GDPR – Usein kysyttyjä kysymyksiä

Mikä on GDPR? Onko se huomioitu Admicomilla ja miten se vaikuttaa asiakkaisiin? Läpinäkyvyyden lisäämiseksi olemme koonneet listan usein kysytyistä kysymyksistä liittyen EU:n tietosuoja-asetukseen.

GDPR eli General Data Protection Regulation on suomeksi EU:n tietosuoja-asetus, joka tuli voimaan pari vuotta sitten. Toukokuussa 2018 viranomainen alkaa soveltaa asetusta ja siksi asia on viime kuukausina ollut paljon otsikoissa. Asia koskee erityisesti yrityksiä ja organisaatioita, jotka toiminnassaan käsittelevät paljon henkilötietoja (esim. SOTE-sektori) ja he ovatkin varmaan jo pitkälti valmiita omien järjestelmiensä kanssa. PK-sektorilla ja erityisesti talotekniikassa, rakentamisessa ja teollisuudessa henkilötietojen käsittely ei yleisesti ottaen ole toiminnan ytimessä, joten vaatimukset asian suhteen eivät ole niin kattavat. Käytännössä henkilörekistereitä voi syntyä Adminetissä muutamaan eri paikkaan – tyypillisimmin varmaankin palkansaajien, asiakkaiden, toimittajien ja kulunvalvonnan osalta. Suurin osa näihin rekistereihin kerätystä tiedosta on matalan riskin tietoa eli voidaan ajatella, että tieto on joko julkista tai ainakin kohtuullisen helposti saatavilla, jos joku sitä etsii. Tyypillisimmin tälläinen henkilötieto on esimerkiksi henkilön erilaisia yhteystietoja. Näiden tietojen suhteen ei Adminetissä ole tehty erityistoimenpiteitä, vaan on katsottu, että pääsynhallinta oikeuksien ja henkilökohtaisten käyttäjätunnusten kautta on riittävä suojaus näille tiedoille. Palkanlaskennan tietojen suhteen puolestaan on tehty muutamia teknisiä muutoksia, joilla pyritään kontrolloimaan tietojen tarpeetonta käyttöä.

Olemme toteuttaneet yhdessä lakiasiaintoimiston sekä turva-alan ammattilaisten kanssa auditoinnin, jonka raportti toimii pohjana konkreettisille toimenpiteille. Admicomin kohdalla tämä on käytännössä tarkoittanut erityisesti tietojen käsittelyn dokumentointia, sopimuskäytäntöjen uusimista, henkilöstön koulutusta sekä myös muutamia ohjelmamuutoksia Adminettiin. Admicomin tietosuojailmoitus löytyy täältä. Järjestimme asiakkaillemme myös GDPR-aihetta käsittelevän webinaarin, joka on katsottavissa järjestelmän omasta ohjetyökalusta Adminetin Wikistä. Adminettiin kirjautumisen jälkeen webinaari löytyy Wikistä hakusanalla ”GDPR” tai seuraavan polun takaa: Etäkoulutusmateriaalit > Webinaarit > GDPR – EU:n tietosuoja-asetus 20.4.2018.

Jokainen asiakkaamme on tietosuoja-asetuksen mielessä rekisterinpitäjä ja niinpä jokaista asiakastamme koskevat rekisterinpitäjän velvollisuudet. Me Admicomilla autamme asiakastamme näiden velvollisuuksien täyttämisessä päivittämällä sopimuksemme sisältämään myös tietosuoja-asetuksen mukaisen ohjeistuksen tietojenkäsittelystä. (Tämä tapahtuu tämän hetken arvion mukaan huhtikuussa.) Lisäksi Adminetin joihinkin henkilörekisteihin tulee ohjelmamuutoksia, jotka auttavat asiakkaitamme rekisteröityjen oikeuksien toteuttamisessa. Jokaiselle rekisterinpitäjälle jää kuitenkin asetuksen mukainen osoitusvelvollisuus, mikä tarkoittaa sitä, että jokaisen rekisterinpitäjän on tarvittaessa pystyttävä osoittamaan viranomaiselle, että se on tehnyt tarvittavat toimenpiteet asetuksen vaatimusten täyttämiseksi. Tyypillisimmin tämä tarkoittaa esimerkiksi jonkinlaisen tilannearvion tekemistä ja sen pohjalta sitten esimerkiksi henkilötietojen käsittelyn dokumentointia, tietosuojaselosteiden kirjoittamista sekä henkilökunnan kouluttamista ja informointia. Lisätietoja voi lukea vaikkapa tietosuojavaltuutetun oppaasta.

