SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ PALKKAMYLLY- PALVELUSSA
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ PALKKAMYLLY- PALVELUSSA
Päivitetty: 20.10.2021
Tämä dokumentti on Tietosuojalakien mukainen Henkilötietojen käsittelysopimus. Sopimus solmitaan, kun Palvelu otetaan käyttöön.
1 Määritelmiä
”Palkkamylly” tai ”Palvelu” tarkoittavat Rakennusliitto ry:n tarjoamaa palkanlaskennan ja palkanmaksun mahdollistavaa verkkopalvelua ja siihen liittyvien sivustojen (kuten xxxxx://xxx.xxxxxxxxxxx.xx) sekä esimerkiksi sähköpostitse tai puhelimitse tapahtuvan viestinnän muodostamaa palvelukokonaisuutta.
"Käyttäjä" tarkoittaa työnantajaa, työnantajan edustajaa tai työntekijää, joka käyttää Palvelua.
”Henkilötiedot” ovat mitä tahansa tietoja liittyen tunnistettuun tai näiden tietojen perusteella tunnistettavissa olevaan yksityishenkilöön.
“Käsittely” ja ”Käsittelytoimi” ovat toimintoja, joita kohdistetaan Henkilötietoja sisältäviin tietokantoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen säilyttämistä, tietojen luovuttamista siirtämällä, tai asettamalla ne muutoin saataville sekä turvakopioimista.
“Rekisterinpitäjä” on se, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot ja on tässä Sopimuksessa se on Käyttäjä.
“Käsittelijä” on Rakennusliitto, joka Käsittelee Henkilötietoja Rekisterinpitäjän lukuun Sopimuksen perusteella.
”Integroitu palvelu” on kolmannen osapuolen tarjoama palvelu, jonka avulla voi
tunnistautua Käyttäjäksi tai jonka kautta voi käyttää Palvelua.
”Tietosuojalait” tarkoittavat EU:n yleistä tietosuoja-asetusta (EU 2016/679) sekä kulloinkin voimassa olevia ja soveltuvia tietosuojalakeja kuten Tietosuojalaki (1050/2018) ja laki yksityisyyden suojasta työelämässä (759/2004).
”Sopimus” tarkoittaa tätä dokumenttia, joka on Käyttäjän ja Rakennusliiton välille solmittu Tietosuojalakien (tietosuoja-asetuksen (EU 2016/679) art. 28) mukainen käsittelysopimus (”Sopimus”). Sopimus myös kuvaa, mitä tietoja keräämme ja miten niitä käytetään, suojataan ja jaetaan. Käyttämällä Palvelua hyväksyt Sopimuksessa
kuvatut käytännöt. Tämä sopimus löytyy tämän linkin kautta: xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxx
2 Käsiteltävät henkilötiedot
Rakennusliitto Käsittelee Henkilötietoja Palvelun tuottamiseksi Rekisterinpitäjän puolesta ja lukuun tämän Sopimuksen perusteella.
2.1 Käyttäjien antamat tiedot
Palvelu käsittelee Henkilötietoja ja muita palkanmaksuun liittyviä tietoja käyttäjätilin luomisen yhteydessä ja joissain tapauksissa asiakaspalvelun yhteydenottokanavien kautta Palveluun kirjautumisen jälkeen. Käsittelemme tällöin muun muassa seuraavia tietoja:
• Nimi, käyttäjätunnus, sähköpostiosoite, IP-numero, osoite ja puhelinnumero
Kun Käyttäjä antaa Palvelussa valtakirjan Xxxxxxxx.xx:lle hoitaa puolestaan palkkaamiseen, palkanmaksuun ja palkkoihin liittyviä velvoitteita ja maksuja suhteessa viranomaisiin ja muihin palkkaamiseen liittyviin tahoihin, käsittelemme lisäksi seuraavia tietoja:
• Henkilötunnus, työtehtävä, verokortin tiedot, tilinumero ja käyttäjäkohtaiset palveluasetukset
• Rakennusliiton jäsennumero
• Maksetut ja/tai saadut palkat
• Palvelun kautta ostettujen tai muuten palveluun ilmoitettujen lakisääteisten vakuutusten tiedot
• Käyttäjän IP-osoite ja selaimen tiedot
• Asiakaskommunikaatiossa esiin tulleet tai Käyttäjän antamat mahdolliset muut tiedot
2.2 Käyttäjän keräämät tiedot
Käyttäjän on huolehdittava omalta osaltaan tietoturvasta ja yksityisyydensuojasta Tietosuojalakien mukaisesti.
