PALKKAUS.FI: AVTAL OM BEHANDLING AV PERSONUPPGIFTER

XXXXXXXX.XX: AVTAL OM BEHANDLING AV PERSONUPPGIFTER

Uppdaterad: 30.9.2021

Det här dokumentet är ett avtal om behandling av Personuppgifter i enlighet med dataskyddslagarna. Avtalet ingås när Tjänsten tas i bruk.

1 Definitioner

Med ”Xxxxxxxx.xx” avses tjänsteleverantören, det vill säga Löneräkning Finland Ab, vars FO-nummer är 2554393-3. Löneräkning Finland Ab är registrerat för att tillhandahålla betaltjänster utan auktorisation i Finland. Löneräkning Finland Ab är registrerat i Finansinspektionens register över betaltjänstleverantörer och står under Finansinspektionens tillsyn.

Med ”Tjänsten” avses den tjänstehelhet som bildas av Löneräkning Finland Ab:s Tjänst Xxxxxxxx.xx, webbplatsen xxxxx://xxx.xxxxxxxx.xx och relaterade webbplatser samt kommunikation exempelvis via e-post eller telefon.

Med ”Användare” avses en arbetsgivare, arbetsgivarens representant eller en arbetstagare som använder Tjänsten.

”Personuppgifter” avser all information som rör en identifierad individ eller en individ som kan identifieras med hjälp av dessa.

”Behandling” och ”Behandlingsåtgärd” är åtgärder som tillämpas på databaser som innehåller Personuppgifter antingen genom automatisk databehandling eller manuellt, såsom lagring av uppgifter, överlåtelse av uppgifter genom överföring, övrigt tillgängliggörande av uppgifterna eller säkerhetskopiering.

”Registeransvarig” är den som definierar ändamålen och medlen för behandling av Personuppgifter och är i detta Avtal Användaren.

”Personuppgiftsbiträde” är Löneräkning, som behandlar Personuppgifter på uppdrag av den Registeransvarige enligt Avtalet.

”Integrerad Tjänst” är en tjänst som tillhandahålls av en tredje part, som gör att du kan identifiera dig som användare eller genom vilken du kan använda Tjänsten.

”Dataskyddslagar” avser EU:s allmänna dataskyddsförordning (EU 2016/679) samt gällande och tillämpliga Dataskyddslagar såsom dataskyddslagen (1050/2018) och lagen om integritetsskydd i arbetslivet (759) /2004).

Med ”Avtal” avses detta dokument, som är ett behandlingsavtal som ingåtts mellan Användaren och Xxxxxxxx.xx i enlighet med Dataskyddslagarna (artikel 28 i

dataskyddsförordningen (EU 2016/679)) (”Avtalet”). Avtalet beskriver även vilka uppgifter vi samlar in och hur de används, skyddas och delas. Genom att använda Tjänsten godkänner du de policyer som beskrivs i Xxxxxxx. Detta avtal finns på vår dataskyddssida på vår webbsidan.

2 Behandlade personuppgifter

Xxxxxxxx.xx behandlar Personuppgifter för att tillhandahålla Tjänsten på uppdrag av och för registeransvarigs räkning enligt Avtalet.

2.1 Uppgifter som anges av Användarna

Tjänsten behandlar Personuppgifter och andra uppgifter med anknytning till löneutbetalning i samband med skapandet av ett användarkonto och i vissa fall via kundtjänstens kontaktkanaler efter inloggning i Tjänsten. I det här fallet behandlar vi bland annat följande uppgifter:

• Namn, användar-ID, e-postadress, IP-adress, adress och telefonnummer

När Användaren ger Xxxxxxxx.xx fullmakt att för sin räkning hantera skyldigheter och betalningar med anknytning till anställning, löneutbetalning och löner i förhållande till myndigheter och andra parter med anknytning till anställning behandlar vi därtill följande uppgifter:

• Personnummer, arbetsuppgift, skattekortets uppgifter, kontonummer och användarspecifika tjänsteinställningar

• Utbetalda och/eller mottagna löner

• Information om lagstadgade försäkringar som köpts eller på annat sätt anmälts via Tjänsten

• Användarens faktiska förmånstagare och eventuell information om aktieägare som användaren sparat i Tjänsten (Användare i sammanslutningsform)

• Användarens IP-adress och webbläsaruppgifter

• Övrig information som framkommit i kundkommunikationen eller tillhandahållits av Användaren

2.2 Uppgifter som insamlats av Användaren

Användaren måste för egen del ombesörja dataskydd och integritetsskydd i enlighet med Dataskyddslagarna.

