SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TAL 2018
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ TAL 2018
ALUKSI
Tilitoimisto käsittelee henkilötietoja palvelujen yhteydessä ja tässä sopimuksessa henkilötietojen käsittelystä sovitaan ehdoista, joiden mukaisesti tilitoimisto käsittelee asiakkaan henkilötietoja. Käsittelytoimet kuvataan yksityis- kohtaisemmin liitteessä 1-A, jota osapuolet tarvittaessa päivittävät sopimuksen voimassaoloaikana.
”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henki- löön (jäljempänä ”rekisteröity”) liittyviä tietoja; tun- nistettavissa olevana pidetään luonnollista henki- löä, joka voidaan suoraan tai epäsuorasti tunnis- taa erityisesti tunnistetietojen, kuten nimen, hen- kilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Käsiteltäessä henkilötietoja asiakas on rekisterin- pitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja tilitoimisto on käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lu- kuun.
Tämä sopimus sisältää seuraavat liitteet, joita so- velletaan seuraavassa järjestyksessä:
1-A Seloste käsittelytoimista
1-B Henkilötietojen tietoturva tilitoimistossa
1-C Asiakkaan antama ohjeistus henkilötietojen käsittelystä
YLEISET OIKEUDET JA VELVOLLISUUDET
Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä
Asiakas
a) vastaa henkilötietojen keräämisestä;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei
rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta;
c) määrittelee henkilötietojen käsittelyn tarkoituk- set ja keinot sekä antaa tilitoimistolle kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötieto- jen käsittelyn tarkoituksesta tulee ilmetä, minkälaisissa tehtävissä (mm. palkanlaskenta) henkilötietoja käsitellään;
d) vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötieto- jen käsittelyä koskevat ilmoitukset ja tiedot;
e) vastaa rekisteröityjen oikeuksien toteutumises- ta;
f) varmistaa, että henkilötietojen siirtäminen tili- toimistolle sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan;
g) vakuuttaa, että jos se edustaa tässä sopimuk- sessa konserniyhtiöitään tai kolmansia osa- puolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa tilitoimistolle oikeus käsitellä henkilötietoja tämän sopimuksen ja toimeksiantosopimuksen mukaisesti;
h) vahvistaa ja vastaa siitä, että tämän sopimuk- sen mukainen henkilötietojen käsittely on lain- säädännössä asetettujen vaatimusten mukais- ta, mukaan lukien tietoturvavaatimukset;
i) vahvistaa, että se on antanut tilitoimistolle kaikki tarvittavat tiedot, jotta tilitoimisto voi täyttää tässä sopimuksessa ja toimeksiantosopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti;
j) tai sen valtuuttama ulkopuolinen tarkastaja voi auditoida tilitoimiston tai tämän alihankkijoiden tämän sopimuksen alaista toimintaa;
k) vastaa siitä, että korjaukset, poistot ja muutok- set henkilötietoihin toimitetaan viivytyksettä tili- toimistolle; ja
l) pidättää itsellään kaikki omistusoikeudet, im- materiaalioikeudet ja muut oikeudet henkilö- tietoihin.
Jos osapuolet ovat sopineet, että tilitoimisto avus- taa asiakasta tämän lainmukaisten selosteiden laatimisessa, asiakkaan tulee antaa tilitoimistolle tämän sitä varten tarvitsemat tiedot. Tilitoimisto toimittaa selosteet vain asiakkaalle.
