Tietosuoja tilitoimistossa

LUE Yleisimmät kysymykset Tietosuojasta sopimisesta ja TAL2018 sopimuksesta

TEE SOPIMUS Henkilötietojen käsittelystä

EU:n tietosuoja-asetus velvoittaa tilitoimistot, jotka käsittelevät asiakkaittensa rekisterien henkilötietoja, sopimaan henkilötietojen käsittelystä kirjallisesti. Lisäksi tilitoimiston tulee dokumentoida prosesseissaan henkilötietojen suoja. Liitto on laatinut jäsenilleen apuvälineitä ja malleja tietosuoja-asetuksen mukaan toimimiseksi.

Sopimus henkilötietojen käsittelystä TAL2018 on TAL2018 toimeksiantosopimuksen liite tai sen voi tehdä tarvittaessa erikseen. Siihen on kirjattu EU:n tietosuoja-asetuksen velvoitteet tilitoimistolle ja asiakkaalle ja kuvattu tilitoimistolle selkeät laskutusperusteet tietosuoja-asetuksen aiheuttamista lisävelvoitteista.

Jäsenet saavat ladattua word-muotoisen TAL2018 toimeksiantosopimuksen on näiden sivujen Sopiminen ja hinnoittelu -alasivujen alta. Vain jäsenille osiossa tällä sivulla on ladattavissa Sopimus henkilötietojen käsittelystä TAL2018 ja samaan dokumenttiin sisältyvät liitteet Seloste käsittelytoimista, Henkilötietoturva tilitoimistossa ja Asiakkaan antama ohjeistus henkilötietojen käsittelystä.

Ruotsin- ja englanninkieliset käännökset sopimuksesta tulevat sivuille maaliskuussa. Tilitoimistojen sopimuskone on päivityksen alla.

TEE SELOSTE KÄSITTELYTOIMISTA

Seloste käsittelytoimista sisältyy Sopimukseen henkilötietojen käsittelystä TAL2018 (liite 1-A), jossa on yhdistetty sopimuksiin pakollisesti määritetyt tiedot sekä käsittelijän rekisteriselosteeseen pakollisiksi määritetyt tiedot. (Tietosuoja-asetus 28,3 artikla ja 30,2 artikla.)

KUVAA TIETOTURVAA JA HENKILÖTIETOJEN KÄSITTELYÄ VARMENTAVAT TOIMET

Asiakas saa käyttää vain sellaista henkilötietojen käsittelijää (tilitoimisto) joka toteuttaa ”riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi”.

Henkilötietojen tietoturva tilitoimistossa on Sopimuksen henkilötietojen käsittelystä TAL2018 liite 1-B. Vaihtoehtoisesti jäsenet voivat käyttää myös sivun alaosasta Vain jäsenille -sisällöstä ladattavaa Palkanlaskennan tietosuojalähtöistä prosessikuvausta: Henkilötietojen käsittelyn turvallisuuden varmistaminen - paperiprosessi ja - sähköinen prosessi.

OHJAA ASIAKASTA ANTAMAAN OHJEISTUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Tietosuoja-asetuksen mukaan tilitoimisto saa käsitellä henkilötietoja ainoastaan asiakkaan dokumentoitujen ohjeiden mukaisesti.

Asiakkaan antama ohjeistus henkilötietojen käsittelystä sisältyy Sopimukseen henkilötietojen käsittelystä TAL2018 (liite 1-C). Asiakas voi antaa siihen oman ohjeistuksensa tai tilitoimisto voi ohjata asiakasta liiton tekemän pohjan avulla: Rekisterinpitäjän ohjeistus henkilötietojen käsittelijälle. Tätä mallia voi hyödyntää ohjeistuksen antamisessa, kuitenkin niin, että asiakas määrittelee omien tietojensa käsittelyn ja tekee muutokset tähän malliin, jotta se vastaa rekisterinpitäjän tahtoa henkilötietojen käsittelystä.

VARMISTU OHJELMISTOTOIMITTAJIEN TIETOTURVASTA

Jos tilitoimisto on ulkoistanut palkanlaskentaohjelmistonsa palvelinten ylläpidon ohjelmistotalo ja sen mahdolliset alihankkijat saattavat myös olla tietosuoja-asetuksen kannalta henkilötietojen käsittelijöitä, joiden toiminnasta tilitoimisto vastaa omalle asiakkaalleen. Näissä tilanteissa tilitoimiston on syytä varmistua siitä, että tietoturva ja tietosuoja-asetuksen vaatimukset on asianmukaisesti huomioitu myös ohjelmistotoimittajan toimesta.

Jäsensisällössä on tietosuoja-asetuskyselymalli ohjelmistotaloille, jonka avulla tilitoimisto voi pyytää ohjelmistotoimittajaltaan selvityksen asiantilasta, jos ohjelmistotalo ei ole vielä oma-aloitteisesti tiedottanut asiasta.

OHJAA ASIAKASTA

Jäsenet voivat tiedottaa asiakkaitaan liiton laatimalla kirjemallilla Tiedotemalli asiakkaille tietosuoja-asetuksesta, muokkaamalla sitä omaan käyttöön sopivaksi. Tiedotemalli on ladattavissa sivun alaosasta Vain jäsenille -sisällöstä

LISÄMATERIAALI

Laaja seloste käsittelytoimista (Asiakkaan rekisteriseloste)

Selosteluonnos käsittelytoimista pohjaan ja malliin on yhdistetty rekisterinpitäjän (asiakas) ja tilitoimiston (käsittelijä) osalta tietosuoja-asetuksessa pakollisiksi määritetyt tiedot. Näitä voi halutessaan käyttää Sopimuksen henkilötietojen käsittelystä liitteenä. (Tietosuoja-asetus 30,1 artikla (asiakkaan velvoite)).

