Yleisimmät kysymykset TAL2018 sopimusuudistuksesta ja tietosuojasopimisesta

Vastauksia päivitetään jatkuvasti. Viimeksi päivitetty 8.6.2018

Mitä pitää tehdä nyt ja mitä voi tehdä myöhemmin?

1. Noudattaaksesi EU-asetusta tietosuojasta tee Sopimukset henkilötietojen käsittelystä TAL2018 asiakkaiden kanssa viimeistään 25.5.2018. Jäsenet voivat käyttää word-pohjaa tai maaliskuun aikana ilmestyvää Kohon kanssa yhteistyössä toteutettun Tilitoimistopalvelujen sopimuskoneen TAL2018 yhteyteen tulevaa vaihtoehtoista erillistä Sopimusta henkilötietojen käsittelystä TAL2018.

2. Taloushallintoliitto suosittelee toimeksiantosopimuksen yleisten sopimusehtojen muuttamista TAL2018-ehdoiksi. Jäsenille löytyy mallikirje asiasta.

3. Jos sopimukset ovat muutoin ajantasalla, ei niitä tarvitse tämän uudistuksen takia uudistaa. Kuitenkin jos palveluissa on päivitettävää, kannattaa ne päivittää ajantasalle samalla edellisten toimenpiteiden kanssa tai myöhemmin sopivana hetkenä.

Lue myös Tietoturva tilitoimistossa -sivulta toimintaohjeet tietosuoja-asetuksen vaatimusten täyttämiseksi

MILLOIN TILITOIMISTOPALVELUJEN SOPIMUSKONE TAL2018 ILMESTYY?

Tilitoimistopalvelujen sopimuskone on julkaistu.

MILLOIN RUOTSIN- ja englanninkielinen sopimus ilmestyvät?

Sopimukset ovat ilmestyneet ja ne on jäsenille ladattavissa nettisivuilla.

Miksi on tärkeää, ettei asiakkaan tehtäviä luetella sopimuksessa?

TAL2018 sopimus ja Yleiset sopimusehdot TAL2018 ovat laadittu siten, että tilitoimisto ottaa hoitaakseen vain ne tehtävät, jotka sopimuksessa luetellaan ja kaikki muu on asiakkaan vastuulla. Mikäli asiakkaan tehtäviä lueteltaisiin voisi tulkinta juristimme mukaan olla, että asiakkaan vastuu rajautuisi niihin ja kaikki muu olisi asiantuntijavastuun nimissä tilitoimiston vastuulla.

Palvelukuvauksessa voidaan luetella mitkä ovat asiakkaan tehtävät palvelun tuottamiseksi. 

Tarvitseeko rekisterinpitäjän ja käsittelijän selosteet täyttää myös sellaisten asiakkaiden osalta, joilla ei ole palkanlaskennasta toimeksiantoa tilitoimistolle, mutta esimerkiksi asiakkaina pääasiassa henkilöasiakkaita? Vai tarvitaanko selosteet ainoastaan palkkahallinnon rekistereitä koskien?

Selosteet on täytettävä kaikissa tilanteissa, joissa henkilötietoja käsitellään asiakkaan puolesta. Näitä voivat siis olla esimerkiksi yhdistyksen jäsenmaksulaskutus ja -seuranta sekä yksityishenkilöiltä olevien saatavien seuranta asiakkaan rekisterissä.

Kun tilitoimistolla on asiakkaana ammatinharjoittaja tai maanviljelijä, koskeeko tietosuoja-asetus myös näiden tietoja? Pitääkö laskutukseen liittyvästä rekisteristä huolehtia tällöin tietosuoja-asetuksen määrittelemällä tavalla?

Heillä on y-tunnus, mutta he ovat kuitenkin henkilöitä. Tähän ei ole saatu selkeää ja yksikäsitteistä vastausta juristeiltakaan. Oletus on, että kyllä tässä käsitellään luonnollista henkilöä koskevaa tietoa, vaikka kyseinen henkilö toimiikin liiketoiminnallisessa roolissa. Eli turvallisempaa on lähteä siitä, että tietosuoja-asetus säätelee myös tätä toimintaa.