Tilitoimiston yleiset oikeudet ja velvollisuudet käsittelijänä
Tilitoimisto
a) käsittelee henkilötietoja ainoastaan toimeksian- tosopimuksessa ja tässä sopimuksessa määri- teltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta ta- pahtuvaa palvelua varten, ja ainoastaan tämän
sopimuksen voimassaoloajan, ellei pakottavas- ta lainsäädännöstä muuta johdu. Tilitoimistolla ei ole oikeutta käyttää toimeksiantosuhteessa saamiaan henkilötietoja omassa toiminnas- saan, luovuttaa niitä, käsitellä niitä, eikä yhdis- tää tietoja muuhun hallussaan olevaan aineis- toon muutoin kuin toimeksiantosopimuksen tar- koittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan;
b) käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa sää- dettyä perustetta;
c) käsittelee ja varmistaa alaisuudessaan toimivan henkilön, jolla on pääsy henkilötietoihin, käsittelevän henkilötietoja ainoastaan asiakkaan antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa tilitoimisto informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia;
d) varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja, että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovel- vollisuus;
e) toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpi- teet siten kuin tässä sopimuksessa on tarkem- min sovittu;
f) avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta asianmu- kaisilla teknisillä ja organisatorisilla toimenpi- teillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä;
g) avustaa käsittelyn luonteen ja tilitoimiston saatavilla olevat tiedot huomioon ottaen asiakasta varmistamaan, että asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja en- nakkokuulemista, noudatetaan. Tilitoimisto on velvollinen avustamaan asiakasta vain sovellettavan lainsäädännön tilitoimistolle käsittelijänä asettamien velvoitteiden mukaisessa laajuudessa;
h) huomioi asiakkaan toimittamat tietojen kor- jaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä;
i) tämän sopimuksen aikana tai sen päätyttyä joko tuhoaa tai palauttaa asiakkaalle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lain- säädännöstä muuta johdu. Tuhoamista ja
palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken;
j) ylläpitää tarvittavia selosteita/kirjanpitoa käsit- telytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että tilitoimisto noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia;
k) sallii asiakkaan tai asiakkaan valtuuttaman au- ditoijan suorittamat auditoinnit ja osallistuu nii- hin siten kuin tässä sopimuksessa on tarkem- min sovittu;
l) ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan antama ohjeistus rikkoo sovelletta- vaa lainsäädäntöä;
m) ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toimintatapojen korjaamisessa.
Tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamis- toimista, auditoinnin tuesta sekä asiakkaan ohjeis- tuksen muutoksista johtuvista toimista ja kustannuk- sistaan erikseen.
TIETOTURVA
Tilitoimisto toteuttaa ja ylläpitää asianmukaiset tek- niset ja organisatoriset toimenpiteet, joilla varmiste- taan henkilötietojen käsittelyn riittävä turvallisuusta- so ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta menettä- miseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Tilitoimiston tämän sopimuksen johdosta toteuttamat käsittelyn tietoturvaperiaatteet on kuvattu tarkemmin tämän sopimuksen liitteessä 1-B.
Asiakas on velvollinen varmistamaan, että tilitoimis- toa informoidaan kaikista niistä asiakkaan toimitta- miin henkilötietoihin liittyvistä seikoista (kuten riski- arvioinneista sekä erityisten henkilötietoryhmien käsittelystä), jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.
Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.
ALIHANKKIJAT
Tilitoimisto saa käyttää alihankkijoita henkilötieto- jen käsittelyssä tämän sopimuksen perusteel- la. ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta. Käsittelyssä käytettävät alihankkijat sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä. Tilitoimisto tiedottaa asiakkaalle ennalta suunnitelluista muutoksista,
joilla alihankkijoita lisätään tai vaihdetaan. Mikäli asiakas ei hyväksy suunniteltua muutosta, asiakkaalla ja tilitoimistolla on oikeus kolmen- kymmenen (30) päivän ajan muutoksen tiedot- tamisesta irtisanoa toimeksiantosopimus päätty- mään kyseisen kolmenkymmenen (30) päivän jak- son päättyessä sen palvelun osalta, jonka tuottami- seen alihankkijan muutos vaikuttaa ja jossa henkilö- tietoja käsitellään. Mikäli alihankkijavaihdos, jota asiakas ei hyväksy ja johon tilitoimisto ei voi vaikut- taa, estää tai olennaisesti vaikeuttaa palveluntuotta- mista, tilitoimistolla ei ole velvollisuutta tuottaa sellaista palvelua.