Tilitoimisto voi halutessaan laatia dokumentin avulla asiakkaansa puolesta tämän rekisteriselosteen esimerkiksi maksullisena lisäpalveluna.

Asiakkaan rekisteriseloste -pohja ja Asiakkaan rekisteriseloste -malli ovat jäsenten saatavissa sivun ala-osasta Vain jäsenille -osiosta. (päivittyy)

Palkanlaskennan tietosuojalähtöinen prosessikuvaus.

EU:n Tietosuoja-asetuksen (28,1 artikla, 32 artikla ja 24 artikla (osoitusvelvollisuus)) mukaan Tilitoimiston tulee käydä läpi ja dokumentoida palkanlaskentaprosessi huomioiden erityisesti henkilötietojen suoja. Tämä dokumentointi palvelee myös jatkuvuuden varmistamista erityisesti pienimmissä tilitoimistoissa.

Tätä dokumenttia voi käyttää vaihtoehtoisesti tietosuojasopimuksen tietoturvaliitteenä (katso yllä kohta Kuvaa tietoturvaa ja henkilötietojen käsittelyä varmentavat toimet)

Henkilöstön kanssa tehtävä salassapitosopimus

Henkilöstön kanssa tehtävä salassapitosopimus löytyy sivulta Tilitoimiston johtaminen ja henkilöstö

Valvontaviranomaiselle annettava seloste käsittelytoimista

  • Asiakkaan tai tilitoimiston on tietosuojaviranomaisen pyytäessä toimitettava tälle tilitoimiston asiakkaalle antama seloste käsittelytoimista.

Tällöin täydennetään Sopimuksen henkilötietojen käsittelystä TAL2018 liitettä 1A, jota täydennetään lisäämällä sopimuksesta irrotettuun kopioon osapuolten yhteystiedot ja yhteyshenkilöt sekä luetellaan mahdolliset henkilötietojen käsittelyyn käytetyt alihankkijat.

Tilitoimistojen suosittelemia tietoturvakonsultteja

Pyysimme jäsentilitoimistoja suosittelemaan toisilleen ja tilitoimistojen asiakkaille tietosuojakonsultteja. Alla tulleita suosituksia. Taloushallintoliitto ei toimi näiden yritysten suosittelijana.

Mikäli palvelusopimus syntyy, suosittelemme sopimaan kirjallisesti ostajan ja myyjän kesken. Suosittelun antaja tai Taloushallintoliitto eivät ole sopijaosapuoli.

  • Accountor Advisors Oy, Anton Meriluoto, anton.meriluoto [at] accountor.fi, p. +358 444 103 404 ja Mikael Sundell, mikael.sundell [at] accountor.fi, puh +358 445 266 424, "Voin lämpimästi suositella Accountor Advisors Oy:n asiantuntijoita tietosuoja-expertit Anton Meriluoto sekä Mikael Sunell. He ovat erikoistuneet nimenomaan tilitoimiston sekä tilitoimiston asiakkaiden näkökannalta aiheeseen."
  • aWellCare Oy, Jarkko Koskinen, CEO, 0400709622, https://asiantuntijat.tietosuojamalli.fi/yritys/awellcare-oy , "tässä yritysten arkea lähellä olevaa konsultointia maalaisjärjellä ja tietosuojamalli.fi -työkalulla, jolla saadaan tietosuoja-asiat hallintaan ja jatkuvaksi toimintaprosessiksi – voin lämpimästi suositella! Jarkko ei maalaa uhkakuvia, vaan etsii oikean ratkaisun kuhinkin tapaukseen."
  • Marko Heikkilä, marko [at] clementia.fi, 040-3592019, https://www.clementia.fi/ , "Meidän kanssamme tietosuojaprojektin toteutti oululainen Marko Heikkilä Clementia Oy:stä. Voin suositella. Asiantunteva ja asiakaslähtöinen palvelu. Tietosuoja-asiat käytiin läpi ja dokumentoitiin perusteellisesti. Hyvä projekti muutenkin kuin GDPR:n vuoksi. Kommenttimme löytyy firman nettisivuilta referensseistä."
  • Facilor Oy, Matti Vepsäläinen, "on erittäin hyvä tietosuoja-asioissa"
  • Finansia, Riikka Lehtinen, riikka [at] riikkalehtinen.fi, p. 02-823 6999
  • KitkaCon, Marko Leinonen, marko [at] innovoi.fi, p. 0400 600707, "Marko on tehnyt meille kartoituksen, selosteet, raportit ja toimii meillä tietosuoja-asiantuntijana jatkossakin. Tunteet tilitoimistoalan hyvin, on tutustunut myös Liiton sivuihin ja ohjeisiin ja osaa hyödyntää niitä."
  • Procio, www.procio.fi, "Procio on käytännönläheinen konsulttitalo. Olen tehnyt näiden asiantuntijoiden kanssa yhteistyötä liki 20 vuotta, ja koskaan en ole ollut tyytymätön. IT -arkkitehtuuri, infra, tietojärjestelmät ja niiden soveltaminen sekä GDPR -asiat ovat niitä, joissa käännyn Procion ammattilaisten puoleen."
  • Tikkasec Oy,  Pekka Vepsäläinen, "on erittäin hyvä tietosuoja-asioissa!"