GDPR – Usein kysyttyjä kysymyksiä

Mikä on GDPR? Onko se huomioitu Admicomilla ja miten se vaikuttaa asiakkaisiin? Läpinäkyvyyden lisäämiseksi olemme koonneet listan usein kysytyistä kysymyksistä liittyen EU:n tietosuoja-asetukseen. Suosittelemme katsomaan ajantasaiset ohjeet yrityksesi tietosuoja-asioihin Tietosuojavaltuutetun sivustolta tietosuoja.fi.

GDPR eli General Data Protection Regulation on suomeksi EU:n tietosuoja-asetus. Toukokuussa 2018 viranomainen on alkanut soveltaa asetusta, joka koskee erityisesti yrityksiä ja organisaatioita, jotka toiminnassaan käsittelevät paljon henkilötietoja (esim. SOTE-sektori). PK-sektorilla ja erityisesti talotekniikassa, rakentamisessa ja teollisuudessa henkilötietojen käsittely ei yleisesti ottaen ole toiminnan ytimessä, joten vaatimukset asian suhteen eivät ole niin kattavat. Käytännössä henkilörekistereitä voi syntyä Adminetissä muutamaan eri paikkaan – tyypillisimmin varmaankin palkansaajien, asiakkaiden, toimittajien ja kulunvalvonnan osalta. Suurin osa näihin rekistereihin kerätystä tiedosta on matalan riskin tietoa eli voidaan ajatella, että tieto on joko julkista tai ainakin kohtuullisen helposti saatavilla, jos joku sitä etsii. Tyypillisimmin tälläinen henkilötieto on esimerkiksi henkilön erilaisia yhteystietoja. Näiden tietojen suhteen ei Adminetissä ole tehty erityistoimenpiteitä, vaan on katsottu, että pääsynhallinta oikeuksien ja henkilökohtaisten käyttäjätunnusten kautta on riittävä suojaus näille tiedoille. Palkanlaskennan tietojen suhteen puolestaan on tehty muutamia teknisiä muutoksia, joilla pyritään kontrolloimaan tietojen tarpeetonta käyttöä.

Olemme toteuttaneet yhdessä lakiasiaintoimiston sekä turva-alan ammattilaisten kanssa auditoinnin, jonka raportti toimii pohjana konkreettisille toimenpiteille. Admicomin kohdalla tämä on käytännössä tarkoittanut erityisesti tietojen käsittelyn dokumentointia, sopimuskäytäntöjen uusimista, henkilöstön koulutusta sekä myös muutamia ohjelmamuutoksia Adminettiin. Admicomin tietosuojailmoitus löytyy täältä. Järjestimme asiakkaillemme myös GDPR-aihetta käsittelevän webinaarin, joka on katsottavissa järjestelmän omasta ohjetyökalusta Adminetin Wikistä. Adminettiin kirjautumisen jälkeen webinaari löytyy Wikistä hakusanalla ”GDPR” tai seuraavan polun takaa: Etäkoulutusmateriaalit > Webinaarit > GDPR – EU:n tietosuoja-asetus 20.4.2018.

Jokainen asiakkaamme on tietosuoja-asetuksen mielessä rekisterinpitäjä ja niinpä jokaista asiakastamme koskevat rekisterinpitäjän velvollisuudet. Me Admicomilla autamme asiakastamme näiden velvollisuuksien täyttämisessä. Sopimuksemme sisältää tietosuoja-asetuksen mukaisen ohjeistuksen tietojenkäsittelystä. Lisäksi Adminetin henkilörekistereihin on tehty toiminnallisuuksia, jotka auttavat asiakkaitamme rekisteröityjen oikeuksien toteuttamisessa. Jokaiselle rekisterinpitäjälle jää kuitenkin asetuksen mukainen osoitusvelvollisuus, mikä tarkoittaa sitä, että jokaisen rekisterinpitäjän on tarvittaessa pystyttävä osoittamaan viranomaiselle, että se on tehnyt tarvittavat toimenpiteet asetuksen vaatimusten täyttämiseksi. Tyypillisimmin tämä tarkoittaa esimerkiksi jonkinlaisen tilannearvion tekemistä ja sen pohjalta sitten esimerkiksi henkilötietojen käsittelyn dokumentointia, tietosuojaselosteiden kirjoittamista sekä henkilökunnan kouluttamista ja informointia. Lisätietoja voi lukea vaikkapa Tietosuojavaltuutetun sivustolta.