Tilitoimisto solmii kirjallisen käsittelysopimuksen ali- hankkijan kanssa ja edellyttää kaikkien alihankkijoi- den noudattavan tilitoimistolle tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tieto- suojan tason takaavia velvoitteita. Alihankkija käsit- telee henkilötietoja vain kirjallisen sopimuksen mu- kaisesti. Tilitoimisto vastaa käyttämiensä alihankki- joiden toimista kuin omistaan.
HENKILÖTIETOJEN SIIRTO
Tilitoimisto voi siirtää henkilötietoja Euroopan unio- nin, Euroopan talousalueen tai muiden maiden, joi- den Euroopan komissio on todennut xxxxxxxx xxxxxx- vän tietosuojan tason, ulkopuolelle ainoastaan asiakkaan etukäteisellä kirjallisella suostumuksella. Mikäli siirretään tietoja edellä mainittujen alueiden ulkopuolelle, tilitoimisto solmii sovellettavan lain edellytysten mukaisen sopimuksen henkilötietojen siirrosta tarvittavien osapuolten kanssa. Sopimus henkilötietojen siirrosta laaditaan Euroopan komission hyväksymien mallisopimuslausekkeiden mukaisesti. Vaihtoehtona mallisopimuslausekkeiden käytölle siirto voi tapahtua muita soveltuvan lainsäädännön hyväksymiä siirtoperusteita käyttäen/hyödyntäen.
Mikäli mallisopimuslausekkeiden tai minkä tahansa muun lainmukaisen siirtoperusteen ja tämän sopi- muksen välillä on ristiriita, mallisopimuslausekkeet ja vaihtoehtoiset siirtoperusteet saavat soveltamisjärjestyksessä aina etusijan suhteessa toimeksiantosopimukseen ja tähän sopimukseen.
HENKILÖTIETOJEN TIETOTURVA- LOUKKAUKSISTA ILMOITTAMINEN
”Henkilötietojen tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirretty- jen, tallennettujen tai muuten käsiteltyjen henkilötie- tojen vahingossa tapahtuva tai lainvastainen tuhoa- minen, häviäminen, muuttaminen, luvaton luovutta- minen taikka pääsy tietoihin.
Tilitoimiston on ilmoitettava henkilötietojen tieto- turvaloukkauksesta asiakkaalle ilman aiheetonta viivytystä siitä, kun tilitoimisto tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan ilmoittamalle yhteyshenkilölle.
Tilitoimiston on ilman aiheetonta viivytystä toimitet- tava asiakkaalle tieto henkilötietojen tietoturvalouk- kaukseen johtaneista olosuhteista sekä muista sii- hen liittyvistä tilitoimiston saatavilla olevista seikoista asiakkaan kohtuullisten pyyntöjen mukaisesti.
Siltä osin kuin kyseinen tieto on tilitoimiston saata- villa, on asiakkaalle tehtävässä ilmoituksessa kuvat- tava ainakin:
a) kuvaus henkilötietojen tietoturvaloukkauksesta, mukaan lukien mahdollisuuksien mukaan asi- anomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) sen henkilön nimi ja yhteystiedot, joka vastaa käsittelijän tietosuoja-asioista;
c) kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä
d) kuvaus niistä toimenpiteistä, jotka tilitoimisto ehdottaa toteutettaviksi ja/tai on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Jos ja siltä osin kuin edellä listattuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
AUDITOINTI
Asiakkaalla on oikeus auditoida käsittelijän tämän sopimuksen alainen tietojenkäsittelytoiminta. Asia- kas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole tili- toimiston kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa tilitoimiston sitou- muksia kolmansiin osapuoliin nähden. Kaikkien asiakkaan edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus tilitoimiston hyväksi.
Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Tilitoimistolla on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.
