SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ PALKKAUS.FI- PALVELUSSA
SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ PALKKAUS.FI- PALVELUSSA
Päivitetty: 30.9.2021
Tämä dokumentti on Tietosuojalakien mukainen Henkilötietojen käsittelysopimus. Sopimus solmitaan, kun Palvelu otetaan käyttöön.
1 Määritelmiä
”Xxxxxxxx.xx” tarkoittaa palveluntarjoajaa eli Suomen Palkanlaskenta Oy:tä, jonka Y- tunnus on 2554393-3. Suomen Palkanlaskenta Oy:llä on oikeus rekisteröinnin nojalla tarjota maksupalveluita ilman toimilupaa Suomessa. Suomen Palkanlaskenta Oy on merkitty maksupalvelun tarjoajia koskevaan Finanssivalvonnan rekisteriin ja se on Finanssivalvonnan valvonnan alainen.
”Palvelu” tarkoittaa Suomen Palkanlaskenta Oy:n Palkkaus.fi-palvelun, xxxxx://xxx.xxxxxxxx.xx -sivuston ja siihen liittyvien sivustojen sekä esimerkiksi sähköpostitse tai puhelimitse tapahtuvan viestinnän muodostamaa palvelukokonaisuutta.
"Käyttäjä" tarkoittaa työnantajaa, työnantajan edustajaa tai työntekijää, joka käyttää Palvelua.
”Henkilötiedot” ovat mitä tahansa tietoja liittyen tunnistettuun tai näiden tietojen perusteella tunnistettavissa olevaan yksityishenkilöön.
“Käsittely” ja ”Käsittelytoimi” ovat toimintoja, joita kohdistetaan Henkilötietoja sisältäviin tietokantoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen säilyttämistä, tietojen luovuttamista siirtämällä, tai asettamalla ne muutoin saataville sekä turvakopioimista.
“Rekisterinpitäjä” on se, joka määrittelee Henkilötietojen Käsittelyn tarkoitukset ja keinot ja on tässä Sopimuksessa se on Käyttäjä.
“Käsittelijä” on Palkkaus, joka Käsittelee Henkilötietoja Rekisterinpitäjän lukuun Sopimuksen perusteella.
”Integroitu palvelu” on kolmannen osapuolen tarjoama palvelu, jonka avulla voi tunnistautua Käyttäjäksi tai jonka kautta voi käyttää Palvelua.
”Tietosuojalait” tarkoittavat EU:n yleistä tietosuoja-asetusta (EU 2016/679) sekä kulloinkin voimassa olevia ja soveltuvia tietosuojalakeja kuten Tietosuojalaki (1050/2018) ja laki yksityisyyden suojasta työelämässä (759/2004).
”Sopimus” tarkoittaa tätä dokumenttia, joka on Käyttäjän ja Xxxxxxxx.xx:n välille solmittu Tietosuojalakien (tietosuoja-asetuksen (EU 2016/679) art. 28) mukainen käsittelysopimus (”Sopimus”). Sopimus myös kuvaa, mitä tietoja keräämme ja miten niitä käytetään, suojataan ja jaetaan. Käyttämällä Palvelua hyväksyt Sopimuksessa kuvatut käytännöt. Tämä sopimus löytyy tietosuojasivultamme tämän linkin kautta. LINKKI SIVUILLE xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxx
2 Käsiteltävät henkilötiedot
Xxxxxxxx.xx Käsittelee Henkilötietoja Palvelun tuottamiseksi Rekisterinpitäjän puolesta ja lukuun tämän Sopimuksen perusteella.