Myös näiden tahojen kanssa pitää siis periaatteessa tehdä sopimus henkilötietojen käsittelystä. Jos tällainen asiakas jostain syystä kieltäytyy tekemästä sopimusta, voi toimeksiantoa jatkaa. Tässä on olennainen ero yrityksen palkansaajiin, koska ammatinharjoittaja tai maanviljelijä ottaa itse kantaa omien tietojensa käsittelyyn. Eli sama taho on paitsi rekisterin pitäjä, myös rekisteröity.

Mallipohjassa ”Seloste henkilötietojen käsittelytoimista” on kohta Rekisteröityjen ryhmät ja henkilötietoryhmät. Minkä takia kohta on lisätty selosteeseen? Minkä takia on tietosuojan näkökulmasta tärkeää antaa tietoa ryhmistä?

Selosteeseen (liite 1-A) on yhdistetty sopimukselle pakollisiksi määrättyjä tietoja (tietosuoja-asetus 28,3 artikla) sekä artiklan kohdassa 30,2 käsittelijän selosteelta edellytettäviä tietoja. 

Lähetämme nyt asiakkaidemme työntekijöiden palkkalaskelmat palkkajärjestelmästä sähköpostilla palkansaajille. Onko tämä toimitustapa pakko lopettaa tietosuoja-asetuksen voimaantulon myötä, koska laskelmat lähtevät normaalina sähköpostina, eivät siis kryptattuina tai muutoin salattuina?

Palkkalaskelmien toimitus tällä tavoin on Suomessa yleinen toimintamalli. Tietosuoja-asetuksessa ei ole mitään säädöstä, jonka nojalla tästä toimitustavasta olisi pakko luopua. Sitä voi jatkaa, jos asiakas ei ohjeista toisin. Tietosuoja-asetuksen soveltamisessa keskeistä on riskiperusteinen arviointi. Palkkalaskelmissa oleva informaatio ei loppujen lopuksi ole sitä riskipitoisinta tietoa, vaikkakin sisältää mahdollisesti tietosuoja-asetuksen 9 artiklassa mainittuja ay-jäsenyystietoja.

Jos kirjanpitoasiakkaallamme on myyntisaatavissa saamisia yksityishenkilöiltä, niin tuleeko näissä tapauksissa laatia "sopimus henkilötietojen käsittelystä kaikkine liitteineen" kuten tapauksissa, joissa hoidamme asiakkaan palkanlaskennan?

Kyllä se näin on. Sopimus tulee laatia aina, kun käsittelette henkilötietoja rekisterinpitäjän puolesta. Tilanteita voi olla esimerkiksi:

  • palkanlaskenta
  • yksityishenkilöiden myyntisaatavien seuranta
  • isännöinti/taloyhtiön kirjanpito, jne.

MItä Sopimuksen henkilötietojen käsittelystä liitteeseen 1C pitää laittaa?

Tietosuoja-asetuksen mukaan henkilötietojen käsittelijä käsittelee tietoja rekisterinpitäjän ohjeiden mukaan. Mikäli asiakas haluaa jo muualta sopimuksesta ilmenevän lisäksi antaa muita ohjeita, kirjataan ne tähän liitteeseen. 

Taloushallintoliitto on laatinut jäsenistölleen mallin "Rekisterinpitäjän ohjeistus henkilötietojen käsittelijälle", jolla tarvittassa voi ohjata asiakasta antamaan ohjausta. Malli löytyy sivulta Tietosuoja tilitoimistossa.

Tarvitseeko palkanlaskennan tietosuojalähtöinen prosessikuvaus tehdä, mikäli käytämme sopimuksen henkilötietojen käsittelystä liitettä 1-B?

Liite 1-B ja palkanlaskennan prosessikuvaus ovat käyttötarkoitukseltaan erilaiset:

  • 1-B on sopimusliite
  • Prosessikuvaus on dokumentaatiota, jolla tilitoimisto toteuttaa velvollisuuttaan osoittaa tietosuoja-asetuksen mukaista toimintaansa.

Suosittelemme prosessikuvauksen laadintaa. Pakollinen se ei ole, mutta helpottaa osoitustaakkaanne mahdollisissa auditoinneissa, viranomaistarkastuksissa sekä tilanteissa, joissa on sattunut virheitä tietojenkäsittelyssä.

Onko ideoita, miten sopimus henkilötietojen käsittelystä saataisiin vaivattomimmin solmittua käytännössä, jos asiakkaita on paljon.

Yksi hyvä idea on lähettää sopimus liitteineen sähköpostilla asiakkaiden nimenkirjoitukseen oikeutetuille henkilöille (yleensä yhteyshenkilö) ja pyytää vastaamaan, että hyväksyykö hän sopimuksen. Asiassa voidaan hyödyntää myös sähköiseen allekirjoitukseen kehitettyjä palveluita.

Onko enää lainkaan sallittua lähettää tilitoimiston ja asiakkaan välillä henkilötietoja normaalilla (suojaamattomalla) sähköpostilla.

Varmastikin valtaosa tai suuri osa asioinnista tilitoimistojen ja asiakkaiden välillä hoidetaan lähitulevaisuudessakin suojaamattomalla sähköpostilla. Tietosuoja-asetuksessa ei ole säädöksiä, jotka kieltäisivät tämän. Jotkin tilitoimistojen asiakkaat saattavat kuitenkin edellyttää parempaa tietosuojaa, minkä vuoksi asiaan kannattaa tilitoimistossa paneutua ja etsiä sopivia ratkaisuja. Asiasta löytyy hyvä Tero Anttilan kirjoitus Tilisanomien verkkosivuilta: https://tilisanomat.fi/teknologia/sahkopostin-tietoturva-ja-luottamuksel....

Miten toimitaan Sopimus henkilötietojen käsittelystä liitteen 1-C kanssa, jos asiakkaalta ei saada ohjeistusta henkilötietojen käsittelyyn.

Periaatteessa tilitoimiston (käsittelijä) pitäisi käsitellä henkilötietoja asiakkaan (rekisterinpitäjä) kirjallisen ohjeistuksen ohjaamana. Tätä varten sopimuksessa on liite 1-C, johon asiakkaan antama ohjeistus on tarkoitus dokumentoida. Käytännössä sopimus liitteineen on niin tuhti ja kattava paketti, että useimmat pk-yritykset eivät keksi lisää asioita ohjeistettavaksi. Tällöin lomake 1-C voidaan jättää tyhjäksi tai pois sopimuksesta.

Kuka tekee selosteen henkilötietojen käsittelytoimista kun palkanlaskenta on ulkoistettu?

Molemmat tekevät:

  • Asiakkaan (rekisterinpitäjä) selosteen sisältö on kuvattu asetuksen artiklassa 30,1. Asiakkaan selostetta varten jäsensivuillamme on dokumentti ”asiakkaan rekisteriselosta – malli”
  • Tilitoimiston (käsittelijä) selosteen sisältö on kuvattu asetuksen artiklassa 30,2. Selosteena toimii sopimusliite 1-A

Toinen toimistomme sijaitsee kauppakeskuksen vuokratoimistotiloissa, joissa käy kauppakeskuksen järjestämä siivooja ja lisäksi työhuoneisiin on pääsy mm. vartijoilla. Millä tavalla näiden ulkopuolisten toimijoiden tietoturva-asioiden hoitaminen tulisi varmistaa?

Vastaus: Tuossa tapauksessa ei teillä ja siivous- tai vartiointiyrityksellä ole sopimusta, koska sopimus on kauppakeskuksen ja vartiointi/siivousyrityksen välinen. Ehdotan, että kysytte jossain vaiheessa kauppakeskusyhtiöltä, ovatko he huomioineet sopimuksissaan omien alihankkijoidensa kanssa tietosuoja-asetuksen vaatimukset. Voitte esimerkiksi pyytää tiedoksi, miten asia on heidän ja alihankkijoiden välisissä sopimuksissa huomioitu

