SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TAL 2018
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TAL 2018
ALUKSI
Tilitoimisto ja asiakas ovat tehneet toimeksianto- sopimuksen, jolla asiakas hankkii toimeksiantoso- pimuksessa kuvatut palvelut tilitoimistolta. Tilitoi- misto käsittelee henkilötietoja palvelujen yhtey- dessä ja tässä sopimuksessa henkilötietojen käsittelystä sovitaan ehdoista, joiden mukaisesti tilitoimisto käsittelee asiakkaan henkilötietoja. Käsittelytoimet kuvataan yksityiskohtaisemmin liitteessä 1-A, jota osapuolet tarvittaessa päivittävät sopimuksen voimassaoloaikana.
”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henki- löön (jäljempänä ”rekisteröity”) liittyviä tietoja; tun- nistettavissa olevana pidetään luonnollista henki- löä, joka voidaan suoraan tai epäsuorasti tunnis- taa erityisesti tunnistetietojen, kuten nimen, hen- kilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Käsiteltäessä henkilötietoja asiakas on rekisterin- pitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja tilitoimisto on käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lu- kuun.
Tämä sopimus sisältää seuraavat liitteet, joita so- velletaan seuraavassa järjestyksessä:
1-A Seloste käsittelytoimista
1-B Asiakkaan antama ohjeistus henkilötietojen käsittelystä
YLEISET OIKEUDET JA VELVOLLISUUDET
Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä
Asiakas
a) vastaa henkilötietojen keräämisestä;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa
noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta;
c) määrittelee henkilötietojen käsittelyn tarkoituk- set ja keinot sekä antaa tilitoimistolle kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötieto- jen käsittelyn tarkoituksesta tulee ilmetä, minkälaisissa tehtävissä (mm. palkanlaskenta) henkilötietoja käsitellään;
d) vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötieto- jen käsittelyä koskevat ilmoitukset ja tiedot;
e) vastaa rekisteröityjen oikeuksien toteutumises- ta;
f) varmistaa, että henkilötietojen siirtäminen tili- toimistolle sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan;
g) vakuuttaa, että jos se edustaa tässä sopimuk- sessa konserniyhtiöitään tai kolmansia osa- puolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa tilitoimistolle oikeus käsitellä henkilötietoja tämän sopimuksen ja toimeksiantosopimuksen mukaisesti;
h) vahvistaa ja vastaa siitä, että tämän sopimuk- sen mukainen henkilötietojen käsittely on lain- säädännössä asetettujen vaatimusten mukais- ta, mukaan lukien tietoturvavaatimukset;
i) vahvistaa, että se on antanut tilitoimistolle kaikki tarvittavat tiedot, jotta tilitoimisto voi täyttää tässä sopimuksessa ja toimeksiantosopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti;
j) tai sen valtuuttama ulkopuolinen tarkastaja voi auditoida tilitoimiston tai tämän alihankkijoiden tämän sopimuksen alaista toimintaa;
k) vastaa siitä, että korjaukset, poistot ja muutok- set henkilötietoihin toimitetaan viivytyksettä tili- toimistolle; ja
l) pidättää itsellään kaikki omistusoikeudet, im- materiaalioikeudet ja muut oikeudet henkilö- tietoihin.
Jos osapuolet ovat sopineet, että tilitoimisto avus- taa asiakasta tämän lainmukaisten selosteiden laatimisessa, asiakkaan tulee antaa tilitoimistolle tämän sitä varten tarvitsemat tiedot. Tilitoimisto toimittaa selosteet vain asiakkaalle.
Tilitoimiston yleiset oikeudet ja velvollisuudet käsittelijänä
Tilitoimisto
a) käsittelee henkilötietoja ainoastaan toimeksian- tosopimuksessa ja tässä sopimuksessa määri- teltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta ta-
pahtuvaa palvelua varten, ja ainoastaan tämän sopimuksen voimassaoloajan, ellei pakottavas- ta lainsäädännöstä muuta johdu. Tilitoimistolla ei ole oikeutta käyttää toimeksiantosuhteessa saamiaan henkilötietoja omassa toiminnas- saan, luovuttaa niitä, käsitellä niitä, eikä yhdis- tää tietoja muuhun hallussaan olevaan aineis- toon muutoin kuin toimeksiantosopimuksen tar- koittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa sää- dettyä perustetta;
c) käsittelee ja varmistaa alaisuudessaan toimivan henkilön, jolla on pääsy henkilötietoihin, käsittelevän henkilötietoja ainoastaan asiakkaan antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa tilitoimisto informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia;
d) varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja, että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovel- vollisuus;
e) toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpi- teet siten kuin tässä sopimuksessa on tarkem- min sovittu;
f) avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta asianmu- kaisilla teknisillä ja organisatorisilla toimenpi- teillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä;
g) avustaa käsittelyn luonteen ja tilitoimiston saatavilla olevat tiedot huomioon ottaen asiakasta varmistamaan, että asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja en- nakkokuulemista, noudatetaan. Tilitoimisto on velvollinen avustamaan asiakasta vain sovellettavan lainsäädännön tilitoimistolle käsittelijänä asettamien velvoitteiden mukaisessa laajuudessa;
h) huomioi asiakkaan toimittamat tietojen kor- jaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä;
i) tämän sopimuksen aikana tai sen päätyttyä joko tuhoaa tai palauttaa asiakkaalle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lain-
säädännöstä muuta johdu. Tuhoamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken;
j) ylläpitää tarvittavia selosteita/kirjanpitoa käsit- telytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että tilitoimisto noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia;
k) sallii asiakkaan tai asiakkaan valtuuttaman au- ditoijan suorittamat auditoinnit ja osallistuu nii- hin siten kuin tässä sopimuksessa on tarkem- min sovittu;
l) ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan antama ohjeistus rikkoo sovelletta- vaa lainsäädäntöä;
m) ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toimintatapojen korjaamisessa.
Tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamis- toimista, auditoinnin tuesta sekä asiakkaan ohjeis- tuksen muutoksista johtuvista toimista ja kustannuk- sistaan erikseen.
TIETOTURVA
Tilitoimisto toteuttaa ja ylläpitää asianmukaiset tek- niset ja organisatoriset toimenpiteet, joilla varmiste- taan henkilötietojen käsittelyn riittävä turvallisuusta- so ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta menettä- miseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Tilitoimiston tämän sopimuksen johdosta toteuttamat käsittelyn tietoturvaperiaatteet on kuvattu tarkemmin tämän sopimuksen liitteessä 1-B.
Asiakas on velvollinen varmistamaan, että tilitoimis- toa informoidaan kaikista niistä asiakkaan toimitta- miin henkilötietoihin liittyvistä seikoista (kuten riski- arvioinneista sekä erityisten henkilötietoryhmien käsittelystä), jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.
Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.
ALIHANKKIJAT
Tilitoimisto saa käyttää alihankkijoita henkilötieto- jen käsittelyssä tämän sopimuksen perusteel- la. ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta. Käsittelyssä käytettävät alihankkijat sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä. Tilitoimisto tiedottaa
asiakkaalle ennalta suunnitelluista muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Mikäli asiakas ei hyväksy suunniteltua muutosta, asiakkaalla ja tilitoimistolla on oikeus kolmen- kymmenen (30) päivän ajan muutoksen tiedot- tamisesta irtisanoa toimeksiantosopimus päätty- mään kyseisen kolmenkymmenen (30) päivän jak- son päättyessä sen palvelun osalta, jonka tuottami- seen alihankkijan muutos vaikuttaa ja jossa henkilö- tietoja käsitellään. Mikäli alihankkijavaihdos, jota asiakas ei hyväksy ja johon tilitoimisto ei voi vaikut- taa, estää tai olennaisesti vaikeuttaa palveluntuotta- mista, tilitoimistolla ei ole velvollisuutta tuottaa sellaista palvelua.
Tilitoimisto solmii kirjallisen käsittelysopimuksen ali- hankkijan kanssa ja edellyttää kaikkien alihankkijoi- den noudattavan tilitoimistolle tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tieto- suojan tason takaavia velvoitteita. Alihankkija käsit- telee henkilötietoja vain kirjallisen sopimuksen mu- kaisesti. Tilitoimisto vastaa käyttämiensä alihankki- joiden toimista kuin omistaan.
HENKILÖTIETOJEN SIIRTO
Tilitoimisto voi siirtää henkilötietoja Euroopan unio- nin, Euroopan talousalueen tai muiden maiden, joi- den Euroopan komissio on todennut xxxxxxxx xxxxxx- vän tietosuojan tason, ulkopuolelle ainoastaan asiakkaan etukäteisellä kirjallisella suostumuksella. Mikäli siirretään tietoja edellä mainittujen alueiden ulkopuolelle, tilitoimisto solmii sovellettavan lain edellytysten mukaisen sopimuksen henkilötietojen siirrosta tarvittavien osapuolten kanssa. Sopimus henkilötietojen siirrosta laaditaan Euroopan komission hyväksymien mallisopimuslausekkeiden mukaisesti. Vaihtoehtona mallisopimuslausekkeiden käytölle siirto voi tapahtua muita soveltuvan lainsäädännön hyväksymiä siirtoperusteita käyttäen/hyödyntäen.
Mikäli mallisopimuslausekkeiden tai minkä tahansa muun lainmukaisen siirtoperusteen ja tämän sopi- muksen välillä on ristiriita, mallisopimuslausekkeet ja vaihtoehtoiset siirtoperusteet saavat soveltamisjärjestyksessä aina etusijan suhteessa toimeksiantosopimukseen ja tähän sopimukseen.
HENKILÖTIETOJEN TIETOTURVA- LOUKKAUKSISTA ILMOITTAMINEN
”Henkilötietojen tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirretty- jen, tallennettujen tai muuten käsiteltyjen henkilötie- tojen vahingossa tapahtuva tai lainvastainen tuhoa- minen, häviäminen, muuttaminen, luvaton luovutta- minen taikka pääsy tietoihin.
Tilitoimiston on ilmoitettava henkilötietojen tieto- turvaloukkauksesta asiakkaalle ilman aiheetonta viivytystä siitä, kun tilitoimisto tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan ilmoittamalle yhteyshenkilölle.
Tilitoimiston on ilman aiheetonta viivytystä toimitet- tava asiakkaalle tieto henkilötietojen tietoturvalouk- kaukseen johtaneista olosuhteista sekä muista sii- hen liittyvistä tilitoimiston saatavilla olevista seikoista asiakkaan kohtuullisten pyyntöjen mukaisesti.
Siltä osin kuin kyseinen tieto on tilitoimiston saata- villa, on asiakkaalle tehtävässä ilmoituksessa kuvat- tava ainakin:
a) kuvaus henkilötietojen tietoturvaloukkauksesta, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) sen henkilön nimi ja yhteystiedot, joka vastaa käsittelijän tietosuoja-asioista;
c) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä
d) kuvaus niistä toimenpiteistä, jotka tilitoimisto ehdottaa toteutettaviksi ja/tai on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Jos ja siltä osin kuin edellä listattuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
AUDITOINTI
Asiakkaalla on oikeus auditoida käsittelijän tämän sopimuksen alainen tietojenkäsittelytoiminta. Asia- kas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole tili- toimiston kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa tilitoimiston sitou- muksia kolmansiin osapuoliin nähden. Kaikkien asiakkaan edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus tilitoimiston hyväksi.
Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Tilitoimistolla on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.
SALASSAPITO
Tilitoimisto sitoutuu
a) pitämään luottamuksellisena kaikki asiakkaalta vastaanottamansa henkilötiedot,
b) varmistamaan, että henkilöt, joilla on oikeus kä- sitellä henkilötietoja, ovat sitoutuneet noudatta- maan salassapitovelvollisuutta, sekä
c) varmistamaan, että henkilötietoja ei siirretä/luo- vuteta kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumusta, ellei käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
Mikäli rekisteröity tai viranomainen tekee henkilötie- toja koskevan pyynnön, tilitoimiston tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa asiak- kaalle tällaisesta pyynnöstä ennen pyyntöön vastaa- mista tai muiden henkilötietoja koskevien toimenpi- teiden suorittamista. Mikäli toimivaltainen viranomai- nen vaatii välitöntä vastausta, ilmoittaa tilitoimisto asiakkaalle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.
VASTUUNRAJOITUS
Toimeksiantosopimuksen mukaisia vastuunrajoituk- sia sovelletaan myös tähän sopimukseen. Jos vas- tuunrajoituksista ei ole toimeksiantosopimuksessa sovittu, noudatetaan seuraavaa:
Tilitoimisto vastaa vain huolimattomuudestaan joh- tuvista välittömistä vahingoista.
Tilitoimisto ei vastaa välillisistä vahingoista, kuten tulon, liikevaihdon tai markkinoiden menetyksestä, tuotannon tai palvelun keskeytymisestä, saamatta jääneestä voitosta taikka muusta niihin verratta- vasta vahingosta.
Jos kolmas osapuoli tekee osapuolelle henkilö- tietojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos tilitoimisto joutuu maksamaan kolmannelle osa- puolelle vahingonkorvausta, asiakkaan on hyvitet- tävä tilitoimistolle tästä aiheutunut menetys sikäli kuin se ei johdu tilitoimiston virheestä tai laiminlyön- nistä sopimusehtojen noudattamisessa.
Tilitoimiston vastuun enimmäismäärä on kuitenkin aina enintään 10.000 euroa yhdessä vahinkotapah- tumassa ja saman tilikauden aikana ilmenneistä vahinkotapahtumista yhteensä enintään 20.000 euroa, ellei muusta enimmäismäärästä ole nimen- omaisesti sopimuksessa sovittu. Vahinko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan tilikauteen. Vahingon katso- taan ilmenneen kokonaan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin
vahingon osa ilmenisi muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta tilitoimistolle muuta seuraamusta kuin mitä edellä on todettu.
Vaatimukset tilitoimistolle on tehtävä kirjallisesti viipymättä. Jos virhe tai puute havaitaan tai on ha- vaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään neljäntoista (14) päivän kuluessa. Jos eriteltyä vaatimusta ei ole tehty tilitoimistolle kuuden
(6) kuukauden kuluessa vahingon toteamisesta, ei korvausta makseta. Korvausta ei myöskään makse- ta, jos vaatimus tehdään, kun on kulunut yli kolme
(3) vuotta kyseisestä käsittelytapahtumasta.
Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistui- men sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistui- men päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuoja- lainsäädännössä asetettuja vaatimuksia tai velvoit- teita.
VOIMASSAOLO
Tämän sopimuksen voimassaolo on sidottu toimek- siantosopimuksen voimassaoloon ja päättyy auto- maattisesti toimeksiantosopimuksen päättyessä mistä tahansa syystä.
Mikäli asiakas rikkoo tätä sopimusta, tilitoimistolla on oikeus purkaa toimeksiantosopimus ja tämä sopimus, mikäli asiakas ei seitsemän (7) päivän kuluessa tilitoimiston lähettämästä kehotuksesta ole korjannut menettelyään ja huolehtinut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi, korjaamiseksi ja kor- vaamiseksi.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan tämän sopimuksen päättymisestä riippumatta.
SELOSTE KÄSITTELYTOIMISTA
Liite nro 1-A
Rekisterinpitäjä (”Asiakas”) | Xxxx Xxxxxxx |
Käsittelijä (”Toimittaja”) | Nimi Talenom Oyj |
Osoite Yrttipellontie 0, 00000 Xxxx | |
Muut yhteystiedot (puhelin, sähköpostiosoite) puh. 0207 525 000 (vaihde) | |
Alihankkijat | Asiakas on antanut yleisen suostumuksen alihankkijoiden käyttöön. Tilitoimisto toimittaa pyydettäessä luettelon alihankkijoista. |
Tietosuojavastaavan yhteystiedot | Xxxxxxx Xxxxxxx Puh. 020 752 5560 |
Henkilötietojen käsittelyn tarkoitus | Henkilötietoa tallennetaan ja käsitellään Toimittajan taloudenhallintopalveluiden tuottamiseksi sopimussuhteessa Toimittajan ja Asiakkaan välillä. Henkilötietoa käsitellään lakisääteisten ja viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi. Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi Asiakkaan henkilöasiakkaat saatavien seuraamista varten Osakeyhtiön osakkaat osakeyhtiön hallintoa varten Yhdistyksen jäsenet yhdistyksen hallintoa ja laskutusta varten Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten |
Rekisteröityjen ryhmät ja henkilötietoryhmät | Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi (PL) Asiakkaan henkilöasiakkaiden saatavien seuraamista varten (KP) Osakeyhtiön osakkaat osakeyhtiön hallintoa varten (OY) Yhdistyksen jäsenet yhdistysten hallintoa ja laskutusta varten (YJ) Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten (AOY) Käsiteltäviä henkilötietoja ovat: • nimi (PL, KP, OY, YJ, AOY) • osoite, puhelinnumero, sähköpostiosoite (PL, KP, OY, YJ, AOY) • henkilötunnus (PL, OY, AOY) • sukupuoli, kieli (PL) • työsuhdetiedot (PL) • palkkatiedot ja -perusteet (PL) • ammattiyhdistyksen jäsenmaksutiedot (PL) • ulosottotiedot (PL, KP, OY, YJ, AOY) • verokortti, työsopimus (PL) • tuntikirjaukset, kappalehinta (PL) • poissaolot, lomat, lääkärintodistukset (PL) |
Säännönmukaiset tietolähteet | Asiakas lisää henkilökuntansa ja asiakkaittensa henkilötietoja Toimittajan sähköisiin palveluihin. Henkilötietoa voidaan luoda asiakkaan toimittaman sähköisen materiaalin perusteella. Henkilötietoa voidaan luoda asiakkaan toimittaman paperisen materiaalin perusteella. Tämän lisäksi henkilötietoja kerätään veroviranomaisilta, kansaneläkelaitokselta, tapaturmavakuutusyhtiöiltä, ammattiyhdistysten jäsenmaksuliitoilta, luotonatopalveluista, ulosottoviranomaisilta sekä muilta tahoilta, joiden antama tieto on käsiteltävä palkanlaskennassa. Käyttäjien päätelaitetietoa kerätään automaattisesti sähköisten tuotteiden kehityksen ja asiakaspalvelun kehitystarkoituksiin esimerkiksi internet selaimen evästeitä, tai vastaavankaltaisia teknologioita, käyttäen Toimittajan sähköisistä tuotteista ja verkkopalveluista. |
Henkilötietojen vastaanottajien ryhmät - myös kolmansissa maissa olevat sekä kansainväliset järjestöt (nimi) | Toimittaja voi luovuttaa henkilötietoja voimassaolevan lainsäädännön sallimissa ja velvoittavissa rajoissa. Rekisteritietoja voidaan luovuttaa veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille. Toimittajalla on lakisääteinen velvollisuus luovuttaa henkilötietoja viranomaisille heiltä kirjallisesti saatujen laillisten tietopyyntöjen perusteella. Henkilötietoja ei siirretä Euroopan Unionin tai Euroopan talousalueen ulkopuolelle, ellei asiakas sitä itse pyydä kirjallisesti. Asiakkaan pyytämät tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään Euroopan Unionin tietosuoja-asetuksen tiedonsiirtoja koskevat vaatimukset täyttäen. |
Henkilötietojen luovuttamisen käytännöt | Asiakkaan tilintarkastajalle tietoja luovutetaan ilman erillistä valtuutusta asiakkaan ja tilintarkastajan välisen sopimuksen toimeenpanon toteuttamiseksi. Muiden asiakkaan yhteistyökumppaneiden, kuten esimerkiksi lakimiesten, konsulttien jne., osalta asiakkaalta pyydetään erillinen suostumus tietojen luovuttamiseen. |
Kirjallisen materiaalin luovuttamisen yhteydessä laaditaan tietojen luovutustodistus, jossa käy ilmi luovutetun aineiston perustiedot, kenelle luovutettu ja milloin. Tämä luovutustodistus tallennetaan asiakaskansioihin mahdollista myöhempää todistusvelvollisuutta varten. | |
Digitaalisen aineiston luovuttamisen yhteydessä asiakasyrityksen yhteistyökumppanille luodaan Toimittajan tietojärjestelmään henkilökohtaiset tunnukset, joilla Asiakkaan yhteistyökumppani saa luovutetun tiedon käyttöönsä. Asiakkaan pyyntö luoda tietojärjestelmän tunnukset ja antaa pääsy asiakkaan tietoihin sisältää samalla asiakkaan suostumuksen asiakkaan tietojen luovuttamiseen kyseiselle yhteistyökumppanille. | |
Veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille tietoja luovutetaan ilman asiakkaan valtuutusta tai suostumusta, silloin kun tiedon luovutuksesta on laissa erikseen määritelty. | |
Digitaalisten aineistojen käsittelyä valvotaan tietojärjestelmien tapahtumatiedon eli lokitietojen tallentamisen ja niiden automaattisen tai manuaalisen valvonnan avulla. Tämän lisäksi lokitietoa voidaan tarvittaessa käyttää todisteena tapahtuneesta. | |
Tekniset ja organisatoriset turvatoimet | Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla, tarjoamalla asiakkaan työntekijöille kaksivaiheista tunnistautumista Toimittajan taloudenhallintajärjestelmiin sekä muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisillä keinoilla. Tiedonsiirto Asiakkaan ja Toimittajan välillä on salattu SSL (Secure Socket Layer) teknologialla seuraavissa Toimittajan palveluissa: Talenom Online, Talenom App, Mezo ja Talenom Tietoväylä. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä alkuperäinen tieto sijaitsee. |
Toimittaja suojaa asiakkaan tietoja luvattomalta käytöltä ja levitykseltä. Ainoastaan yksilöidyillä Toimittajan työntekijöillä ja Toimittajan toimeksiannosta ja lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa ja niiden syntymistä valvotaan osana käyttöoikeuksien hallintaa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. Toimittajalta poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä. | |
Asiakkaan tietoja käsittelee vain se Toimittajan työntekijä joka on osoitettu tekemään kyseinen työ. Henkilötiedon käsittely muilla perusteilla on kielletty, vaikka Toimittajan työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella. | |
Koko Toimittajan henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen asiakkaan taloushallinnon tietoon ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna Toimittajan henkilöstön työsopimuksiin, mukaan lukien |
sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiot. Asiakkaan tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Toimittajan henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: Järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi. Toimittajalla on tietoturvapolitiikka jonka jokainen uusi työntekijä käy läpi aloittaessaan työnsä Toimittajalla. Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita. Asiakkaan tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali ja poikkeustilanteissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta. Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvonnalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi. Toimittaja toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja tietosuojaa koskevia prosesseja ja ohjeistuksia. | |
Tietoryhmien suunnitellut poistamisajat | Toimittaja poistaa asiakkaan henkilötiedot tietojärjestelmistään kun asiakas poistuu Toimittajalta. Tällöin tietojen poistaminen tapahtuu 5 vuoden kuluttua asiakkaan poistumisesta. Operatiivisista tietojärjestelmistä poistamisen jälkeen tiedot poistuvat automaattisesti 6 kuukauden kuluessa varmuuskopioista. |
Rekisteröidyn oikeudet | Rekisterinpitäjä kuvaa erillisellä dokumentaatiolla rekisteröidylle tiedotettavat asiat. Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti oikeus: 1. tarkastaa henkilötiedot 2. tietojen oikaisemiseen 3. tietojen poistamiseen 4. käsittelyn rajoittamiseen 5. siirtää tiedot järjestelmästä toiseen häntä koskeviin tietoihin, joita hänestä on tallennettu Talenom tietojärjestelmiin. Joidenkin rekisteröidyn oikeuksien toteuttamista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella Talenomilla on oikeus ja velvollisuus kieltäytyä perustellusti tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen. Esimerkkinä tällaisesta lainsäädännöstä on esimerkiksi kirjanpitolaki, joka määrää palkanlaskentaan liittyvien tositteiden säilyttämisestä, riippumatta rekisteröidyn tietosuoja-asetuksessa määräämistä oikeuksista. Niissä tilanteissa joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Talenomin asiakkaan omistuksessa olevaan henkilörekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän Talenomin kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö alla mainittuun sähköpostiosoitteeseen. Tarkastus- ja muutospyynnössä tulee yksilöidä henkilötieto jota halutaan tarkastaa ja antaa rekisterin nimi mitä pyyntö koskee. Pyyntö tulee lähettää sähköpostitse osoitteeseen: xxxxxxxxxxxxxxxx@xxxxxxx.xx. Rekisteröity voi käyttää henkilötietolain |
määräämää henkilötietoihin kohdistuvaa oikeuttaan maksuttomasti vain kerran vuodessa. | |
Rekisterinpitäjän ohjeistus tietojen käsittelijälle | Asiakas voi kuvata erikseen erillisellä dokumentaatiolla käsittelijälle annettavan tarkemman tietojenkäsittelyn ohjeistuksen joka Toimittaja säilyttää asiakaskohtaisissa tiedostokansioissa, osana palkanlaskennan asiakaskohtaista ohjeistusta. |
Tietosuojaloukkauksista ilmoittaminen | Rekisterinpitäjälle Ilmoitus tehdään rekisterinpitäjälle ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla. |
Rekisteröidylle Ilmoitus tehdään rekisteröidylle rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla. | |
Valvontaviranomaiselle Ilmoitus tehdään tietoturvaviranomaiselle 72 h kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla. |
ASIAKKAAN ANTAMA OHJEISTUS HENKILÖTIETOJEN KÄSITTELYSTÄ
Liite nro 1-B
Asiakkaan yksityiskohtainen ohjeistus henkilötietojen käsittelystä on tallennettu Toimittajan tietojärjestelmissä asiakaskohtaiseen tiedostohakemistoon käyttöönottovaiheessa ja ohjeistusta päivitetään asiakkaalta saatujen ohjeiden mukaisesti.