2.3 Integrerade tjänster

Användaren kan erbjudas möjligheten att registrera och använda Tjänsten via en integration från en tredje parts Tjänst. Användaren kan också logga in i Tjänsten med sitt Google- och Facebook-ID och lösenord.

Användaren har också möjlighet att tillåta att en Integrerad tjänst tillhandahåller Personuppgifter och annan information för behandling i tjänsten. Xxxxxxxx.xx behandlar uppgifter som fås via en Integrerad tjänst på samma sätt som de uppgifter som användaren själv har angett.

Användaren bör kontrollera den Integrerade tjänstens dataskyddspolicy för att förstå vilka uppgifter som utlämnas och, om nödvändigt, göra eventuella ändringar i inställningarna för den Integrerade tjänsten.

2.4 Uppgifter från andra källor

Tjänsten kan ta emot eller behandla uppgifter från tredje part, såsom från statliga myndigheter eller andra parter med anknytning till utbetalning av löner. Uppgifter som fås från tredje part som behandlas i Tjänsten och kombineras med Användarens uppgifter behandlas och skyddas i Tjänsten på samma sätt som uppgifter som Användaren själv har angett.

2.5 Automatiskt insamlade uppgifter

Tjänsten använder spårningsteknik, det vill säga kakor, för att samla in information om bland annat webbläsare, operativsystem, nätverkstrafik, navigering på Webbplatsen och liknande aktivitet på Webbplatsen.

Användaren kan själv välja hur kakor används i webbläsaren. Användaren kan exempelvis ställa in sin webbläsare att varna när hen besöker webbplatser som använder kakor eller helt blockera kakor. Om användaren fullständigt blockerar användningen av kakor kan det dock hända att hen inte kan använda alla funktioner på webbplatsen. Användaren bör observera att kakor måste ställas in separat i varje webbläsare och på varje maskin eller enhet.

Vi samlar inte in personuppgifter om en person som surfar på den offentliga Webbplatsen som inte har registrerat sig som användare av Tjänsten.

3 Användning av behandlade uppgifter

Uppgifterna behandlas i enlighet med Dataskyddslagar och andra på Tjänsten tillämpliga lagar.

Tjänsten använder Behandlade Personuppgifter för produktion och utveckling av Tjänsten och i verksamheten på Xxxxxxxx.xx, bland annat i följande fall:

3.1 Produktion av Tjänsten

Tjänsten genererar och förmedlar lagstadgad information och betalningar till myndigheter, banker och försäkringsbolag, vilket förutsätter tillförlitlig identifiering av Användare samt lagring och behandling av Användarens personuppgifter och löneuppgifter.

3.2 Kommunikation till Användare

Xxxxxxxx.xx skickar meddelanden till Användarna i situationer med anknytning till löner och rapportering. Xxxxxxxx.xx kan också kontakta Användaren vid fel eller problem med Tjänsten och för att informera om Tjänstens nya funktioner.

Dessutom skickar Xxxxxxxx.xx information om nya partnerskap och ämnen relaterade till löneutbetalning till användarna. Användaren kan förbjuda sändning av sådan marknadsföringskommunikation.

3.3 Analys och kvalitetsförbättring

För att utveckla Tjänstens dataskydd och drift övervakar och analyserar Xxxxxxxx.xx användningen av Tjänsten. För att bedöma och förbättra Tjänstens kvalitet och användbarhet kan exempelvis antalet användningsgånger och trenderna för användning av olika funktioner övervakas.

För ovannämnda analys- och utvecklingsbehov kan Xxxxxxxx.xx dela anonym information om användningen av Tjänsten med tredje part, såsom med tjänsten Google Analytics. Syftet är att studera hur Användaren använder Tjänsten, för att kunna skräddarsy Tjänsten för att bättre möta Användarnas behov.

Därtill kan anonym information om antalet användare och användningsgånger delas i Xxxxxxxx.xx:s affärsverksamhet, såsom vid offentlig kommunikation om utvecklingen av antalet användare av Tjänsten.