SALASSAPITO
Tilitoimisto sitoutuu
a) pitämään luottamuksellisena kaikki asiakkaalta vastaanottamansa henkilötiedot,
b) varmistamaan, että henkilöt, joilla on oikeus kä- sitellä henkilötietoja, ovat sitoutuneet noudatta- maan salassapitovelvollisuutta, sekä
c) varmistamaan, että henkilötietoja ei siirretä/luo- vuteta kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumusta, ellei käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
Mikäli rekisteröity tai viranomainen tekee henkilötie- toja koskevan pyynnön, tilitoimiston tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa asiak- kaalle tällaisesta pyynnöstä ennen pyyntöön vastaa- mista tai muiden henkilötietoja koskevien toimenpi- teiden suorittamista. Mikäli toimivaltainen viranomai- nen vaatii välitöntä vastausta, ilmoittaa tilitoimisto asiakkaalle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.
VASTUUNRAJOITUS
Toimeksiantosopimuksen mukaisia vastuunrajoituk- sia sovelletaan myös tähän sopimukseen. Jos vas- tuunrajoituksista ei ole toimeksiantosopimuksessa sovittu, noudatetaan seuraavaa:
Tilitoimisto vastaa vain huolimattomuudestaan joh- tuvista välittömistä vahingoista.
Tilitoimisto ei vastaa välillisistä vahingoista, kuten tulon, liikevaihdon tai markkinoiden menetyksestä, tuotannon tai palvelun keskeytymisestä, saamatta jääneestä voitosta taikka muusta niihin verratta- vasta vahingosta.
Jos kolmas osapuoli tekee osapuolelle henkilö- tietojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos tilitoimisto joutuu maksamaan kolmannelle osa- puolelle vahingonkorvausta, asiakkaan on hyvitet- tävä tilitoimistolle tästä aiheutunut menetys sikäli kuin se ei johdu tilitoimiston virheestä tai laiminlyön- nistä sopimusehtojen noudattamisessa.
Tilitoimiston vastuun enimmäismäärä on kuitenkin aina enintään 10.000 euroa yhdessä vahinkotapah- tumassa ja saman tilikauden aikana ilmenneistä vahinkotapahtumista yhteensä enintään 20.000 euroa, ellei muusta enimmäismäärästä ole nimen- omaisesti sopimuksessa sovittu. Vahinko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan tilikauteen. Vahingon katso- taan ilmenneen kokonaan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin
vahingon osa ilmenisi muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta tilitoimistolle muuta seuraamusta kuin mitä edellä on todettu.
Vaatimukset tilitoimistolle on tehtävä kirjallisesti viipymättä. Jos virhe tai puute havaitaan tai on ha- vaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään neljäntoista (14) päivän kuluessa. Jos eriteltyä vaatimusta ei ole tehty tilitoimistolle kuuden
(6) kuukauden kuluessa vahingon toteamisesta, ei korvausta makseta. Korvausta ei myöskään makse- ta, jos vaatimus tehdään, kun on kulunut yli kolme
(3) vuotta kyseisestä käsittelytapahtumasta.
Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistui- men sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistui- men päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuoja- lainsäädännössä asetettuja vaatimuksia tai velvoit- teita.
VOIMASSAOLO
Tämän sopimuksen voimassaolo on sidottu toimek- siantosopimuksen voimassaoloon ja päättyy auto- maattisesti toimeksiantosopimuksen päättyessä mistä tahansa syystä.
Mikäli asiakas rikkoo tätä sopimusta, tilitoimistolla on oikeus purkaa toimeksiantosopimus ja tämä sopimus, mikäli asiakas ei seitsemän (7) päivän kuluessa tilitoimiston lähettämästä kehotuksesta ole korjannut menettelyään ja huolehtinut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi, korjaamiseksi ja kor- vaamiseksi.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan tämän sopimuksen päättymisestä riippumatta.
Tästä sopimuksesta on tehty kaksi (2) samanlaista kappaletta, yksi kullekin allekirjoittajalle.
