Tietosuoja-asioissa uusia velvoitteita myös pk-yrityksille
Tulevaan EU:n tietosuoja-asetukseen valmistautumisesta aiheutuu useimmille yrityksille kohtalainen määrä vaivannäköä. Samaan aikaan kun Suomen hallitus on ainakin yrittänyt keventää yritysten hallinnollista taakkaa, Brysselistä luodaan sitä lisää.
Tässä kirjoituksessa käydään käytännönläheisesti läpi tietosuoja-asetuksen keskeisiä vaatimuksia ”tavallisen” pk-yrityksen näkökulmasta ja annetaan ratkaisuehdotuksia vaatimusten toteuttamiseen.
Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on suoraan tai epäsuorasti tunnistettavissa.
Tärkeät käsitteet
Rekisteröity tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka henkilötiedot ovat käsittelyn kohteena. Tietosuoja-asetus ei siis säätele esimerkiksi yrityksen asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta.
Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen arkaluontoiseksi. Esimerkkinä voidaan mainita ihmisen terveystiedot ja ay-jäsenyystiedot. Myös esimerkiksi tiedot ihmisen ulosotoista ja taloudellisesta tilanteesta edellyttävät arkijärjen mukaan erittäin luottamuksellista käsittelyä.
Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa. Tietokantojen lisäksi esimerkiksi Excel-taulukko voi siis muodostaa rekisterin. Tyypillisiä rekistereitä pk-yrityksissä ovat asiakasrekisteri ja työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin.
Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Pk-yritys on työntekijärekisterinsä pitäjä, vaikka palkanlaskenta olisikin ulkoistettu tilitoimistolle ja vaikka tilitoimisto hoitaisi rekisterin tietojen ylläpidon ja käyttäisi rekisteriä palkanlaskennan hoitoon.
Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Esimerkiksi tilitoimisto, joka käsittelee asiakkaiden työntekijöiden tietoja laskeakseen palkat, on henkilötietojen käsittelijä.
Riskiperusteisuus tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on. Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairaspoissaolojen suuresta määrästä ja palkkatulojen ulosotosta.
Tietosuoja-asetuksen noudattaminen on palkanlaskentapalvelua tarjoavalle tilitoimistolle kriittinen vaatimus.
Asiakas- ja työntekijärekisteri
Useimmilla pk-yrityksillä on jonkinlainen asiakasrekisteri. Vaikka asiakaskunta koostuisi pelkästään yrityksistä, on rekisterissä yleensä tietoa myös asiakasyritysten yhteyshenkilöistä. Yrityksen tulee käydä läpi, mitä tietoa sinne on ihmisistä tallennettu. Yleensä pk-yrityksen asiakasrekisterit eivät sisällä kovinkaan arkaluontoista tietoa, joten niiden suhteen ei kannata tehdä kärpäsestä härkästä.
Maanläheinen toimintatapojen kartoitus ja sopiminen ovat kuitenkin paikallaan. Esimerkiksi yrityksen CRM-järjestelmän asianmukainen käyttäjähallinta on tärkeää myös liikesalaisuuksien eikä yksinomaan henkilötietojen turvallisuuden näkökulmasta.
Yrityksen työntekijärekisteri sen sijaan on varsinainen arkaluontoisen henkilötiedon kokoelma. Palkanlaskennan tarpeisiin tarvitaan tietoa henkilön sairaspoissaoloista ja ay-jäsenyyksistä sekä toisinaan myös ulosotosta. Myös henkilötunnusta käytetään palkanlaskennassa säännönmukaisesti.
Jos yritys on ulkoistanut palkanlaskentansa tilitoimistolle, tulee yhteyskäytännöt sopia yksityiskohtaisesti ja kirjallisesti, jos näin ei vielä ole tehty:
• Kuka on asiakkaan yhteyshenkilö joka toimittaa aineistot ja missä muodossa ne toimitetaan?
• Missä muodossa ja miten tilitoimisto toimittaa aineistot asiakkaalle?
• Milloin tilitoimiston tulee hävittää tai palauttaa asiakkaalle hallussaan oleva aineisto?
Kaikkien olennaisinta kuitenkin on, että yrityksellä on selvät sävelet, miten se säilyttää tilitoimistolta vastaanottamansa arkaluonteisia henkilötietoja sisältävän aineiston. Se tulee säilyttää paperilla lukkojen takana tai tiedostomuodossa sellaisissa hakemistoissa, jotka on rajattu käyttöoikeuksin.
Tilitoimistot kouluttautuvat
Auktorisoidut tilitoimistot saavat syksyn aikana koulutusta tietosuoja-asetuksen vaatimusten noudattamisesta ja työkaluja, jotta ne voivat varmistaa ja dokumentoida palkanlaskentaprosessin tietosuojan. Tietosuoja-asetuksen noudattaminen on palkanlaskentapalvelua tarjoavalle tilitoimistolle kriittinen vaatimus. Monet tilitoimistot tarjoavat kertynyttä osaamistaan mielellään konsultointina ja käytännön opastuksena myös asiakkaidensa käyttöön.
Käytännön toimia pk-yrityksissä
- Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, AY-jäsenyystiedot ja vastaavat omaan mappiinsa lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka käyttöoikeudet on rajattu.
- Harkitse, voiko arkaluontoiset tiedot lähettää suojaamattomassa sähköpostissa. Hyvin monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia sovelluksia sähköpostin sisällön suojaamisen.
• Laadi ohjeet henkilötietojen käsittelyyn ja kouluta henkilöstö. Muista arkijärki siinä, mikä on oikeasti arkaluontoista. Voit kysyä tilitoimistoltasi ohjausta tai apua.
• Keskitä ainakin palkanlaskennan aineistojen lähetys ja vastaanotto tilitoimiston kanssa yrityksesi nimetylle vastuuhenkilölle ja hänen sijaiselleen.
• Muista, että jos et ole sopinut tilitoimiston kanssa toisin, työntekijäsi eivät saa kysellä palkka-asioitaan suoraan tilitoimistolta. Tilitoimistolla ei yleensä ole mahdollisuutta tunnistaa kyselijää luotettavasti.
• Rekisteröidyillä henkilöillä on oikeus tarkastaa omat tietonsa ja korjauttaa virheet. Mieti menettely, jolla kysyjä – esimerkiksi asiakas – tunnistetaan ja miten tiedot annetaan.
• Hävitä aineistot, kun ne eivät enää ole tarpeen. Kirjanpitoaineistojen ja palkanlaskennan aineistojen säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta.
• Tietosuoja-asetus velvoittaa asiakasyrityksen ja tilitoimiston kirjalliseen sopimiseen, joten viimeistään nyt tulee suulliset sopimukset saattaa kirjalliseen muotoon. Tietosuoja-asetuksen vaatimukset on huomioitu tilitoimistojen yleisissä sopimusehdoissa vuodenvaihteen tienoilla. Voit sopia päivitysajasta tilitoimistosi kanssa.