2.1 Käyttäjien antamat tiedot
Palvelu käsittelee Henkilötietoja ja muita palkanmaksuun liittyviä tietoja käyttäjätilin luomisen yhteydessä ja joissain tapauksissa asiakaspalvelun yhteydenottokanavien kautta Palveluun kirjautumisen jälkeen. Käsittelemme tällöin muun muassa seuraavia tietoja:
• Nimi, käyttäjätunnus, sähköpostiosoite, IP-numero, osoite ja puhelinnumero
Kun Käyttäjä antaa Palvelussa valtakirjan Xxxxxxxx.xx:lle hoitaa puolestaan palkkaamiseen, palkanmaksuun ja palkkoihin liittyviä velvoitteita ja maksuja suhteessa viranomaisiin ja muihin palkkaamiseen liittyviin tahoihin, käsittelemme lisäksi seuraavia tietoja:
• Henkilötunnus, työtehtävä, verokortin tiedot, tilinumero ja käyttäjäkohtaiset palveluasetukset
• Maksetut ja/tai saadut palkat
• Palvelun kautta ostettujen tai muuten palveluun ilmoitettujen lakisääteisten vakuutusten tiedot
• Käyttäjän tosiasialliset edunsaajat ja mahdollisesti Käyttäjän palveluun tallentamat osakkaiden tiedot (yhteisömuotoiset Käyttäjät)
• Käyttäjän IP-osoite ja selaimen tiedot
• Asiakaskommunikaatiossa esiin tulleet tai Käyttäjän antamat mahdolliset muut tiedot
2.2 Käyttäjän keräämät tiedot
Käyttäjän on huolehdittava omalta osaltaan tietoturvasta ja yksityisyydensuojasta Tietosuojalakien mukaisesti.
2.3 Integroidut palvelut
Käyttäjälle voidaan tarjota mahdollisuutta rekisteröityä ja käyttää Palvelua kolmannen osapuolen palvelun Integroidun palvelun kautta. Palveluun voi kirjautua myös Google- ja Facebook-tunnuksilla ja -salasanolla.
Käyttäjällä voi olla myös mahdollisuus valtuuttaa Integroitu palvelu antamaan Henkilötietoja ja muita tietoja Palvelun Käsiteltäväksi. Xxxxxxxx.xx käsittelee Integroidun palvelun kautta saatuja tietoja samalla tavalla kuin Käyttäjän itsensä antamia tietoja.
Käyttäjän tulee tarkastaa Integroidun palvelun tietosuojakäytännöt ymmärtääkseen, mitä tietoja luovutetaan ja tarvittaessa tehdä mahdolliset muutokset Integroidun palvelun asetuksiin.
2.4 Tiedot muista lähteistä
Palvelu saattaa vastaanottaa tai Käsitellä tietoa kolmansilta osapuolilta, kuten viranomaisilta tai muilta palkanmaksuun liittyviltä tahoilta. Kolmansilta osapuolilta saatavaa tietoa, jota käsitellään Palvelussa ja yhdistetään Käyttäjän tietoihin, käsitellään ja suojataan Palvelussa samalla tavalla kuin kohdan Käyttäjän itsensä antamia tietoja.
2.5 Automaattisesti kerätyt tiedot
Palvelu käyttää seurantatekniikkaa eli evästeitä keräkseen tietoja muun muassa selainohjelmista, käyttöjärjestelmistä, verkkoliikenteestä, sivustolla liikkumisesta ja vastaavasta aktiviteetista Sivustolla.
Käyttäjä voi itse valita, miten evästeitä käytetään selaimessa. Käyttäjä voi esimerkiksi asettaa selaimen antamaan varoituksen, kun vieraillaan evästeitä käyttävissä sivustoissa tai estämään evästeiden käytön täysin. Jos Käyttäjä estää evästeiden käytön, hän ei kuitenkaan välttämättä pysty käyttämään kaikkia sivuston toimintoja. Käyttäjän tulee huomioida, että evästeasetukset tulee tehdä jokaisessa selainohjelmassa ja jokaisella koneella tai laitteella erikseen.
Emme kerää henkilötietoja julkista Sivustoa selaavasta yksityishenkilöstä, joka ei ole rekisteröitynyt Palvelun Käyttäjäksi.
3 Käsiteltävän tiedon käyttäminen
Tietoja Käsitellään Tietosuojalakien ja muiden Palveluun sovellettavien lakien edellyttämällä tavalla.