ALLEKIRJOITUKSET | ||
Päiväys | 23.04.2018 | Päiväys |
Tilitoimiston toiminimi | Tilialakärppä Oy | Asiakkaan toiminimi |
Allekirjoitus | Allekirjoitus | |
Nimenselvennys Xxxxx Xxxxxxxxx Nimenselvennys
SELOSTE KÄSITTELYTOIMISTA
Tilitoimiston seloste henkilötietojen käsittelytoimista
Liite nro 1-A
Alihankkijat
Asiakas on antanut yleisen suostumuksen alihankkijoiden käyttöön. Tilitoimisto toimittaa pyydettäessä luettelon alihankkijoista
Rekisteröityjen ryhmät sekä henkilötietojen käsittelyn tarkoitus ja luonne Tilitoimisto käsittelee seuraavien rekisteröityjen tietoja seuraaviin tarkoituksiin:
Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi Asiakkaan henkilöasiakkaat saatavien seuraamista varten
Yhdistyksen jäsenet yhdistyksen jäsenhallintaa ja laskutusta varten Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa varten Osakasrekisteri osakeyhtiölain edellyttämällä tavalla
Käsittelyiden kohde ja ryhmät sekä henkilötietojen tyyppi Tilitoimisto käsittelee seuraavia henkilötietoryhmiä:
Nimi ja yhteystiedot Henkilötunnus
Henkilön perustiedot kuten syntymäaika, sukupuoli ja koulutustiedot,
Palkanlaskennassa tarvittavat tiedot kuten ennakonpidätystiedot, sairauspoissaoloja koskevat tiedot
Palkanlaskennassa tarvittavat tietosuoja-asetuksen tarkoittamat erityiset henkilötietoryhmät sairauspoissaolot/terveystiedot ja ammattiyhdistysjäsenyystiedot
Palkanlaskennan perusteella syntyneet palkka-, eläke-, ja verotustiedot sekä muut vastaavat tiedot Laskutusta ja perintää varten tarvittavat laskutus- ja perintätiedot
Osakeyhtiön tai asunto-osakeyhtiön hallinnointia varten tarvittavat osakas- ja osakkuustiedot
Tilitoimisto käsittelee lisäksi seuraavia erityisiä henkilötietoryhmiä:
Henkilötietojen käsittelyn kesto
Elleivät osapuolet ole toisin sopineet, henkilötietoja käsitellään niin pitkään kuin palveluita toimitetaan toimeksiantosopimuksen mukaisesti tai lainsäädäntö edellyttää tietojen säilyttämistä.
Henkilötietojen maantieteellinen sijainti
Henkilötietoja käsitellään seuraavissa maissa / seuraavilla alueilla: Suomi ja muut ETA-maat
HENKILÖTIETOJEN TIETOTURVA TILITOIMISTOSSA
Liite nro 1-B
Tietoturvaa ja henkilötietojen lainmukaista käsittelyä varmentavat toimet.