4 Utlämning av uppgifter

Personuppgifter överlåts endast i syfte att fullgöra lagstadgade skyldigheter för löneutbetalning, exempelvis till Skatteförvaltningen, arbetspensionsförsäkringsbolag, olycksfallsförsäkringsbolag och Sysselsättningsfonden.

Uppgifterna kan även utlämnas till koncernbolag som behövs för att tillhandahålla Xxxxxxxx.xx:s Tjänst.

För Användare som agerar som arbetsgivare meddelas namn och hemort på arbetstagarens lönespecifikation.

Personuppgifter får utlämnas utanför EU/EES-området endast ifall nödvändiga skyddsåtgärder tillämpas, såsom:

• när EU-kommissionen har konstaterat att landet har en tillräckligt bra skyddsnivå för personuppgifter.

• Skyddsåtgärderna säkerställs genom att använda Europeiska kommissionens modellklausuler för avtal om överföring av personuppgifter.

5 Underleverantörer

Ur dataskyddssynpunkt är en underleverantör en part som producerar en tjänst som antingen delvis eller helt tillhandahålls av Xxxxxxxx.xx i eget namn. I detta fall kan Personuppgifterna överföras till en underleverantör för behandling, varvid det är fråga om uppgifter som överförs mellan produkterna eller tjänsterna relaterade till användningen av antingen Xxxxxxxx.xx eller partnerns produkt eller tjänst.

I fråga om underleverantörer som behandlar personuppgifter som används vid tillhandahållandet av Tjänsten strävar Xxxxxxxx.xx efter att säkerställa att de avtalsklausuler som används av underleverantörerna alltid grundar sig på den senaste versionen av rättspraxis i enlighet med GDPR.

Alla uppgifter som överlåts till underleverantörer skyddas på lämpligt sätt och behandlas i enlighet med dataskyddslagen.

6 Säkerhetsåtgärder

Personuppgifter lagras endast på säkra servrar. Tillgång till Användarens uppgifter begränsas av behörigheter och endast till personer som behöver uppgifterna i fråga för att utföra sina arbetsuppgifter. Personer som behandlar Personuppgifter är bundna av tystnadsplikt.

Datasäkra processer och rutiner är avsedda att förhindra förlust, missbruk, förstörelse och avslöjande av uppgifterna till icke-auktoriserade parter. Xxxxxxxx.xx upprätthåller följande tekniska säkerhetsåtgärder:

• Användaren ansluter till Tjänsten via lagenlig stark elektronisk identifiering.

• Användarnas lösenord lagras inte i klartext och loggas inte.

• Tjänsten ställer inte in ett lösenord för användaren. På Användarens begäran ställs ett slumpmässigt starkt lösenord in, som Användaren måste ändra till ett nytt nästa gång hen loggar in.

• Vi samlar in logguppgifter samlas om inloggningar till Tjänsten.

• Lämpligt skydd av Behandlade Personuppgifter krävs även av underleverantörer.

• Manuellt material förvaras i låsta utrymmen.

Xxxxxxxx.xx testar, undersöker och utvärderar regelbundet effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säker databehandling.

7 Dataskyddskränkningar

Xxxxxxxx.xx övervakar och rapporterar om eventuella säkerhetshot och säkerhetsattacker i enlighet med lagens krav.

Xxxxxxxx.xx meddelar den Registeransvarige om eventuella överträdelser eller hot avseende behandlingen av uppgifter som omfattas av detta Avtal som upptäcks i Tjänsten. Anmälan och verksamheten följer Dataskyddslagstiftningen.

Xxxxxxxx.xx hjälper den Registeransvarige att lösa dataskyddskränkningar och arbetar i enlighet med den Registeransvariges instruktioner.

Om Xxxxxxxx.xx upptäcker dataskyddsrelaterade problem i den Registeransvariges instruktioner, ska Tjänsten så snabbt som möjligt meddela den Registeransvarige om de upptäckta bristerna.

8 Lagring av uppgifter

Uppgifter som behandlas av Tjänsten och lönespecifikationer som genereras av Tjänsten lagras i tio år efter löneutbetalningsåret, om inte den Registeransvarige uttryckligen begär borttagning av uppgifterna.

