUKSESSA Käytännössä on tilitoimiston käytävä läpi (osin asiakkaan kanssa) - Palkanlaskennan prosessi - Asiakkaan kanssa toteutettava tietojen välitys - Liittymät - Järjestelmien ja hakemistojen käyttöoikeudet - Tietojen arkistointi sekä - Laadittava dokumentointi Prosessi ja dokumentaatio tulee tarkastaa kriittisesti kohtuullisin väliajoin 15

KIRJANPITOLAKI JA TIETOSUOJA-ASETUS Kirjanpitolaki velvoittaa säilyttämään kirjanpitoaineiston sisällöltään muuttumattomana lain mukaisen säilytysajan Tietosuoja-asetus oikeuttaa säilyttämään henkilötietoja perustellusta syystä (esimerkiksi palkanlaskentapalvelun tuottaminen ja lakisääteinen arkistointi) huomioiden henkilötietojen suojaus Tilitoimiston/yrityksen tulee sopia ja dokumentoida, mitä, miksi ja miten arkistoidaan perusteeton tulostus ja arkistointi tulee lopettaa. -> Laaditaan arkistointisuunnitelma 16

PALKANLASKENNAN KIRJANPITOAINEISTOA Tositteet säilytys 6 vuotta Työaikalistat, työsopimus tai muu dokumentti (palkka), provisiolista, KELA-päätös Liiketapahtumia koskeva kirjeenvaihto - säilytys 6 vuotta Ilmoitukset viranomaisille ja vakuutusyhtiöille, ennakkoperintä- asetuksen vaatimat listat Kirjanpidot eli kirjaukset tai päivä- ja pääkirja 10 vuotta Palkanlaskennan tapahtumat eli kirjaukset aikajärjestyksessä: tapahtumalista/palkkalista jne. Palkanlaskennasta kirjanpitoon viety kirjaus Periaatteessa riittäisi, että säilytetään kirjanpidossa, mutta kätevää säilyttää myös palkka-aineistossa 17

1. LÄPIKÄYNTI JA DOKUMENTAATIO KÄSITTELYN TURVALLISUUDESTA JA ARKISTOINTISUUNNITELMA Käydään läpi ja dokumentoidaan prosessi tietoturvanäkökulma huomioiden ja dokumentoidaan arkistoitavat aineistot Aineiston nimi Luokitus (normaali, arkaluontoinen, ei henkilötietoa) Vastaanottotapa (miten saadaan asiakkaalta) Jatkokäsittely (miten käsitellään) Säilytystapa (miten säilytetään) Säilytysaika (kuinka kauan) Hävitystapa (miten hävitetään, kuka vastaa) 18

Aineisto Luokitus Vastaanotto-tapa Jatkokäsittely Säilytystapa Säilytys-aika Hävitystapa Työntekijän perustiedot työsopimuksen kopio Normaali (Huom aytiedot) Paperiposti Syötetään palkkajärjestelmään, arkistoidaan palkanlaskentaaineistoon henkilöiden perustietoihin Asiakaskohtainen palkkamappi (henkilöiden perustiedot) 6 vuotta, tosite (yleensä asiakas säilyttää) (Huom työtodistus annettava 10 vuotta) Ei hävitetä, jos työsuhde voimassa. (Hävitetään kerran vuodessa 6 vuoden säilytysajan täytyttyä päättyneiden työsuhteiden osalta). Palkkalista/ tapahtumalista Normaali, jos AY tai ulosotto eriteltynä, arkaluonteinen Palkanlaskennasta tiedot Arkistoidaan tuloste palkanlaskenta-aineistoon Asiakaskohtainen palkkamappi (palkkaajot) 10 vuotta, päiväkirja Hävitetään kerran vuodessa 10 vuoden säilytysajan täytyttyä Palkanlaskennan yhteenveto kirjanpitoon Ei henkilötietoja Palkanlaskennasta tiedot Tallennetaan kirjanpitoon, arkistoidaan tuloste palkanlaskenta-aineistoon Asiakaskohtainen palkkamappi (palkkaajot) 10 vuotta (tiliöinnit) Hävitetään kerran vuodessa 10 vuoden säilytysajan täytyttyä Vuosi-ilmoitustiedot Normaali Palkanlaskennasta tiedot Toimitetaan tieto verottajalle, TyEl-vakuutusyhtiölle (vuosiilmoittaja), tapaturma- ja työttömyysvakuutus- yhtiöille, arkistoidaan tuloste palkanlaskenta-aineistoon Asiakaskohtainen palkkamappi (palkkaajot) 6 v. (Liiketapahtumia koskevaa kirjeenvaihtoa) Hävitetään kerran vuodessa 6 vuoden säilytysajan täytyttyä