Lähetimme TAL2018 pakettiin kuuluvan sopimuksen henkilötietojen käsittelystä asiakkaalle allekirjoitettavaksi. Asiakas ilmoitti juristinsa kanssa keskusteltuaan seuraavaa:

  1. Asiakkaan (rekisterinpitäjä) vastuita on korostettu sopimuksessa liikaa

  2. Tilitoimistolla on liian laajat oikeudet laskuttaa tietosuoja-asetuksen mukaisista palveluvelvoitteistaan

  3. Sopimuksen vastuunrajoitukset ovat liian pienet

  4. Asiakas haluaa juristinsa laatiman sopimuksen ”TAL2018 sopimus henkilötietojen käsittelystä” sijaan.

Vastaus:

  1. Tietosuoja-asetuksessa on asetettu rekisterinpitäjälle erittäin laajat vastuut ja velvoitteet. Nämä vastuut on kirjattu TAL2018 sopimukseen henkilötietojen käsittelystä käytännössä suoraan tietosuoja-asetuksesta. Ne velvoittavat asiakasta joka tapauksessa.
  2. TAL2018 sopimuksessa henkilötietojen käsittelystä on kohta: ”Tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamis­toimista, auditoin­nin tuesta sekä asiakkaan ohjeis­tuksen muutoksista johtu­vista toimista ja kus­tan­nuk­sistaan erikseen”. Tästä voidaan luonnollisesti poiketa asiakkaan eduksi, jos niin yhdessä sovitaan. Tietosuoja-asetuksen asettamia lisätöitä ei kuitenkaan ole yleensä rakennettu sisään esimerkiksi palkkapalvelun hintaan. Tietosuoja-asetuksessa ei velvoiteta tuottamaan palveluja veloituksetta. Esimerkiksi auditoinnin isännöinti voi viedä tilitoimiston aikaa jopa useita päiviä. Asiakas voi ohjeistuksellaan edellyttää myös esimerkiksi tietoliikenneratkaisuja, joista aiheutuu tilitoimistolle olennaisia kustannuksia.
  3. Vastuunrajauksen teksti on TAL 2018 sopimuksessa henkilötietojen käsittelystä: ”Tilitoimiston vastuun enimmäismäärä on kuitenkin aina enintään 10.000 euroa yhdessä vahinko­tapah­tumassa ja saman tilikauden aikana ilmenneistä vahinko­tapahtumista yhteensä enintään 20.000 euroa, ellei muusta enimmäis­määrästä ole nimen­omaisesti sopimuksessa sovittu”. Tässä on siis mahdollista sopia muusta korvaussummasta. Yleisesti ottaen vastuunrajausten osalta kyse on oletusarvosta, jota voi sopimuksissa muuttaa. Päädyimme jäsenten kommenttikierroksen perusteella siihen, että jatketaan KL2004 ehtojen oletusvastuurajauksella eli vastuunrajausta ei nostettu TAL 2018 sopimukseen. Tilitoimistojen asiakkaita on pörssiyhtiöstä parturiin. Siinä missä 10.000 euroa on pörssiyhtiön näkökulmasta huono vitsi, se on tilitoimiston parturikampaajalta laskuttaman vuosilaskutuksen näkökulmasta erittäin ankara. Jäsenkunnassamme toimitaan yleisesti siten, että moni on nostanut vastuunrajausta joko kaikille asiakkailleen tai porrastanut sitä asiakkaan vuosilaskutuksen mukaan. Jos nostatte vastuunrajausta, teidän kannattaa olla yhteydessä vakuutusyhtiöönne, koska vastuunrajauksen nosto vaikuttaa yleensä vakuutusehtoihin.
  4. Sopimuksissa on kyse kaupanteosta, jossa kannattaa huomioida asiakkaan arvo ja kannattavuus tilitoimistoille. TAL2018 on laadittu tilitoimiston kannalta turvalliseksi. Jos asiakkaan tarjoama sopimus tuntuu kohtuulliselta, voi sen allekirjoittaa, jos asiakkuus on niin kannattava, että riski mahdollisesta kustannusten noususta kannattaa ottaa.