Tilitoimisto | Laatija, päivittäjä | Päiväys, muutospäiväys |
Tilialakärppä Oy | Xxxxx Xxxxxxxxx | 23.04.2018 |
Hallinto | |
Tietoturva sekä henkilötietojen lainmukainen käsittely ovat keskeinen osa tilitoimiston toimintaperiaatteita. | |
Tietoturvaan ja henkilötietojen käsittelyyn liittyvät roolit ja vastuut on nimetty henkilötasolla. | |
Tietoturvapolitiikka ja siihen liittyvät käytännöt on määritelty. | |
Tietoturvapolitiikka ja tietoturvakäytännöt on auditoitu ulkopuolisen asiantuntijan toimesta ja ne katselmoidaan säännöllisesti. | |
Henkilöstö | |
Henkilöstön roolit, työtehtävät ja vastuut on määritetty selkeästi. | |
Työntekijöiden kanssa on laadittu sopimus liike- ja ammattisalaisuuksien salassapidosta | |
Työsuhteiden päättymisen varalle on luotu toimintamalli, jossa on huomioitu käyttöoikeuksien poistaminen ja työntekijän hallussa mahdollisesti olevien aineistojen palauttaminen. | |
Henkilöstö on perehdytetty tietoturvapolitiikkaan ja –käytäntöihin ja perehdytys kuuluu osana uusien työntekijöiden koulutusohjelmaa. | |
Olennaisten tietoturvaan liittyvien vaaratilanteiden raportointiin ja käsittelyyn on toimintamalli. | |
Toimintamallit | |
Suojattavan tiedon käsittely erilaisissa viestintäjärjestelmissä, kuten sähköpostissa tai pikaviestimissä on määritelty ja internetin ja sosiaalisen median käytölle tilitoimiston tietoverkossa luotu hyväksyttävän käytön pelisäännöt. | |
Ulkopuolisten pilvitallennuspalveluiden käyttö tapahtuu ainoastaan yrityksen johdon määrittämissä tilanteissa hyväksymillä palveluntarjoajilla. | |
Etätyöskentelylle on luotu tietoturvaan liittyvät ohjeet. | |
Toimitilaturvallisuus | |
Tilitoimiston tiloissa on turvalukitus | |
Tilitoimiston tiloissa on sähköinen kulunvalvonta | |
Tilitoimistolla on ajantasainen rekisteri toimitilojen ja muiden suojattavien kohteiden avaimista sekä kulkutunnisteista. | |
Asiakkaiden ja kolmansien osapuolten pääsy työpisteisiin sekä suojattaviin kohteisiin ja tietoihin on estetty. | |
Asiakkaan tunnistaminen ja aineistojen luovutukset | |
Asiakkaiden edustajat tunnistetaan ennen asiakassuhteen alkamista ja tunnistetiedot tallennetaan rahanpesulain edellyttämällä tavalla. | |
Asiakkaan aineistojen luovutustilanteessa noudatetaan hyvän tilitoimistotavan edellyttämiä sekä asiakkaan kanssa sovittuja tunnistus- ja luovutuskuittauskäytäntöjä. | |
Jos tilitoimisto hallinnoi sopimuksen mukaan asiakkaan puolesta asiakkaan käyttäjien pääsyä tietojärjestelmiin, käyttäjähallinnointi tapahtuu asiakkaan nimettyjen henkilöiden kanssa, sovittuja tunnustamistapoja hyödyntäen sekä huolehtien tunnusten ja salasanojen tietoturvallisista toimitustavoista. | |
Käyttövaltuushallinta ja salasanapolitiikka | |
Tietojärjestelmissä käytetään vain yksilöityjä nimetyille henkilöille osoitettuja käyttäjätunnus/salasanapareja. Poikkeuksena ovat tilanteet, joissa tilitoimiston johto on arvioinut riskin epäolennaiseksi. | |
Henkilöstön käyttäjätunnuksista ja käyttöoikeuksista tilitoimiston ulkopuolisiin tietojärjestelmiin pidetään kirjaa. | |
Työntekijöiden käyttöoikeuksien tarpeellisuutta tarkastellaan työtehtävien olennaisesti muuttuessa. | |
Salasanat, PIN-koodit ja käyttäjähallintaan tarkoitetut koodit säilytetään tarkoitukseen soveltuvassa turvallisessa tietojärjestelmässä/tiedostossa. | |
Kaikissa luottamuksellista tietoa sisältävissä tietojärjestelmissä on käytössä salasanaan tai vastaavaan menettelyyn perustuva pääsynhallinta. | |