2. SELOSTE KÄSITTELYTOIMISTA (30 ARTIKLA) Henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot. Kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät. Mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista. 20

3. TOIMINTAOHJELUONNOS ASIAKKAILLE ANNETTAVAKSI TILITOIMISTOLLE Tietosuoja-asetuksen 28 artiklan alakohdan 3 a mukaan asiakkaan on annettava tilitoimistolle dokumentoidut eli kirjalliset ohjeet henkilötietojen käsittelystä. Tilitoimiston kannattaa luonnostella asiakkailleen kohdat, joista ohjeistusta tulee antaa. 21

4. KIRJALLISET SOPIMUKSET JA KL2004 EHTOJEN UUSIMINEN Kaikille tilitoimistoille kirjalliset sopimukset palkka-asiakkaille toukokuuhun 2018 mennessä! 28 artikla Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. KL2004 henkilötietojen käsittelyn erityisehdot päivitettävänä Taloushallintoliiton työryhmällä 22

ALIHANKKIJOIDEN KÄYTTÖ PILVIPALVELUISSA Asiakas Rekisterinpitäjä Tilitoimisto Käsittelijä laskee palkat Jos asiakas on itse tehnyt sopimuksen ohjelmistotalon kanssa, on vastuu käsittelijöistä asiakkaalla Pilviohjelmistot alo Käsittelijä - tarjoaa ohjelmiston ja tekee tukitoimia esimerkiksi käyttöliittymän kautta Palvelinfirma Käsittelijä saattaa käydä kannassa tai päästä sinne

5. ALIHANKKIJOILTA DOKUMENTAATIO Kun palkanlaskentajärjestelmän palvelimet on ulkoistettu, (pilvipalvelu tai vastaava) tulee ohjelmistotalolta tai palvelinpalvelun tarjoajalta pyytää dokumentaatio tietosuoja-asetuksen vaatimusten toteutustavoista. Salassapitosopimukset Käyttäjärajaukset Koulutus Tekninen tietoturva jne. 24

6. ASIAKASTIEDOTE Tilitoimiston ja muiden tiedon käyttäjien kannattaa laatia asiakkailleen ohjeistusta, jossa asiat kuvataan maanläheisesti ja turhia pelottelematta, ja nostetaan esille pari konkreettista ohjetta Mikä tietosuoja-asetus on Kirjallinen sopimus yrityksen ja tiedon käyttäjän välillä Osoitusvelvollisuus ja ohjeistus Tiedonanto- ja tiedottamisvelvollisuus Palkka-aineistot käyttöoikeuksien ja lukkojen taakse Sairaudet, ay-jäsenyydet Asiointi vain nimetyn yhteyshenkilön kautta ellei muusta sovittu Tietosuoja-asetus huomioitava kaikessa toiminnassa, jossa henkilötietoja, mm. asiakasrekisteriiin yhteyshenkilöistä kerätyt tiedot x 25

LUPA ALIHANKKIJOIDEN KÄYTTÖÖN? 28 artiklan mukaan Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. Jos sopimuksessa on yleinen lupa käyttää alihankkijoita, onko silti muutoksiin kysyttävä suostumus? 26

TIETOSUOJAVASTAAVAN NIMEÄMISEN TARVE?... 37 artiklan 1c kohdan mukaan Tietosuojavastaava on nimettävä kun rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin. Tietosuoja-vastaava on raskas hallinnollinen velvoite, joka edellyttää myös dokumentointia Rekisterinpitäjän ja käsittelijöiden neuvonta Valvoo tietosuojamääräysten noudattamista Vaikutusten arviointi Yhteistyö valvontaviranomaisen kanssa Mukana kaikkien henkiloẗietojen suojaa koskevien kysymysten ka sittelyssä 27

VAIKUTUSTEN ARVIOINTI?... 1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin. 2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty. 3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa kyseessä on laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin. 28

OTE ASETUKSESTA (PERUSTELUJEN KOHTA 81/173) Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän puolesta suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoiminnat henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. 29

OTE ASETUKSESTA (PERUSTELUJEN KOHTA 81/173) Sitä, että henkilötietojen käsittelijä noudattaa hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. 30

OTE ASETUKSESTA (PERUSTELUJEN KOHTA 81/173) Rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai valvontaviranomainen yhdenmukaisuusmekanismin mukaisesti komission hyväksymänä. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän puolesta, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. 31

KIITOS! Eija Männistö / Janne Fredman

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute