Taloushallinto-ohjelmistotoimittajan kumppanit ja tietosuoja
Taloushallinto-ohjelmiston rajapinnan kautta erilaiset kumppanit voivat tuottaa palveluita tilitoimistoille ja/tai näiden asiakkaille. Palvelua koskeva sopimus tehdään usein kumppanin ja tilitoimiston välille, eikä asiakasyrityksellä ole sopimussuhdetta kumppaniin. Kumppanin tarjoamasta palvelusta ja sen luonteesta riippuen taloushallintopalvelun tuottamiseen, tai siihen läheisesti liittyvään toimintaan, käytetty kumppani voi saada laajat pääsyoikeudet asiakasympäristössä käsiteltäviin tietoihin. Siltä osin kuin näihin tietoihin, esimerkiksi ostolaskuihin tai veroilmoituksiin ynnä muihin sisältyy henkilötietoja, on noudatettava tietosuojalainsäädäntöä.
Taloushallintopalvelun yhteydessä asiakasyritys on aineistoon sisältyvien henkilötietojen osalta rekisterinpitäjä ja tilitoimisto on henkilötietojen käsittelijä. Käytännössä tämä tarkoittaa sitä, että tilitoimistolla ei ole ilman asiakasyrityksen myötävaikutusta oikeutta päättää käsiteltävistä henkilötiedoista, kuten siitä kenellä muulla tilitoimiston lisäksi on pääsyoikeus asiakasympäristöön.
Tilitoimisto voi käyttää taloushallintopalvelun tarjoamisen yhteydessä kumppaneita ainakin alla olevissa tilanteissa
- Kumppanin palvelu on osa tavanomaista taloushallintopalvelua. Esimerkiksi kumppanin palvelun avulla tilitoimisto voi automatisoida laskumuistutukset. Näissä tilanteissa kumppani on tilitoimiston alikäsittelijä. Kumppanin toiminnasta on informoitava asiakasyrityksiä osana henkilötietojen käsittelyä koskevaa sopimusta esimerkiksi alikäsittelijälistassa. Asiakasyrityksellä on lähtökohtaisesti tietosuojalainsäädännön mukainen oikeus vastustaa alikäsittelijän nimeämistä (opt-out) tai
- kumppanin palvelu on tavanomaisesta taloushallintopalvelusta selkeästi erillinen lisäarvopalvelu. Näissä tilanteissa vaaditaan erillinen sopimus tai tilaus lisäarvopalvelusta taikka asiakasyrityksen muu selkeä tahdonilmaisu kumppanin käyttämiseen (opt-in). Kyseessä voivat olla esimerkiksi erilaiset raportointi- tai analyysipalvelut tai perintäpalvelu.
Tilitoimisto voi edellä mainittujen tapausten lisäksi käyttää kumppania myös sellaiseen toimintaan, jolla se mittaa, seuraa tai kehittää omia palveluprosessejaan esimerkiksi osana asiakasyrityksille tarjotun palvelun laadun valvontaa. Näissä tapauksissa kumppanin tarjoama palvelu kohdistuu tyypillisesti prosessiin, jossa asiakasaineistoa käsitellään, tai muutoin tilitoimiston asiakasaineistoon kohdistamiin tehtäviin tai toimenpiteisiin.
Käsittely tapahtuu yksinomaan tilitoimiston intressissä sen omia käyttötarkoituksia varten. Näissä tilanteissa asiakasaineiston sisällön (ja niihin mahdollisesti sisältyvien henkilötietojen) käsittely ei ole ensisijaista, mutta sitä ei kuitenkaan voida käsittelyn luonne huomioiden kokonaan välttää. Jotta kumppanin käyttäminen tämän tyyppiseen käsittelyprosessien analysointiin tilitoimiston omia tarkoituksia varten olisi mahdollista, on asiasta sovittava asiakkaan kanssa esimerkiksi ottamalla sitä ehto asiakassopimukseen. Asiakasyrityksellä ei ole tietosuojalainsäädännön mukaista oikeutta kieltää kumppanin käyttämistä, mikäli se haluaa ostaa taloushallintopalvelua.
Edellä olevan perusteella voidaan havaita, että ohjelmistotoimittajan kumppaneita voidaan käyttää useita käyttötarkoituksia varten. Eri käyttötarkoituksiin soveltuvat erilaiset tietosuojavaatimukset. Kaikissa tapauksissa on tärkeää ymmärtää kumppanin suorittaman käsittelyn tarkoitus, arvioida sen laillinen peruste ja tunnistaa käsittelyyn liittyvät osapuolten oikeudet ja velvollisuudet. Vasta tämän perusteella on mahdollista läpinäkyvästi ja tarvittavassa laajuudessa informoida asiakasyrityksiä kumppanin suorittamasta käsittelystä ja siihen liittyvistä yksityiskohdista, tai pyytää lupaa kumppanin käyttämiseen, kustakin käyttötapauksesta riippuen.