Kysymys on hieman liian avoin, että siihen voisi vastata kattavasti. Adminetin tietoturva on toteutettu monessa eri tasossa lähtien palvelininfrastruktuurista ja sen toteutuksesta. Myöskin itse ohjelmistossa tietoturva ja pääsyoikeudet on huomioitu monin eri tavoin. Palvelumme saatavuuden vuosittainen taso on ollut tyypillisesti 100 % lukuun ottamatta suunniteltuja päivityskatkoja. Varmuuskopiointi on niin ikään hoidettu alan parhaiden käytänteiden mukaisesti. Lisäksi olemme toteuttaneet tietoturvakartoituksen sähköisten palvelujemme osalta ja saadun raportin perusteella tehneet tietoturvallisuutta parantavia muutoksia. Seuraamme luonnollisesti koko ajan myös tekniikan kehittymistä.

Ajantasaista ohjeistusta kannattaa seurata Tietosuojavaltuutetun sivustolta. Selosteet ovat hyvä, helppo ja kustannustehokas osa rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi tehtäviä toimenpiteitä.

Ajantasaiset kriteerit yrityksille, joilla tulee olla nimettynä tietosuojavastaava löytyvät Tietosuojavaltuutetun sivustolta ja sen usein kysytyistä kysymyksistä: https://tietosuoja.fi/tietosuojavastaavat

Olemme toteuttaneet Adminettiin tietosuoja-asetuksen mukaisia ominaisuuksia ennen sen voimaantuloa. Yksi näistä ominaisuuksista on henkilötietojen poistaminen. Pitää kuitenkin muistaa, että tämäkään asia ei ole ihan yksinkertainen, sillä samalla pitää huomioida myös eri lakeihin liittyvät tietojen säilytysvelvollisuudet. Ainakin työsopimuslaki, työaikalaki, verotusmenettelylaki (ilmoitusvelvollisuus) ja kirjanpitolaki antavat tähän asiaan omat reunaehtonsa. Eli voi hyvin syntyä tilanteita, joissa tietojen poistoa on pyydetty, mutta jonkin lain nojalla sama tieto pitäisi säilyttää. Näissä tapauksissa lakiin kirjattu säilytysvelvollisuus ajaa tietosuoja-asetuksen ja yksilön oikeuksien edelle. Tietosuoja-asetuksen artikla 17 määrittelee tätä asiaa tarkemmin.

Kyseisen henkilöasiakkaan asiakaskortin tulostaminen käyttöliittymältä onnistuu useimmissa selaimissa Crtl+P -näppäinyhdistelmällä. Samoin voi tarvittaessa toimia oman henkilökunnan tapauksessa. Pidämme rekisteritietojen nähtäväksi pyytämistä sen verran marginaalisena käyttötapauksena asiakaskunnassamme, että erityisiä raportteja tätä varten ei ole rakennettu.

Yksilön oikeudet tietosuoja-asetuksen mukaan Adminetissä on toteutettu seuraavasti
  • Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
    • Tietosuojaseloste hoitaa, asiakkaat vastaavat omista selosteistaan
  • Rekisteröidyn oikeus saada pääsy tietoihin
    • Henkilörekisterissä mahdollisuus järjestelmästä muodostettavalle tulosteelle
  • Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi
    • Rekisterinpitäjä hoitaa oikaisemisen oman ohjeistuksensa mukaisesti (tietosuojaseloste)
    • Asiakasrekisterissä, asiakkuudenhallinnassa, henkilörekisterissä ja kulunvalvontarekisterissä mahdollisuus poistaa henkilötietoja lakien vaatimien säilytysaikojen puitteissa
  • Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
    • Ei muutoksia/ei relevantti Admicomin asiakkaiden kannalta
  • Oikeus siirtää tiedot järjestelmästä toiseen
    • XML-tuloste henkilörekisteristä – pyydettäessä Admicomin tuesta
  • Vastustamisoikeus (esim. suoramarkkinointikielto)
    • Ei muutoksia, asiakkuudenhallinnassa jo olemassa ominaisuus postilistojen hallintaan
  • Automatisoitujen yksittäispäätösten ja profiloinnin kielto
    • Ei relevantti Admicomin asiakkaiden kannalta

Jotkut henkilötiedot ovat arkaluontoisempia kuin toiset. Siksi jokaisen henkilörekisterin ja sen suojauksen kohdalla tehdään riskiarvio, jonka perusteella päätetään toteutettavan suojauksen tasosta. Suurin osa Adminetin henkilörekistereistä on matalan riskitason tietoa, jonka todennäköisesti voi löytää internetistä yksinkertaisesti googlaamalla tai eri palveluntarjoajien tai viranomaisten palveluista, jotka ovat vapaasti tai rekisteröitymällä käytettävissä. Siksi esimerkiksi palkanlaskennan henkilörekisterit ovat suojatumpia kuin erilaiset asiakasrekisterit.

Adminetissä on tarjolla palkkalaskelmien toimittaminen salattuina sähköposteina erikseen tilattavalla sovelluksella, joka aktivoidaan Admicomin toimesta. Palvelu muuntaa sähköpostiviestin www-selaimella luettavaan muotoon, tallentaa suojatun viestin tilapäisesti ja lähettää vastaanottajalle ilmoitusviestillä suojatun linkin, jonka avulla varsinainen viesti voidaan lukea. Viestien vastaanottaminen ei edellytä ohjelmien asennuksia ja viesti sekä palkkalaskelma ovat avattavissa myös mobiililaitteella. Mikäli asiakkaalla ei ole sovellusta käytössä, niin Adminetin lähettämät sähköpostit lähtevät salatulla SSL-yhteydellä, mutta itse viestit eivät oletuksena ole salattuja. Admicom ei voi taata, että koko putki Adminetin postipalvelimelta palkansaajan postilaatikkoon olisi yhteyden puolesta salattu. Tietosuojavaltuutettu on ottanut asiaan kantaa ja todennut palkkalaskelmien toimittamisen sähköpostilla olevan hyväksyttävää, mikäli se loppukäyttäjälle eli laskelman saajalle on hyväksyttävää. Mikäli loppukäyttäjä ei tätä riskiä halua ottaa, palkkalaskelman voi tietysti aina toimittaa myös e-kirjeenä.

Työntekijöitä on hyvä informoida asiasta esimerkiksi työsopimusta tehtäessä tai työmaan perehdytyksen yhteydessä. Pakollista se ei kuitenkaan ole, kun tietojen käsittely perustuu sopimukseen tai lakiin. Luonnollisesti siis työntekijän on syytä odottaa, että työnantaja käsittelee hänen tietojaan, jotta työnantajan sopimukselliset velvoitteet (esim. palkanmaksu) voidaan täyttää. Niin ikään rakennustyömailla työskentelevien työntekijöiden on syytä olettaa, että kulunvalvonnan tietoja luovutetaan viranomaisille ja mahdollisesti työn tilaajalle. Suosittelemme tarkistamaan ajantasaisen ohjeistuksen Tietosuojavaltuutetun sivustolta.

Asetus koskee vain henkilötietoja. Yrityksillä vastaavia oikeuksia ei ole. Eli tieto, joka ei sisällä henkilötietoja ja joka on tarkoitettu vain yrityksenne sisäiseen käyttöön, on edelleen yrityksenne yksityistä sisäistä tietoa.

Tilaajalle voi tilanteesta riippuen syntyä niin sanottu kolmannen osapuolen oikeutettu etu, jonka takia kulunvalvonnan tietojen luovuttaminen on perusteltua. Tällainen oikeutettuun etuun liittyvä syy voisi olla vaikkapa työturvallisuuteen tai työmaan laskutukseen liittyvä seuranta. Aina kannattaa tarkistaa, mihin tarkoitukseen tilaaja tietoja pyytää ja tarvittaessa käydä asia läpi myös työntekijöiden oikeuksien näkökulmasta. Ajantasaista ohjeistusta ja usein kysyttyjä kysymyksiä löydät Tietosuojavaltuutetun sivustolta.

Lisämateriaalia mietinnän tueksi