Tietojärjestelmien pääkäyttäjätunnusten oletussalasanat on vaihdettu ja tietojärjestelmien salasanat vaihdetaan säännöllisesti. | |
Ulkoistetut ICT-palvelut | |
Ulkoistetuilla ICT-palveluilla tarkoitetaan tässä kohdassa tilitoimiston ulkopuolisia yrityksiä, jotka tuottavat tilitoimistolle esimerkiksi palvelimien ja työasemien ylläpitopalvelua, tallennus- sekä varmistuspalveluita, tietoturvan ylläpitopalvelu tai tietoliikenneyhteyksien ylläpitopalvelua. | |
Ulkopuolisista ICT-palveluista on laadittu kirjalliset palvelusopimukset sekä kirjallinen sopimus luottamuksellis tiedon salassapidosta. | |
Tilitoimiston ja palveluntarjoajan välinen vastuunjako on dokumentoitu kirjallisesti ja palveluntarjoaja on tietoinen tilitoimiston tietoturvakäytännöistä ja suojattavista kohteista. | |
Tilitoimiston ja ulkoistettujen ICT-palveluiden toiminnan ylläpidosta ja kehittämisestä keskustellaan määräajoin palveluntarjoajan kanssa. | |
Suojattavien kohteiden ja tiedon hallinta | |
Suojattavia kohteita ovat esimerkiksi työasemat, kannettavat tietokoneet, palvelimet ja mobiililaitteet. | |
suojattaville kohteille määritelty hyväksyttävän käytön pelisäännöt. | |
Asiakaan kirjanpitoaineistolle, henkilötiedoille ja muille tiedoille on laadittu käsittelyohjeet. | |
Sekä digitaalisen tiedon, että tulosteiden tuhoamiselle on laadittu tietoturvallisen tuhoamisen menettelyohjeet. | |
Käytössä on asianmukaiset tietosuojaroskasäiliöt tai asiakirjasilppuri luokitellun tiedon tuhoamista varten. | |
Tietokoneiden ja mobiililaitteiden tietoturva | |
Tilitoimiston käytössä olevat työasemat, kannettavat tietokoneet, mobiililaitteet ja muut päätelaitteet on rekisteröity ja dokumentoitu asianmukaisesti. | |
Koneiden säännöllisesti tietoturvapäivityksistä on huolehdittu asianmukaisesti ja päivityksiä valvotaan. Työntekijöiden oikeutta asentaa ohjelmistoja työasemille on rajattu ja asennuksia valvotaan. | |
Asianmukainen virus- ja haittaohjelmien torjuntaohjelmisto on käytössä. | |
Tietoverkko ja tietokoneet on suojattu palomuurilla. | |
Työntekijöiden henkilökohtaisten tietokoneiden ja mobiililaitteiden käyttö henkilötietojen käsittelyyn on kielletty. | |
Palvelin- ja tietoliikenneturvallisuus | |
Toimitilojen palvelintilat ja tietoliikenneyhteyksien edellyttämät tilat pidetään lukittuina. | |
Langattomien verkkojen tietoliikenne on salattu. | |
Vierasverkot on eriytetty tilitoimiston sisäisestä tietoverkosta luotettavalla menetelmällä. | |
Palvelinkäyttöjärjestelmät päivitetään säännöllisesti. | |
Palvelinjärjestelmä on rakennettu vikasietoiseksi tai kahdennettuksi siten, että tietojärjestelmien toiminta ei keskeydy yksittäisestä laiterikosta. | |
Taloushallinnon pilvipalvelut | |
Taloushallinnon pilvipalvelulla tarkoitetaan tässä kohdassa SaaS- tai ASP-palveluna toimitettavia taloushallinnon tietojärjestelmiä, joita organisaatio käyttää taloushallinnon palveluidensa tuottamiseen omille asiakkailleen. | |
Sopimuksiimme taloushallinnon pilvipalvelun käytöstä sisältyy kirjallinen palvelutasosopimus. | |
Tilitoimiston ja palveluntarjoajan välinen vastuunjako on dokumentoitu kirjallisesti. | |
Tilitoimisto on saanut palveluntarjoajalta selvitykset, jotka todentavat että palvelua tuotetaan tietosuoja- asetuksen sekä kirjanpitolain asettamat aineiston säilytysvaatimukset huomioiden. | |