Uppgifter om kundkontroll bevaras och raderas dock alltid i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017).

9 Kontroll, korrigering och borttagning av uppgifter

Användaren kan kontrollera uppgifter i Tjänsten genom att logga in i Tjänsten eller genom att kontakta kundtjänst (Avtalets sista punkt).

9.1 Kontroll och korrigering av uppgifter

Användaren kan uppdatera eller korrigera uppgifter i Tjänsten genom att logga in i Tjänsten. Om Användaren eller den Registeransvarige upptäcker felaktiga uppgifter i Tjänsten måste hen omedelbart meddela om dessa till Xxxxxxxx.xx.

Tjänsten har rätt att kontrollera uppgifter som tillhandahålls av Användaren och Registeransvarig i externa källor och att göra anteckningar om Användare och Registeransvariga i användarprofilen.

9.2 Borttagning av uppgifter

Användaren kan begära borttagning av sina uppgifter eller begränsning av Behandlingen eller invända mot Behandlingen och rätten att överföra uppgifterna från ett system till ett annat. Det bör noteras att arbetsgivaren lagrar lagstadgade uppgifter om bland annat utbetalda löner.

När Användaren begär borttagning av sina uppgifter levererar Xxxxxxxx.xx inom en rimlig tid lönebokföringen till Användaren. Efter detta tas uppgifterna bort inom loppet av en dag. Uppgifter om kundkontroll bevaras och raderas dock alltid i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017).

Om Användaren agerar arbetsgivare, ska hen efter att ha tagit bort sina uppgifter sköta bland annat sina skyldigheter enligt lagen om förskottsuppbörd (20.12.1996 / 1118) gällande lagring av uppgifter om löneutbetalning.

10 Auditering

Registeransvarig har rätt att begära auditering av Tjänstens dataskyddspolicy. Om auditeringsprocessen avtalas följande:

• Xxxxxxxx.xx deltar i urvalsprocessen för auditerare och auditeraren måste också vara godkänd av Xxxxxxxx.xx. Auditeraren får inte vara en konkurrent till Xxxxxxxx.xx.

• Xxxxxxxx.xx ska ges skälig tid för att förbereda auditeringen, minst en månad.

• Auditeringen ska ske på vardagar under kontorstid. Xxxxxxxx.xx har rätt att närvara vid alla möten och situationer i anslutning till auditeringen.

• Auditering kan inte krävas mer än en gång per år.

• Den som krävt auditering betalar dess kostnader.

11 Minderåriga användare

Över 15-åriga fysiska personer med finskt personnummer kan registrera sig som Användare av Tjänsten. Om Användaren är under 18 år krävs samtycke från vårdnadshavaren för användning av Tjänsten och det rekommenderas även att Användaren diskuterar dataskydd med sin vårdnadshavare innan hen aktiverar Tjänsten.

För att utbetala lön via Tjänsten eller hantera företagets löneärenden måste Användaren vara minst 18 år gammal.

12 Ikraftträdande och ändringar av Avtalet

Säkerhets- och behandlingsåtgärder för de uppgifter som behandlas i Tjänsten och detta Avtal kan uppdateras eller ändras.

Den registeransvarige underrättas i mån av möjlighet om eventuella ändringar i Avtalet i förväg, enligt de kontaktuppgifter som nämns i Tjänstens fullmakt.

Ändringarna accepteras genom att fortsätta använda Tjänsten efter det nya Avtalets ikraftträdande.

13 Uppsägning av avtal

Den Registeransvarige kan säga upp Avtalet genom att kontakta kundtjänst.

I så fall agerar Xxxxxxxx.xx i enlighet med Registeransvarigs anvisningar och lagen för att avsluta behandlingen och för att ta bort uppgifterna. Som Registeransvarig måste Användaren observera de lagenliga skyldigheterna för lagring av uppgifter (punkt 9.2).

Uppgifter om kundkontroll bevaras och raderas dock alltid i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017).

14 Kontakt i frågor kring Avtalet och dataskydd

Frågor om Xxxxxxxx.xx:s dataskyddspolicy eller Avtalet kan skickas till Tjänstens kundtjänst via e-post till adressen xxxx@xxxxxxxx.xx.

Den registeransvarige ska också ha rätt att göra ett besvär till tillsynsmyndigheten.