Palvelu käyttää Käsiteltäviä Henkilötietoja Palvelun tuottamiseen ja sen kehittämiseen ja Xxxxxxxx.xx:n toiminnassa, muun muassa seuraavissa tapauksissa:
3.1 Palvelun tuottaminen
Palvelu muodostaa ja välittää lakisääteisiä tietoja ja maksuja viranomaisille, pankeille ja vakuutusyhtiöille, mikä edellyttää Käyttäjien luotettavaa tunnistamista sekä Käyttäjän henkilötietojen ja palkkatietojen tallentamista ja käsittelyä.
3.2 Viestintä käyttäjille
Xxxxxxxx.xx lähettää Käyttäjille viestejä palkanmaksuun ja raportointiin liittyvissä tilanteissa. Xxxxxxxx.xx saattaa myös ottaa yhteyttä Käyttäjään Palvelun virhe- tai ongelmatilanteissa sekä kertoa Palvelun uusista ominaisuuksista.
Lisäksi Xxxxxxxx.xx lähettää Käyttäjille tietoa uusista kumppanuuksistamme ja palkanmaksuun liittyvistä aiheista. Käyttäjä voi kieltää tällaisen markkinointiviestinnän lähettämisen.
3.3 Analytiikka ja laadun parantaminen
Xxxxxxxx.xx seuraa ja analysoi Palvelun käyttöä tietoturvan ja Palvelun toiminnan kehittämiseksi. Voidaan esimerkiksi seurata eri toiminnallisuuksien käytön määrää ja trendejä, minkä avulla arvioidaan ja parannetaan Palvelun laatua ja käytettävyyttä.
Xxxxxxxx.xx voi jakaa anonyymia tietoa Palvelun käytöstä kolmansille osapuolille, kuten esimerkiksi Google Analytics-palvelulle, edellä mainittuja analyysi- ja kehittämistarpeita varten. Tarkoituksena on tutkia, miten Käyttäjät käyttävät Palvelua, jotta voidaan muokata Palvelua paremmin Käyttäjien tarpeita vastaavaksi.
Tämän lisäksi voidaan jakaa anonyymia tietoa käyttäjä- ja käyttömääristä Xxxxxxxx.xx:n liiketoiminnassa, esimerkiksi jakaa julkisesti tietoa Palvelun käyttäjämäärien kehityksestä.
4 Tietojen luovuttaminen
Henkilötietoja luovutetaan vain palkanmaksun lakisääteisten velvollisuuksien hoitamiseksi esimerkiksi Verohallinnolle, työeläkevakuutusyhtiöille, työtapaturmavakuutusyhtiöille ja Työllisyysrahastolle.
Tietoja voidaan luovuttaa myös Xxxxxxxx.xx:n Palvelun tuottamiseen tarvittaville konserniyhtiöille.
Työnantajana toimivasta Käyttäjästä välitetään nimi ja kotikunta työntekijälle palkkalaskelmalla.
Henkilötietoja voidaan luovuttaa EU/ETA-alueen ulkopuolelle vain siinä tapauksessa, että tarpeelliset suojakeinot ovat käytössä, kuten:
• Maa on EU-komission toimesta todettu omaavan riittävän hyvän suojaustason henkilötiedoille.
• Suojakeinoista varmistutaan käyttämällä EU-komission tarjoamia mallilausekkeita sopimuksissa henkilötietojen siirroista.
5 Alihankkijat
Tietosuojanäkökulmasta alihankkijaksi katsotaan taho, joka tuottaa Xxxxxxxx.xx:n omalla nimellään tarjoaman palvelun joko osittain tai kokonaan. Tällöin saatetaan siirtää Henkilötietoja alihankkijan käsiteltäviksi, jolloin kyse on joko Xxxxxxxx.xx:n tai kumppanin tuotteen tai palvelun käyttöön liittyvästä teknisen integraation siirtämästä tiedosta tuotteiden tai palveluiden välillä.
Xxxxxxxx toimittamisessa käytettävien henkilötietoa käsittelevien alihankkijoiden osalta Xxxxxxxx.xx pyrkii varmistumaan siitä, että alihankkijoiden käyttämissä sopimuslausekkeissa on aina tuorein versio GDPR:n oikeuskäytänteen perusteilla.
Kaikki alihankkijoiden kanssa välitettävä tieto on suojattu asianmukaisin keinoin ja käsittelyssä noudatetaan tietosuojalakia.
6 Turvallisuustoimenpiteet
Henkilötietoja säilytetään ainoastaan suojatuilla palvelimilla. Pääsy Käyttäjien tietoihin on rajattu käyttöoikeuksin ja sallittu vain henkilöille, jotka tarvitsevat kyseisiä tietoja työtehtäviensä hoitamiseksi. Henkilötietoja Käsitteleviä henkilöitä sitoo vaitiolovelvollisuus.
Tietoturvallisilla prosesseilla ja käytännöillä on tarkoitus estää tiedon häviäminen, väärinkäyttö, tuhoutuminen ja päätyminen ei-auktorisoiduille tahoille. Xxxxxxxx.xx ylläpitää seuraavia teknisiä turvallisuustoimenpiteitä:
• Käyttäjä liittyy Palveluun lainmukaisella vahvalla sähköisellä tunnistautumisella.
• Käyttäjien salasanoja ei tallenneta selväkielisenä eikä niistä pidetä lokia.
• Palvelu ei aseta salasanaa Käyttäjälle. Käyttäjän pyynnöstä salasana asetetaan satunnaiseen vahvaan salasanaan, joka Käyttäjän täytyy vaihtaa uuteen seuraavan kirjautumisen yhteydessä.
• Kirjautumisista Palveluun kertyy lokitietoja.
• Myös alihankkijoilta edellytetään Käsiteltävien Henkilötietojen asianmukaista suojaamista.
• Manuaalinen aineisto säilytetään lukituissa tiloissa.
Xxxxxxxx.xx testaa, tutkii ja arvioi säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
7 Tietosuojaloukkaukset
Xxxxxxxx.xx seuraa ja raportoi mahdollisista turvallisuusuhista ja -hyökkäyksistä lain vaatimusten mukaisesti.
Xxxxxxxx.xx ilmoittaa Rekisterinpitäjälle kaikista havaitsemistaan tietosuojaan ja tietoturvaan liittyvistä loukkauksista tai uhista, jotka liittyvät tämän Sopimuksen kohteena olevien tietojen Käsittelyyn. Ilmoittamisessa ja toiminnassa noudatetaan Tietosuojalainsäädäntöä.
Xxxxxxxx.xx auttaa Rekisterinpitäjää tietosuojaloukkausten selvittämisessä ja toimii Rekisterinpitäjän ohjeistuksen mukaisesti.
Jos Xxxxxxxx.xx havaitsee tietosuojaan liittyviä ongelmia Rekisterinpitäjän ohjeistuksessa, se ilmoittaa havaitsemistaan puutteista mahdollisimman pian Rekisterinpitäjälle.
8 Tietojen säilyttäminen
Palvelun Käsittelemää tietoa sekä Palvelun tuottamat palkkalaskelmat säilytetään palkanmaksuvuotta seuraavien 10 vuoden ajan, mikäli Rekisterinpitäjä ei erikseen vaadi tietojen poistamista.
Asiakkaan tuntemista koskevat tiedot säilytetään ja poistetaan kuitenkin aina rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) mukaisesti.
9 Tietojen tarkistaminen, korjaaminen ja poistaminen
Käyttäjä voi tarkistaa Palvelussa olevia tietoja kirjautumalla Palveluun tai ottamalla yhteyttä asiakaspalveluun (Sopimuksen viimeinen kohta).
9.1 Tietojen tarkistaminen ja korjaaminen
Käyttäjä voi päivittää tai korjata Palvelussa olevia tietoja kirjautumalla Palveluun. Jos Käyttäjä tai Rekisterinpitäjä huomaa Palvelussa vääriä tietoja, hänen on viipymättä ilmoitettava niistä Xxxxxxxx.xx:lle.
Palvelulla on oikeus tarkistaa Käyttäjän ja Rekisterinpitäjän antamat tiedot ulkopuolisista lähteistä ja tehdä Käyttäjiä ja Rekisterinpitäjiä koskevia merkintöjä käyttäjäprofiiliin.
9.2 Tietojen poistaminen
Käyttäjä voi pyytää tietojensa poistamista tai Käsittelyn rajoittamista tai vastustaa Käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen. On huomattava, että maksetuista palkoista jää lakisääteisesti tietoa muun muassa työnantajalle.
Kun Käyttäjä vaatii tietojensa poistoa, Xxxxxxxx.xx toimittaa hänelle palkkakirjanpidon kohtuullisen ajan sisällä. Tämän jälkeen kaikki tiedot poistetaan päivän kuluessa.
Asiakkaan tuntemista koskevat tiedot säilytetään ja poistetaan kuitenkin aina rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) mukaisesti.
Mikäli Käyttäjä toimii työnantajana, on hänen tietojen poiston jälkeen huolehdittava itse muun muassa Ennakkoperintälain (20.12.1996/1118) mukaisista velvollisuuksista palkanmaksuun liittyvien tietojen säilyttämisestä.
10 Auditointi
Rekisterinpitäjällä on oikeus vaatia Palvelun tietosuojakäytäntöjen auditointia. Auditointiprosessista sovitaan seuraavaa:
• Xxxxxxxx.xx on mukana auditoijan valintaprosessissa ja auditoijan pitää olla myös Xxxxxxxx.xx:n hyväksymä. Auditoida ei saa olla Xxxxxxxx.xx:n kilpailija.
• Auditointiin pitää antaa Xxxxxxxx.xx:lle kohtuullinen aika valmistautua, vähintään yksi kuukausi.
• Auditoinnin toteutus pitää tapahtua arkipäivinä toimistoaikaan. Xxxxxxxx.xx:llä on oikeus olla läsnä kaikissa auditointiin liittyvissä tapaamisissa ja tilanteissa.
• Auditointia ei voi vaatia useammin kuin kerran vuodessa.
• Auditointia vaatinut maksaa auditoinnin kustannukset.
11 Alaikäiset käyttäjät
Palveluun voivat rekisteröityä 15 vuotta täyttäneet luonnolliset henkilöt, joilla on suomalainen henkilötunnus. Jos Käyttäjä on alle 18-vuotias, tarvitaan Palvelun käyttöön huoltajan suostumus ja lisäksi suositellaan, että Käyttäjä keskustelee huoltajansa kanssa tietosuojasta ennen Palvelun käyttöönottoa.
Palkan maksaminen Palvelulla tai yrityksen palkka-asioiden hoitaminen edellyttävät Käyttäjältä vähintään 18 vuoden ikää.
12 Voimaantulo ja muutokset Sopimukseen
Palvelussa Käsiteltävien tietojen turvallisuus- ja käsittelytoimenpiteitä sekä tätä Sopimusta saatetaan päivittää tai muuttaa.
Rekisterinpitäjälle tiedotetaan Sopimuksen muutoksista mahdollisuuksien mukaan etukäteen Palvelun valtakirjassa mainittujen yhteystietojen mukaan. Muutokset hyväksytään jatkamalla palvelun käyttöä uuden Sopimuksen voimaantulon jälkeen.
13 Sopimuksen päättäminen
Rekisterinpitäjä voi päättää Sopimuksen ottamalla yhteyttä asiakaspalveluun.
Tällöin Xxxxxxxx.xx toimii Rekisterinpitäjän ohjeistuksen ja lain mukaan Käsittelyn lopettamisessa ja tietojen poistamisessa. Käyttäjän on rekisterinpitäjänä huomioitava lain velvoitteet tietojen säilyttämisestä (kohta 9.2).
Asiakkaan tuntemista koskevat tiedot säilytetään ja poistetaan kuitenkin aina rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) mukaisesti.
14 Yhteydenotto Sopimukseen ja tietosuojaan liittyen
Kysymykset Xxxxxxxx.xx:n tietosuojakäytännöistä tai Sopimuksesta voi lähettää Palvelun asiakaspalvelun kautta sähköpostilla osoitteeseen xxxx@xxxxxxxx.xx.
Rekisterinpitäjällä on myös oikeus tehdä valitus asianomaiselle valvontaviranomaiselle.