Kysymys on hieman liian avoin, että siihen voisi vastata kattavasti. Adminetin tietoturva on toteutettu monessa eri tasossa lähtien palvelininfrastruktuurista ja sen toteutuksesta. Myöskin itse ohjelmistossa tietoturva ja pääsyoikeudet on huomioitu monin eri tavoin. Palvelumme saatavuus oli viime vuonna 100% lukuun ottamatta suunniteltuja päivityskatkoja. Varmuuskopiointi on niin ikään hoidettu alan parhaiden käytänteiden mukaisesti. Lisäksi olemme toteuttaneet tietoturvakartoituksen sähköisten palvelujemme osalta ja saadun raportin perusteella tehneet tietoturvallisuutta parantavia muutoksia. Seuraamme luonnollisesti koko ajan myös tekniikan kehittymistä.

Selosteet ovat pakollisia vain työpaikoilla, joilla on yli 250 työntekijää. Yksityiskohdat kannattaa tarkistaa tietosuoja-asetuksen artiklasta 30, mikäli henkilötietojen käsittely on jotenkin tavanomaisesta poikkeavaa. Selosteet ovat kuitenkin hyvä, helppo ja kustannustehokas osa rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi tehtäviä toimenpiteitä. Monet asiantuntijat suosittelevatkin selosteiden tekemistä. Tietosuojaselosteen malleja tämän hetken (23.2.2018) tilanteen pohjalta. Huom! Tuleva lainsäädäntö saattaa tuoda mukanaan vielä joitain muutoksia selosteiden vaatimuksiin.

Tämän hetken arvion mukaan rakennustyömailla pääsääntöisesti päätoteuttajina toimivat yritykset tarvitsevat tietosuojavastaavan. Muille alan yrityksille tämä ei ole välttämättä tarpeen. Tilanne voi kuitenkin muuttua, sillä mitään virallista säännöstöä tai määräystä tästä ei vielä ole.

Tällaista todistusta ei ole saatavilla, sillä mitään yhteistä ja yleistä standardia vaatimusten täyttämiseksi ei ole ainakaan vielä olemassa. Lisäksi on muistettava, että riskiperusteisen lähestymistavan mukaisesti matalan riskitason tietojen suojaamiseen ei tule käyttää kohtuuttomia toimenpiteitä.

Meiltä on tulossa päivitys, jossa tuomme Adminettiin lisää tietosuoja-asetuksen mukaisia ominaisuuksia. Yksi näistä ominaisuuksista on henkilötietojen poistaminen. Pitää kuitenkin muistaa, että tämäkään asia ei ole ihan yksinkertainen, sillä samalla pitää huomioida myös eri lakeihin liittyvät tietojen säilytysvelvollisuudet. Ainakin työsopimuslaki, työaikalaki, verotusmenettelylaki (ilmoitusvelvollisuus) ja kirjanpitolaki antavat tähän asiaan omat reunaehtonsa. Eli voi hyvin syntyä tilanteita, joissa tietojen poistoa on pyydetty, mutta jonkin lain nojalla sama tieto pitäisi säilyttää. Näissä tapauksissa lakiin kirjattu säilytysvelvollisuus ajaa tietosuoja-asetuksen ja yksilön oikeuksien edelle. Tietosuoja-asetuksen artikla 17 määrittelee tätä asiaa tarkemmin.

Kyseisen henkilöasiakkaan asiakaskortin tulostaminen käyttöliittymältä onnistuu useimmissa selaimissa Crtl+P -näppäinyhdistelmällä. Samoin voi tarvittaessa toimia oman henkilökunnan tapauksessa. Pidämme rekisteritietojen nähtäväksi pyytämistä sen verran marginaalisena käyttötapauksena asiakaskunnassamme, että erityisiä raportteja tätä varten ei ole rakennettu.

Yksilön oikeudet tietosuoja-asetuksen mukaan Adminetissä toteutetaan seuraavasti
  • Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
    • Tietosuojaseloste hoitaa, asiakkaat vastaavat omista selosteistaan
  • Rekisteröidyn oikeus saada pääsy tietoihin
    • Henkilörekisteriin tulee mahdollisuus järjestelmästä muodostettavalle tulosteelle
  • Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi
    • Rekisterinpitäjä hoitaa oikaisemisen oman ohjeistuksensa mukaisesti (tietosuojaseloste)
    • Asiakasrekisteriin, asiakkuudenhallintaan, henkilörekisteriin ja kulunvalvontarekisteriin tulee mahdollisuus poistaa henkilötietoja lakien vaatimien säilytysaikojen puitteissa
  • Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
    • Ei muutoksia/ei relevantti Admicomin asiakkaiden kannalta
  • Oikeus siirtää tiedot järjestelmästä toiseen
    • XML-tuloste henkilörekisteristä – pyydettäessä Admicomin tuesta
  • Vastustamisoikeus (esim. suoramarkkinointikielto)
    • Ei muutoksia, asiakkuudenhallinnassa jo olemassa ominaisuus postilistojen hallintaan
  • Automatisoitujen yksittäispäätösten ja profiloinnin kielto
    • Ei relevantti Admicomin asiakkaiden kannalta

Jotkut henkilötiedot ovat arkaluontoisempia kuin toiset. Siksi jokaisen henkilörekisterin ja sen suojauksen kohdalla tehdään riskiarvio, jonka perusteella päätetään toteutettavan suojauksen tasosta. Suurin osa Adminetin henkilörekistereistä on matalan riskitason tietoa, jonka todennäköisesti voi löytää internetistä yksinkertaisesti googlaamalla tai eri palveluntarjoajien tai viranomaisten palveluista, jotka ovat vapaasti tai rekisteröitymällä käytettävissä. Siksi esimerkiksi palkanlaskennan henkilörekisterit ovat suojatumpia kuin erilaiset asiakasrekisterit.

Adminetin lähettämät sähköpostit lähtevät aina salatulla SSL-yhteydellä, mutta itse viestit eivät ole salattuja. Admicom ei myöskään voi taata, että koko putki Adminetin postipalvelimelta palkansaajan postilaatikkoon olisi yhteyden puolesta salattu. Tietosuojavaltuutettu on kuitenkin ottanut asiaan kantaa ja todennut palkkalaskelmien toimittamisen sähköpostilla olevan hyväksyttävää, mikäli se loppukäyttäjälle eli laskelman saajalle on hyväksyttävää. Mikäli loppukäyttäjä ei tätä riskiä halua ottaa, palkkalaskelman voi tietysti aina toimittaa myös e-kirjeenä. Tuomme Adminettiin tarjolle myös palkkalaskelmien toimittamisen salattuina sähköposteina. Tiedotamme palvelusta ja hinnoittelusta tarkemmin, kun tekniset yksityiskohdat on saatu kuntoon.

Työntekijöitä on hyvä informoida asiasta esimerkiksi työsopimusta tehtäessä tai työmaan perehdytyksen yhteydessä. Pakollista se ei kuitenkaan ole, kun tietojen käsittely perustuu sopimukseen tai lakiin. Luonnollisesti siis työntekijän on syytä odottaa, että työnantaja käsittelee hänen tietojaan, jotta työnantajan sopimukselliset velvoitteet (esim. palkanmaksu) voidaan täyttää. Niin ikään rakennustyömailla työskentelevien työntekijöiden on syytä olettaa, että kulunvalvonnan tietoja luovutetaan viranomaisille ja mahdollisesti työn tilaajalle.

Asetus koskee vain henkilötietoja. Yrityksillä vastaavia oikeuksia ei ole. Eli tieto, joka on tarkoitettu vain yrityksen sisäiseen käyttöön, on sellaista edelleen.

Tilaajalle voi tilanteesta riippuen syntyä niin sanottu kolmannen osapuolen oikeutettu etu, jonka takia kulunvalvonnan tietojen luovuttaminen on perusteltua. Tällainen oikeutettuun etuun liittyvä syy voisi olla vaikkapa työturvallisuuteen tai työmaan laskutukseen liittyvä seuranta. Aina kannattaa tarkistaa, mihin tarkoitukseen tilaaja tietoja pyytää ja tarvittaessa käydä asia läpi myös työntekijöiden oikeuksien näkökulmasta.

Lisämateriaalia mietinnän tueksi