2.3 Integroidut palvelut
Käyttäjälle voidaan tarjota mahdollisuutta rekisteröityä ja käyttää Palvelua kolmannen osapuolen palvelun Integroidun palvelun kautta. Palveluun voi kirjautua myös Google- ja Facebook-tunnuksilla ja -salasanolla.
Käyttäjällä voi olla myös mahdollisuus valtuuttaa Integroitu palvelu antamaan Henkilötietoja ja muita tietoja Palvelun Käsiteltäväksi. Rakennusliitto käsittelee
Integroidun palvelun kautta saatuja tietoja samalla tavalla kuin Käyttäjän itsensä antamia tietoja.
Käyttäjän tulee tarkastaa Integroidun palvelun tietosuojakäytännöt ymmärtääkseen, mitä tietoja luovutetaan ja tarvittaessa tehdä mahdolliset muutokset Integroidun palvelun asetuksiin.
2.4 Tiedot muista lähteistä
Palvelu saattaa vastaanottaa tai Käsitellä tietoa kolmansilta osapuolilta, kuten viranomaisilta tai muilta palkanmaksuun liittyviltä tahoilta. Kolmansilta osapuolilta saatavaa tietoa, jota käsitellään Palvelussa ja yhdistetään Käyttäjän tietoihin, käsitellään ja suojataan Palvelussa samalla tavalla kuin kohdan Käyttäjän itsensä antamia tietoja.
2.5 Automaattisesti kerätyt tiedot
Palvelu käyttää seurantatekniikkaa eli evästeitä keräkseen tietoja muun muassa selainohjelmista, käyttöjärjestelmistä, verkkoliikenteestä, sivustolla liikkumisesta ja vastaavasta aktiviteetista Sivustolla.
Käyttäjä voi itse valita, miten evästeitä käytetään selaimessa. Käyttäjä voi esimerkiksi asettaa selaimen antamaan varoituksen, kun vieraillaan evästeitä käyttävissä sivustoissa tai estämään evästeiden käytön täysin. Jos Käyttäjä estää evästeiden käytön, hän ei kuitenkaan välttämättä pysty käyttämään kaikkia sivuston toimintoja. Käyttäjän tulee huomioida, että evästeasetukset tulee tehdä jokaisessa selainohjelmassa ja jokaisella koneella tai laitteella erikseen.
Emme kerää henkilötietoja julkista Sivustoa selaavasta yksityishenkilöstä, joka ei ole rekisteröitynyt Palvelun Käyttäjäksi.
3 Käsiteltävän tiedon käyttäminen
Tietoja Käsitellään Tietosuojalakien ja muiden Palveluun sovellettavien lakien edellyttämällä tavalla.
Palvelu käyttää Käsiteltäviä Henkilötietoja Palvelun tuottamiseen ja sen kehittämiseen ja Rakennusliitto toiminnassa, muun muassa seuraavissa tapauksissa:
3.1 Palvelun tuottaminen
Palvelu muodostaa ja välittää lakisääteisiä tietoja ja maksuja viranomaisille, pankeille ja vakuutusyhtiöille, mikä edellyttää Käyttäjien luotettavaa tunnistamista sekä Käyttäjän henkilötietojen ja palkkatietojen tallentamista ja käsittelyä.
3.2 Viestintä käyttäjille
Rakennusliitto lähettää Käyttäjille viestejä palkanmaksuun ja raportointiin liittyvissä tilanteissa. Rakennusliitto saattaa myös ottaa yhteyttä Käyttäjään Palvelun virhe- tai ongelmatilanteissa sekä kertoa Palvelun uusista ominaisuuksista.
Lisäksi Rakennusliitto voi lähettää Käyttäjille tietoa uusista kumppanipalveluista ja palkanmaksuun liittyvistä aiheista. Käyttäjä voi kieltää tällaisen markkinointiviestinnän lähettämisen.
3.3 Analytiikka ja laadun parantaminen
Rakennusliitto seuraa ja analysoi Palvelun käyttöä tietoturvan ja Palvelun toiminnan kehittämiseksi. Voidaan esimerkiksi seurata eri toiminnallisuuksien käytön määrää ja trendejä, minkä avulla arvioidaan ja parannetaan Palvelun laatua ja käytettävyyttä.
Rakennusliitto voi jakaa anonyymia tietoa Palvelun käytöstä kolmansille osapuolille, kuten esimerkiksi Google Analytics-palvelulle, edellä mainittuja analyysi- ja kehittämistarpeita varten. Tarkoituksena on tutkia, miten Käyttäjät käyttävät Palvelua, jotta voidaan muokata Palvelua paremmin Käyttäjien tarpeita vastaavaksi.
Tämän lisäksi voidaan jakaa anonyymia tietoa käyttäjä- ja käyttömääristä Rakennusliitto toiminnassa, esimerkiksi jakaa julkisesti tietoa Palvelun käyttäjämäärien kehityksestä.
4 Tietojen luovuttaminen
Henkilötietoja luovutetaan vain palkanmaksun lakisääteisten velvollisuuksien hoitamiseksi esimerkiksi Verohallinnolle, työeläkevakuutusyhtiöille, työtapaturmavakuutusyhtiöille ja Työllisyysrahastolle.
Tietoja voidaan luovuttaa myös Rakennusliiton Palvelun tuottamiseen tarvittaville konserniyhtiöille.
Työnantajana toimivasta Käyttäjästä välitetään nimi ja kotikunta työntekijälle palkkalaskelmalla.
Henkilötietoja voidaan luovuttaa EU/ETA-alueen ulkopuolelle vain siinä tapauksessa, että tarpeelliset suojakeinot ovat käytössä, kuten:
• Maa on EU-komission toimesta todettu omaavan riittävän hyvän suojaustason henkilötiedoille.
• Suojakeinoista varmistutaan käyttämällä EU-komission tarjoamia mallilausekkeita sopimuksissa henkilötietojen siirroista.
5 Alihankkijat
Tietosuojanäkökulmasta alihankkijaksi katsotaan taho, joka tuottaa Rakennusliiton omalla nimellään tarjoaman palvelun joko osittain tai kokonaan. Tällöin saatetaan siirtää Henkilötietoja alihankkijan käsiteltäviksi, jolloin kyse on joko Rakennusliiton tai kumppanin tuotteen tai palvelun käyttöön liittyvästä teknisen integraation siirtämästä tiedosta tuotteiden tai palveluiden välillä. Alihankkija toimii tällöin henkilötietojen alikäsittelijänä.
Palvelun toimittamisessa käytettävien henkilötietoa käsittelevien alihankkijoiden osalta Rakennusliitto pyrkii varmistumaan siitä, että alihankkijoiden käyttämissä sopimuslausekkeissa on aina tuorein versio GDPR:n oikeuskäytänteen perusteilla.
Alihankkijana on esimerkiksi Suomen Palkanlaskenta Oy / Xxxxxxxx.xx, joka tuottaa teknisesti ja ylläpitää Palvelun. Xxxxxxxx.xx:n kanssa on solmittu sopimus henkilötietojen käsittelystä.
