Mitä tilitoimiston asiakasyrityksen kannattaa tehdä ennen EU:n tietosuoja-asetuksen GDPR:n tuloa?

16.03.2018 | Timo Autioniemi

Luet parhaillaan TiliNeloset -ryhmän GDPR-blogisarjan ensimmäistä julkaisua. Avasimme teille asiakkaillemme blogikanavan, jotta saatte vaivattomasti käyttöönne aina uusimman asiantuntemuksemme liittyen PK-yritysten kirjanpidon tai palkanlaskennan ajankohtaisiin muutoksiin.

Tällä hetkellä ajankohtaisin muutos liittyy EU:n uuteen tietosuoja-asetukseen GDPR:ään (General Data Protection Regulation). Meillä TiliNeloset -ryhmässä asiantuntemusta on tästä aiheesta kertynyt koulutuksen ja erityisesti oman tietosuoja-projektimme kautta, ja jaamme mielellämme kaiken opitun kanssanne.

GDPR tarkoittaa EU:n uutta tietosuoja-asetusta. Asetuksen tavoitteena on varmistaa henkilötietojen käsittelyä koskevien sääntöjen yhtenäinen soveltaminen kaikkialla EU:ssa. Asetus vaikuttaa jokaiseen yritykseen, jossa käsitellään henkilötietoja – tätä asiaa ei voi painottaa liikaa, sillä asetuksen piiriin lukeutuvia yrityksiä on Suomessakin valtava määrä. Tietosuoja-asetuksen soveltaminen alkaa 25.5.2018, jonka jälkeen henkilötietoja täytyy käsitellä uuden asetuksen mukaisesti.

Käytännössä tämä tarkoittaa sitä, että yrityksesi pitää pystyä kertomaan muun muassa seuraavia asioita: millaista tietoa keräätte henkilöistä ja mihin kerättyä tietoa käytetään. Vuosikymmeniä taloushallinnossa työskelleenäni voin sanoa, että lähes jokaisella yrityksellä on jonkinlainen asiakasrekisteri. Vaikka asiakaskunta koostuisi pelkästään yrityksistä, on rekisterissä yleensä tietoa myös asiakasyritysten yhteyshenkilöistä. Tämän takia on ehdottoman tärkeätä, että käytte yrityksessänne läpi, minkälaista tietoa sinne on henkilöistä tallennettu.

Mikä on GDPR:n suurin haaste PK-yritykselle?

Tietosuoja-asetus koskee koosta riippumatta kaikkia sellaisia yrityksiä ja organisaatioita, joissa kerätään henkilötietoja. Henkilötiedolla tarkoitetaan esimerkiksi sähköpostiosoitteita ja puhelinnumeroita, joiden perusteella ihminen voidaan tunnistaa yksilöllisesti. Asetuksen toteutumista yrityksissä ja organisaatioissa valvoo Suomen tietosuojaviranomainen.

Kuten aikaisemmin mainitsin, GDPR vaikuttaa jokaiseen yritykseen, jossa käsitellään henkilötietoja – tämä koskee siis myös PK-yrityksiä, joita on Suomessa erittäin suuri määrä. Yleisesti ottaen PK-yritysten suurin GDPR-haaste on se, että yrityksissä ei tiedetä mitä käytännön toimenpiteitä heidän tulee tehdä tietosuoja-asetuksen toimeenpanemiseksi. PK-yrityksissä tiedon keräämisen ja säilyttämisen toimintamalleja on harvoin dokumentoitu ja tietoa kerätään sieltä täältä.

Tämän takia halusimme listata seuraavat 11 asiaa, jotka jokaisen PK-yrityksen olisi tärkeätä selvittää pikaisesti.

Tee nämä asiat 25.5.2018 mennessä:

1. Varmista, että olet laatinut kirjallisen sopimuksen henkilötietojen käsittelyn ulkoistamisesta tai tietojen siirtämisestä, jos olet esimerkiksi ulkoistanut palkanlaskennan meille. Yleensä asiakasrekisterit eivät sisällä kovinkaan arkaluontoisia henkilötietoja, joten niiden suhteen ei kannata tehdä mitään ylimitoitettuja toimienpiteitä. Työntekijärekisterinne sen sijaan sisältää arkaluontoisia henkilötietoja. Palkanlaskennan tarpeisiin tarvitaan tietoa henkilön sairaspoissaoloista, ay-jäsenyyksistä, sekä toisinaan myös ulosotosta. Myös henkilötunnusta käytetään palkanlaskennassa säännönmukaisesti.

2. Jos luovutat meille tietoja, niin dokumentoi asia seuraavalla tavalla: ”Luovutetaan työntekijöiden tietoja TiliNeloset-ryhmälle”.

3. Kirjoita seloste, miten säilytät, poistat ja luovutat henkilötietoja. Tämän selosteen avulla voit tarvittaessa osoittaa toimineesi tietosuoja-asetuksen mukaisesti. Tärkeintä on, että teillä on selkeä toimintatapa, miten säilytätte meiltä vastaanottamanne henkilötietoja sisältävän aineiston. Aineisto tulee säilyttää paperilla lukkojen takana tai tiedostomuodossa sellaisissa hakemistoissa, jotka on rajattu käyttöoikeuksin vain henkilöille, jotka tietoja työssään tarvitsevat. Tarvittavan lomakkeen saatte meiltä.

4. Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, ay-jäsenyystiedot ja muut vastaavat arkaluontoiset dokumentit omaan mappiinsa lukkojen taakse tai sähköisessä muodossa tietoturvalliseen hakemistoon, jonka käyttöoikeudet on rajattu.

5. Harkitse, voiko arkaluontoiset tiedot lähettää suojaamattomassa sähköpostissa. Hyvin monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia sovelluksia sähköpostin sisällön suojaamiseen. Tietosuojan suhteen ei kuitenkaan kannata koskaan tehdä kompromissejä. Suhtaudu siis tiedostojen lähettämiseen sähköpostitse aina varauksella.

6. Laadi ohjeet henkilötietojen käsittelyyn ja informoi henkilöstö. Arvioi käytännönläheisesti ja terveellä järjellä, mitkä asiat ovat oikeasti arkaluontoista. Me TiliNeloset -ryhmässä voimme aina tarvittaessa tarjota apua henkilöstösi kouluttamisessa.

7. Muista, että jos et ole sopinut kanssamme toisin, työntekijäsi eivät saa kysellä palkka-asioitaan suoraan meiltä. TiliNeloset -ryhmällä ei yleensä ole mahdollisuutta tunnistaa kyselijää luotettavasti, ellei asiaa ole sovittu selkeästi. Työntekijöillänne, on aina oikeus tarkastaa omat tietonsa ja korjauttaa virheet.

8. Laadi seloste käsittelytoimista ja laita se yleisesti saataville yrityksenne verkkosivuille sekä toimistolle. Selosteessa tulisi huomioida ainakin seuraavat asiat:
a. Mihin tietoja käytetään
b. Kuvaus rekisteröityjen ryhmistä (palkansaajat, yhteistyökumppanit, asiakkaat)
c. Kuvaus henkilötietoryhmistä (yhteystiedot, palkkatiedot)
d. Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja luovutetaan (kirjanpitäjä, palkanlaskija)
e. Rekisterinpitäjän ja mahdollisen yhteisrekisterin pitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot

9. Kuvaa, milloin poistat vanhentuneet tiedot, esim. ”entisten työntekijöiden tiedot arkistoidaan kuukauden kuluttua työsuhteen päättymisestä”. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Käsittelyn tarkoituksiin nähden virheelliset henkilötiedot tulee poistaa tai korjata viipymättä.

10. Hävitä aineistot, kun ne eivät ole enää tarpeen. Palkanlaskennan aineistojen lakisääteinen säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta.

11. Varaudu tilanteeseen, jossa yrityksesi työntekijältä tullaan kysymään seuraava kysymys: ”miten teidän yrityksessänne käsitellään henkilötietoja?” Jokaisen henkilötietoja käsittelevän henkilön täytyy ymmärtää, miten henkilötietoja käsitellään ja minkälaisilla prosesseilla niitä hallin-noidaan. Toisaalta, jokaisen yrityksen edustajan on tärkeätä osalta ohjata kiperät kysymykset henkilötietoja käsitteleville henkilöille.

Luotettavan kumppanin matkassa

Haluan vielä lopuksi painottaa, että GDPR ei ole mikään mörkö, jota yrityksissä kannattaisi pelätä. Vaikka asetus tuottaa monissa yrityksissä ylimääräistä työtä ja jopa huolta, on sen tarkoituksena palvella paremmin kuluttajien oikeuksia, eli suojella siten juuri sinun yrityksesi asiakkaiden henkilötietoja. Jokainen yritys – on sitten kyseessä pieni, suuri tai keskikokoinen – joka huolehtii GDPR:n vaatimusten täyttämisestä, saa käyttöönsä kilpailuedun, jota asetukseen varautumaton ei tule saavuttamaan.

Haluan myös painottaa, että yksikään yritys ei ole yksin GDPR-vaatimusten kanssa. Voit aina luottaa yhteistyökumppanisi osaamiseen ja niin myös me TiliNeloset -ryhmässä olemme valmiina autta-maan juuri sinun yrityksesi GDPR-huolissa.

Tulevissa blogi-kirjoituksissani tulen pureutumaan myös GDPR:n positiivisiin vaikutuksiin yrityksissä. Suosittelen siis seuraamaan tulevia blogi-kirjoituksiamme, sillä niissä pureudumme syvällisemmin GDPR:n vaikutuksiin eri näkökulmista. Kerromme myös avoimesti omasta GDPR-matkastamme, jota käsittelenkin seuraavassa, 21.3. julkaistavassa, ”TiliNeloset -ryhmän oman GDPR-projektin anatomia – näin se tehtiin”-kirjoituksessa.

Tervetuloa siis seuraamaan GDPR-matkaamme TiliNeloset –ryhmän blogissa!

Kirjoittaja on TiliNeloset-ryhmän hallituksen puheenjohtaja, KLT Timo Autioniemi. Timo on digitaalisen taloushallinnon pioneeri, jolla on 40 vuoden kokemus tilitoimistoliiketoiminnasta ja yrittäjyydestä.