10 tärkeää kysymystä tietosuojasta Sillan asiakkaille

Valmistaudumme täyttä vauhtia EU:n tietosuoja-asetuksen toimeenpanoon. Olemme koonneet yhteen asiakkaan näkökulmasta tärkeitä kysymyksiä, joilla haluamme sekä kertoa toimintatavoistamme että auttaa asiakkaitamme valmistautumaan omalta osaltaan. Tiedotamme tietosuoja-asetuksen toimeenpanon etenemisestä säännöllisesti toukokuuhun 2018 saakka, jolloin asetus muuttuu velvoittavaksi.

1. Miten sovimme Sillan kanssa henkilötietojen käsittelystä?

Ulkoistamalla palkanlaskennan ja siihen liittyvät tehtävät asiakas ulkoistaa samalla henkilötietojen käsittelyn. Henkilötietojen käsittelystä tulee sopia kirjallisesti sopimuksella. Ylätasolla palkkapalvelu- tai puitesopimusta täydennetään uudella liitteellä, tietojenkäsittelysopimuksella, joka voi olla joko Sillan tai asiakkaan malli.

2. Mistä meidän tulee konkreettisesti sopia? Millä aikataululla?

Tietojenkäsittelysopimuksessa on sovittava esim. vastuista puolin ja toisin, tietoturvasta, avustamisvelvollisuudesta, alihankkijoiden käytöstä, auditoinneista, salassapidosta ja henkilötietojen käsittelyn päättymisestä. Sillan mallidokumentissa on otettu kaikki asetuksen vaatimat asiat huomioon. Silta aloittaa sopimusten jalkauttamisen loppuvuoden aikana ja ne on tehtävä ennen 25.5.2018, jolloin asetus muuttuu velvoittavaksi.

3. Kuinka varmistamme asetuksen vaatiman ohjeistuksen henkilötietojen käsittelystä Sillalle?

Käytännön tasolla henkilötietojen käsittelystä sovitaan Sillan palveluiden tehtävä- ja vastuunjakomatriisissa (miten tietoja toimitetaan, kuka niitä saa toimittaa, millä aikataululla, mitä Silta tiedoille tekee jne.).

4. Kuka vastaa rekisteriselosteesta ja millainen sen pitää olla?

Rekisterinpitäjä eli asiakas vastaa rekisteriselosteesta. Asetuksen velvoitteet ovat rekisterikohtaisia, joten emme suosittele tekemään rekisteriselosteita esim. järjestelmäkohtaisesti. Suosittelemme rekisteriselosteen laadintaa käyttötarkoituksen mukaan, esim. niin että laaditaan henkilötietojen rekisteriseloste työnantajavelvoitteiden hoitamisesta. Tämä rekisteri voi täten sisältää työajan, työsuhteen elinkaaren, palkamaksun, työterveyshuollon, vakuuttamisen jne. Toisen vastaavan rekisteriselosteen voi tehdä henkilöstön kehittämiseen liittyen (koulutukset, osaaminen, kehityskeskustelut).

5. Miten työntekijämme voi pyytää omien tietojensa tarkistusta tai niiden poistoa?

Henkilöllä on oikeus pyytää itseään koskevat, järjestelmässä olevat tiedot tai niiden poisto. Osa järjestelmistä on Sillan hallussa, osa asiakkaalla itsellään. Sillan malli on, että henkilön tietoja koskevat pyynnöt ja poistopyynnöt tulevat Siltaan asiakkaan valtuuttamien tahojen kautta (HR, talous, jne.). Näin asiakkaalla pysyy kokonaiskuva henkilötietojen hallinnasta ja Silta saa toimeksiannot valtuutetuilta tahoilta. Suurin osa Sillan hallinnoimissa järjestelmissä olevista tiedoista on lakisääteisesti arkistoitavia, eikä niitä täten voi poistaa.

6. Miten Silta varmistaa tietosuoja-asetuksen mukaisen toiminnan?

Asiakassopimukseen liitettävä tietojenkäsittelysopimus velvoittaa Sillan noudattamaan ajantasaisia lakeja. Tämän lisäksi Silta valmistelee tietosuojaan liittyen kokonaisuutta, jonka ulkopuolinen taho auditoi kerran vuodessa. Auditoinnin lopputuloksena syntyvä raportti lähetetään kaikille asiakkaille veloituksetta.

7. Miten Silta ottaa huomioon alihankkijoidensa henkilötietokäsittelyn?

Silta vastaa koko alihankintaketjun toiminnasta kuin omastaan. Silta tekee vastaavat sopimukset tietojenkäsittelystä omien kumppaniensa kanssa ja velvoittaa näin myös kumppaninsa toimimaan asetuksen mukaisesti.

8. Voimmeko auditoida Siltaa tietosuojaan liittyen?

Tietojenkäsittelysopimuksessa otetaan kantaa auditointioikeuksiin. Asiakkaalla on mahdollisuus auditoida Siltaa tietosuojasta omalla kustannuksellaan tietyin rajoituksin. Sillan toiminnasta syntyy vuosittain auditointiraportti, jonka lähtökohtaisesti tulisi vähentää lisäauditointien tarvetta.

9. Mikä on Sillan toimintamalli tietosuojaloukkauksissa?

Silta on velvollinen sekä avustamaan asiakasta että ilmoittamaan asiakkaalle mikäli Silta huomaa tietosuojaloukkauksen tapahtuneen. Silta osallistuu omalta sekä kumppaniensa osalta mahdollisten tietosuojaloukkasten selvittämiseen ja ehkäisemiseen jatkossa. Sillan käyttöön tulee määrämuotoinen pohja, jossa otetaan kantaa esim. tietosuojaloukkauksen sisältöön, riskiarviointiin ja jatkotoimenpiteisiin.

10. Keneen olemme yhteydessä jos epäilemme tietosuojaloukkauksen tapahtuneen?

Mikäli asiakas epäilee tietosuojaloukkausta, voitte olla yhteydessä palvelutiimiinne. Palvelutiiminne vastaa asianmukaisista toimenpiteistä ja on asiakkaaseen yhteydessä mahdollisimman pian. Palvelutiimi välittää tiedon eteenpäin Sillan tietosuojavastaavalle kokonaisprosessin kehittämiseksi.