Kaikki alihankkijoiden kanssa välitettävä tieto on suojattu asianmukaisin keinoin ja käsittelyssä noudatetaan tietosuojalakia.
6 Turvallisuustoimenpiteet
Henkilötietoja säilytetään ainoastaan suojatuilla palvelimilla. Pääsy Käyttäjien tietoihin on rajattu käyttöoikeuksin ja sallittu vain henkilöille, jotka tarvitsevat kyseisiä tietoja työtehtäviensä hoitamiseksi. Henkilötietoja Käsitteleviä henkilöitä sitoo vaitiolovelvollisuus.
Tietoturvallisilla prosesseilla ja käytännöillä on tarkoitus estää tiedon häviäminen, väärinkäyttö, tuhoutuminen ja päätyminen ei-auktorisoiduille tahoille. Rakennusliitto ja palvelua teknisesti tuottava Xxxxxxxx.xx ylläpitävät seuraavia teknisiä turvallisuustoimenpiteitä:
• Käyttäjä liittyy Palveluun lainmukaisella vahvalla sähköisellä tunnistautumisella.
• Käyttäjien salasanoja ei tallenneta selväkielisenä eikä niistä pidetä lokia.
• Palvelu ei aseta salasanaa Käyttäjälle. Käyttäjän pyynnöstä salasana asetetaan satunnaiseen vahvaan salasanaan, joka Käyttäjän täytyy vaihtaa uuteen seuraavan kirjautumisen yhteydessä.
• Kirjautumisista Palveluun kertyy lokitietoja.
• Myös alihankkijoilta edellytetään Käsiteltävien Henkilötietojen asianmukaista suojaamista.
• Manuaalinen aineisto säilytetään lukituissa tiloissa.
Rakennusliiton ja Xxxxxxxx.xx testaavat, tutkivat ja arvioivat säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
7 Tietosuojaloukkaukset
Rakennusliitto seuraa ja raportoi mahdollisista turvallisuusuhista ja -hyökkäyksistä lain vaatimusten mukaisesti.
Rakennusliitto ilmoittaa Rekisterinpitäjälle kaikista havaitsemistaan tietosuojaan ja tietoturvaan liittyvistä loukkauksista tai uhista, jotka liittyvät tämän Sopimuksen kohteena olevien tietojen Käsittelyyn. Ilmoittamisessa ja toiminnassa noudatetaan Tietosuojalainsäädäntöä.
Rakennusliitto auttaa Rekisterinpitäjää tietosuojaloukkausten selvittämisessä ja toimii Rekisterinpitäjän ohjeistuksen mukaisesti.
Jos Rakennusliitto havaitsee tietosuojaan liittyviä ongelmia Rekisterinpitäjän ohjeistuksessa, se ilmoittaa havaitsemistaan puutteista mahdollisimman pian Rekisterinpitäjälle.
8 Tietojen säilyttäminen
Palvelun Käsittelemää tietoa sekä Palvelun tuottamat palkkalaskelmat säilytetään palkanmaksuvuotta seuraavien 10 vuoden ajan, mikäli Rekisterinpitäjä ei erikseen vaadi tietojen poistamista.
9 Tietojen tarkistaminen, korjaaminen ja poistaminen
Käyttäjä voi tarkistaa Palvelussa olevia tietoja kirjautumalla Palveluun tai ottamalla yhteyttä asiakaspalveluun (Sopimuksen viimeinen kohta).
9.1 Tietojen tarkistaminen ja korjaaminen
Käyttäjä voi päivittää tai korjata Palvelussa olevia tietoja kirjautumalla Palveluun. Jos Käyttäjä tai Rekisterinpitäjä huomaa Palvelussa vääriä tietoja, hänen on viipymättä ilmoitettava niistä Rakennusliitolle.
Palvelulla on oikeus tarkistaa Käyttäjän ja Rekisterinpitäjän antamat tiedot ulkopuolisista lähteistä ja tehdä Käyttäjiä ja Rekisterinpitäjiä koskevia merkintöjä käyttäjäprofiiliin.
9.2 Tietojen poistaminen
Käyttäjä voi pyytää tietojensa poistamista tai Käsittelyn rajoittamista tai vastustaa Käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen. On huomattava, että maksetuista palkoista jää lakisääteisesti tietoa muun muassa työnantajalle.
Kun Käyttäjä vaatii tietojensa poistoa, Rakennusliitto toimittaa hänelle palkkakirjanpidon kohtuullisen ajan sisällä. Tämän jälkeen kaikki tiedot poistetaan päivän kuluessa.
Mikäli Käyttäjä toimii työnantajana, on hänen tietojen poiston jälkeen huolehdittava itse muun muassa Ennakkoperintälain (20.12.1996/1118) mukaisista velvollisuuksista palkanmaksuun liittyvien tietojen säilyttämisestä.
10 Auditointi
Rekisterinpitäjällä on oikeus vaatia Palvelun tietosuojakäytäntöjen auditointia. Auditointiprosessista sovitaan seuraavaa:
• Rakennusliitto ja Xxxxxxxx.xx ovat mukana auditoijan valintaprosessissa ja auditoijan pitää olla myös molempien hyväksymä. Auditoida ei saa olla Xxxxxxxx.xx:n kilpailija.
• Auditointiin pitää antaa Rakennusliitolle ja Xxxxxxxx.xx:lle kohtuullinen aika valmistautua, vähintään yksi kuukausi.
• Auditoinnin toteutus pitää tapahtua arkipäivinä toimistoaikaan. Rakennusliitolla ja Xxxxxxxx.xx:llä on oikeus olla läsnä kaikissa auditointiin liittyvissä tapaamisissa ja tilanteissa.
• Auditointia ei voi vaatia useammin kuin kerran vuodessa.
• Auditointia vaatinut maksaa auditoinnin kustannukset.
11 Alaikäiset käyttäjät
Palveluun voivat rekisteröityä 15 vuotta täyttäneet luonnolliset henkilöt, joilla on suomalainen henkilötunnus. Jos Käyttäjä on alle 18-vuotias, tarvitaan Palvelun käyttöön huoltajan suostumus ja lisäksi suositellaan, että Käyttäjä keskustelee huoltajansa kanssa tietosuojasta ennen Palvelun käyttöönottoa.
Palkan maksaminen Palvelulla tai yrityksen palkka-asioiden hoitaminen edellyttävät Käyttäjältä vähintään 18 vuoden ikää.
12 Voimaantulo ja muutokset Sopimukseen
Palvelussa Käsiteltävien tietojen turvallisuus- ja käsittelytoimenpiteitä sekä tätä Sopimusta saatetaan päivittää tai muuttaa.
Rekisterinpitäjälle tiedotetaan Sopimuksen muutoksista mahdollisuuksien mukaan etukäteen Palvelun valtakirjassa mainittujen yhteystietojen mukaan. Muutokset hyväksytään jatkamalla palvelun käyttöä uuden Sopimuksen voimaantulon jälkeen.
13 Sopimuksen päättäminen
Rekisterinpitäjä voi päättää Sopimuksen ottamalla yhteyttä asiakaspalveluun.
Tällöin Rakennusliitto toimii Rekisterinpitäjän ohjeistuksen ja lain mukaan Käsittelyn lopettamisessa ja tietojen poistamisessa. Käyttäjän on rekisterinpitäjänä huomioitava lain velvoitteet tietojen säilyttämisestä (kohta 9.2).
14 Yhteydenotto Sopimukseen ja tietosuojaan liittyen
Rekisterinpitäjällä on myös oikeus tehdä valitus asianomaiselle valvontaviranomaiselle.